- 1Python实现微信自动回复信息的功能(根据不同信息回复对应的信息),手把手搭建加代码分析_python自动回复微信消息
- 2基于IMX6ULL的嵌入式Linux开发学习笔记——(1)总体简述_嵌入式开发 虚拟机 切换目录
- 3MAC10.15.4无法开启ToDesk屏幕录制权限_todesk录屏功能开启
- 4Verilog | 分频电路实现_verilog分频
- 5Python 基础教程【2】:条件语句和循环语句_python 条件语句 写法
- 6Engineering Applications of Artificial Intelligence(EAAI)投稿过程
- 7国际绝对音名标准频率定义(32位无符号整型精度、十二等律体系、A4=440.01000Hz)_a0频率
- 8分布式数据库Redis的简介、安装与设置使用指令_、redis csdn
- 9DAY24:信息搜集_ksubdomain +fscan
- 10Linux系统安装Hadoop步骤详解_linux安装hadoop
数据安全管理之分类分级_数据分类分级管理平台
赞
踩
本博客地址:https://security.blog.csdn.net/article/details/131033616
一、数据分类分级概述
数据分类分级是为了加强企业对数据的安全管理而对数据进行类别划分与级别划分的一种管理措施。它是数据安全管理的关键部分,是建立统一、完善、准确的数据安全架构的基础。同时也是一个理论上很简单,但实际操作起来非常复杂的事情,本文主要介绍数据分类分级的实践。
单从数据分类分级工作本身来说,其在数据安全管理中产生的价值并不大,它的真正价值在于将数据分类分级的结果输入给其他安全管理平台,其他安全管理平台就可以根据分类分级的结果,对不同类别、不同级别数据实施不同的安全管理措施,从而开展差异化的数据安全管理。
数据分类管理``和数据活动监控是帮助保护关键信息的两种有效方法。在充分保护敏感数据之前,需要对数据进行识别和分类,对数据进行自动发现并分类的过程是对数据进行保护的关键策略。通过对数据活动进行监控,不仅可以了解谁在访问敏感信息,还可以了解正在访问哪些信息。当满足某些条件时,会触发警报,并且可以在必要的情况下阻止或隔离数据访问连接。
二、建立数据分类分级制度
做数据分类分级,第一步要做的就是建立分类分级管理制度,由于制度具有文档属性,因此这一步做起来相对较为容易,这里主要介绍编写数据分类分级管理制度的思路。
在数据分类分级管理制度中,首先要明确数据分类分级的原则和数据分类分级的大致步骤,数据分类分级的步骤一般都是先对业务进行划分,然后根据划分好的业务来归类数据,之后再根据分级要求来划分数据的级别,最后是分类分级完成后的一些工作。
在明确了以上后,第二步是对数据分类分级的步骤进行详细的描述。在对数据进行分类时,不同的企业会将业务分为不同的大类,这样数据也就会跟着分为不同的大类,不同的大类又会分为不同的小类,这个根据企业的具体情况而定。最终从大到小形成一级类别、二级类别、三级类别……等等。
在对数据进行分级时,一般都是按照【数据一旦遭到篡改、破坏、泄漏或者非法获取、非法利用,对国家安全、公共利益或个人、组织合法权益造成的危害程度】来进行分级的,一般情况下分为3-5个级别,不同级别的命名也是随意命名的,考虑到级别的通用性(比如你叫秘密级,他叫敏感级等等,导致概念对不齐),通常不会将数据级别定义为机密级、秘密级等,而是定义为L1级、L2级这种级别。
最后,在该制度中还应当根据公司的具体情况列明不同类别和不同级别都有哪些数据字段(这里列明主要数据即可)。数据分类分级的管理制度是为了后续给数据全生命周期涉及到的技术和管理提供依据的。
三、建立数据分类分级平台
对于数据分类分级平台,这里只有外采和自研两种方案,具体就不多说了。
数据分类分级的实际工作全部都集中在数据分类分级平台上开展,平台的权限按照最小权限、互相隔离的原则进行分配,设置管理员、操作员和审计员角色。管理员负责账号分配、分类分级模版管理、配置敏感数据特征规则库等,操作员认领和管理数据资产并定期执行扫描任务、处理扫描结果,审计员查看审计日志,识别违规操作行为。
四、数据资产梳理及接入
这里梳理的数据资产主要是指数据库,除了靠人工梳理数据资产外,还可以通过扫描的方式发现数据资产,并对数据资产进行梳理。
