《数据安全法》颁布实施以来,以分类分级为基础,对数据进行差异化管理和防护,成为行业共识。
金融行业作为数据密集的高地,安全是重中之重,而鉴于金融数据种类和内容庞杂,面临规模化用数、普惠用数、跨机构共享用数等日益旺盛的安全需求,根据监管规范和标准,对数据采取分类分级措施,更成为有效推进数据安全建设的关键一环。
国内某农商行(简称A行),是当地规模最大、网点最多的地方金融机构。作为深耕区域,服务本地"三农"的金融主力军,A行近年来以数字化技术开山铺路,通过数据生态共享、客群深耕运营、场景应用接入,创新业务发展新模式,实现从部门银行升级成流程银行再到开放银行的跨越式发展。
业务的不断拓宽,数据量快速增多,随着数据安全合规要求日渐增长,以及数据安全风险威胁持续变化,进一步加强数据安全管控能力,坚持安全与数字化发展同步同频成为了一项重要工作。
目前,A行不同业务系统中存有大量不同类型的数据,高敏感暗数据多,随着业务的迭代快速,数据使用场景日趋提高,敏感数据的变化也更加频繁,给敏感数据的保护带来更大难度,采用"一刀切"式的数据安全防护则需要大量的安全投入,既易造成资源浪费,也给数据安全管理带来负担。
基于此,美创科技为A行提供基于分类分级的数据安全管控建设方案。
在具体的实施流程上,目前,美创暗数据发现和分类分级系统已基于大量行业实践和标准研究,内置农商行数据分类分级模板、丰富业务类型和发现规则及大量金融数据标准,开箱即用。
通过对A行核心系统进行数据源自动扫描、识别,发现数据库的数量、IP、端口、类型等信息,在完成字段业务类型的识别后,根据分类分级策略,智能化完成数据分类分级。
数据分类分级结果与数据库防水坝、数据脱敏产品进行策略联动,匹配细粒度的安全策略,实现以"身份+数据"为中心的数据库运维安全管控和高效精准化的脱敏能力,有效降低数据安全技术能力落地的整体建设成本,数据安全管理能力质效双增。
智能化工具支撑
完成高效数据分类分级
分类分级是整个数据安全措施落地的基础,因此智能、准确的数据识别能力是最重要的能力。
暗数据发现和分类分级系统依托自然语言处理、特征分析、机器学习等技术,实现精准的数据自动化识别和分类分级,节省大量人工成本。最终根据数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级。
在分类分级过程中,暗数据发现和分类分级系统进行可视化呈现,展示每个字段归属的分类、所属的安全等级,同时以报告形式展示分类分级成果,包括敏感数据分布情况、数据分类情况、数据分级情况等。
分类分级联动
构建精细化安全管控体系
◼︎ 基于分类分级实现细粒度运维安全管控
A行数据运维环境复杂,涉及人员众多,易存在非授权访问敏感数据、运维误操作、高危指令等风险。
数据库防水坝集敏感数据发现和管理、多因素身份准入机制、动态访问控制、敏感数据脱敏、误操作恢复、合规审计等多种功能,能够快速建立安全合规运维体系,加强对敏感数据安全访问及运维操作行为管控。
本次实践中,数据库防水坝通过多因素认证精准识别前端操作人员的身份,通过与分类分类分级系统联动,基于分类分级结果有效为后续的访问控制策略提供依据,精准识别被操作数据的敏感级别,对3级及以上敏感数据操作进行限制(参考《金融数据安全 数据生命周期安全规范》),实现敏感数据细粒度到列的精细化的安全管控,保障数据运维场景的安全。
◼︎ 基于分类分级提升数据脱敏效率和精准度
A行大量生产数据经常需要通过精准脱敏后传输到非生产环境,用于开发测试等环节,但由于业务系统后台数据库表的规模越来越庞大、结构越来越复杂,传统脱敏方式往往容易导致所获取的敏感数据表、字段等信息不准确,继而造成脱敏后数据无法达到"可用、合规、安全、高效"等预期目标。
美创静态数据脱敏系统内置灵活、丰富的脱敏算法,通过与暗数据发现和分类分级系统进行联动,精准识别核心数据库中的3级、4级数据,极大减少脱敏后仍存在敏感字段的现象。当开发测试过程中需要用数时,数据脱敏系统通过定义精确、灵活的数据脱敏策略,对不同类别的数据以不同方式进行脱敏变形处理,最大限度的保证脱敏后数据的特征一致性、逻辑一致性、业务规则关联性,从而以差异化的脱敏手段提升了脱敏效率和精准度。
在浩浩荡荡的数字化转型浪潮中,释放数据价值的前提是筑牢数据安全保障防线,数据分类分级作为迈向数据安全精细化管理的重要一步,则势在必行。
作为先行者和实践者,美创科技已在大数据局、人社、能源、金融、医疗、地产、企业、交通、教育等领域,帮助用户数据分类分级真正快速有效的落地。基于丰富的行业实践,美创科技也在不断推进数据分类分级的探索与实践,以期以更智能化的产品和符合业务、符合安全合规的方案服务,以安全之势守护数字化加速,让数据要素充分自由流通。