数据安全分类分级需求下的解决方案

全知科技 2021-09-18
专栏 发布于 2021-09-18 20:23:19 阅读 345 评论 0

数据分级分类需求下的解决方案

一. 市场背景

随着大数据技术和产业的发展壮大,数据作为新型生产要素被广泛的应用于生产、生活;在此背景下,数据的价值得到了持续的开发和利用,其安全重要性不言而喻。为了更好地促进数据利用和保护的平衡发展,国家监管层针对“数据安全”提出了更明确、更严格的要求。

➼ 国家层面:2021年9月1日,《数据安全法》正式施行;该法第二十一条明确提出了数据分级分类要求——“建立数据分类分级保护制度,对数据实行分类分级保护;并基于数据分类分级确定重要数据目录和国家核心数据,进行重点保护”。

➼ 行业层面:在金融行业、政府行业等信息化程度高的行业,都相继出台了各种涉及“数据分级分类”的行业标准,如《金融数据安全数据分级指南》、《政务数据 数据分类分级指南》等,并纷纷启动数据安全项目建设来配合国家数据安全监管,尤其金融行业及政府行业的安全建设对其他企业的数据安全工作有着示范性作用。

数据安全建设已经成为企业风险管理工作的重中之重。因数据治理体系庞大,需分阶段建立健全数据安全分级、数据生命周期安全防护和数据安全管理体系,保障企业数据治理逐步合规、安全。其中,资产梳理和数据安全分级是数据安全建设工作的首要任务。

二.需求挑战

由于企业内部存在业务迭代快、环节链条多、数据行为复杂等实际问题,企业在落实数据安全分类分级的时候,往往觉得无从下手。

1、数据资产黑盒化

大部分企业对数据资产的管理方式五花八门,数据定义混乱,导致数据分散成信息孤岛,而过期失效的数据又占用了大量的资源,企业无法统一、有效地管理分散在各业务的数据,形成全面的数据资产清单。同时,企业对于敏感数据分布的位置、量级,业务数据关联关系,数据暴露情况等情况了解得不够清晰全面,这无疑又增加了数据泄露的风险。

2、数据资产梳理落地困难

数据安全治理的框架制定需要结合国家和行业要求规范,由于缺乏经验,企业即使在认识到数据安全治理的重要性之后,仍会因为现实困境难以找到破局之路;此外,企业甚至整个行业都非常缺乏在数据安全领域有丰富经验的专家来帮助企业设计、规划、落地和运营整个数据安全。

3、数据分类分级耗时耗力

数据分类分级策略落地和持续维护成本高,部分企业虽然已开展数据安全分类分级工作,利用具有行业、业务、安全等多方面经验的人员进行纯人工梳理,但传统的人工方式效率低、周期长,且无任何规范依据。

三. 解决方案

全知科技通过数据安全分级服务项目,整体梳理企业核心业务系统的数据资产,全面盘点数据资产并开展敏感度评估和分级管理,为后续企业建立覆盖数据全生命周期的安全管理和技术防护体系提供依据,从根本上完成数据安全精细化治理和持续运营的前置保障工作,全面提升企业数据整体的治理能力。

1、基础数据资产盘点

通过业务调研及技术探测,对企业的数据库进行全面扫描,并形成表级/字段级的数据资产底账,数据分级工作将基于此资产底账展开。

2、数据分类分级框架制定

以国家和行业数据分类分级标准规范为基础指导,结合企业业务数据现状,设计和规划整体数据分类分级的框架和原则。

3、数据分类分级落地

基于企业真实数据资产现状,不断通过探索发现、质量优化、模版拓展、策略沉淀四个步骤不断迭代演化,最终形成企业数据资产的分类分级。

4、数据分级动态运营

通过定期服务发现、定期DB扫描、重要数据识别、数据安全级别复核、打标策略更新维护等运营手段,持续进行数据分级动态运营。

四. 方案特色

☑自动化扫描构建基础数据资产:灵活的数据扫描模式,能够适合不同的业务应用场景;支持多种主流的数据库类型,并可快速水平灵活扩展。

☑内置丰富的行业模版:在国家和行业规范标准的基础上,通过多年的实际分类分级业务沉淀,内置构建了适合各个行业的基础分类分级模版,并可根据企业实际的业务需要快速动态调整,以构建适合企业的数据分类分级模版。

☑多样的数据打标策略:

  • 内置上百个常见的敏感数据标签策略,针对数据资产进行自动化打标;

  • 灵活的自定义打标策略,支持对多种字段分级标签的识别模式定制,包括:预定义、正则匹配、内容匹配、混合匹配等多种复杂分级策略;

  • 通过机器学习快速生成识别模型,标签可通过识别模型快速识别并打标,提高打标分级的打标率与准确率。

☑可视化的数据资产清单:通过对接多种数据库的库表字段结构、数据样例、数据注释等信息,开展数据资产的盘点,并进行相应的数据统计分析,形成多维数据数据资产目录,实现对业务数据的可视化的呈现,为企业后续数据治理提供安全高质的数据清单。

五. 方案价值

01数据资产清查

能够帮助企业对数据资产进行全面的清查和摸排,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。

02满足合规要求

对标《数据安全法》、《金融数据安全分级指南》、《工业数据分类分级指南》,《基础电信企业数据分类分级方法》等法律法规,帮助企业满足合规的需要,既能够应对国家层面的法律法规,亦能满足行业法规的要求。

03数据安全治理

夯实企业数据安全建设基础,为敏感数据的精细化管控提供技术抓手;数据资产化能使企业从安全分级角度明确数据整体态势,利用数据分类分级的结果指导数据安全策略的部署与实施,实行数据安全治理。

04降低安全成本

持续化分级运营服务,能够降低企业安全成本投入,为企业提供专业、快速的数据分级技术支撑。

六.成功案例

▎某银行实施案例

需求背景:在某股份制商业银行中,数据安全分类分级作为数据安全的重要一环,需要帮助该银行实现数据安全风险监测。

应用实践:全知科技通过数据安全分级服务项目,整体梳理了该银行核心业务系统的数据资产,全面盘点数据资产并开展敏感度评估和分级管理,为后续建立覆盖数据全生命周期的安全管理和技术防护体系提供了依据。从根本上完成数据安全精细化治理和持续运营的前置保证工作,提高了该银行数据整体的治理能力。

数据分类分级的意义不仅在于对数据进行分类分级,更在于对分类分级后的数据如何进行精细化安全管控。全知科技数据分类分级方案更是具备上下游系统结合的能力,让企业进行全面数据资产清查,帮助企业持续化分级运营,进一步推动企业数据安全治理落地。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
全知科技
未填写
  • 作者发布文章1
  • 作者收获粉丝5
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第30
  • 博客总访问量262(每日更新)
查看所有博文