這是一場(chǎng)與“大”時(shí)代威脅的較量，信息化的不斷演進(jìn)中，對(duì)數(shù)據(jù)安全的擔(dān)憂不會(huì)停止。

最近奧運(yùn)會(huì)大熱，作為全球最受關(guān)注的賽事，東京奧運(yùn)會(huì)也遭到了網(wǎng)絡(luò)安全的挑戰(zhàn)，據(jù)安全圈（ID:ChinaAnQuan）發(fā)文稱，東京奧運(yùn)會(huì)出現(xiàn)148個(gè)釣魚(yú)網(wǎng)站，導(dǎo)致門(mén)票購(gòu)買者及志愿者信息泄露，加上此前滴滴打車非法采集個(gè)人信息數(shù)據(jù)、“運(yùn)滿滿”、“貨車幫”、“BOSS直聘”等相繼接受網(wǎng)絡(luò)安全審查，數(shù)據(jù)安全儼然已從個(gè)人、企業(yè)上升到國(guó)家安全，受到了不同層面的關(guān)注。

今年的6月10日，《中華人民共和國(guó)數(shù)據(jù)安全法》（簡(jiǎn)稱：數(shù)據(jù)安全法）正式發(fā)布，并將于2021年9月1日施行。企業(yè)的數(shù)據(jù)安全保護(hù)該從何做起？第一步要弄清楚數(shù)據(jù)在哪里，這就涉及到數(shù)據(jù)的分類分級(jí)。

《數(shù)據(jù)安全法》指出“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度”，“各地區(qū)、各部門(mén)應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)”。數(shù)據(jù)的分類分級(jí)已成為企業(yè)數(shù)據(jù)安全治理的必選題。

如何理解數(shù)據(jù)分級(jí)分類

數(shù)據(jù)的分類分級(jí)可以從以下幾個(gè)方面來(lái)理解：

數(shù)據(jù)分級(jí)分類的原則：科學(xué)性、實(shí)用性、自主性。

數(shù)據(jù)標(biāo)準(zhǔn)化：是對(duì)數(shù)據(jù)的定義、組織、監(jiān)督和保護(hù)進(jìn)行標(biāo)準(zhǔn)化的過(guò)程。數(shù)據(jù)標(biāo)準(zhǔn)化可以厘清進(jìn)行數(shù)據(jù)分類分級(jí)的管理范圍。但一個(gè)企業(yè)的原始數(shù)據(jù)量之大，難以對(duì)每一條數(shù)據(jù)進(jìn)行分級(jí)分類管理。因此數(shù)據(jù)分類分級(jí)管理的目標(biāo)，只能是“有限可控”的數(shù)據(jù)標(biāo)準(zhǔn)項(xiàng)。

數(shù)據(jù)分類：把數(shù)據(jù)標(biāo)準(zhǔn)按照一定的規(guī)則和類目體系進(jìn)行歸類，抽取它們的某一屬性的共性，形成不同屬性主題的歸類。

安全等級(jí)：一般根據(jù)數(shù)據(jù)的完整性、保密性、可用性遭到破壞、損失后的影響對(duì)象（國(guó)家安全、公眾權(quán)益、個(gè)人隱私、企業(yè)合法權(quán)益）和影響程度劃分等級(jí)。

數(shù)據(jù)安全的流程與步驟

企業(yè)數(shù)據(jù)安全定級(jí)總體來(lái)說(shuō)是一個(gè)龐大的數(shù)據(jù)治理咨詢工作，聯(lián)軟認(rèn)為從流程上主要分為5個(gè)步驟，其中的難點(diǎn)為：

?建立響應(yīng)的組織架構(gòu)與項(xiàng)目團(tuán)隊(duì)：組織架構(gòu)為長(zhǎng)期，項(xiàng)目團(tuán)隊(duì)為臨時(shí)。

?前期背景、環(huán)境、數(shù)據(jù)的調(diào)研：龐大的調(diào)研與收集工作，如由第三方落地將面臨許多權(quán)限與協(xié)調(diào)問(wèn)題（難點(diǎn)：數(shù)據(jù)形態(tài)多和分布廣、自身保密性不同）。

?數(shù)據(jù)梳理：對(duì)收集到的數(shù)據(jù)通過(guò)技術(shù)手段進(jìn)行聚類分類，形成不同的業(yè)務(wù)數(shù)據(jù)類型，人工校對(duì)（難點(diǎn)：分類的準(zhǔn)確性）。

