天天看點
傳回

資料安全技術落地經驗淺談和分類分級實施

資料安全技術落地經驗淺談和分類分級實施

數字化經濟下企業做資料化轉型進行資料開發利用往往是先将原來分散各部門各業務系統的資料(業務資料如網際網路使用者資料、企業内部資料如人力資源系統、研發生産資料如核心技術或專利等)集中到大資料倉庫中,這個集中化數倉安全重要性就非常凸顯了,原來如果某個部門業務系統資料發生篡改、破壞、洩露、非法擷取、非法利用的安全事件影響的隻是局部而現在則是整個企業資料資産層面,可見資料安全已經明确上升到國家安全、整個企業、組織或機構安全的最高層級。随着即将到來個人資訊保護法2021年11月1日開始正式執行,至此中國已集齊了《網絡安全法》、《資料安全法》、《個人資訊保護法》三大安全法律頂層設計并進入全方位實施階段,三大法律并不是各自獨立而是互相結合、相輔相成的,共同構成了中國資料安全的法律保障體系,成為推動我國數字經濟持續健康發展的堅實“防火牆”,這也标志着資料安全法制時代正式來臨;是以在數字化經濟發展時代的企業、組織或機構需要改變傳統的“重生産,輕安全”的思維模式,特别是經常踩着資料應用紅燈線營運的企業就更加要注意了。

從法律說起

**本人部落格網站 **IT小神 www.itxiaoshen.com

數字化經濟下企業做資料化轉型進行資料開發利用往往是先将原來分散各部門各業務系統的資料(業務資料如網際網路使用者資料、企業内部資料如人力資源系統、研發生産資料如核心技術或專利等)集中到大資料倉庫中,這個集中化數倉安全重要性就非常凸顯了,原來如果某個部門業務系統資料發生篡改、破壞、洩露、非法擷取、非法利用的安全事件影響的隻是局部而現在則是整個企業資料資産層面,可見資料安全已經明确上升到國家安全、整個企業、組織或機構安全的最高層級。

随着即将到來個人資訊保護法2021年11月1日開始正式執行,至此中國已集齊了《網絡安全法》、《資料安全法》、《個人資訊保護法》三大安全法律頂層設計并進入全方位實施階段,三大法律并不是各自獨立而是互相結合、相輔相成的,共同構成了中國資料安全的法律保障體系,成為推動我國數字經濟持續健康發展的堅實“防火牆”,這也标志着資料安全法制時代正式來臨;是以在數字化經濟發展時代的企業、組織或機構需要改變傳統的“重生産,輕安全”的思維模式,特别是經常踩着資料應用紅燈線營運的企業就更加要注意了。

越來越多的律師事務所加大力度積極投身于資料安全律法,研究企業資料安全營運合規性,如果您的企業有專門的法務部門,那恭喜您了,法務部門能夠深度結合法律頂層設計來逐漸剖析并在合規合法的條件協助企業内部各部門進行資料開發利用;然而大多數的企業甚至是從事資料安全産品或服務的企業沒有這樣内部資源,國内從事資料安全方向的企業也大都是中小型企業偏多具有一定安全技術背景,不少也參與國家、地方、行業安全治理标準的建構。資料安全不是一朝一夕、一蹴而就完成的工作,而且需要長期動态長效性營運。從資料安全法第二章節也可以看出國家統籌資料安全和發展的決心,資料作為生産基本要素是必須要開發利用的,但國家也會有條不紊的推進資料安全律法的執行,當然律法初期執行階段會有一些相對緩和的處罰,目的保障資料安全的條件下發展資料經濟。

看資料安全行業布局

一般有資料安全的需求初期項目建設管道包括資料安全咨詢服務企業如四大咨詢等、企業級安全大廠如奇安信等、資料安全治理和資料治理的專業企業等,但筆者認為還有不能忽視另外團體,那就是從事資料安全法律師,有監管則必有處罰,有處罰則必有輕重,這也會使從事資料安全案件的律師行業發展,是以筆者認為從事資料安全企業如能和律師行業聯合是如虎添翼,即可以得到法律深層解讀又可以接觸更多有資料安全業務需求的客戶,接下來我們基于《資料安全法》來分析探讨下幾個目前從事資料安全企業的行業布局方向

