在安全419《数据分类分级解决方案系列推荐》的选题预告中,我们已经阐明,实行数据分类分级是数据全流程动态保护的基本前提,也是当前数据安全建设的痛点和难点,更是数据安全相关法律监管中要求必须开展的基础性工作。
在这项工作尚且缺乏明晰的标准和流程之际,企业着手可谓挑战重重,实践效果亦难以评估。系列首篇,安全419走进在数据安全领域有着近17年专业经验的杭州美创科技有限公司(以下简称“美创科技”),看看他们在数据分类分级上的思考见解和解决之道。
关于美创科技:美创科技于2005年在杭州成立,定位于数据安全和数字化转型产品和服务提供商,聚焦数据安全与价值挖掘,目前拥有数据安全、数字化转型、运行安全三大业务及技术运维和安全运营服务,研发形成数据分类分级、数据安全防护、数据安全审计、数据安全运营、数据资产管理、可视化应用、数据库运行安全、灾备集中管控等30余款产品,客户覆盖政府、金融、能源、运营商、医疗、教育等行业。
实施数据分类分级 需要模型+工具+组织+流程的组合拳
美创科技产品市场总监伊兆磊告诉我们,数据分类分级工作是一项涉及大量业务知识和数据专业工作的交叉性课题,大部分行业暂时没有通用的标准和方法论,企业及机构缺乏数据分类分级体系、人才、技术支撑,面对庞杂的业务数据难以进行合理、有效、全面的分类分级。目前,业界大多数数据分类分级系统实现思路是“先梳理现有数据,再结合人工方式进行分类分级落地”,这一过程繁杂、效率低下、周期长,且主观性比较强,准确性差。
美创科技的方法论基于对数据的充分认知开始,在做好详实的数据资产盘点的前提下,认真研究落实分类分级国标及行标,并结合客户实际开展体系咨询及落地。
美创科技数据分类分级总体设计原则
展开来讲,先行规划模型体系,结合国家标准、行业及自身特点,确定数据分类分级策略,包括数据分类分级规范、行业数据分类分级标准、数据安全防护规则等,形成数据发现模型和分类分级模版;然后建立组织保障,推动机构信息、业务等部门对工作的深度参与,由美创数据与行业专家组成数据工作组和标准体系制定组,统筹数据分类分级实施工作;在接下来的配套工具选择上,美创数据治理产品能够覆盖企业及机构(暗)数据发现、数据分类、数据分级的全流程需求,沉淀行业模板,减少实施周期并确保交付质量;最后考虑实际落地过程中的多种因素对分类分级标准和规则进行变更,需要对增量部分持续进行发现和结果优化,保持产品功能迭代更新。
基于这一套可操作落地的方法论,我们可以发现,数据分类分级工作不是一个简单的产品部署工作,也没有绝对的分类分级标杆和样板,它受制于具体行业甚至具体企业的数据特征,以及对于数据的理解、使用及保护诉求,是整合了模型 + 工具 + 组织 + 流程的一项持续性工作,这其中既需要咨询调研来正确完整理解需求,也需要组织架构及制度来保障工作的开展实施,更需要成熟完备的工具帮助实现效果,还需要分步有序地进行持续运营,以保障数据资产清单的及时和完整。
让敏感数据现身 是实现数据价值挖掘与安全防护的关键点
聚焦到关于落地实施的关键步骤上,伊兆磊介绍该阶段主要通过美创暗数据发现和分类分级系统,来实现自定义的数据含义识别和分类分级,并输出发现结果。
据其进一步解释,如今,企业及机构在业务开展的过程中积累的数据量呈指数级爆发式增长,其中产生了大量不易发现、理解或未被使用的数据,它们分散在组织内部的不同部门的不同系统中,大部分是以数据、文件、日志等形式存在。这些“闲置”的数据被称作“暗数据”,其中可能包含许多敏感信息,这将成为数据保护中的安全盲点;而且,暗数据的分散分布和缺乏对其完整细节的掌握,将导致内部信息断裂,数据的价值挖掘利用被极大限制。
根据TRUE Global Intelligence《暗数据现状》报告,企业及机构总数据的一半以上属于暗数据,因此,如何有效地对暗数据进行识别、管理和使用,是当今企业及机构盘点数据资产,深挖数据价值、加强信息安全防护的关键所在。
