正文

分类分级联动,联动了什么?

admin
admin V管理员 /0 评论 /67 阅读
0718
此篇文章发布距今已超过63天,您需要注意文章的内容或图片是否可用!
探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击  "合规社"  > 点击右上角“···” > 设为星标⭐
作者:木言

■编辑:郑烨

分类分级联动,联动了什么?

目前业界谈数据安全建设体系化,核心就是以分级分类为基础,围绕业务场景构建数据安全联动体系,或者围绕数据全生命周期构建联动体系,那么我们看看具体是怎么落地呢?

1.第一种,分类分级和单产品的联动,分类分级工具将表结构信息和分类分级标签信息持久化同步至单产品,如:

  • 依据数据分类分级的结果,给不同的运维人员进行权限管控,具有某个权限的用户只能访问特定级别的数据,数据库网关不需进行人工盘点,便可自动与分类分级结果联动,有效避免高风险数据泄漏,实现数据精细化管控。

  • 静态脱敏设备根据请求对象向分类分级工具请求表结构以及字段所对应的分类分级标签,静态脱敏工具根据根据获取的字段和分类分级标签信息,针对不同数据等级的数据脱敏相关要求进行脱敏。

2.第二种,分类分级直接对接数据安全管理平台(DSP),结合身份权限梳理确定身份访问数据资产的策略,然后将策略下发至各个单点的数据安全设备,相比较第一种方式,可以实现全局的身份、分类分级标签及访问关系的统一管理、统一下发,有效提升了管理的效率。

看到这里,你会觉得这一套体系在逻辑上是能够满足数据安全管控需求,那么我们进一步剖析其中存在的问题:

1.标签使用问题
无论是单品的联动,还是基于平台的体系化联动,在进行数据安全管控或者处理的时候,仅仅是使用数据安全等级的标签,对于分类的标签选择性遗忘了,为什么遗忘?
核心是现有的数据管控颗粒度不关注分类的标签,各种行业的数据安全法律法规对于数据的管控要求也是基于安全等级的标签,那么我们在安全的视角做分类分级的价值就大大缩水了,对数据分类在安全维度仅仅成为一个资产台账的功能,或者说在分类分级开始的时候,会把分类当做分级的一个参考值,同一字段在不同表或不同系统内,由于根据组织关系或业务重要性对字段会有不同的分类,进而同一字段的敏感级会有不同,仅此而已。
2.使用场景的问题
使用分类分级联动的第一个前置条件是数据分类分级的标签必须传递至各类安全监测、管控工具中,同时这些安全工具还需要知道数据库的库表结构,那么我们考虑一个实际的业务场景。
一个业务系统通过执行一个SQL读取了数据库的几个字段信息,通过API接口传递至其他系统业务,以便响应其发起的业务,或者该系统前端的WEB侧的业务展示,这个时候,查询数据的 SQL 语句就是应用后端服务自己组装出来的,结果也是赤裸裸的数据本身,你会发现数据库中字段的标签信息丢失了,从而也就无法利用基于数据库分类分级的结果了,这会存在如下两个问题:
(1)应用层面的数据管控,只能依靠应用层面的数据内容识别后数据分级,注意,这里很少会谈及分类的概念了,我们只会对这个数据或者数据集进行分级。同时针对应用内容,还需要具备动态的分类分级能力,首先需要对内容进行识别,判定数据的敏感等级,同时基于敏感等级进行各类安全策略管控。

(2)业务系统之间的访问、或者前端的业务展示,不是以字段为维度,普遍是多个字段的组合,即:数据集/临时数据表的方式。由于字段的组合造成数据融合,数据的敏感等级可能会发生变化。

看到这里,你会发现数据的分类分级简单分为两类:

  • 基于应用侧内容的分类分级分(其实很少会考虑分类)

  • 基于数据库的分类分级(其实本质也是分级,分类的标签价值很小)

他们两者之间是割裂的,这两者差异性对比如下:
(1)应用侧内容分类分级分级,应用得先获得数据才能处理数据,然后基于应用内容识别进行管控,更多的体现在事中的事件管控。

(2)数据库内容的分类分级,需要具备梳理分类分级的资产清单,基本上明确给什么数据再把可以对数据进行处理,更多的体现在事前的事件管控。

回到本文的起点,分类分级到底联动了什么?

目前的分类分级,多数是基于数据库的分类分级,由于数据库分类分级标签传递问题,因此更多的只能用于用户后端直接针对数据库操作的场景,如前文的数据库网关、脱敏,应用场景其实有限,那么企业耗费大量的时间和精力做数据库分类分级,最终在管控侧的价值有多大呢?至于分类分级中的分类标签,如何更好在数据安全管控中体现其价值,业界也很少有这方面的探索。

此外,针对业务侧内容的分类分级,如果业务系统能够在传递字段信息时,能够将数据库元数据信息同步进行传递,同时增加对于数据集的功能,那么才能够将分类分级联动体系覆盖至业务,目前看来任重而道远。

再往前看,只有这两者的分类分级实现融合,那么数据安全分类分级联动安全管控、监测这一套体系才能够覆盖到数据使用的绝对多数场景,满足客户侧真正的数据安全建设诉求。

  本文作者 
木言
数字安全业务规划专家
在金融、政府、医疗、等行业有丰富的行业实践经验,对数据安全体系有深入的理解,长期关注和从事零信任、CARTA、CSF等技术框架在数据安全领域的实践落地,擅长数据安全方向的技术体系建设与应用、数据安全体系的创新与实践等。

注:本文部分思路参考了Janky的文章内容。

📖 推荐阅读


-END-

「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。

640+次内容更新
1100份+干货文件不限下载
定期举办高质量闭门安全合规实务交流会

380+律师、法务合规、数据保护、安全人员共同选择

⬇️⬇️⬇️


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com