新闻动态> 技术派+ | 一文读懂数据安全分类分级

技术派+ | 一文读懂数据安全分类分级

数澜科技2022-05-23 数澜科技数澜科技 数澜科技数字化,数据中台

数澜科技开设全新栏目「技术派+」,聚焦前沿技术,洞悉行业风向,分享来自一线的研发经验与应用实践。

本期专栏由数澜科技研发工程师小倩带来,详解数据安全分类分级。

当前,我国数据安全基础产业仍处于起步和探索阶段。据《中国大数据发展报告》显示,我国在数字创新、数字经济、数字治理、数字服务等方面位居前列,而数据安全略微落后。

随着“十四五”规划推行,数据要素概念与意识全面铺开,国家、政府机构、企业数据安全意识愈发强烈。2021年9月1号,《数据安全法》正式生效,数据资产安全进入“有法可依”时代。

如何基于数据安全五大原则(数据隔离、风险识别、数据生命周期保护、维持合规、事件响应),构建安全领域“三道防线”(技术防线、管理防线、法律防线),是国家、政府机构、企业的关注重点。而数据分类分级是数据安全的必由之路,也是让数据真正用起来的首要前提。

一、数据分类分级管理概述

大数据时代,数据呈现多源异构的特点,价值各不相同,企业应根据数据的重要性、价值指数等方面予以区分,便于采取不同的数据保护措施,防止数据泄露。因此,数据分类分级管理是数据安全保护中的重要环节之一。

1.数据分类

数据分类是指根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。

数据分类是数据保护工作中的关键部分之一,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。

2.数据分级

数据分级是指按照公共数据遭到破坏(包括攻击、泄露、篡改、非法使用等)后对受侵害各体合法权益(国家安全、社会秩序、公共利益以及公民、法人和其他组织)的危害程度,对公共数据进行定级,为数据全生命周期管理进行的安全策略制定。

二、数据分类分级原则

数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:

1.合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。

2.分类多维原则:数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。

3.分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。

4.就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。

5.动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。

 三、常见数据分类分级标准

1.数据分类分级框架

数澜科技2.分类标准

数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。常见的数据分类维度,包括但不限于:

  • 公民个人维度:将数据分为个人信息、非个人信息。

  • 公共管理维度:将数据分为公共数据、社会数据。

  • 信息传播维度:将数据分为公共传播信息、非公共传播信息。

  • 行业领域维度:将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等。

  • 组织经营维度:将数据分为用户数据、业务数据、经营管理数据、系统运行和安全数据。

3.分级标准

从国家数据安全角度出发,数据分级基本框架分为一般数据、重要数据、核心数据三个级别。数据处理者可在基本框架定级的基础上,结合行业数据分类分级规则或组织生产经营需求,考虑影响对象、影响程度两个要素进行分级。各级别与影响对象、影响程度对应关系如下表所示:

数澜科技 

下面列举了几种行业分级标准,影响程度从低到高:

  • 政府数据:公开、内部、涉密。

  • 金融数据:1级、2级、3级、4级、5级。

  • 证券期货数据:低、中、高、超高。

四、应用实践举例

数栖平台对数据分类分级的规划实现架构:

数栖平台以“高密低访”为基本原则,即高密的数据不能被低密的用户访问,高密的用户可以访问低密的数据。通过权限控制与数据脱敏相结合,可以完成更加精细化的数据安全管控场景。

数澜科技

类别管理:对于数据分类下的数据,可以针对不同的人设置不同的数据脱敏方式,达到相同数据展现给每个人不同的结果。在数据没有设置级别时,也可以通过分类达到访问控制的效果。

级别管理:通过对数据、用户设置不同的级别,可以完成对用户访问权限的控制。当用户级别大于等于数据级别时,用户才可访问。

展示层:用于验证数据分类分级的安全管控效果。例如数据是否可访问、是否脱敏。

应用举例:

1.数据说明:

a) 级别定义

本案例采用三级模型:公开、秘密、机密。


b) 设置级别

为数据设置级别:

数澜科技为用户设置级别:

数澜科技c) 新建脱敏规则

数澜科技 

d) 员工保密数据类别设置脱敏策略

数澜科技

  • 关联数据:id_number

  • 脱敏对象:小B

  • 脱敏规则:身份证号码脱敏

数据总结如下:

数澜科技

2.场景分析:

在数栖平台安全管控下:

  • 小A只能访问id、name数据,当其访问id_number、salary时,会被拒绝访问;

  • 小B可以访问id、name、id_number、salary全部数据;但是当访问id_number时看到的是被脱敏后的数据,例如41111119961127xxxx。

总结:只有当用户级别大于等于数据级别时,才被允许访问。允许访问之后,如果有脱敏策略,会进行脱敏处理。

数澜科技

上一篇:直播回顾|浅谈数字化转型与数据治理

下一篇:技术派+ | 流批一体实时数仓建设路径探索

返回列表

从这里开始 让数据用起来
联系我们