美创科技将国家政策要求、行业标准、规则以及自身多年形成的方法论固化为产品,打造出暗数据发现和分类分级平台,致力于认识数据,推动数据透明化、有序化、价值最大化、流程自动化。平台基于机器学习与数据挖掘技术,对多种数据源进行接入和元数据扫描,按照发现模板对数据进行发现和分析,帮助用户将不可理解的数据自动化、智能化地转化为可认知的、分类有序的数据。平台支持全面捕获扫描数据、智能解析数据类型和含义、自动化分类分级,并以可视化的方式呈现资产发现和分类分级最终成果,支持用户对发现结果进行确认并同步到资产发现总览和分类分级总览。暗数据发现的结果将通过标准API服务提供给其他系统,进行进一步管理和分析,实现资产价值的发挥和安全性的保障。
数据分类分级报告
用数据分类分级支撑下游产品 打造一体化的数据安全闭环能力
业界普遍认为,数据分类分级是整个数字化转型中数据安全治理及数据治理的一项基础性工作,伊兆磊亦对此表示赞同,“要去保证数据的安全,首先要认知数据。对数据有足够认知或者深层次的认知,才能构建未来数据安全层面完整的有针对性的高效的体系。”而更进一步观察,研究整个数据安全治理领域,不难发现未来的数据安全一定是整体性的、体系化的建设。他表示,美创科技在较早时期就在系统地考虑如何把数据分类分级的能力跟自身的安全产品和其他的方案服务进行有机结合。
据了解,目前,美创科技的数据分类分级能力及结果能够导向并赋能其整体的数据安全产品体系。比如,在数据安全的权限控制、外部威胁防御、数据脱敏,数据资产防护、数据流动、数据安全管理等层面,数据分类分级都将作为配置整体安全策略的一项重要依据;分类分级中模型中提到的数据安全等级、敏感等级、重要程度等,都会成为其他数据安全产品中策略的重要支撑依据。对于前期已有安全部署的客户,在搭建数据分类分级体系之后,便可以更科学、更全面、更体系地帮助其构建防护策略。
这种一体化建设的好处是显而易见的,一方面能够针对客户的不同数据提供更加贴身式的、更加针对性的服务;另一方面也是对客户本身资源的一种节省,以及对资源做出更为合理的应用。因为无论是安全产品,还是其他的信息化产品,其运行最终都需要依赖算力的消耗,一体化的方案建设将从整体层面去考虑效率更高的安全防护方式。
市场未来将迎来高速增长
采访最后,伊兆磊告诉我们,在《数据安全法》《个人信息保护法》《网络安全法》等法律法规要求之下,目前政府、金融、医疗、国资企业等敏感信息、个人隐私数据密集同时又是受国家政府监管较为严格的单位,已经在比较普遍地实施数据分类分级工作,而在某些传统行业或信息化开展较弱的行业,如今还处于认知和市场培育的阶段。
但是,“数据驱动”已成为新的全球大趋势,他对行业的未来发展前景表示乐观,“后续在整体行业的倡导下和数字化转型的大方向下,数据分类分级,包括数据安全,数据安全治理、数据治理等工作,一定会在各地区各行业逐渐地大规模展开,数据分类分级是目前也是未来企业及机构开展数据安全工作的必选项,这也是美创科技为何会致力于投入该领域,持续助力行业用户实现数据分类分级有效落地,为数据安全精细化管控、数据流动共享、数据价值提升奠定扎实基础的原因。”
写在最后:
安全419将美创科技在数据分类分级领域所积累的能力及解决方案呈现于此,希望能够对打算开展或正在进行这项工作的用户提供一定的帮助。后续,我们将持续更新该系列选题,介绍更多安全厂商在该领域的探索和实践,方便读者及用户观察不同的解决方案在面对不同行业、不同数据场景、不同客户需求时能提供的差异化能力。同时,我们也欢迎有相关解决方案的安全厂商自荐,将自己的思考和经验展示出来,共同帮助全行业用户在数字化建设的道路上走得更坚实、更安全。