在当今数字化时代,数据的价值日益凸显,它不仅是驱动社会进步和企业发展的核心动力,更是国家竞争力的关键要素。
然而,随着数据量的激增和复杂性的提升,数据安全问题也愈发凸显,成为制约数据价值发挥的重要瓶颈。
在这样的背景下,数据分类分级作为一种有效的数据管理和保护手段,其重要性愈发凸显。它不仅能够帮助我们更好地管理和利用数据资源,提高数据的安全性,还能促进数据的合规使用和流通。
因此,本文将深入探讨为什么说“数据分类分级”在当下和未来都必不可少。
近几年来,随着数据安全相关法律法规的相继出台,国家层面对建立数据分类分级保护制度的态度愈发明确。
但是,在实际应用落地的过程中,不免会有针对数据分类分级的异议出现。我们纵览了诸多观点和看法,深感各方出发点不同,因此认知自然也会存在差异。
这其实与“盲人摸象”的典故相类似。数据安全是一个宏大的命题,每个数据安全从业者都只能看到安全的一面,实际上安全存在千方万面。所以,只看一面或几面,难免会得出一些偏颇的结论,这也是很正常的现象。因此,我们的视野势必要尽可能宽广一些,才可能看得更为客观公正。
很多时候,我们评判一个标准或政策到底有没有实际效用,不能仅从急功近利以及简单粗暴的视角去审视,比如是否直接就能拿出一个可量化的东西来证明其效果,是否安全向好立竿见影,是否当下立马就能看到想要的结果等等。
安全这个行业,尤其是安全工作,本身就是难以用简单的量化指标去衡量的,所以我们评价的时候要更立体、更辩证、更客观、更综合、更长远。不能仅仅局限于自身的利益,或者自身的视角和立场,简单认为“我觉得”数据分类分级对“我”没用,就认为它没有价值。
数据分类分级意义与价值
事实上,如果我们把视角放高一些,不难发现数据分类分级在行业发展、立法健全、数据安全保护以及资源优化配置等方面都承载着重要的意义。
这一意义何在?我们不妨就从一个第三方的角度来看。
一、能够更加妥善保护数据安全
随着时代的进步,数据已经成为许多组织的核心资产,对核心数据的保护至关重要。然而,各类组织形形色色,众多数据也是包罗万象。如何界定“数据”的概念与范围,在近几十年间,无论是立法者,还是数据拥属者,很长时间都没能达成一致的认定。
通俗来讲,我们要保护一样东西,那首先必须深入了解其属性、类别、能力、特性。数据保护也是一样,那么浩如烟海、千差万别的数据摆在眼前,又不能一箩筐打包加密起来丢在加密库房里,那该如何着手保护呢?
因此,数据分类分级便显现出其不可替代的重要性。通过分类分级,就能够更精准地识别出数据的类别以及敏感的程度。在此基础上,再利用安全技术进行保护,同时确保业务正常进行,实现按需访问,即什么权限的人访问什么数据,未经授权不可触碰某些数据等等。
其实这个道理换个视角一想就能明白,比如你是一个班级的班长,你得到老师授权,需要对学生进行身份证号、社交账号、兴趣爱好、父母职业、家庭收入、家庭地址、家人联系方式等信息电子化采集。这些采集信息用于困难学生的帮扶工作。
这些信息如果不做分类分级,允许所有人无差别访问,必然会导致大规模的个人信息泄露。针对校园诈骗的犯罪行为层出不穷,这些信息很可能会被不法分子利用。
此时,数据分类分级就显得尤为重要。普通学生能看到同学姓名和兴趣爱好,班长能多看到社交账号,班主任能进一步看到学生的父母职业、家庭收入,而扶贫工作小组的工作人员则能进而看到家庭地址、家人联系方式等等。
虽然在组织的实际操作过程中,数据比这个案例要复杂得多,但也能说明,只有把数据的类别和级别划分清楚,才能既保护好重要的数据,又利用好重要的数据。
现实中,数据分类分级做与不做,正面与负面案例比比皆是。
一年多前,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。
据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域的重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。
知网被审查的原因显而易见,虽然知网有保密论文措施使得部分论文不能被检索和下载,但数据分类分级未完善充分,所以只要充值足够金额,许多涉密信息都能被下载。在被审查之前,定然已经存在泄密情况。
事实上,这类情况不仅是知网一家。曾有业内资深安全治理专家称:“大多数企业都知道数据安全很重要,但并不清楚自己的重要数据、敏感数据等存储在哪儿、哪些环节流通、哪些业务在调用、隐藏着哪些风险。”
正面的案例也是数不胜数。2024年巴黎奥运会即将开幕,其必然会用到数据分类分级技术。为什么这么说呢?因为此前在国内举办的冬奥会,就将数据分类分级工作做得相当出色。
2022北京冬奥会运行着包括比赛、组织及协调、观赛出席仪式、观赛体验、裁判及竞赛组织、传播及报道等60多个技术系统类型。还有运动员、技术官员、媒体、贵宾、观众、工作人员等参与人群。
所有这些活动都产生出海量的数据,对于这些数据的采集、存储、流转、处理等,都需针对数据敏感性的不同实施相应的解决方案。
冬奥会根据数据的特征和属性,将数据分为个人数据、竞赛数据、业务数据、运行和安全数据。并根据数据影响对象和程度,结合流转场景和安全需求,将数据划分为公开级(L1)、内部级(L2)、敏感级(L3)、高敏感级(L4)。
就以L4数据来说。个人敏感信息、竞赛保密数据、业务保密数据、运行和安全保密数据等,都属于L4高敏感数据。在流转范围上,它们按照批准授权列表进行严格管理;在管控方面,采用加密存储确保数据访问控制安全,建立严格的数据安全管理规范以及数据实时监控机制。
试想一下,如果没有数据分类分级,单就一个奥运会而言,各种未分级的数据信息漫天飞舞,必定会弄得鸡飞狗跳。甚至可以说,未来没有实施数据分类分级以保护数据安全能力的国家和地区,将根本没有资格举办奥运会等大型体育赛事。
此外,在工业、政务、电信、公安等领域,数据分类分级也发挥着不可替代的重要作用。
去年,工信部开展工业和信息化领域数据安全典型案例的遴选工作,面向工业领域征集了“四方向、十类型”数据安全典型案例。其中,自动驾驶数据分类分级案例便是其中之一。
该案例利用数据分类分级,解决了自动驾驶行业数据庞杂、流转频率高和交互主体众多带来的数据盘点效率低、安全管控难度大的问题。通过体系化的分类分级方法,为自动驾驶数据的安全存储和高效流转奠定了治理基础,大幅提升了管理效率,消除了非正常的访问行为无法捕捉等潜在的数据安全隐患。
二、数据分类分级是合规性要求
放眼国内外,众多信息数据相关的法律法规,都明确有着数据分类分级的要求。
欧洲《数字服务法》中,基于数据的重要性、敏感性和隐私性,数据被分为四个等级:公开数据、内部数据、敏感数据和个人数据。不同级别的数据,企业应采取不同的保护措施。例如,对于公开数据,企业应确保其准确性;对于内部数据,企业应限制其访问权限;对于敏感数据,企业应进行加密处理;对于个人数据,企业应遵守GDPR规定,确保其安全存储和合法使用。
美国信息交换标准分类系统(INFOSEC)是美国政府制定的一套数据分类分级标准。该标准根据数据敏感程度和对国家安全重要性,将数据分为四个等级:不敏感、机密、秘密、最高机密。该标准在军事、政府、企业中得到广泛应用。
法国《数字共和国法》规定,要创建一个确定的授权协议清单,各政府主管部门可以使用这些清单对数据进行授权利用。
