實行資料分類分級是資料全流程動态保護的基本前提,也是目前資料安全建設的痛點和難點,更是資料安全相關法律監管中要求必須開展的基礎性工作。
在這項工作尚且缺乏明晰的标準和流程之際,企業着手可謂挑戰重重,實踐效果亦難以評估。系列首篇,安全419走進在資料安全領域有着近17年專業經驗的杭州美創科技有限公司(以下簡稱“美創科技”),看看他們在資料分類分級上的思考見解和解決之道。
關于美創科技:美創科技于2005年在杭州成立,定位于資料安全和數字化轉型産品和服務提供商,聚焦資料安全與價值挖掘,目前擁有資料安全、數字化轉型、運作安全三大業務及技術運維和安全營運服務,研發形成資料分類分級、資料安全防護、資料安全審計、資料安全營運、資料資産管理、可視化應用、資料庫運作安全、災備集中管控等30餘款産品,客戶覆寫政府、金融、能源、營運商、醫療、教育等行業。
實施資料分類分級 需要模型+工具+組織+流程的組合拳
美創科技産品市場總監伊兆磊告訴我們,資料分類分級工作是一項涉及大量業務知識和資料專業工作的交叉性課題,大部分行業暫時沒有通用的标準和方法論,企業及機構缺乏資料分類分級體系、人才、技術支撐,面對龐雜的業務資料難以進行合理、有效、全面的分類分級。目前,業界大多數資料分類分級系統實作思路是“先梳理現有資料,再結合人工方式進行分類分級落地”,這一過程繁雜、效率低下、周期長,且主觀性比較強,準确性差。
美創科技的方法論基于對資料的充分認知開始,在做好詳實的資料資産盤點的前提下,認真研究落實分類分級國标及行标,并結合客戶實際開展體系咨詢及落地。
美創科技資料分類分級總體設計原則
展開來講,先行規劃模型體系,結合國家标準、行業及自身特點,确定資料分類分級政策,包括資料分類分級規範、行業資料分類分級标準、資料安全防護規則等,形成資料發現模型和分類分級模版;然後建立組織保障,推動機構資訊、業務等部門對工作的深度參與,由美創資料與行業專家組成資料工作組和标準體系制定組,統籌資料分類分級實施工作;在接下來的配套工具選擇上,美創資料治理産品能夠覆寫企業及機構(暗)資料發現、資料分類、資料分級的全流程需求,沉澱行業模闆,減少實施周期并確定傳遞品質;最後考慮實際落地過程中的多種因素對分類分級标準和規則進行變更,需要對增量部分持續進行發現和結果優化,保持産品功能疊代更新。
基于這一套可操作落地的方法論,我們可以發現,資料分類分級工作不是一個簡單的産品部署工作,也沒有絕對的分類分級标杆和樣闆,它受制于具體行業甚至具體企業的資料特征,以及對于資料的了解、使用及保護訴求,是整合了模型 + 工具 + 組織 + 流程的一項持續性工作,這其中既需要咨詢調研來正确完整了解需求,也需要組織架構及制度來保障工作的開展實施,更需要成熟完備的工具幫助實作效果,還需要分步有序地進行持續營運,以保障資料資産清單的及時和完整。
讓敏感資料現身 是實作資料價值挖掘與安全防護的關鍵點
聚焦到關于落地實施的關鍵步驟上,伊兆磊介紹該階段主要通過美創暗資料發現和分類分級系統,來實作自定義的資料含義識别和分類分級,并輸出發現結果。
據其進一步解釋,如今,企業及機構在業務開展的過程中積累的資料量呈指數級爆發式增長,其中産生了大量不易發現、了解或未被使用的資料,它們分散在組織内部的不同部門的不同系統中,大部分是以資料、檔案、日志等形式存在。這些“閑置”的資料被稱作“暗資料”,其中可能包含許多敏感資訊,這将成為資料保護中的安全盲點;而且,暗資料的分散分布和缺乏對其完整細節的掌握,将導緻内部資訊斷裂,資料的價值挖掘利用被極大限制。
根據TRUE Global Intelligence《暗資料現狀》報告,企業及機構總資料的一半以上屬于暗資料,是以,如何有效地對暗資料進行識别、管理和使用,是當今企業及機構盤點資料資産,深挖資料價值、加強資訊安全防護的關鍵所在。
