據安全是高校的生命線,在數據安全合規要求不斷升級的大背景下,加強數據有效保護,確保數據安全共享應用,已成為高校信息化建設的前線。
安全高樓平地起,作為數據安全建設的基礎工作,通過數據分類分級,掌握數據資產現狀,識別核心數據、重要數據資產,針對性進行安全建設,至關重要,也越來越受高校關注。
但數據分類分級如何有效開展,校長也犯了難。
難題一:專業人才不足,開展數據分類分級力不從心:
高校信息化普遍存在“重建設、輕安全”的現象,人才團隊普遍不足,對于如何構建有效的數據安全防護體系,多數高校單位感到力不從心,而數據分類分級工作更是一項既需要業務知識,又需要數據專業支撐的課題,更是不知道如何進行開展。
難題二:標準方法缺失,不知如何對數據分類定級:
標準是指導數據分類分級工作的重要抓手,目前,教育部研究制定《教育系統核心數據和重要數據識別認定工作指南(試行)》,對核心數據、重要數據及觸發條件進行明確,并指出:教育數據按照內容屬性可分為機構數據、人員數據、業務數據等三類;教育數據按照重要性、精度、規模、安全風險等分為核心、重要、一般三級。
但總體而言,教育行業數據分類分級指南標準尚在完善,高校如何對數據分類定級依然缺少有效的指導依據,且行業標準屬于方向性定義,組織還需要結合自身業務特點及發展需要,建設可落地的數據分類分級方法。
難題三:傳統分類分級工具,效率低、周期長、準確度差:
目前,數據分類分級實踐以人工為主,這種方式周期長、效率低且主觀性比較強。雖然也有相應的工具和產品,但效果上表現一般,準確度差。此外,針對數據分類分級已經完成,單位組織也面臨應用的困擾,數據分類分級結果如何指導數據安全落地?數據不斷增長,采用什么工具進行管理,實現持續的運營?
面對上述難題,高校到底如何開展數據分類分級?
先后在大數據局、各高校、人社、農業農村、能源、金融、醫療、地產、企業、交通等各行業廣泛實踐,美創科技提供切實可落地的方法路徑。
美創科技提供具備豐富行業認知和數據專業知識的咨詢專家團隊,幫助高校對數據資源進行深入調研和自動識別發現,形成統一的數據資源列表,為后續數據分類分級奠定基礎。包括:
? 開展數據源現狀調研:對高校數據基本情況、責任主體情況、數據處理情況、數據安全環境等進行信息收集。
? 自動識別數據資源:通過暗數據發現和分類分級工具,自動并快速識別數據源。
? 匯總數據資源調研結果,以及工具自動識別數據源結果,整理輸出高校數據資產列表 。
依據相關要求,咨詢團隊協助制訂符合高校業務實際的數據分類分級內部標準規范文件(制度類),如:
? 數據分類分級具體要求;
? 數據分類分級工作中涉及的角色及職責;
? 數據分類分級的相關制度和操作流程的制定、發布、維護和更新的機制以及評審和修訂周期;
? 數據分類分級管理相關績效考評和評價機制等。
根據法律法規、行業要求,結合高校自身的數據特點及實際業務情況,以數據分類分級標準為指導,制定數據安全分類分級策略,輸出數據安全分類分級大綱。
? 數據分類策略:基于已經梳理和識別完成的數據資源和業務條線梳理成果,根據數據性質(特定的數據性質有所區別)、重要程度(與其他數據相比重要程度有區別)、管理需求(因特行的管理目的)或使用需求(與其他數據之間使用范圍/目的不同)等進行數據分類。
? 數據分級策略:數據分級影響因素較多,包括數據影響對象、影響范圍、影響程度等,需結合數據體量、數據聚合、數據實效性等進行綜合分析,完成數據定級。
以暗數據發現和分類分級系統輔助落地實施,系統引入自然語言處理、統計模型、特征分析、機器學習等技術,可自動并快速識別發現數據,根據分類分級策略智能化處理分類分級標簽,可視化呈現數據分類分級結果。
? 首先,根據高校業務特性將制定的數據識別規則和分類分級策略內置到【暗數據發現與分類分級】產品中,調試并形成行業數據發現模型和分類分級模版。
? 其次,完成作業配置后,由產品自動進行數據源掃描、識別,發現數據庫的數量、IP、端口、類型等信息;自動完成數據格式、內容的識別,數據含義的解析,自動輸出分類分級結果。
? 最后,將產品自動化發現的結果與業務人員進行核對,確保資產梳理和分類分級的準確性,最后輸出分類分級結果清單和可視化分析報告,工具提供數據分類分級結果對外輸出能力,工具提供標準對外接口,可將結果輸出到安全管控平臺等,實現數據分類分級的落地。
基于數據安全分類分級結果,應用于數據安全場景中,針對數據分級的結果,明確不同等級的處理策略,對數據的獲取與提供,制定不同的數據訪問權限或提取等管理審批流程。常見的處置方式如:
? 數據權限設計:依據數據分類分級結果制定數據安全訪問控制策略,指導持續的數據安全建設的數據安全監測、脫敏、加密、驗證、校驗和權限管理等數據管控措施設計。包括數據安全角色設計、數據安全用戶權限設計等。
? 分級管控設計:基于業務數據分類分級標識,結合場景設計方案,明確不同敏感級別的數據安全管控策略和措施,實施內部安全管理措施、審批制度及應急處置措施,構建不同業務領域的場景化數據安全管理矩陣。同時采取技術措施保障數據全生命周期安全過程中的數據安全,可應用在訪問控制、數據血緣分析、數據行為跟蹤、數據水印溯源等多種業務場景,并結合數據權限設計內容執行管控策略配置。
已形成完整的數據分類分級建設方法論體系;
可快速推動數據分類分級工作落地,并確保建設成果。
工具支持可視化展示分類分級落地執行過程;
自動輸出數據分類分級報告,形成分類分級大屏。
已完成大數據局、人社、能源、交通、教育、金融、醫療、交警等行業的落地;
行業模板內置工具,可快速在同行業推廣落地。
靈活選擇服務內容,如分類分級標準建設,形成行業/地方/組織內部的指導性文件;分類分級咨詢服務,構建分類策略和分級策略;
跨境場景的分類分級服務;合規場景的分類分級場景;
不同行業版本的分類分級工具等。
浙公網安備 33010502006954號 