我国《数据安全法》《个人信息保护法》等,都明确要求对数据进行分类分级管理。这些法规的存在,证明了数据分类分级不仅是必要的,更是法律上的强制要求,不容置疑。
当然,目前的数据分类分级体系确实存在一些需要进一步完善的地方,但我们不能因此而否定其整体价值和重要性。这就像不能因为一个人偶感风寒,就否定他整个生命的价值。
事实上,我国当前的网络安全法律法规体系仍然还在不断发展和完善中,数据安全领域更是处于起步阶段。虽然数据分类分级的某些细则措施可能尚未能完全满足所有组织的需求和发展,但大体上,数据分类分级已经成为大势所趋,符合数据安全的发展规律。
三、能够有效帮助企业优化资源配置
在我们看到的现实案例中,数据分类分级确实能够有效帮助企业优化资源配置,无论是企业本身,还是数据安全整个管理理念方式的升级,都是正向且是必经之路,不可跳过也不可逆。
我们不妨看看,从数据的产生、存储、使用到销毁的整个生命周期,数据分类分级在各个环节中都发挥着哪些作用,以及数据分类分级还能如何帮助组织优化资源配置,合理分配安全资源,提高防护效率,降本增效。
1、数据产生阶段:数据分类分级有助于明确数据的来源、重要性和敏感度,组织可以更清晰了解哪些数据是核心数据、重要数据或一般数据,哪些数据是关键资产,需要更多的关注和资源投入。
基于数据的分类分级结果,组织可以根据不同级别数据的安全需求和重要性,灵活地分配存储、计算和网络资源。这有助于数据在产生之初就得到合理保护和管理。
2、数据存储阶段:数据分类分级可以优化数据存储和管理,组织可以更好地规划存储空间,以便更有效地利用存储资源。同时,还能更好地监控和管理数据,确保数据在存储过程中的安全性和完整性。
针对不同级别的数据,组织还可以制定定制级的安全策略,包括访问控制、加密、监控等措施。这样,安全资源可以根据数据的敏感程度进行有针对性地分配,确保高风险数据得到充分保护。
3、数据使用阶段:数据分类分级可以提高数据的可用性和可访问性。比如,可将相似数据放在一起,便于用户快速找到所需信息,大大减少查找和整理数据的人力和时间成本,提高工作效率。
此外,数据分类分级还可提高数据的安全性和隐私保护。对于不同级别的数据,组织可以采取不同的安全措施来保护数据的安全性和隐私。
还有,尤其是当安全事件发生之时,这一点就尤为关键。即数据分类分级可以帮助组织确定安全事件的优先级。当发生安全事件时,组织可以根据受影响数据的级别迅速做出反应,优先处理最高级别的数据。
4、数据销毁阶段:通过对数据进行分类分级,可更精准判断哪些数据需要销毁,哪些数据需要保留。对于需要销毁的数据,可以采取措施确保数据被彻底删除,避免数据被恢复和泄露风险。
另外,对于很多组织而言,安全往往与业务密不可分。随着业务的发展和数据的变化,组织的安全需求也会发生变化。数据分类分级可以作为一个动态的过程,定期对数据进行重新评估和调整,确保安全防护措施始终与业务需求保持一致。
数据分类分级还能帮助组织满足各种法规和标准的要求,如GDPR、HIPAA等。通过明确数据的分类和级别,组织可以更容易地证明其对数据保护的合规性,降低法律风险。
由此可见,通过实施数据分类分级,组织可以更好地理解其数据,识别风险,并采取适当的保护措施,从而更好地防范网络风险。数据分类分级与数据安全、合规性等目标,以及企业当下对于优化资源配置、降本增效等之间密不可分,其价值不言而喻。
数据分类分级的现实挑战与解决方案
有句话说,理想很丰满,现实很骨感。
虽然数据分类分级拥有举足轻重的价值与意义,但也不得不承认,其在现实践行过程中,确实存在很多难点和难度,比如数据量大、分类标准不统一、技术实现难度等。
对于数据分类分级的认知也有人存在一些偏差。比如认为数据资产比网络资产流动性更大,变化也更快,在安全没有办法比业务更能理解业务的情况下,数据分类分级不会长久;又如数据分类分级当前对很多组织投资巨大,收益太小;还如目前数据分类分级很多企业还都局限在数据库层面的资产盘点等等。
确实,从某些方面,比如具象化、可量化的实际效用上,确实很难证明数据分类分级的价值。并且就当下整体的安全行业来说,数据分类分级确实更多地表现为一种概念,变成产品侧的噱头、抓手。
承认问题存在,才能更好地了解问题、解决问题。所以,我们也承认数据分类分级在实施过程中可能遇到的各类挑战,例如技术的深入性、以偏概全等带节奏的点位等等。所以,我们不妨从以下四个视角,来提出一些对应的解决方法:
1、分析这些挑战产生的原因和影响,为解决方案的制定提供依据;
2、提出针对数据分类分级挑战的解决方案,包括完善分类标准、加强技术支持、增强员工安全意识等;
3、强调持续改进和创新的重要性,以适应不断变化的数据安全环境和需求;
4、展现其在实际应用中的可行性和有效性。
在深入探讨数据分类分级的意义后,我们不难发现,这一过程并非孤立存在,而是与数据安全管理的各个方面紧密相连。特别是在当前数字化、信息化快速发展的时代背景下,数据已成为企业最宝贵的资产之一,其安全与否直接关系到企业的生存和发展。
当我们谈到数据分类分级时,我们实际上是在构建一个有序、高效的数据管理体系,覆盖数据发现识别能力、保护能力、处置能力以及管控能力。
然而,这样的体系要想真正发挥作用,就必须有一个坚实的基础——那就是对数据安全的全面掌控。这里,我们不得不提及数据安全风险评估的重要性。
数据安全风险评估,就像是为数据安全管理体系提供了一把“金钥匙”。它不仅能够帮助我们更准确地识别数据的敏感度和重要性,还能揭示出潜在的安全威胁和脆弱性。通过这样的评估,我们能够更有针对性地制定安全策略,确保关键数据得到充分的保护。
因此,数据安全风险评估是数据分类分级工作不可或缺的一环。它能够为我们的数据分类分级工作提供有力的支撑和保障,使我们在构建数据管理体系时更加得心应手、游刃有余。在未来,随着技术的不断进步和数据的不断增长,数据安全风险评估的价值将会更加凸显。
数据分类分级未来大有可为
做安全,也要着眼当下,面向未来。
随着AI及AI大模型、大数据的技术发展,实际上数据分类分级未来更有大展拳脚的空间,因为数据分类分级可能更加智能化、自动化和精准化。
例如,利用深度学习、自然语言处理等技术,AI大模型可以自动识别和分类大量的文本、图像和音频数据。这将大大提高数据分类分级的效率和准确性,减少人工干预的需求。AI还能分析用户的行为模式和数据访问习惯,预测数据的使用风险,并实时调整数据分类分级策略。这将有助于实现更加动态和自适应的数据安全保护。
此外,AI大模型具备持续学习的能力,可以根据不断变化的数据特征和安全威胁进行自我优化,这将使数据分类分级策略更加灵活有效,甚至能够主动应对新型攻击和威胁。
由此产生的优势显而易见,数据分类分级将变得更加智能化和自动化。智能化的数据分类分级策略也可以减少人力,降低运营成本;更容易满足各种法规和标准的要求,降低法律风险。
继而再结合大数据技术,高效处理和分析海量数据集,为数据分类分级提供强大的计算能力和存储支持。这将使得组织更全面地了解其数据资产状况,制定更加精细化的分类分级策略。通过数据挖掘和分析技术,大数据可以帮助组织发现隐藏在数据中的潜在规律和关联。
所以,我们坚定地认为,数据分类分级是数据安全领域中必不可少的手段,可以说,做不到数据分类分级,那么组织在数据流动与使用的过程中,就无法实现真正实现数据安全。
毕竟,如果你都不知道你身上什么东西最值钱、最私密、最重要,那你谈何保护自身资产与隐私安全呢!
