這是一場與“大”時代威脅的較量，信息化的不斷演進中，對數據安全的擔憂不會停止。

最近奧運會大熱，作為全球最受關注的賽事，東京奧運會也遭到了網絡安全的挑戰，據安全圈（ID:ChinaAnQuan）發文稱，東京奧運會出現148個釣魚網站，導致門票購買者及志愿者信息泄露，加上此前滴滴打車非法采集個人信息數據、“運滿滿”、“貨車幫”、“BOSS直聘”等相繼接受網絡安全審查，數據安全儼然已從個人、企業上升到國家安全，受到了不同層面的關注。

今年的6月10日，《中華人民共和國數據安全法》（簡稱：數據安全法）正式發布，并將于2021年9月1日施行。企業的數據安全保護該從何做起？第一步要弄清楚數據在哪里，這就涉及到數據的分類分級。

《數據安全法》指出“國家建立數據分類分級保護制度”，“各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護”。數據的分類分級已成為企業數據安全治理的必選題。

如何理解數據分級分類

數據的分類分級可以從以下幾個方面來理解：

數據分級分類的原則：科學性、實用性、自主性。

數據標準化：是對數據的定義、組織、監督和保護進行標準化的過程。數據標準化可以厘清進行數據分類分級的管理范圍。但一個企業的原始數據量之大，難以對每一條數據進行分級分類管理。因此數據分類分級管理的目標，只能是“有限可控”的數據標準項。

數據分類：把數據標準按照一定的規則和類目體系進行歸類，抽取它們的某一屬性的共性，形成不同屬性主題的歸類。

安全等級：一般根據數據的完整性、保密性、可用性遭到破壞、損失后的影響對象（國家安全、公眾權益、個人隱私、企業合法權益）和影響程度劃分等級。

數據安全的流程與步驟

企業數據安全定級總體來說是一個龐大的數據治理咨詢工作，聯軟認為從流程上主要分為5個步驟，其中的難點為：

?建立響應的組織架構與項目團隊：組織架構為長期，項目團隊為臨時。

?前期背景、環境、數據的調研：龐大的調研與收集工作，如由第三方落地將面臨許多權限與協調問題（難點：數據形態多和分布廣、自身保密性不同）。

?數據梳理：對收集到的數據通過技術手段進行聚類分類，形成不同的業務數據類型，人工校對（難點：分類的準確性）。

?數據定級：針對不同類型的業務數據進行安全數據影響評估及定級（難點：逐條數據定級不現實，只能對一類數據進行評估定級，依賴數據梳理的準確性）。

?定級審核和管理流程制定：內部數據安全分級與管理制度的制定。

聯軟科技數據安全方案之“摸清家底”

數據安全建設是為了避免敏感數據的泄露。首先通過定義敏感數據的內容，借助技術手段進行有效管控，是數據安全建設的重點。以數據智能識別和發現為基礎，通過授權控制、智能隔離、安全流轉、審計追溯等手段，保護企業業務系統和終端上的業務數據，保證數據的高效傳輸、分享和交換。在“摸清家底”上，聯軟UniDLP數據防泄露系統利用更高效簡單的方法幫助企業發現和識別數據。

?數據調研梳理

任何管理動作和技術措施最終要保護的對象是信息本身，調硏梳理能夠準確識別需要保護的對象。企業中各業務部門對自己所掌握的各類信息是最清楚的，需要用統一的方法論結合業務實際情況，才能完成對敏感信息的準確識別。

同時，UniDLP數據防泄露系統提供數據梳理服務，對企業典型數據進行調研，通過半自動化的梳理工具對數據進行分類分級，并對數據面臨的風險進行評估，幫助企業制定數據治理方案。

?敏感數據定義

UniDLP數據防泄露系統提供數據識別功能，支持對文檔、源代碼、圖片等文件進行文件源格式識別，并基于關鍵字、正則表達式、數據標識符、智能聚類、文檔相似度/唯一標記/流轉記錄/信息容量等方法對內容進行感知，實現對文檔所屬類別、級別的判定，以及數據血緣關系、分布地圖、風險態勢等分析。

數據分類分級是企業數據安全合規使用的基礎，做好數據分級分類是保護重要資產的第一步，通過對敏感及重要數據的分類，降低企業數據泄露的風險，提升整體數據安全防護和運營能力。

參考文獻：

1、地方標準DB 3301/T 0322.3—2020《數據資源管理：政務數據分類分級 》

2、《金融數據安全 數據安全分級指南》（JR/T 0197—2020）

3、安全圈公眾號文《東京奧運會出現148個釣魚網站 門票購票者及志愿者信息泄露》

4、新華社《為防范國家數據安全風險，對“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查》