淺析等保2.0數據安全與數據分類分級實踐

◎中國電信集團系統集成有限責任公司 徐巖柏

一、等級保護2.0 中關于數據安全的要求

信息安全等級保護制度是國家信息安全保障工作的基礎，也是一項事關國家安全、社會穩定的政治任務。通過開展等級保護工作，發現企業網絡和信息系統與國家安全標準之間存在的差距，找到目前系統存在的安全隱患和不足，通過安全整改，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險。

為了適應現階段網絡安全新形勢、新變化以及新技術、新應用發展的要求，2018年公安部正式發布《網絡安全等級保護條例（征求意見稿）》，國家對信息安全技術與網絡安全保護邁入2.0 時代。等保2.0 相關的《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》等國家標準已2019年5月正式發布，從2019年1 2月1日開始實施。

等級保護2.0 將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全等工作內容全部納入了等級保護制度。其中數據保護比1.0 有了安全加強。《基本要求》具體與數據安全有關的條款(三級系統的通用要求)如下：

1、“8.1.2.2 通信傳輸 a）應采用校驗技術或密碼技術保證通信過程中數據的完整性。”該條等保要求業務數據通信的過程中要采用安全技術來保障數據傳輸的完整性，這里的校驗技術通常可以理解成CRC 等技術，密碼技術通常是通過摘要算法或者MAC 算法來完成完整性保護。

2、“8.1.2.2 通信傳輸 b）應采用密碼技術保證通信過程中數據的保密性。”該條等保要求業務數據通信的過程中要采用加密的方式來保障數據傳輸中的保密性，防止數據被截獲。這里的密碼技術通常會采用加密算法實現比如通過SM4、SM2 等完成加密性保護。

3、“8.1.2.3 可信驗證 可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證，并在應用程序的關鍵執行環節進行動態可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。”該條等保要求業務數據通信的過程中要對設備采用可信根的方式進行驗證，通常設備的可信根可以通過硬件或軟件的方式實現，硬件可以增加安全芯片或者密碼卡，軟件可以采用數字證書來作為安全驗證的起點，做法通常是在設備啟動或應用啟動時對關鍵數據進行完整性驗證，來發現程序、配置參數是沒有被惡意篡改的。

4、“8.1.4.1 身份鑒別 c）當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。”該條等保要求鑒別數據通信的過程中要采用加密的方式來保障鑒別數據傳輸中的保密性，防止數據被泄漏。這里的密碼技術通常會采用加密算法實現比如雜湊、MAC等完成加密性保護。

5、“8.1.4.3 安全審計 c）應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。”該條等保要求審計數據存儲的過程中要采用安全的方式來保障審計數據的完整性，防止數據被無意或惡意的變更。這里的完整性通常技術上會采用MAC 或簽名等算法實現保護。

6、“8.1.4.7 數據完整性 a）應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。”該條等保要求幾類數據通信的過程中要采用相關技術來保障數據傳輸的完整性，這里的校驗技術通常可以理解成CRC 等技術，密碼技術通常是通過摘要算法或者MAC 算法來完成完整性保護。

7、“8.1.4.7 數據完整性b）應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。”該條等保要求幾類數據通信的過程中要采用相關技術來保障數據存儲的完整性，這里的校驗技術通常可以理解成CRC 等技術，密碼技術通常是通過摘要算法或者MAC 算法來完成完整性保護。

8、“8.1.4.8 數據保密性 a）應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。”該條等保要求幾類數據通信的過程中要采用加密的方式來保障數據傳輸中的保密性，防止數據被截獲。這里的密碼技術通常會采用加密算法實現比如通過SM4、SM2 等完成加密性保護。

9、“8.1.4.8 數據保密性 b）應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。”該條等保要求幾類數據通信的過程中要采用加密的方式來保障數據存儲中的保密性，防止數據被截獲。這里的密碼技術通常會采用加密算法實現比如通過SM4、SM2 等完成加密性保護。

10、“8.1.4.9 數據備份與恢復 a 和b）應應提供重要數據的本地和異地數據備份與恢復功能。”該條等保要求系統重要數據要有安全的備份策略和備份頻率，保障數據的可用性。

11、“8.1.4.10 剩余信息保護 a 和b）應保證鑒別信息和存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。”該條等保要求系統重要數據在數據完成生命周期使命后能有效清除，保障數據的安全性。

12、“8.1.4.11 個人信息保護 a 和b）應僅采集和保存業務必須的用戶個人信息；應禁止未授權訪問和非法使用用戶個人信息。”該條等保要求系統的個人信息數據在數據在數據生命周期從數據采集到數據使用都能得到充分保護，保障個人信息數據的安全性。

