数据分类分级
吉祥学安全知识星球🔗除了包含技术干货:Java代码审计、web安全、应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。
01
—
数据分类分级的定义
数据分类分级在实际应用中通常包括以下几个方面:
- 数据分类:将具有某种共同属性或特征的数据归并在一起,通过其类别的属性或特征来对数据进行区别。
- 数据分级:基于数据的重要性或敏感度进行级别划分,例如公开、内部、重要核心等级别。
目的:控制访问权限、实施差异化保护、风险管理。
从分类分级的逻辑上来说,可谓正当合理、严肃权威,也因此这几年每年都能驱动数十亿的数据分类分级项目。(银行、金融机构、政府、大企业每年都做,平均一个项目价格在 50 万至 100 万之间。)
02
—
数据分类分级现实问题
小时候家里做过小生意,经常看到爸妈晚上坐在一起把当天挣的钱进行分类,按照金额大小,破损情况进行分类分级。
那这样分好类的钱存放起来就安全了么?小偷就不会去偷了么?其实分好类的钱并不影响它的安全性,只是在使用起来更加的高效,更加的便捷,只是提高的钱的使用效率。
这个案例其实和我们对数据分类分级是一个意思,按照数据的价值进行分级分类,而分级分类后的数据并不代表它是安全的,他只是在未来做数据安全防护的一个起点,第一步,而后做的数据安全的防护的开始。
03
—
数据分类分级误把起点当终点
逻辑,这位既迷人又让人摸不着北的美女,真不知道是哪位大咖给她穿上了如此合身又闭合的逻辑战袍,同时又让她远离了现实的尘嚣。
这么多年以来,分类分级这个词已经变成了一个永无止境的数据管控游戏。新的专家和行业实践就像派对的DJ,不断地给大家分享和指导如何正确地给数据分类分级。而大家仿佛达成了无声的协议,对分类分级与真正目的之间的巨大鸿沟,假装看不见,也不去讨论。
04
—
数据分类分级的终极目标
数据分类分级不是目的,而是手段,最终目标是保护重要数据。
应用层面的数据分类分级工作应得到更多重视。
依据整个数据流来分析,在应用后端服务加上数据网关、在业务系统后采用隔离浏览器,只有加上这两种技术,才能够让数据在动态的情况下进行防护。
真正的分类分级保护其实最终针对的还是“正常”的用户,如企业自家员工、外包人员、合作机构等展开的不同安全等级的控制,而并非针对以非法入侵手段进行数据窃取和破坏的高级黑ke。由此判断,应用层面的数据分类分级工作应该更为重要才是。未来大概率合规和数据安全会呈现以下态势:
