安全419《数据分类分级解决方案》思维世纪篇

关于数据分类分级的概念和价值，我们在 预告：安全419《数据分类分级解决方案》有详细介绍，此系列后续更新将不再复述。本期，安全419带大家走进成都思维世纪科技有限责任公司（以下简称“思维世纪”），看看他们在数据分类分级上的思考见解和解决之道。

 

关于思维世纪：思维世纪成立于2001年，是一家支撑监管机构、立足通信行业、辐射头部企业的数据安全治理公司，致力于大数据时代背景下行业信息安全保障解决方案的提供和数据内容分析挖掘产品的设计和开发，坚守“安全服务成就业务价值”的理念，依托思维世纪安全体系框架（Siwei Information Security Framework），以“识别—检测—监测—管控”的数据安全治理服务为核心，贯穿客户业务，服务数据增值。

 

 

思维世纪核心技术研发部总监马崇华向我们介绍，开展数据分类分级工作的意义不仅仅体现在对数据安全建设的支撑上。如今，数据对于任何一家企业都非常重要，通过对相关数据的收集、分析、处理和预判，企业可以对业务状况、管理工作等方方面面有精准的了解和掌握，从而做出合理的决策。盘点数据内容、梳理数据存储分布、定义数据的类别归属、确定数据价值，是运用数据并进行价值挖掘的前提。

 

另一方面，仅针对数据安全而言，根据数据的不同密级制定不同的保护策略，针对流动中的不同敏感级别的数据制定具体的管控强度和访问共享频次，既是满足监管的要求，也是满足企业内部运营的必要手段。

 

马崇华表示，虽然合规一直是企业开展安全建设的最大驱动力，但如今发生在世界各地的数据泄露事件越来越触目惊心，不少知名企业因此身陷囹圄，一来极大地触动企业建立起正确的安全意识，尽早完善安全建设；再者，饱受数据泄露事件刺激的公众对于个人信息保护的呼声日益敏感强烈，企业有义务考虑其用户的体验和周全，给出合理的安全策略。

 

无论如何，数据分类分级都成为企业必须考虑的一项工作，帮助企业将有限的资源集中到对核心重要数据的开发利用和安全保护上。

 

 

据马崇华介绍，在数据安全领域积累多年的思维世纪目前已具备可落地的数据分类分级能力，拥有成熟的工具产品和服务。

 

其一，针对静态数据的识别和管理，主要依靠数据资产测绘管理系统（IXRay-DAMS），对企业内网的数据库、大数据平台、文件系统、WEB业务系统、数据接口等数据资产进行智能化探测、数据资产梳理、敏感数据识别定位、数据分类分级，并形成数据资产清单和多维度可视化地图。

 

平台将主动探测网络内存活的数据源信息，帮助企业发现未知或未备案的数据源，并协助企业完成数据源资产梳理和管理。通过主动扫描手段，对静态存储数据进行切片取样、对动态流转数据进行自动爬取，完成数据采集，同时支持存储数据源的元数据采集。利用数据处理程序对采集的数据进行清洗、解析、处理，通过数据识别和分类分级引擎，结合数据识别策略、分类分级策略、数据识别和分类模型对处理后的数据进行匹配识别，准确定位数据中包含的敏感数据或重要数据，对其进行识别标记和分类分级标记。利用数据分析引擎，对数据源、采集数据、识别结果等内容进行全面分析，形成企业数据资产地图、多维统计分析视图、资产分析报告、资产清单等，为企业进一步的数据价值挖掘、数据安全防护体系建设完成数据准备工作。

 

 

其二，针对流动数据的识别和分级分类，主要依靠流量采集探针和接口拨测工具，对互联网出口流量和接口中流转的数据进行采集，基于全流量访问解析，并对解析还原的数据和文件进行识别处理，实现WEB业务系统、数据共享接口等多种业务对象和数据流转场景中的敏感数据和重要数据识别与分类分级能力。

 

平台已覆盖主流网络协议，内置多种流量解析算法模型，具备流量还原、内容解析、数据识别和定位、数据分类分级及数据流转可视化展现等功能，配合静态数据的识别梳理，帮助企业构建一体化、全方位的敏感数据分布和流转管理，用户可以在同一平台系统下实现跨业务、跨部门的数据识别与管控。

 

 

与此同时，思维世纪也将通过安全服务的形式帮助企业实施数据分类分级工作。

 