二、數據安全現狀和面臨的問題

隨著信息技術的發展，眾多企業基礎業務、管理流程、企業間交換和共享的事務均已經運行在信息化支撐平臺之上。隨著大數據、云計算和人工智能等新技術的出現和發展，在各個行業均得到深入的應用。數據已經成為企業非常重要的信息資產，甚至是重要的生產要素，數據的重要性日益凸顯。

數據是技術與安全的銜接的紐帶。技術的發展帶來了數據的快速增長，數據的快速增長使得安全問題日益體現，所以就有了數據的精細化管理和差異化安全保障的出現。

數據是企業價值提升的加速器。數據是一種重要的資產，在企業經營中發揮著重要的作用，隨著數據的收集的廣度和深度的增加，通過數據進行精準客戶服務和差別化營銷成為可能，有利于企業競爭力的提高。

早期因為信息化程度不高，企業存儲的數據有限，大多是結構化數據，存儲在數據庫中。現在數據已經隨著互聯網的普及和移動互聯網的發展變的復雜多樣，既有結構化數據，也有圖片，視頻等非結構化數據。對這些數據進行分級分類進行存儲和管理是安全的前提，只有做好分類分級工作，才能明確數據全生命周期各個階段的保護要求，使得企業可以合理的分配數據保護資源和成本。

數據的泄露、濫用、篡改等安全威脅的影響也越來越頻繁，而且隨著數據資產價值的增加，威脅的影響從一個企業擴大為整個行業甚至是多個行業之間，甚至影響到公眾利益和社會秩序。

如何在滿足企業業務基本需求的前提下，增強數據安全保護能力，保障數據的全生命周期安全，已經成為當前亟待解決的問題。

現階段數據方面存在的主要問題有以下幾點。

1、企業缺乏統一的數據管理部門來統一協調和控制數據問題。信息系統往往掌握在各個不同的部門，數據的管理職責分散，甚至出現數據無人負責的情況，會出現數據的不統一，冗余，難以共享等問題。

2、數據沒有標準化。因為企業信息化建設的時期不同，早期的系統在建設時沒有從全局性考慮數據的標準，使得數據的類型、長度、編碼名稱等不一致，這為未來數據的共享和交換帶來較大麻煩。

3、數據共享和使用程度不夠。隨著數據越來越多，如何在企業各個部門之間甚至各個企業之間共享數據是一個棘手的問題。缺乏效率的共享方式很難適應數據大爆炸的時代需求。數據采集方面分散，數據整合能力不夠，導致數據在查詢分析和綜合利用方面沒有充分發揮出數據的價值。雖然很多企業建造了大數據平臺，但主要是承載了數據存儲的能力，在數據挖掘和分析使用上還有待加強。

4、數據安全管理能力普遍薄弱。近年來之所以數據安全事件頻頻發生，就是因為數據的價值越來越受到關注。隨著移動互聯網、物聯網等新型渠道的發展和終端的增加，數據尤其是個人信息數據將給安全管理提出新的挑戰，大量的證件號碼、電話號碼、居住地址等大量敏感信息一旦泄露將給企業帶來極大的經濟損失和名譽損失。如何加強數據安全管理制度建設和流程管理將是企業面臨的一個亟待解決的事情。

三、數據分類分級實踐

數據分類分級是信息安全管理體系合理建設、數據安全有效管控、人力資源合理利用的基礎，是邁向數據安全年精細化管理的重要一步。但數據因企業的文化、主營業務與管理風格的不同又有了較大的差別。

（一）金融行業分類分級情況

數據分類分級做的比較規范的是金融行業，行業標準是《JR/T 0158—2018 證券期貨業數據分類分級指引》。

證券期貨業數據分類分級指引的分類主要業務的細化和歸并兩個階段完成。第一階段，業務細分階段，將業務條線作為業務一級子類進行細分，確定業務二級子類(業務管理)，并對其命名。第二階段，數據歸類階段，在第一階段對業務細分基礎上，找到數據與業務二級子類之間對應關系，經歸類后，確定數據一級子類。業務細分可以細化數據的管理主體，使得數據的責任主體明晰，有利于數據管理。歸并可以有效減少重復和冗余，降低類別的復雜性和管理難度。這兩個階段在推動證券期貨業數據分類起到良好的借鑒意義。比如一級業務分類“交易業務”，下面有二級業務分類“交易管理”，再往下有子類的數據分類“成交信息”、“委托信息”、“日志信息”等等。

