這是一場與“大”時代威脅的較量，信息化的不斷演進中，對數(shù)據(jù)安全的擔憂不會停止。

最近奧運會大熱，作為全球最受關(guān)注的賽事，東京奧運會也遭到了網(wǎng)絡(luò)安全的挑戰(zhàn)，據(jù)安全圈（ID:ChinaAnQuan）發(fā)文稱，東京奧運會出現(xiàn)148個釣魚網(wǎng)站，導(dǎo)致門票購買者及志愿者信息泄露，加上此前滴滴打車非法采集個人信息數(shù)據(jù)、“運滿滿”、“貨車幫”、“BOSS直聘”等相繼接受網(wǎng)絡(luò)安全審查，數(shù)據(jù)安全儼然已從個人、企業(yè)上升到國家安全，受到了不同層面的關(guān)注。

今年的6月10日，《中華人民共和國數(shù)據(jù)安全法》（簡稱：數(shù)據(jù)安全法）正式發(fā)布，并將于2021年9月1日施行。企業(yè)的數(shù)據(jù)安全保護該從何做起？第一步要弄清楚數(shù)據(jù)在哪里，這就涉及到數(shù)據(jù)的分類分級。

《數(shù)據(jù)安全法》指出“國家建立數(shù)據(jù)分類分級保護制度”，“各地區(qū)、各部門應(yīng)當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護”。數(shù)據(jù)的分類分級已成為企業(yè)數(shù)據(jù)安全治理的必選題。

如何理解數(shù)據(jù)分級分類

數(shù)據(jù)的分類分級可以從以下幾個方面來理解：

數(shù)據(jù)分級分類的原則：科學性、實用性、自主性。

數(shù)據(jù)標準化：是對數(shù)據(jù)的定義、組織、監(jiān)督和保護進行標準化的過程。數(shù)據(jù)標準化可以厘清進行數(shù)據(jù)分類分級的管理范圍。但一個企業(yè)的原始數(shù)據(jù)量之大，難以對每一條數(shù)據(jù)進行分級分類管理。因此數(shù)據(jù)分類分級管理的目標，只能是“有限可控”的數(shù)據(jù)標準項。

數(shù)據(jù)分類：把數(shù)據(jù)標準按照一定的規(guī)則和類目體系進行歸類，抽取它們的某一屬性的共性，形成不同屬性主題的歸類。

安全等級：一般根據(jù)數(shù)據(jù)的完整性、保密性、可用性遭到破壞、損失后的影響對象（國家安全、公眾權(quán)益、個人隱私、企業(yè)合法權(quán)益）和影響程度劃分等級。

數(shù)據(jù)安全的流程與步驟

企業(yè)數(shù)據(jù)安全定級總體來說是一個龐大的數(shù)據(jù)治理咨詢工作，聯(lián)軟認為從流程上主要分為5個步驟，其中的難點為：

?建立響應(yīng)的組織架構(gòu)與項目團隊：組織架構(gòu)為長期，項目團隊為臨時。

?前期背景、環(huán)境、數(shù)據(jù)的調(diào)研：龐大的調(diào)研與收集工作，如由第三方落地將面臨許多權(quán)限與協(xié)調(diào)問題（難點：數(shù)據(jù)形態(tài)多和分布廣、自身保密性不同）。

?數(shù)據(jù)梳理：對收集到的數(shù)據(jù)通過技術(shù)手段進行聚類分類，形成不同的業(yè)務(wù)數(shù)據(jù)類型，人工校對（難點：分類的準確性）。

?數(shù)據(jù)定級：針對不同類型的業(yè)務(wù)數(shù)據(jù)進行安全數(shù)據(jù)影響評估及定級（難點：逐條數(shù)據(jù)定級不現(xiàn)實，只能對一類數(shù)據(jù)進行評估定級，依賴數(shù)據(jù)梳理的準確性）。

?定級審核和管理流程制定：內(nèi)部數(shù)據(jù)安全分級與管理制度的制定。

聯(lián)軟科技數(shù)據(jù)安全方案之“摸清家底”

數(shù)據(jù)安全建設(shè)是為了避免敏感數(shù)據(jù)的泄露。首先通過定義敏感數(shù)據(jù)的內(nèi)容，借助技術(shù)手段進行有效管控，是數(shù)據(jù)安全建設(shè)的重點。以數(shù)據(jù)智能識別和發(fā)現(xiàn)為基礎(chǔ)，通過授權(quán)控制、智能隔離、安全流轉(zhuǎn)、審計追溯等手段，保護企業(yè)業(yè)務(wù)系統(tǒng)和終端上的業(yè)務(wù)數(shù)據(jù)，保證數(shù)據(jù)的高效傳輸、分享和交換。在“摸清家底”上，聯(lián)軟UniDLP數(shù)據(jù)防泄露系統(tǒng)利用更高效簡單的方法幫助企業(yè)發(fā)現(xiàn)和識別數(shù)據(jù)。

?數(shù)據(jù)調(diào)研梳理

任何管理動作和技術(shù)措施最終要保護的對象是信息本身，調(diào)硏梳理能夠準確識別需要保護的對象。企業(yè)中各業(yè)務(wù)部門對自己所掌握的各類信息是最清楚的，需要用統(tǒng)一的方法論結(jié)合業(yè)務(wù)實際情況，才能完成對敏感信息的準確識別。

同時，UniDLP數(shù)據(jù)防泄露系統(tǒng)提供數(shù)據(jù)梳理服務(wù)，對企業(yè)典型數(shù)據(jù)進行調(diào)研，通過半自動化的梳理工具對數(shù)據(jù)進行分類分級，并對數(shù)據(jù)面臨的風險進行評估，幫助企業(yè)制定數(shù)據(jù)治理方案。

?敏感數(shù)據(jù)定義

UniDLP數(shù)據(jù)防泄露系統(tǒng)提供數(shù)據(jù)識別功能，支持對文檔、源代碼、圖片等文件進行文件源格式識別，并基于關(guān)鍵字、正則表達式、數(shù)據(jù)標識符、智能聚類、文檔相似度/唯一標記/流轉(zhuǎn)記錄/信息容量等方法對內(nèi)容進行感知，實現(xiàn)對文檔所屬類別、級別的判定，以及數(shù)據(jù)血緣關(guān)系、分布地圖、風險態(tài)勢等分析。

數(shù)據(jù)分類分級是企業(yè)數(shù)據(jù)安全合規(guī)使用的基礎(chǔ)，做好數(shù)據(jù)分級分類是保護重要資產(chǎn)的第一步，通過對敏感及重要數(shù)據(jù)的分類，降低企業(yè)數(shù)據(jù)泄露的風險，提升整體數(shù)據(jù)安全防護和運營能力。

參考文獻：

1、地方標準DB 3301/T 0322.3—2020《數(shù)據(jù)資源管理：政務(wù)數(shù)據(jù)分類分級 》

2、《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（JR/T 0197—2020）

3、安全圈公眾號文《東京奧運會出現(xiàn)148個釣魚網(wǎng)站 門票購票者及志愿者信息泄露》

4、新華社《為防范國家數(shù)據(jù)安全風險，對“運滿滿”“貨車幫”“BOSS直聘”實施網(wǎng)絡(luò)安全審查》