前期规划阶段，针对企业的业务和数据现状进行全面的调研，根据企业实际情况和安全诉求设计数据分类分级实施方案，结合行业标准、合规要求、企业数据现状和业务需求等形成企业敏感数据清单目录，构建适用于企业的数据分类分级标准，帮助企业建立健全数据安全的组织架构和规章制度。

 

项目实施阶段，通过部署数据资产测绘管理系统，自动完成数据源自动发现、采集样本数据、自动分类分级标识，形成敏感数据和重要数据清单。并通过不断优化识别策略、调整分类分级模版等方式，实现全面梳理企业内数据，形成贴合企业实际情况的数据分类分级效果。

 

后期维护阶段，面对数据和业务的不断发展变化，制定并落实持续性的数据分类分级运营方案，通过增量扫描、周期扫描、定期的策略和标准更新、数据抽查与稽核等手段，最终实现企业数据分类分级建设的落地。

 

 

公开资料显示，思维世纪的数据分类分级产品和服务在通信行业、监管部门、政务单位等行业的市场覆盖情况表现亮眼，马崇华表示，良好的落地反馈需要产品足够好用、易用。

 

 

数据分类分级的准确度和效率取决于工具的识别能力是否强大，即“工具是不是真的能够看到数据、看懂数据”。“策略”是数据识别的一个核心能力点，市面上很多工具都会选择从“个人信息”切入，因为它们往往具有明显的数据特征，如身份证号码有固定的编码，手机号码有固定的位数格式，姓名、民族等都具有易于定义和区分的含义，识别策略较容易设计。但是对于“业务数据”，在数据分类分级的框架下往往不具备明显的数据特征，甚至还可能存在歧义。比如一个姓名，他可能是企业员工，也可能是企业用户，在不同的业务场景和数据类别中，其重要程度和敏感度是不一样的。又比如运营商行业常见的话单数据，一串串经过编码的无逻辑数字仅从数据特征层面是无法做识别的。

 

因此，能落地的数据分类分级工具必须经过大量项目的沉淀，通过深度接触客户的业务，理解具体场景中的数据含义，掌握各种数据处理活动中的数据流动情况，再将这些知识和经验凝练到工具中，才能发挥实际作用。思维世纪的平台在长期的积累下已支持超过25种常见存储数据源的管理和资产测绘，支持超过100种文件格式的解析和识别，支持100+种类的敏感数据识别，同时支持用户自定义识别规则、自训练算法识别模型，快速适应用户的新业务和增量数据。

 

 

其平台多维度的分析模型对企业的数据资产进行全方位分析，可以提供可视化大屏、资产地图、资产拓扑、业务数据分布图表、敏感数据分布图表、数据资产清单、资产分析报告等比较丰富的结果呈现方式，帮助企业清晰、直观地掌握拥有的数据情况。

 

平台支持通过分发docker镜像一键部署，支持采集测绘流程全自动化运行，降低人工运营成本；平台采用分布式架构，可方便进行系统内的横向扩展，提高系统业务能力上限；底层探针内置负载均衡模式，既能实现轻量化应用，又可承担大型存储集群的资产测绘工作；同时底层探针可独立封装，并对外部系统开放能力配套，系统内数据可实现授权共享，方便与其他业务、安全系统联动扩展。

 

现实中，缺乏明确的标准指导、业务及数据的持续更新、跨部门难以协调等等都是企业开展数据分类分级工作会面临的挑战，监管机构、企业用户和专业厂商的合作探索将为这项工作指明越来越明晰的方向和步骤。马崇华一再表示，随着数据的价值和重要性在企业业务运行中的不断强化，数据识别和分类分级将逐步成为企业的常态化能力，为企业的数据价值挖掘和数据保护提供方向和指导。

 

安全419将思维世纪在数据分类分级领域所积累的能力及解决方案呈现于此，希望能够对打算开展或正在进行这项工作的用户提供一定的帮助。后续，我们将持续更新该系列选题，介绍更多安全厂商在该领域的探索和实践，方便读者及用户观察不同的解决方案在面对不同行业、不同数据场景、不同客户需求时能提供的差异化能力。同时，我们也欢迎有相关解决方案的安全厂商自荐，将自己的思考和经验展示出来，共同帮助全行业用户在数字化建设的道路上走得更坚实、更安全。