人工梳理数据资产梳理方面,主要通过两种方式进行梳理,一是通过自上而下的业务视角,分析业务数据流转过程中所涉及的数据资产信息,形成资产清单列表。二是自下而上的梳理,通过从底层数据库存储方面进行敏感数据的发现,明确数据资产所属的系统,从而形成资产清单。
梳理数据资产主要是梳理数据资产的名称、链接地址、端口号、数据库名、账号密码、所属部门等,之后将梳理出来的数据资产逐一接入数据分类分级平台,接入时可以选择抽取样本的条数,一般为10条左右,一来减轻服务压力,二来降低数据泄露的风险。对于数据的更新时间,选择一个不忙的时间就可以了,例如凌晨2点。
人工梳理资产接入如图所示:
自动扫描发现数据资产如图所示:
五、分类分级模板维护
数据分类分级模板维护是数据分类分级工作中最为关键的一步,也是最难的一步。
这一步我们首先需要根据前面编写好的《数据分类分级管理制度》来设计数据分类分级的架构,简单来讲就是将制度中的类别和级别录入到系统中,例如分多少个类,每个类叫啥名,分多少个级,每个级如何定义等。但需要注意的是管理制度和实际可能会有出入,不能照本宣科。
在这里,分类分级模板需要覆盖到所有数据,我们会发现实际上的数据远比理论上的数据要复杂的多,会冒出很多奇奇怪怪的数据字段出来,例如这个名称或那个类型的种种,所以在分类分级制度中只需要列举主要字段所在的类别和级别就可以了,因为制度中是写不全的。
另外,实际中的数据还会存在诸多问题,例如姓名字段,有可能会叫name、names、username、usersname、xingming、yonghu、yonghuming、shouhuoren……等各式各样的名称,如果数据库中的字段没有写备注,那就只能挨个排查,而面对天量的数据字段,这是一个很难完成的工作。除此之外,还有例如在这个库中username字段是指姓名,而另一个库中username是指口令名(可能是邮箱、QQ号、手机号之类的东西),导致同一个字段的释义是完全是两个不同的概念。此类奇怪问题多到例举不完。
可以看到,实际中的数据存在的问题非常多,这些问题会严重影响分类分级模板的准确性与维护的难度!
目前对于分类分级模板的维护尚未有较好的解决办法,相对比较柔和的办法是为每个库都维护一个独立的分类分级模板,毕竟就单一库来说,存在一些坑爹问题的概率要低很多。而分类分级模板可以直接复制,这样相同字段的规则就可以直接使用了。
模板如下所示(图片不涉及泄密,因为这是官方的demo):
六、分类分级任务执行
数据分类分级模板设置完成之后,选中对应的数据资产使用这个分类分级模板执行分类分级任务即可,分类分级任务是一键执行的。
那这里我们主要做什么工作呢?这里主要关注并解决的问题是:由于数据分类分级模板的不完善,导致部分数据字段没有被匹配到或者匹配错误的问题。
对于以上问题,主要的解决办法是通过回头完善数据分类分级模板,之后再次执行数据分类分级任务,以此往复不断完善。同时也可以对未匹配到的数据字段进行人工打标,即人工直接指定该字段所属的类型与级别。
这里的工作量主要取决于数据分类分级模板的完善程度,即产生问题字段的多少,如果产生问题的数据字段不多,则可以很快完成问题字段的修补,如果产生问题的数据字段很多,则工作量较大。
将所有数据字段都划分到对应的类别和级别后,数据分类分级工作就算是基本完成了。但数据库中的数据不是一成不变的,因此接下来需要维护好新增数据库表和新增数据字段的分类分级。
最后,可以通过数据分类分级平台生成一些分类分级的数据报表,便于直观的对分类分级工作进行管理。
分类分级任务执行如图所示:
分类分级数据报表如图所示:
七、分类分级结果与其他平台联动
我们前面说到,单纯的只做数据分类分级工作并没有特别大的价值,数据分类分级的目的是为了对数据进行更好的差异化管理,而不是一把梭式的管理,所以对数据做完分类分级后,需要将分类分级的结果对接到其他的安全管理平台中进行差异化管理。
举个例子,我们将数据分类分级结果对接到OA审批系统中,即可实现数据外发审批的自动化,当数据是公开级别时,可自动判定无审批通过,当数据级别不是公开级别时,可以依据不同的数据级别自动对接不同的审批层级。
再举个例子,我们将数据分类分级的结果对接到数据防泄漏系统中,公开级别的数据外发不会触发DLP的拦截规则,而非公开级别的数据外发,则会根据外发数据的敏感度、数据量来触发不同的告警。
八、总结
总体来说,使用数据分类分级平台可以帮助我们完成资产的梳理与发现工作,并大大降低了数据分类分级的难度,弥补手工分类分级的各种短板。
