近日,全国网安标委发布GB/T 43697-2024《数据安全技术数据分类分级规则》。
国标文件截选
该国标将于2024年10月1日起实施,该标准明确了数据分类与分级的基本原则,包括业务相关性、数据敏感性、风险可控性等。具体而言,数据分类应根据业务特点和数据属性进行划分,如个人信息、商业秘密、国家秘密等;数据分级则应根据数据的敏感性、重要性和潜在风险进行划分,如一般数据、重要数据、核心数据等。该标准适用于行业领域主管(监管)部门制定数据分类分级标准规范,适用于各地区、各部门和数据处理者开展数据分类分级工作。不适用于国家秘密和军事数据。
场景分析
近年来,《数据安全法》、《个人信息保护法》、新版《网络安全审查办法》相继出台,国家层面明确提出建立数据分类分级保护制度,很多机关单位也开始重视数据分类分级,“数据驱动业务”已成为共识。
不论是党政机关单位还是企业用户单位,在数字化转型中都会产生大量数据,比如职工信息、合同、财务报表、战略规划等。不同部门,不同类型的数据重要程度是不一样的,不能采取一刀切的管理方式。如果对所有数据都采用没有差别的保护,会对单位造成巨大的资源浪费。
各地政府也陆续成立大数据局、大数据中心或政数局等的数据管理服务类机构,并承担着数字政府“用数据决策、用数据管理、用数据服务”的公共管理与服务运行,无一例外的都建立了“政务数据共享交换平台”,数据需求方提出申请,数据管理及服务及数据提供方审核通过后,通过该平台提供的数据接口完成数据获取。但仍存在一些痛点:
1. 缺乏标准和技术手段
各部门数据共享交换标准不足、流转安全管控标准缺失、数据安全责任边界模糊;导致数据管理部门收集数据意愿低、数据所有方不愿意共享数据,呈现数据泛在却无数据可用的局面,以致数字政府、智慧城市建设缓慢、实际效果差。
2. 数据来源和共享不明
数据需求方并不清楚所需数据源来自何处;数据管理方、提供方并不清楚哪些数据共享开放给谁。
3. 使用审批决策难
数据管理及服务方或提供方采用人工审批决策难以全面、客观识别数据共享开放风险。
中孚信息数据安全监测预警体系
针对政务数据共享交换场景,中孚信息数据安全监测预警体系以分类分级为基础、以安全评估为抓手,理清数据资产底账,建立安全风险清单,通过扫描、侦听和API获取的方式,收集并梳理全网数据家底,对数据进行动态分类分级,识别重要、敏感数据:
1. 通过利用自然语言处理、同义词生成、基于BERT预训练模型的多分类模型、知识蒸馏、知识图谱技术,实现语义特征的抽取支持分类分级。
2. 基于样本数据和垂直领域的语料数据进行数据挖掘、数据增强以及数据标注,内置行业知识库,结合预训练模型,对输入的数据输出特征标签支撑分类分级应用。
3. 建立内置敏感数据特征库,支持超过70种以上的敏感数据自动识别。
通过上述三项主要技术能力,形成底账清晰、动态可管的数据目录,为后续数据安全能力建设提供指导和依据,让数据安全建设更有针对性,避免一刀切式的防护体系影响业务运转。
同时,以重要数据安全风险监测为核心,多技术联动为设计框架,以数据全生命周期安全为建设目标,综合考量政务数据应用过程中所涉及的各类应用及使用对象,构建集数据全生命周期安全管理、访问控制、风险管控、安全监测预警、安全运营运维于一体的数据安全防护体系。
中孚数据安全监测预警理念框架
在该体系建设中,为提高数据的可见性和透明度,增强对数据整体的掌控力度,中孚信息积极且有效采取三大策略部署:
1. 找到重要数据保护对象及责任方
建立统一数据资源目录,明确数据主体,参照“四密”识别并标记敏感、重要数据,制定数据分级管控的措施,提供智能化数据需求审核机制,使数据资源及功能价值清晰,多方责任明确,共享开放条件达成有依据。
2. 数据全生命周期的安全风险监测
从使用方、提供方、服务方、客户端等方面,运用26类安全风险监测指标,实现对数据全生命周期进行风险识别、实时监测,保障数据安全推动数据共享交换。
3. 建立基于密码和身份验证的安全防护体系
建立数据安全管理制度、建立云密码资源服务和身份鉴权的数据权限控制体系,通过内容识别对共享交换中的数据进行加密、脱敏,并记录操作过程便于事后审计和安全风险评估,以保障敏感重要数据。