  • 根據第一章第四條:維護資料安全,應當堅持總體國家安全觀,建立健全資料安全治理體系,提高資料安全保障能力;第一章第十一條:國家積極開展資料安全治理、資料開發利用等領域的國際交流與合作,參與資料安全相關國際規則和标準的制定,促進資料跨境安全、自由流動。
    • 從以上兩條可以看出不管是資料境内或者境外開發利用,國家肯定資料安全治理全局的發展方向,資料安全需要在資料全生命周期的整體上動态的治理,關注基于企業業務場景化的資料安全,包含資料安全組織架構、資料安全管理體系、資料安全技術體系、資料安全營運體系,是以從這個方向上資料安全治理企業依賴資料安全治理專業理論架構為基礎,深入研究資料安全理論、DSG、外國資料安全理論及律法、标準,系統性全盤統籌資料安全,腳踏實地,包括進一步細化企業的資料安全咨詢服務、資料安全實施服務、資料安全技術産品、資料安全營運服務,目前看國内有不少資料安全治理專業公司(筆者在之前文章已有提到國内資料安全治理公司名單)已經在這個方向有所深入了,當然資料安全治理是可以獨立分開,沒有做标準的資料治理前提下先做資料安全治理是可以的。
  • 根據第一章第六條:各地區、各部門對本地區、本部門工作中收集和産生的資料及資料安全負責。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域資料安全監管職責。公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍内承擔資料安全監管職責。國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡資料安全和相關監管工作。
    • 從本條可以看到不管是國家機關、組織機構、各行業企業進行資料開發利用都是有監管要求,這裡着重點是監管要求,這種強制性和及時性要求促使從事資料安全企業布局方向側重點之一是滿足各行業監管的要求,根據各行業已釋出或者即将釋出的逐漸細化的資料安全考核評分标準或細則建構資料安全實施服務,根據每一階段考核逐漸實施,如目前政務資料資料安全試行階段,各市、縣、區政府大資料局需要接受省政府大資料局的監管要求,可能需要提供如資料安全管理制度、資料安全分類分級工作結果、資料安全自查報告等佐證材料,根據每項分數計入考核結果。目前階段也可以看出部分行業還沒有比較細的考核要求,通過試行階段收集資料安全工作開展較好的案例用于後續資料安全建設指南,筆者相信随着頂層法律執行後,随着快速而來将會有更多地方和各行各業進一步細化的法律條款和标準,資料安全工作将從萌芽期快速進入發展期階段,是以基于監管要求業務的資料安全企業戰略方向部署得快馬加鞭;部署資料安全合規性檢查的流程引擎,資料安全合規性可以支援資料安全責任明确、靈活定制資料安全制度等審批流程、RABA資料權限最小粒度化、資料安全審計等功能。
  • 根據第一章第九條:國家支援開展資料安全知識宣傳普及,提高全社會的資料安全保護意識和水準,推動有關部門、行業組織、科研機構、企業、個人等共同參與資料安全保護工作,形成全社會共同維護資料安全和促進發展的良好環境。第二章第二十條:國家支援教育、科研機構和企業等開展資料開發利用技術和資料安全相關教育和教育訓練,采取多種方式培養資料開發利用技術和資料安全專業人才,促進人才交流。