證券期貨業數據分類分級指引的分級主要從數據的價值、體量大小和數據泄露造成的影響等方面來進行考慮。定級三要素是：影響對象、影響范圍和影響程度。影響對象劃分成行業、機構、客戶；影響范圍劃分為多個行業、行業內多個機構、本機構；影響程度劃分成嚴重、中等、輕微和無四種。根據三要素的綜合評定(定級規則表)，將數據等級分成四級，從高到低劃分為：極高、高、中、低。比如“委托信息”的級別分析是：影響對象是本機構，影響范圍則是本機構的所有客戶，影響程度造成用戶不能下單有嚴重后果，綜合評定查表定為級別是嚴重。

（二）政府行業分類分級情況

省政府的地方標準有《DB 52/T 1123—2016 政府數據 數據分類分級指南》。標準采用多維度和線分類法相結合的方法，在主題、行業和服務三個維度對貴州省政府數據進行分類，對于每個維度采用線分類法將其分為大類、中類和小類。主題大類主要有綜合政務、經濟管理、國土資源、能源、工業、交通等等，行業分類主要有農、林、牧、漁業、采礦業、制造業等等，從大類里面繼續分成中類，再繼續分成各個小類。

政府數據數據分類分級指南的數據分級主要是從數據對國家安全、社會穩定和公民安全的重要程度，以及數據是否涉及國家秘密、用戶隱私等敏感信息角度來進行考慮。不同敏感級別的政府數據在遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益（受侵害客體）的危害程度來確定政府數據的級別。指南把數據分成三個等級：公開數據、內部數據和涉密數據。公開數據無敏感信息，可以完全開放；內部數據涉及部門敏感信息，需要在有效管控或脫敏的情況下決定開放；涉密數據原則上不允許開放，如需開放需要進行脫密處理。

（三）電信互聯網行業分類分級情況

電信互聯網行業的分類分級規范是《信息安全技術電信和互聯網大數據安全管控分類分級實施指南(草案)》。綜合考慮涉及的數據屬性、類型特征以及安全保護需求，將電信和互聯網中的數據分類為用戶身份相關數據(A 類)、用戶服務相關數據(B 類)和用戶服務衍生數據(C 類)三大類數據。

電信互聯網行業根據數據的敏感程度不同以及企業的實踐經驗，將電信和互聯網所涉及的用戶數據分為四個級別。它們是：極敏感級、敏感級、較敏感級和低敏感級。各個級別按照自身級別的管控要求處理輸出，比如“極敏感級”的數據將實施嚴格的技術和管理措施，采用加密和完整性等方法來保護數據，并嚴禁對外輸出該級別數據。

雖然有了行業的分類分級規范出臺，但真正能完全適用于企業信息化發展的分類分級，只靠以上文檔遠遠不夠。因為很多業務系統的分散性和建設時期的不同性，也造成梳理數據非常困難。所以很多企業采用了半自動化的數據分類分級方式，一部分規范定義的數據，可以根據數據庫字段定義的方式進行手工分類分級，另一部分是需要采用數據掃描發現的方式來進行自動分類分級，比如設備日志、音頻、圖片等非結構化數據。

分類是需要根據各個企業自身的業務特點和管理需求來定義的，不能完全照搬標準規范。比如一般企業客戶數據中，性別是“男”和“女”，而阿里巴巴卻定義有十八個性別，比如“輕熟男”“輕熟女”等等。這主要是因為企業需要對客戶進行精準分類而創造的一個分類方法，是定向營銷和推薦的前提。

分類分級是隨著時間的推移變化著的。比如阿里客戶分類的客戶是“輕熟男”類別，再過上十年后，他可能就變成“熟男”的類別，或者未婚的類別經過一段時間變成了已婚類別。級別也會隨著時間有變化，當前有時效性的重要信息，可能在未來變的沒有任何價值，比如漏洞信息數據。

數據的級別隨著數據量規模的增加也需要繼續調整，比如涉及的客戶信息數量巨大的情況下，其安全影響范圍和影響程度也會比較大，這時候應該調高級別。

數據的采集、交換和共享等吸收的數據的級別，原則上應該參考原始數據的級別，至少不應該低于原始數據的級別。

數據的統計、分析、加工等操作在原始數據的基礎上二次生成新的數據。如果再生數據和原始數據差別較大，可以獨立進行分級。如果再生數據對原始數據中的信息進行脫敏或泛化處理，則可以降低級別進行數據定義。級別的重新定義需要根據使用場景和管理手段的情況綜合定級。

綜上，數據分類分級在不同的行業有不同的規范，甚至在同一個行業的不同企業也有明顯的區別性，這是數據差異化保護的基礎。隨著海量數據的產生，大數據安全管理的問題也越來越引起重視，分類分級在數據安全治理中是重要的一環。但整體而言，業界不可能產生一個能滿足所有企業或機構的數據分類分級要求，需要根據自身的特點，從業務和管理兩條線進行梳理，形成適應機構未來發展的分類分級規范。