?數(shù)據(jù)定級(jí)：針對(duì)不同類型的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全數(shù)據(jù)影響評(píng)估及定級(jí)（難點(diǎn)：逐條數(shù)據(jù)定級(jí)不現(xiàn)實(shí)，只能對(duì)一類數(shù)據(jù)進(jìn)行評(píng)估定級(jí)，依賴數(shù)據(jù)梳理的準(zhǔn)確性）。

?定級(jí)審核和管理流程制定：內(nèi)部數(shù)據(jù)安全分級(jí)與管理制度的制定。

聯(lián)軟科技數(shù)據(jù)安全方案之“摸清家底”

數(shù)據(jù)安全建設(shè)是為了避免敏感數(shù)據(jù)的泄露。首先通過(guò)定義敏感數(shù)據(jù)的內(nèi)容，借助技術(shù)手段進(jìn)行有效管控，是數(shù)據(jù)安全建設(shè)的重點(diǎn)。以數(shù)據(jù)智能識(shí)別和發(fā)現(xiàn)為基礎(chǔ)，通過(guò)授權(quán)控制、智能隔離、安全流轉(zhuǎn)、審計(jì)追溯等手段，保護(hù)企業(yè)業(yè)務(wù)系統(tǒng)和終端上的業(yè)務(wù)數(shù)據(jù)，保證數(shù)據(jù)的高效傳輸、分享和交換。在“摸清家底”上，聯(lián)軟UniDLP數(shù)據(jù)防泄露系統(tǒng)利用更高效簡(jiǎn)單的方法幫助企業(yè)發(fā)現(xiàn)和識(shí)別數(shù)據(jù)。

?數(shù)據(jù)調(diào)研梳理

任何管理動(dòng)作和技術(shù)措施最終要保護(hù)的對(duì)象是信息本身，調(diào)硏梳理能夠準(zhǔn)確識(shí)別需要保護(hù)的對(duì)象。企業(yè)中各業(yè)務(wù)部門(mén)對(duì)自己所掌握的各類信息是最清楚的，需要用統(tǒng)一的方法論結(jié)合業(yè)務(wù)實(shí)際情況，才能完成對(duì)敏感信息的準(zhǔn)確識(shí)別。

同時(shí)，UniDLP數(shù)據(jù)防泄露系統(tǒng)提供數(shù)據(jù)梳理服務(wù)，對(duì)企業(yè)典型數(shù)據(jù)進(jìn)行調(diào)研，通過(guò)半自動(dòng)化的梳理工具對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，并對(duì)數(shù)據(jù)面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估，幫助企業(yè)制定數(shù)據(jù)治理方案。

?敏感數(shù)據(jù)定義

UniDLP數(shù)據(jù)防泄露系統(tǒng)提供數(shù)據(jù)識(shí)別功能，支持對(duì)文檔、源代碼、圖片等文件進(jìn)行文件源格式識(shí)別，并基于關(guān)鍵字、正則表達(dá)式、數(shù)據(jù)標(biāo)識(shí)符、智能聚類、文檔相似度/唯一標(biāo)記/流轉(zhuǎn)記錄/信息容量等方法對(duì)內(nèi)容進(jìn)行感知，實(shí)現(xiàn)對(duì)文檔所屬類別、級(jí)別的判定，以及數(shù)據(jù)血緣關(guān)系、分布地圖、風(fēng)險(xiǎn)態(tài)勢(shì)等分析。

數(shù)據(jù)分類分級(jí)是企業(yè)數(shù)據(jù)安全合規(guī)使用的基礎(chǔ)，做好數(shù)據(jù)分級(jí)分類是保護(hù)重要資產(chǎn)的第一步，通過(guò)對(duì)敏感及重要數(shù)據(jù)的分類，降低企業(yè)數(shù)據(jù)泄露的風(fēng)險(xiǎn)，提升整體數(shù)據(jù)安全防護(hù)和運(yùn)營(yíng)能力。

參考文獻(xiàn)：

1、地方標(biāo)準(zhǔn)DB 3301/T 0322.3—2020《數(shù)據(jù)資源管理：政務(wù)數(shù)據(jù)分類分級(jí) 》

2、《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》（JR/T 0197—2020）

3、安全圈公眾號(hào)文《東京奧運(yùn)會(huì)出現(xiàn)148個(gè)釣魚(yú)網(wǎng)站 門(mén)票購(gòu)票者及志愿者信息泄露》

4、新華社《為防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)，對(duì)“運(yùn)滿滿”“貨車幫”“BOSS直聘”實(shí)施網(wǎng)絡(luò)安全審查》