網絡數據分類分級將迎國標，落地技術解析與實踐

近日，全國信息安全標準化技術委員會歸口的國家標準《信息安全技術 網絡數據分類分級要求》征求意見稿發布，給出了數據分類分級基本原則、數據分類方法、數據分級框架和數據定級方法等。適用于行業領域主管（監管）部門參考制定本行業本領域的數據分類分級標準規范，也適用于各地方、各部門開展本地區、本部門的數據分類分級工作，同時還可為數據處理者進行數據分類分級提供參考。

01 數據分類框架

標準中提到，數據按照先行業領域分類、再業務屬性分類的思路進行分類。按照業務所屬行業領域，將數據分為工業數據、電信數據、金融數據、能源數據、交通運輸數據、自然資源數據、衛生健康數據、教育數據、科學數據等行業領域數據。

各行業各領域主管（監管）部門根據本行業本領域業務屬性，對行業領域數據進行細化分類。常見業務屬性包括但不限于：業務領域、責任部門、描述對象、上下游環節、數據主體、數據用途、 數據處理、數據來源。

同時，如涉及法律法規有專門管理要求的數據類別（如個人信息），應按照有關規定或標準對個人信息、敏感個人信息進行識別和分類。

02 數據分級框架

標準中提到，數據按照先行業領域分類、再業務屬性分類的思路進行分類。按照業務所屬行業領域，將數據分為工業數據、電信數據、金融數據、能源數據、交通運輸數據、自然資源數據、衛生健康數據、教育數據、科學數據等行業領域數據。

各行業各領域主管（監管）部門根據本行業本領域業務屬性，對行業領域數據進行細化分類。常見業務屬性包括但不限于：業務領域、責任部門、描述對象、上下游環節、數據主體、數據用途、 數據處理、數據來源。

同時，如涉及法律法規有專門管理要求的數據類別（如個人信息），應按照有關規定或標準對個人信息、敏感個人信息進行識別和分類。

根據數據在經濟社會發展中的重要程度，以及一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，將數據從高到低分為核心、重要、一般三個級別。各行業各領域應在遵循數據分級框架的基礎上，明確本行業本領域數據分級規則，并對行業領域數據進行定級。

●核心數據一旦被泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能直接危害政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益。

●重要數據一旦被泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。

●一般數據一旦被泄露、篡改、破壞或者非法獲取、非法利用、非法共享，僅影響小范圍的組織或公民個體合法權益。

影響數據分級的要素，包括數據領域、群體、區域、精度、規模、深度、覆蓋度、重要性、安全風險等，其中領域、群體、區域、重要性、安全風險通常屬于定性要素，精度、規模、覆蓋度屬于定量要素，深度通常作為衍生數據的分級要素。

03 數據分類分級實施流程

數據分類分級可參考下圖所示流程實施。

主要步驟包括：

數據資產梳理：對數據資產進行全面梳理，包括以物理或電子形式記錄的數據庫表、數據項、數據文件等結構化和非結構化數據資產，明確數據資產基本信息和相關方，形成數據資產清單。

數據分類：按照數據分類分級有關要求，建立自身的數據分類規則，對數據進行分類，同時對個人信息、敏感個人信息進行識別和分類。

數據分級：按照數據分類分級有關要求，建立自身的數據分級規則，并對數據進行分級。由于一般數據涵蓋范圍較廣，數據處理者可結合組織自身需求，對一般數據進行細化分級。

審核上報目錄：對數據分類分級結果進行審核和完善，最后批準發布實施，對數據進行分類分級標識，形成數據分類分級清單和重要數據、核心數據目錄，按有關程序報送重要數據和核心數據目錄等。

動態更新管理：根據數據重要程度和可能造成的危害程度變化，對數據分類分級規則、重要數據和核心數據目錄、數據分類分級清單和標識等進行動態更新管理。

04 數據分類分級的技術落地

如前所述，數據分類分級其實是將雜亂無序的數據梳理歸納形成直觀可視的數據臺賬的過程，標準明確了方式方法與流程，在實施上如果僅依靠人工手動進行分類分級，實則不具備可行性。企業在落地的過程中，需要選取或自研自動化的數據分類分級智能分析平臺或工具，通過對組織內全類型、多源頭數據資產進行探測分析，來幫助建立組織內敏感數據資產的全景視圖。

基于標準的要求規范和數據分類分級工作的實施難點，數安行依據長期的市場實踐經驗分析相關數據分類分級工具需要關注以下功能和特點：

全類型全格式數據識別模型

數據識別模型是實現高質量數據分類分級工作的保障，覆蓋的業務數據類型必須齊全，支持的數據識別格式要盡可能豐富，分類分級的粒度要足夠細致，包括結構化、非結構化信息中的敏感數據識別，包括商業數據、政務數據及個人隱私數據。這考驗的是對各行業業務的深度理解和專家經驗的沉淀。好用、易用的數據識別模型應該是全面且開箱即用的，企業可以快速定義符合自己數據業務場景的敏感數據合規及防護策略。

運用小數據機器學習識別標注特有業務數據

除了通用數據，企業數據分類分級工作的難點之一在于對自身特有的業務數據進行梳理，可能缺乏既有的數據識別模型。許多運用人工智能技術的智能分析工具要求企業提供大量的數據樣本進行自學習，但這在操作上對用戶要求過高，針對特殊數據只有極少數情況下有足夠的數據量。因此，支持基于少量數據樣本的小數據機器學習技術具有更實際的可落地性，不需要投喂大量樣本，即可動態生成敏感數據智能識別模型，并對樣本進行管理及持續樣本規則學習，實現特有業務數據的精細分類標注。

動態數據內容深度解析和流轉跟蹤

企業數據資產在組織內并非一直保持靜態存儲狀態，在整個采集、交換、使用、銷毀等的過程中，我們需要對多形態、多副本的數據內容進行深度解析和流轉跟蹤標注，以完整支持動態的數據分類分級。一是對于增量數據的持續性分類分級，需要持續梳理新產生變化的部分。二是即使對于同樣一份數據，在其流轉過程中，也會經歷其復雜的生命周期，在加密壓縮、格式轉化、隱寫變形等操作下，從靜態的視角將無法識別其中內容，導致數據流轉的失控并引發風險威脅。因此需要對各種格式壓縮包進行多層嵌套識別，支持加密文件識別，支持不同編碼格式，支持基于文件指紋、文件DNA等文件生物特征檢測，支持隱寫數據、加密數據等包含敏感信息的不可解析數據識別標注，以保證敏感數據全鏈路智能聚合及溯源。

數據分類分級是合規剛需，隨著日后國標正式出臺實施，各行業領域主管部門將參考制定本行業本領域的數據分類分級標準規范。同時需要明確，開展數據分類分級保護工作時，首先需要對數據進行分類和分級，然后對不同類別不同級別的數據建立相應的全流程數據安全保護措施。因此，數據分類分級很難成為獨立的項目，更多是作為數據風險檢測、數據安全保護的一個環節、模塊，在數據安全策略和一體化建設上發揮效能，企業需要正確認識其綜合價值和必要性，適時建立自動化、智能化能力或選擇相關方案來支撐數據分類分級工作，在保護個人隱私和確保數據安全的前提下分步有序推動數據流通應用。

本文作者：郭靈

本文鏈接：https://www.secrss.com/articles/47151