    • 從以上兩條可以看到國家在抓緊資料安全知識和意識傳達,從這個基準點看可以布局于企業級資料安全教育訓練機構方向,包含教育訓練和資料安全管理人員專業證書認定,包含教育訓練資料安全意識、資料安全法律、資料安全理論知識、資料安全管理總則、制度、規範流程建設指南、模闆表單、資料科學、資料分析和資料挖掘、資料安全專業人員知識等。如果你的企業現在還沒有資料安全的意識,那麼得抓緊了,在目前資訊化社會意識先行如行軍打仗糧草先行的重要性,隻有意識先跟上了資料安全落地實施也就不遠了。
  • 根據第二章第十六條:國家支援資料開發利用和資料安全技術研究,鼓勵資料開發利用和資料安全等領域的技術推廣和商業創新,培育、發展資料開發利用和資料安全産品、産業體系。
    • 從本條看國家大力提供資料安全技術研究和創新,比如目前有些資料安全技術研究企業研究零信任體系、可信計算、聯邦學習隐私計算、區塊鍊、IPFS資料安全技術應用等,不斷探讨資料安全應用的技術落地的能性,資料安全治理是長期賽道,筆者也深度認為隻有在資料安全有專業性、研究性、真正投入付出、掌握核心資料安全技術的企業才能屹立不倒笑到最後。
  • 根據第二章第十八條:國家促進資料安全檢測評估、認證等服務的發展,支援資料安全檢測評估、認證等專業機構依法開展服務活動。國家支援有關部門、行業組織、企業、教育和科研機構、有關專業機構等在資料安全風險評估、防範、處置等方面開展協作。
    • 從本條看國家号召專業機建構設資料安全檢測評估、認證服務體系,也即是可以布局資料安全檢測技術産品或服務方向以及資料安全資質認證評估機構,資料安全檢測包括提供基于不同國家機關、行業的資料安全檢測可視化資料安全态勢感覺和發現資料安全問題;資料安全資質認證評估如DSMM資料安全能力成熟度模型乃至國外能力成熟度模型等級認證,有效期後重新評估企業安全等級,特别是從事資料安全治理的企業最好能盡快資格認證,自身資料安全等級資質具備才能更好、更有信服力開展對外部企業的資料安全業務。
  • 根據第四章:第二十九條 開展資料處理活動應當加強風險監測,發現資料安全缺陷、漏洞等風險時,應當立即采取補救措施;發生資料安全事件時,應當立即采取處置措施,按照規定及時告知使用者并向有關主管部門報告。第四章第三十條:重要資料的處理者應當按照規定對其資料處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要資料的種類、數量,開展資料處理活動的情況,面臨的資料安全風險及其應對措施等
    • 從上面兩條以及第三章資料安全制度中也較多強調從國家層面的資料安全風險評估、監測預警、應急處置。資料安全治理是長期性、疊代性的工作,資料流轉是動态的,從這也可以看出資料安全治理營運工作必要性,基于資料安全營運服務的方向行業布局,專注于營運階段資料安全治理,提供資料安全監督檢查及評價能力、資料安全營運服務的管理體系能力、技術工具支撐能力、營運基礎能力教育訓練能力等;包括資料安全檢查制度、資料安全自查報告、資料安全風險評估預測系統,資料安全問題或事件發生實時監測及預警系統、提前建立相應資料安全事件及問題應急處置流程和處理實施,基于資料安全問題或事件發生後智能化啟動應急處置。
  • 第三章整篇幅都是資料安全制度,詳細可檢視資料安全法
    • 從整個第三篇中可以看出目前階段行業布局資料安全咨詢服務的緊迫性,絕大部分企業組織是沒有資料安全治理基礎理論,資料安全來臨但不知道從哪裡入手做到哪裡。而資料安全咨詢服務可以以咨詢專家加教練身份進入企業,調研企業實際情況、分析企業資料安全現狀給企業提供資料安全綜合解決方案并協助企業将資料安全實施落地和結果回報、疊代優化到預期的階段性成果達成。

