中邦数据识别规则库探索之路

首页    数据安全    中邦数据识别规则库探索之路

 

一、数据安全问题多现

随着产业数字化的推进,大数据、人工智能等新兴技术在各行各业的运用使其产生的数据呈现海量增长,这些数据不但与公民的隐私息息相关,甚至与国家安全、公共利益密切相关,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能会对国家安全、公共利益或者个人、组织的合法权益造成严重危害。如何有针对性地选择合适的防护措施以及进行恰当的数据安全评估程序,成为数据安全建设过程中需要加以审慎的关键问题。

二、国家给出指导意见

2021年9月1日,《数据安全法》正式施行。该法第21条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

第21条以数据的重要性与危害性作为数据分级的考量标准,数据安全评估中的数据识别规则分级与该要求不谋而合。原因在于:数据安全评估的数据往往涉及国安、民生、经济、公民个人生活等多个领域。

三、中提出解决方案

西南政法大学新型网络犯罪研究中心认为:“数据分类的目的是正确选择能够达到评估目的的侦查措施。”不同类型的数据因其各自具有的独特性质得以区分开来,这在一定程度上能够指引数据处理人员有针对性地选择切实可行的保护措施,以此提高数据的安全防护水平。鉴于目前业内数据安全防护尚未从数据角度构建一套完整的防护规范,邦网安行业数据识别规则库针对不同类型、级别的数据,选择正确规则数据识别模型及匹配手段,以“血液透析”的方式发现数据安全防护问题,对开展恰当的数据安全评估程序具有重要意义。

四、规则库研究之路

(一)数据识别规则类型

数据分类是以内容、特征、作用等属性为标准,将具有相同属性的数据归为一类。比如,根据不同标准,对于数据处理活动中的数据识别规则可作如下划分:

(1)一层分类:根据数据所处之领域划分为金融、交通、能源、医疗健康、电子政务等不同领域的数据识别规则

此种划分是出于整体上便于各部门、机构有效管理数据之目的。业务活动中的数据分类是指根据数据的内容、形式、状态等性质,同时结合业务活动特点、业务领域以及不同数据对于业务数据处理所体现出的价值与功能等因素,进而对数据的类型进行区分。

根据上述方式,对数据识别规则按行业划分为金融数据识别规则类、交通数据识别规则类等。

(2)二层分类:根据数据的内容将业务处理活动中的数据分为业务数据识别规则与个人数据识别规则

业务数据识别规则识别数据内容对于认定业务数据处理事实真相具有重要意义,往往以数据展现出来的形式不符合国家和行业监管要求而进入行政处罚阶段。而个人数据识别规则识别数据内容主要体现的是对业务涉及的当事人身份信息,一般用于证明数据安全评估初期对被评估单位未履行数据安全保护义务的事实。因此,两类数据在数据安全评估的作用方面各不相同,采取此种分类可以帮助数据安全评估人员快速锁定单位数据安全存在的问题,继而提高监督检查的效率。

在一层分类的基础上,根据数据的内容,将数据识别规则划分成业务数据识别规则类和个人数据识别规则类。

(3)三层分类:根据数据的存在状态将数据处理活动中的数据分为静态数据识别规则与动态数据识别规则

静态数据往往保持一定的稳定性,较为容易获取识别,而动态数据因电子设备的运行、人为操作时的输入、输出等行为而产生,具有较强的数据变动性。经中研究发现,考虑到数据应用场景复杂,不能将静态的识别规则和识别方式用于动态识别。此种分类考虑到了数据在不同状态下的特性,对于评估方式的选择具有一定的指向性,同时也更加有利于数据安全工程师对数据的安全性评估。

根据数据存在的状态,中在前两层分类的基础上,将数据识别规则划分为静态数据识别规则类和动态数据识别规则类。

由此来看

在数据安全评估中的数据识别规则分类主要采取“实然”路径,即根据数据的实际内容、真实状态等具体标准来对数据进行客观描述并加以区分。此种路径强调数据安全工程师从数据自身特性出发进行归类,具有一定的客观性与稳定性,有助于快速锁定目标数据,匹配数据规则识别方法。

