数据分类分级
1、背景
数据,是数字经济发展的核心生产要素,是国家重要资产和基础战略资源,是构建数字经济、数字政府、数字社会建设的基础。数据分类分级是确定数据保护和利用之间平衡点的一个重要依据,为政务数据、企业商业秘密和个人数据的保护奠定了基础,因此成为国家法规政策标准中的明确要求。
国家“十四五”规划提出要建设数据资源体系实现共享交换;要构建城市数据大脑;要推进政府运行的数字化智能化;并且构建数字技术辅助科学决策的机制;要加强数据资源全生命周期的安全保护和大数据环境下的数据分类分级保护。
2020年9月23日,《金融数据安全数据安全分级指南》正式实施。该指南提出数据安全性遭到破坏后可能造成的影响是确定数据安全级别的重要判断依据,其中主要考虑影响对象与影响程度两个要素。影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为非常严重、严重、中等和轻微。
2021年6月10日,《中华人民共和国数据安全法》正式发布,并于2021年9月1日起施行,数据安全进入双法时代。个人信息和重要数据是我国现阶段数据保护的重点。《网络安全法》第二十一条首次从法律层面提出了“数据分类”的要求,《数据安全法》则进一步明确了相关部门在分类分级保护和重要数据保护中的职能。《数据安全法》第二十一条明确指出,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
2021年8月20日,《中华人民共和国个人信息保护法》正式发布,并于2021年11月1日起施行个人信息保护法。对用户个人信息采用分级分类保护,是解决大数据时代用户个人信息保护的一种有效方法。《个人信息保护法》第五章第五十一条,对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施。
2021年12月31日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》,给出了网络数据分类分级的原则、框架和方法。《实践指南》提出,数据分类分级原则包括合法合规原则、分类多维原则、分级明确原则、从高就严原则以及动态调整原则;数据分类分级实施流程包括数据资产梳理、数据分类、数据定级、审核标识管理、数据分类分级保护。
2019年至今,一系列数据安全法律法规和行业监管标准密集出台,将数据安全和个人信息保护提升到了立法层面,数据安全领域法律法规的后盾愈发坚实。政府、金融机构、运营商等各行各业,在法律法规标准推动下,安全合规需求急剧增加,需要依据法律法规,寻找合规途径,落实合规措施。以往各行业对敏感数据的保护仅仅是自己摸索,缺乏对敏感数据的标准定义,随着数据分类分级相关标准的发布,金融、运营商、工业等对敏感数据有了更清晰的定义,重要数据的范围也被单独编制目录而得以进一步明确。
由此可见,以数据保护为目的,以法律法规为指引,以安全合规为驱动,以敏感数据管控为核心的数据安全信息化系统是符合政策、市场、需求的。
2、分类分级概念
国际上对于数据分类分级一般统称为Data Classification,根据需要对分类的级别(Classification Levels)和种类(Classification Categories)进行描述。数据分类被广泛定义为按相关类别组织数据的过程,以便可以更有效地使用和保护数据,并使数据更易于定位和检索。
我国将数据分类与分级进行了区分,数据分类强调的是根据种类的不同按照属性、特征而进行的划分,而数据分级侧重于按照划定的某种标准,对同一类别的属性按照高低大小进行级别的划分。数据分类分级系统通过接入业务系统、数据库、文件系统,基于机器学习、自然语言处理等人工智能算法和模型,对结构化和非结构化数据扫描,自动化识别数据和内容,实现敏感数据发现和智能分类分级。
3、相关技术
- 数据分类
数据分类是指根据组织数据的属性或特征,将其按照预定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。
- 数据分级
数据分级是指在数据分类的基础上,采用规范、明确的方法区分数据的重要性和敏感度差异,按照一定的分级原则对其进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。
- 智能匹配
基于AI智能分析引擎和分类规则模板实现组织数据资产中的敏感信息分类分级自动识别。应用机器学习、自然语言处理等人工智能技术,对数据进行基于内容的精准智能分类分级。AI智能分析引擎通过行业样本数据训练生成信息抽取、信息分类、信息识别等识别模型,基于识别模型和行业模板,对接入的业务系统、数据库、大数据平台进行智能匹配和识别,输出识别结果。
4、太阳成集团tyc4633产品
太阳成集团tyc4633数据安全治理平台是以“让数据使用更安全”为目的,满足数据安全保护、合规性、敏感数据管理为目标的安全产品。平台关注于数据的安全保护,以数据的业务属性为依据,以数据资产梳理和分级分类为核心,内置行业党政、金融、电信行业分类分级标准模板,是建立以资产梳理、敏感信息管控、合规管控为目标的安全架构体系的一系列工具及流程的集合。平台可以将多个业务系统的模型进行集中扫描分析,理清数据资产分布,甄别敏感数据,通过分类分级、数据脱敏、数据加密、数据凭证等手段进行安全加固。主要功能包括数据资产梳理、敏感策略管理、任务管理等功能,具备全自动数据梳理、智能数据识别、轻量配置的特点。系统可以按需选配数据分类分级、数据脱敏、数据加密、数据真实性验证等安全能力单元。
5、产品特点
- 全自动数据资产梳理,省时省力
自动数据资产梳理。平台自动梳理数据资产清单、管理数据资产基础信息、提供数据资产的敏感等级管理以及提供敏感数据资产的使用和分布情况。
智能敏感数据识别。平台智能梳理敏感数据在数据库中分布,对敏感数据类型进行分析、敏感特征数据模型管理、敏感数据量级统计、敏感数据所属业务系统及部门备案核实管理,帮助用户有针性地对数据库实现安全管控策略。
- 强大先进的AI内容识别引擎
平台充分利用机器学习、自然语言处理、文本语义识别等人工智能技术,对结构化和非结构化数据进行内容分析和挖掘,完成内容敏感性检测和识别,技术先进,准确性高。
- 原厂数据安全能力,兼容性好
基于太阳成集团tyc4633多年的密码安全领域的技术积累,可以提供原厂数据加密、完整性保护、身份认证等安全保护系统及服务,兼容性好。
- 领先的非结构化数据处理能力
太阳成集团tyc4633从2009年开始针对电子文件管理进行技术攻关,平台融合了太阳成集团tyc4633丰富的电子文件管理能力,在支持传统数据库的基础上,支持各种格式的电子文件的检索和分类分级,业内领先。
- 广泛兼容国产软硬件
系统全面支持信创CPU、操作系统、数据库、中间件,适配各种信创浏览器,平台使用的密码算法全部为国产密码算法,且均拥有国家密码管理局办法的商用密码产品认证证书。