美創科技将國家政策要求、行業标準、規則以及自身多年形成的方法論固化為産品,打造出暗資料發現和分類分級平台,緻力于認識資料,推動資料透明化、有序化、價值最大化、流程自動化。平台基于機器學習與資料挖掘技術,對多種資料源進行接入和中繼資料掃描,按照發現模闆對資料進行發現和分析,幫助使用者将不可了解的資料自動化、智能化地轉化為可認知的、分類有序的資料。平台支援全面捕獲掃描資料、智能解析資料類型和含義、自動化分類分級,并以可視化的方式呈現資産發現和分類分級最終成果,支援使用者對發現結果進行确認并同步到資産發現總覽和分類分級總覽。暗資料發現的結果将通過标準API服務提供給其他系統,進行進一步管理和分析,實作資産價值的發揮和安全性的保障。
資料分類分級報告
用資料分類分級支撐下遊産品 打造一體化的資料安全閉環能力
業界普遍認為,資料分類分級是整個數字化轉型中資料安全治理及資料治理的一項基礎性工作,伊兆磊亦對此表示贊同,“要去保證資料的安全,首先要認知資料。對資料有足夠認知或者深層次的認知,才能建構未來資料安全層面完整的有針對性的高效的體系。”而更進一步觀察,研究整個資料安全治理領域,不難發現未來的資料安全一定是整體性的、體系化的建設。他表示,美創科技在較早時期就在系統地考慮如何把資料分類分級的能力跟自身的安全産品和其他的方案服務進行有機結合。
據了解,目前,美創科技的資料分類分級能力及結果能夠導向并賦能其整體的資料安全産品體系。比如,在資料安全的權限控制、外部威脅防禦、資料脫敏,資料資産防護、資料流動、資料安全管理等層面,資料分類分級都将作為配置整體安全政策的一項重要依據;分類分級中模型中提到的資料安全等級、敏感等級、重要程度等,都會成為其他資料安全産品中政策的重要支撐依據。對于前期已有安全部署的客戶,在搭建資料分類分級體系之後,便可以更科學、更全面、更體系地幫助其建構防護政策。
這種一體化建設的好處是顯而易見的,一方面能夠針對客戶的不同資料提供更加貼身式的、更加針對性的服務;另一方面也是對客戶本身資源的一種節省,以及對資源做出更為合理的應用。因為無論是安全産品,還是其他的資訊化産品,其運作最終都需要依賴算力的消耗,一體化的方案建設将從整體層面去考慮效率更高的安全防護方式。
市場未來将迎來高速增長
采訪最後,伊兆磊告訴我們,在《資料安全法》《個人資訊保護法》《網絡安全法》等法律法規要求之下,目前政府、金融、醫療、國資企業等敏感資訊、個人隐私資料密集同時又是受國家政府監管較為嚴格的機關,已經在比較普遍地實施資料分類分級工作,而在某些傳統行業或資訊化開展較弱的行業,如今還處于認知和市場培育的階段。
但是,“資料驅動”已成為新的全球大趨勢,他對行業的未來發展前景表示樂觀,“後續在整體行業的倡導下和數字化轉型的大方向下,資料分類分級,包括資料安全,資料安全治理、資料治理等工作,一定會在各地區各行業逐漸地大規模展開,資料分類分級是目前也是未來企業及機構開展資料安全工作的必選項,這也是美創科技為何會緻力于投入該領域,持續助力行業使用者實作資料分類分級有效落地,為資料安全精細化管控、資料流動共享、資料價值提升奠定紮實基礎的原因。”
寫在最後:
安全419将美創科技在資料分類分級領域所積累的能力及解決方案呈現于此,希望能夠對打算開展或正在進行這項工作的使用者提供一定的幫助。後續,我們将持續更新該系列選題,介紹更多安全廠商在該領域的探索和實踐,友善讀者及使用者觀察不同的解決方案在面對不同行業、不同資料場景、不同客戶需求時能提供的差異化能力。同時,我們也歡迎有相關解決方案的安全廠商自薦,将自己的思考和經驗展示出來,共同幫助全行業使用者在數字化建設的道路上走得更堅實、更安全。