(二)数据识别规则级别

数据安全评估中的数据识别规则分级,是指基于不同数据在涉及国计民生、社会公益以及公民权利等多个方面的程度不同,出于对上述领域的安全考量而将数据作级别上的区分,以便后续针对不同级别的数据制定适宜的数据识别规则,尽可能审查数据安全防护情况的同时,保护上述领域中的重要利益。

作为当前数据安全评估中的主要数据识别方法——数据识别规则,对于识别国家、社会、公民等相关数据的重要性不言而喻。对比数据安全法第21条规定的思路,数据可以划分为“核心”“重要”“一般”三种级别。比如,被评估的数据如果与军事、国防、政治、经济核心秘密相关,如果不当处理可能会对国家安全、国民经济命脉、重要民生、重大公共利益等产生负面影响,就可以将之归为核心数据,对应匹配核心数据识别规则。如果是与国家安全、公共利益、公民权益密切相关的数据则可作为重要数据,对应匹配重要数据识别规则。其中最为典型的就是公民个人敏感数据,包括健康生理数据、生物识别数据、网络身份标识信息等。基于此类数据涉及公民名誉、自由以及财产权益,一旦泄露或被不当处理,则会对数据主体的身心健康甚至人身安全带来严重威胁。基于此,敏感数据需与一般数据加以区分,以此作为制定后续评估程序的基础。除核心数据、重要数据之外的可划分为一般数据,对应匹配一般数据识别规则。

由此可见,数据安全评估的数据识别规则分级主要采取“应然”路径,即根据数据的重要性、危害性等较为抽象的标准来进行主观描述并加以区分。此种路径强调数据安全管理人员要结合当下社会环境、公民权益需求等情况从数据存在的价值、意义出发来对其进行级别划分,具有一定的主观性与变动性,有助于指导数据识别规则的构建,保障数据的安全。

五、中邦交出的答卷

2022年09月03日中国审查技术与认证中心在产品认证申请平台开通了数据安全评估系统产品认证申请服务,同年10月11日,中网安“数据安全评估系统V1.0”(ZBCS-DSA)已率先通过了中国网络审查与技术认证中心(CCRC)的检测与认证,成为首家获得数据安全评估领域产品认证的企业。该产品的问世填补了数据安全评估细分领域的空白,为广大企事业单位的数据安全评估工作指明了方向,为数据安全监督检查部门及相关执法单位提供了新的监管思路和执法检查路径。

网安“数据安全评估系统V1.0”(ZBCS-DSA)在设计规划时,便将数据识别规则库设置为重要的一环,开发完成后,中数据识别规则项目组,将中邦网安多年的行业积累同各行业标准结合起来,为数据识别规则库赋能,数据识别规则库积沙成塔,经多次迭代后,为客户单位高效率发现数据安全问题提供保障。

现阶段的中邦网安数据安全评估系统产品,已成为各行用户开展数据安全自评估以及第三方评估的常态化设备,与此同时,配套的服务也成了数据运营者迈出的数据安全治理工作的第一步

六、规则库应用案例

某运营商实践后落地的数据安全评估项目,经评估,满足国家和行业主管部门关于数据安全监管的控制点和考核点要求,实现数据安全评估和风险防护双目标,并能够基于整体体系持续改进安全策略。

本次项目中,先后进行了2次评估,过程中中邦团队针对客户的内部70多个业务系统(涉及客服、运营、营销、通讯业务、客户管理系统CRM、采购等),500多个数据库6000多张表进行数据识别规则匹配,匹配结果反映出其内部存在1000多张敏感表。在使用动态数据规则匹配900+(G/日)动态数据,处理4000+(万条/日)数据时,发现可疑风险项1000多项,包含内部存在有部分个人信息未脱敏的风险项。

有营销业务部门的人员流量侧以及终端存放不经允许的客户姓名和联系电话,后经调查了解到,页面显示虽然已经对联络人手机号码进行了脱敏,但HTML源码中仍存在完整手机号码。

最终中团队输出数据安全评估报告,报告中具体展示了整改建议和措施,客户单位采纳中的建议,双方共同成立整改小组,对数据安全防护措施改善优化,最终在配合整改完成后再次评估达到了监管的考核要求,客户单位的数据安全防护能力也有了较大提高。

 

2023年4月3日 10:01
浏览量:0
收藏