資料分類分級實施概述

如果你的企業、組織或機構想要做資料安全治理,不想花費昂貴的費用那可以跟着小編一起來學習、分享然後根據企業實際情況調整和實施,本篇主要探讨資料安全制度的資料分類分級基礎工作

  • 首先在企業組織戰略、高層次層面成立企業資料安全組織架構,成立一個自頂向下決策層-管理層-支援層和外加一個貫穿整個資料安全治理全程的監督審計監督層(有點類似企業項目管理QA智能)全方位資料安全團隊,明确責任及定人定崗。很多人有疑問引入資料安全後企業操作流程繁瑣工作量增大及成本明顯增加,這就需要企業先權衡評資料安全投入和資料開發利用的價值對比,這就需要在合規合法前提下選擇企業所關注進行投入,除了必要流程其他流程是可以适當簡化的。後續有時間單獨讨論咨詢服務課題再詳細剖析,詳細參見資料安全治理白皮書。
資料安全技術落地經驗淺談和分類分級實施
  • 其次建立資料安全管理體系,從資料安全總則、制度、指南、表單模闆的四級檔案,依據頂層資料安全總則綱要并逐層拆分和細化,如資料安全分類分級目标、資料安全分類分級制度、資料安全分類分級建設指南、資料安全分類工具表單模闆等,後續有時間單獨讨論咨詢服務課題再詳細剖析
資料安全技術落地經驗淺談和分類分級實施
  • 資料分類分級
    • 資料調研
      • 與資料部門、業務部門、職能部門溝通了解資料範圍、業務資料大體分布,人工收集機密資料、核心資料、重要資料、敏感資料或規則辨別,是否有國家機密資料特别是針對政務公共資料。
      • 資料資産發現,可以借助行業資料資産發現工具或者人工、腳本實作都可以,形成數資産統計概況、全面盤點企業的資料資産
        • 資料資産發現工具可以發現已有資料格式的檔案的結構化、半結構化、非結構化的資料
        • 有基于網絡流量分析方法(網絡旁路或串行都可以)和資料存儲終端部署探針掃描方法(支援多作業系統如linux、mac、windows終端)
        • 形成資料資産概覽和資料分布
      • 資料資料資産的發現對資料進行标準化,形成資料字典和資料資源目錄
      • 明确資料範圍和資料分類分級目标
    • 資料分類分級實施方案
      • 可以依據國家标準、地方标準、行業标準編制實施架構,如大資料 資料分類指南、行業資料分級指南,比如
      資料安全技術落地經驗淺談和分類分級實施
      資料安全技術落地經驗淺談和分類分級實施
      • 根據企業關注點和業務場景需求明确分類分級原則、選擇分類視角、分類分級次元、分類分級方法
      • 制定資料分類分級初步結果評估、定期評估、稽核、準許、變更維護工作流程或方法
    • 資料分類分級實施
      • 資料預處理工具
        • 将中繼資料等資訊導入mysql數倉,如果資料量大可以到hive表大資料數倉中,對于資料需要做一些處理和加工、分析挖掘可以借助Python語言資料分析低成本和友善性,安裝anaconda環境、使用pycharm IDE或者jupyter notebook編輯器,使用單機版python資料分析numpy(數值計算、支援大量的次元數組與矩陣運算,封裝數學函數庫和運算)、pandas(資料分析、資料挖掘,如處理表格資料)、matplotlib(Python 2D-繪圖領域)和scikit-learn單機版機器學習内置常用機器學習算法如分類、回歸、聚類、降維、模型選擇、預處理等,當然資料量大的可以使用分布式spark MLlib和Flink的機器學習了。後續我們再專門學習人工智能再來闡述
        資料安全技術落地經驗淺談和分類分級實施
      • 資料分類分級工具或者編寫腳本、程式處理
        • 基于辨別比對、正則比對規則處理
        • 收集中繼資料資料字典等資源與真實資料庫不能完全對比關聯處理
        • 通過中繼資料和探查自動化填充一些的分類次元
        • 基于不同行業資料應用次元的資料屬性進行機器學習、NLP分類
        • 基于不同行業資料結合國家法律進行機器學習、NLP分級
        • 結果人工二次稽核,基于稽核确認資料訓練模型并預測新的資料
      • 資料次元處理
        • 從資料管理次元、資料應用次元、隐私保護次元、資料對象次元進一步補充資料次元,詳細可以參考分類分級标準,如
          資料安全技術落地經驗淺談和分類分級實施
        • 評估是否滿足分類管理和分級保護預期目标
    • 資料分類分級傳遞清單輸出
      • 資料分類分級實施報告
        • 資料分類分級收集和處理資料資料概況分析
        • 資料分類、分級依據
        • 資料分類圖表示例
        • 資料分類實施過程說明
      • 資料分類清單
        • 資料表層級分類
      • 資料分級清單
        • 資料字段層級定級
        • 表字段最大級别作為資料表層級定級
上一篇: 從ApacheTomcat架構談面試到源碼編譯環境v10.0.12
下一篇: 【教程】磁盤整數分區方法