前言
随着数据时代的发展和人们对数据认识的深化,很多企业已经将数据作为重要资产来看待。尤其大型集团企业,经过多年的信息化建设,已积累了大量的业务数据。特别是客户、供应商等包含的隐私数据、经营管理数据、企业考核信息与审计报告等大量重要数据。企业在利用大数据分析和挖掘时,既带来巨大的商业价值,但也不可避免地泄露相关信息。因此,数据和信息安全对企业发展与核心竞争力打造将具有重要影响。《工业企业数据分类分级指南》要求加强信息资源管理与控制,强调要进行分级分类管理。《贵州省政府数据数据分类分级指南》将政府数据依照主题、行业等进行分类,同时将数据安全进行了等级划分,但是缺少级别的界定,存在分类与分级合并上的不足。
目前,投资管控型企业面对海量的数据,其安全防护体系面对极大挑战,主要问题表现在:
①企业在建立业务系统过程中,为保证系统的安全,针对各系统均增加了安全防护设施,从而形成多个安全防护屏障,形成孤岛效应,这些既给公司增加了安全管理难度,同时也缺乏以数据为视角的安全保护体系;
②企业没有明确数据价值高低的方法,对于种类繁多的数据安全防护的粒度较粗,从而造成高价值数据保护力度不够;
所以,在大数据的环境下的安全防护和在一定安全范围内应用数据是企业亟需解决的难题。
数据分类分级是数据安全的基石,做好分类分级才能确保数据以适当的投入保持合适的控制水平。数据分类分级管理有助于在国家规定下加强对企业数据的统筹管理,实现数据在一定安全防范下的开放和价值共享。
数据分级的目标是确保信息按照其对组织的重要程度受到适当的保护。数据应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。
一、数据分类
投资管控型企业的数据资产分类横向覆盖到业务信息系统,纵向由业务职能延至具体的活动。投资业务范围涵盖客户信息、项目数据、销售数据、财务数据、人力数据、考核数据、供应链数据等;业务类别包含设计数据、施工数据、养护数据、财务数据、考核数据、供应链数据等;可以基于数据资产的业务过程,从数据域、业务职能、业务过程域到业务活动进行数据分类。
按照数据域进行分类是从企业整体考虑,以信息系统管理部门作为保障,根据不同部门设置数据域。按照职能域进行分类主要考虑业务活动的抽象。根据不同部门涉及的职能领域划分数据子类。按照业务的过程域进行分类,主要是为了业务目标需要进行的业务过程,同时在业务的职能域下设置过程域为小类。企业的业务活动是产生业务数据的最直接过程。数据将会诞生于数据域或职能域。
二、数据分级
根据ISO27001体系的核心思想:安全三要素保密性、完整性、可用性(Confidentiality、Integrity、 Availability,CIA),数据资产评价可由三要素的赋值情况来判定。根据CIA的赋值和权重能够计算出反映数据的业务价值,并结合数据的涉密性完成等级分类。依据投资管控型集团的特征,设计信息的价值公式:V=Round1{log2[(A×2Conf+B×2Int+C×2Ava)/3]}
其中:A代表保密性的权值;B代表完整性的权值;C代表可用性的权值;根据管理保密性、完整性和可用性可分为低、中、高和非常高4个等级;Round1代表保留一位小数。从投资管控型集团的业务性质和数据资产价值的全盘分布等方面综合考虑,类比电信行业的评分规律,给出CIA三属性权重的主要参考:A=1.68,B=0.71,C=0.69。
经过资产价值计算后可依据下表进行分级。
因此,数据资产分级操作的具体方法如下:
① 基于以上算法的分类结果,进行业务数据识别,从而确定该数据相对应的业务过程;
②依照分类与CIA 的权重与赋值,从而使数据资产得到合理估值;
③依照数据信息的对应的价值与保密性,形成最后的级别。
三、数据安全防护
从数据防护过程角度特分为事前防护、事中防护、事后处置。
1、事前防护———数据加密
投资管控型企业的数据可根据上述分级模型,从价值差异化的角度,划分为高敏感、敏感、内部和公共4个等级。此等级的安全性由高到低,可考虑不同的加密技术。综合安全性考虑采用如下的加密算法。
高敏感数据属于企业高级机密信息,安全需要的保护级别最高,必须采用最高强度加密算法。在国内尚无自主研发的AES加密设备情况下,可采用美国国家标准技术研究所发布的高级加密标准。
敏感数据则是企业机密信息,需较高强度加密算法。敏感数据也可采用国密SM4进行加密,国密SM4普遍得到认可。
内部数据主要是在企业内部流转,利用轻量级的密码硬软件较为有优势。Speck算法为轻量级密码算法的典型代表,可以用该算法对内部数据进行防护加密。
公共数据也是企业数据资产的一个组成部分, 对公众开放。因此,无需加密处理。在数据被访问之前作为加密的手段确保数据泄露,在数据导出显示之前,通过加密方式防止数据被随意使用。
2、事中防护———数据防泄漏
事中防护的主要是针对数据在使用的过程中, 判断是否有违规访问,同时可以通过有敏感信息的监测是否有违规访问。当用户借应用Server或PC 向数据库发出访问请求时,相关的查询语句要通过数据库防护服务器的监听;网络防护服务器监测数据库防护器解析的查询语句中是否包含违规访问, 并采取一定的监听及阻断行动,进而生成审计日志, 审计日志将上传至数据安全管理平台,用于取证,将原有计划的模块在数据库中的保密级别表对应检查出预警点,从而实现分级防泄漏,。
3、事后处置———追踪取证
安全管控平台捕获到告警事件,将迅速匹配数据实体,捕捉到相关信息链,从而精确找到用户,告警事件的警戒的效率与日志处理的方式息息相关。
日志收集 →日志处理 →日志存储 →追踪取证
日志收集:可利用xml方式去收集系统中的产生的数据行为日志;
日志处理:规范化处理日志;
日志存储:利用当前大数据技术开发专门的存储平台,并作时间标记;
追踪取证:发生警告后,快速根据事件检索与事件相关的所有数据日志的信息,定位问题,从而追究原因。
四、结束语
数据的分级分类的管理逐渐到企业数据资产管理部门的高度重视,并且得到高层领导的关注,最新出台的网络安全法、个人隐私保护法草案对企业数据管理要求越来越高。无论是高估还是低估数据的价值,都会引起企业数据的不准确的风险评估。只有科学的对数据分类分级,在数据安全的范围内得以有效利用,规避监管风险和数据泄露风险等,才能最大限度发挥数据应用的价值。