數據安全分類分級需求下的解決方案

數據分級分類需求下的解決方案

一. 市場背景

隨著大數據技術和產業的發展壯大，數據作為新型生產要素被廣泛的應用于生產、生活；在此背景下，數據的價值得到了持續的開發和利用，其安全重要性不言而喻。為了更好地促進數據利用和保護的平衡發展，國家監管層針對“數據安全”提出了更明確、更嚴格的要求。

? 國家層面：2021年9月1日，《數據安全法》正式施行；該法第二十一條明確提出了數據分級分類要求——“建立數據分類分級保護制度，對數據實行分類分級保護；并基于數據分類分級確定重要數據目錄和國家核心數據，進行重點保護”。

? 行業層面：在金融行業、政府行業等信息化程度高的行業，都相繼出臺了各種涉及“數據分級分類”的行業標準，如《金融數據安全數據分級指南》、《政務數據 數據分類分級指南》等，并紛紛啟動數據安全項目建設來配合國家數據安全監管，尤其金融行業及政府行業的安全建設對其他企業的數據安全工作有著示范性作用。

數據安全建設已經成為企業風險管理工作的重中之重。因數據治理體系龐大，需分階段建立健全數據安全分級、數據生命周期安全防護和數據安全管理體系，保障企業數據治理逐步合規、安全。其中，資產梳理和數據安全分級是數據安全建設工作的首要任務。

二.需求挑戰

由于企業內部存在業務迭代快、環節鏈條多、數據行為復雜等實際問題，企業在落實數據安全分類分級的時候，往往覺得無從下手。

1、數據資產黑盒化

大部分企業對數據資產的管理方式五花八門，數據定義混亂，導致數據分散成信息孤島，而過期失效的數據又占用了大量的資源，企業無法統一、有效地管理分散在各業務的數據，形成全面的數據資產清單。同時，企業對于敏感數據分布的位置、量級，業務數據關聯關系，數據暴露情況等情況了解得不夠清晰全面，這無疑又增加了數據泄露的風險。

2、數據資產梳理落地困難

數據安全治理的框架制定需要結合國家和行業要求規范，由于缺乏經驗，企業即使在認識到數據安全治理的重要性之后，仍會因為現實困境難以找到破局之路；此外，企業甚至整個行業都非常缺乏在數據安全領域有豐富經驗的專家來幫助企業設計、規劃、落地和運營整個數據安全。

3、數據分類分級耗時耗力

數據分類分級策略落地和持續維護成本高，部分企業雖然已開展數據安全分類分級工作，利用具有行業、業務、安全等多方面經驗的人員進行純人工梳理，但傳統的人工方式效率低、周期長，且無任何規范依據。

三. 解決方案

全知科技通過數據安全分級服務項目，整體梳理企業核心業務系統的數據資產，全面盤點數據資產并開展敏感度評估和分級管理，為后續企業建立覆蓋數據全生命周期的安全管理和技術防護體系提供依據，從根本上完成數據安全精細化治理和持續運營的前置保障工作，全面提升企業數據整體的治理能力。

1、基礎數據資產盤點

通過業務調研及技術探測，對企業的數據庫進行全面掃描，并形成表級/字段級的數據資產底賬，數據分級工作將基于此資產底賬展開。

2、數據分類分級框架制定

以國家和行業數據分類分級標準規范為基礎指導，結合企業業務數據現狀，設計和規劃整體數據分類分級的框架和原則。

3、數據分類分級落地

基于企業真實數據資產現狀，不斷通過探索發現、質量優化、模版拓展、策略沉淀四個步驟不斷迭代演化，最終形成企業數據資產的分類分級。

4、數據分級動態運營

通過定期服務發現、定期DB掃描、重要數據識別、數據安全級別復核、打標策略更新維護等運營手段，持續進行數據分級動態運營。

四. 方案特色

?自動化掃描構建基礎數據資產：靈活的數據掃描模式，能夠適合不同的業務應用場景；支持多種主流的數據庫類型，并可快速水平靈活擴展。

?內置豐富的行業模版：在國家和行業規范標準的基礎上，通過多年的實際分類分級業務沉淀，內置構建了適合各個行業的基礎分類分級模版，并可根據企業實際的業務需要快速動態調整，以構建適合企業的數據分類分級模版。

?多樣的數據打標策略：

• 內置上百個常見的敏感數據標簽策略，針對數據資產進行自動化打標；

• 靈活的自定義打標策略，支持對多種字段分級標簽的識別模式定制，包括：預定義、正則匹配、內容匹配、混合匹配等多種復雜分級策略；

• 通過機器學習快速生成識別模型，標簽可通過識別模型快速識別并打標，提高打標分級的打標率與準確率。

?可視化的數據資產清單：通過對接多種數據庫的庫表字段結構、數據樣例、數據注釋等信息，開展數據資產的盤點，并進行相應的數據統計分析，形成多維數據數據資產目錄，實現對業務數據的可視化的呈現，為企業后續數據治理提供安全高質的數據清單。

五. 方案價值

01數據資產清查

能夠幫助企業對數據資產進行全面的清查和摸排，了解敏感數據分布、類型、量級，做到心中有數，以此構建企業級的數據資產目錄，為之后企業數據資產管理和數據安全體系建設打好基礎。

02滿足合規要求

對標《數據安全法》、《金融數據安全分級指南》、《工業數據分類分級指南》，《基礎電信企業數據分類分級方法》等法律法規，幫助企業滿足合規的需要，既能夠應對國家層面的法律法規，亦能滿足行業法規的要求。

03數據安全治理

夯實企業數據安全建設基礎，為敏感數據的精細化管控提供技術抓手；數據資產化能使企業從安全分級角度明確數據整體態勢，利用數據分類分級的結果指導數據安全策略的部署與實施，實行數據安全治理。

04降低安全成本

持續化分級運營服務，能夠降低企業安全成本投入，為企業提供專業、快速的數據分級技術支撐。

六.成功案例

▎某銀行實施案例

需求背景：在某股份制商業銀行中，數據安全分類分級作為數據安全的重要一環，需要幫助該銀行實現數據安全風險監測。

應用實踐：全知科技通過數據安全分級服務項目，整體梳理了該銀行核心業務系統的數據資產，全面盤點數據資產并開展敏感度評估和分級管理，為后續建立覆蓋數據全生命周期的安全管理和技術防護體系提供了依據。從根本上完成數據安全精細化治理和持續運營的前置保證工作，提高了該銀行數據整體的治理能力。

數據分類分級的意義不僅在于對數據進行分類分級，更在于對分類分級后的數據如何進行精細化安全管控。全知科技數據分類分級方案更是具備上下游系統結合的能力，讓企業進行全面數據資產清查，幫助企業持續化分級運營，進一步推動企業數據安全治理落地。