这是一场与“大”时代威胁的较量，信息化的不断演进中，对数据安全的担忧不会停止。

 

最近奥运会大热，作为全球最受关注的赛事，东京奥运会也遭到了网络安全的挑战，据安全圈（ID:ChinaAnQuan）发文称，东京奥运会出现148个钓鱼网站，导致门票购买者及志愿者信息泄露，加上此前滴滴打车非法采集个人信息数据、“运满满”、“货车帮”、“BOSS直聘”等相继接受网络安全审查，数据安全俨然已从个人、企业上升到国家安全，受到了不同层面的关注。

 

今年的6月10日，《中华人民共和国数据安全法》（简称：数据安全法）正式发布，并将于2021年9月1日施行。企业的数据安全保护该从何做起？第一步要弄清楚数据在哪里，这就涉及到数据的分类分级。

 

《数据安全法》指出“国家建立数据分类分级保护制度”，“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护”。数据的分类分级已成为企业数据安全治理的必选题。

 

如何理解数据分级分类

 

数据的分类分级可以从以下几个方面来理解：

 

数据分级分类的原则：科学性、实用性、自主性。

 

数据标准化：是对数据的定义、组织、监督和保护进行标准化的过程。数据标准化可以厘清进行数据分类分级的管理范围。但一个企业的原始数据量之大，难以对每一条数据进行分级分类管理。因此数据分类分级管理的目标，只能是“有限可控”的数据标准项。

 

数据分类：把数据标准按照一定的规则和类目体系进行归类，抽取它们的某一属性的共性，形成不同属性主题的归类。

 

安全等级：一般根据数据的完整性、保密性、可用性遭到破坏、损失后的影响对象（国家安全、公众权益、个人隐私、企业合法权益）和影响程度划分等级。

 

数据安全的流程与步骤

 

企业数据安全定级总体来说是一个庞大的数据治理咨询工作，联软认为从流程上主要分为5个步骤，其中的难点为：

 

✔建立响应的组织架构与项目团队：组织架构为长期，项目团队为临时。

 

✔前期背景、环境、数据的调研：庞大的调研与收集工作，如由第三方落地将面临许多权限与协调问题（难点：数据形态多和分布广、自身保密性不同）。

 

✔数据梳理：对收集到的数据通过技术手段进行聚类分类，形成不同的业务数据类型，人工校对（难点：分类的准确性）。

 

✔数据定级：针对不同类型的业务数据进行安全数据影响评估及定级（难点：逐条数据定级不现实，只能对一类数据进行评估定级，依赖数据梳理的准确性）。

 

✔定级审核和管理流程制定：内部数据安全分级与管理制度的制定。

 

联软科技数据安全方案之“摸清家底”

 

数据安全建设是为了避免敏感数据的泄露。首先通过定义敏感数据的内容，借助技术手段进行有效管控，是数据安全建设的重点。以数据智能识别和发现为基础，通过授权控制、智能隔离、安全流转、审计追溯等手段，保护企业业务系统和终端上的业务数据，保证数据的高效传输、分享和交换。在“摸清家底”上，联软UniDLP数据防泄露系统利用更高效简单的方法帮助企业发现和识别数据。

 

✔数据调研梳理

 

任何管理动作和技术措施最终要保护的对象是信息本身，调硏梳理能够准确识别需要保护的对象。企业中各业务部门对自己所掌握的各类信息是最清楚的，需要用统一的方法论结合业务实际情况，才能完成对敏感信息的准确识别。

 

同时，UniDLP数据防泄露系统提供数据梳理服务，对企业典型数据进行调研，通过半自动化的梳理工具对数据进行分类分级，并对数据面临的风险进行评估，帮助企业制定数据治理方案。

 

✔敏感数据定义

 

UniDLP数据防泄露系统提供数据识别功能，支持对文档、源代码、图片等文件进行文件源格式识别，并基于关键字、正则表达式、数据标识符、智能聚类、文档相似度/唯一标记/流转记录/信息容量等方法对内容进行感知，实现对文档所属类别、级别的判定，以及数据血缘关系、分布地图、风险态势等分析。

 

数据分类分级是企业数据安全合规使用的基础，做好数据分级分类是保护重要资产的第一步，通过对敏感及重要数据的分类，降低企业数据泄露的风险，提升整体数据安全防护和运营能力。

 

参考文献：

1、地方标准DB 3301/T 0322.3—2020《数据资源管理：政务数据分类分级 》

2、《金融数据安全 数据安全分级指南》（JR/T 0197—2020）

3、安全圈公众号文《东京奥运会出现148个钓鱼网站 门票购票者及志愿者信息泄露》

4、新华社《为防范国家数据安全风险，对“运满满”“货车帮”“BOSS直聘”实施网络安全审查》