观点 | 数据分类分级,是中国网安集体编织的“皇帝新衣”
2024-5-7 10:30:5 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

曾经有大佬讲过,如果想要实现财务自由,就去创业。还在创业路上的人,是万万不敢给后来人如此建议,因为我们常常看到的是冲进创业赛道的 10 个人,有 9 个半出来的,变得更穷了。不过钱财毕竟身外之物,除了飘渺的钱财外,创业还能带来其它很多收获。

比如,如果你想要识别人心,见识形形色色的各类人物,创业就是最好的途径,没有之一。

无比自嗨的创业者,着眼全球的投资人,行色匆匆的老板,照本宣科的专家,夸夸其谈的销售,沉默寡言的技术大拿,虚与委蛇的小领导。

每个人都有自己的一套逻辑,无比自洽,局外人难辨真假,只能从偶尔瞥见的对方晃动的二郎腿和飘忽不定的眼神判断,此人不甚靠谱,仅此而已。

数据分类分级,逻辑极其自洽

此处省略关于什么是数据分类分级定义的长篇累牍解释,简化来讲,数据分类是指将组织内部的数据按照其性质、用途、来源等因素进行逻辑上的分组。这通常包括但不限于个人身份信息(PII)、财务数据、健康医疗信息、知识产权、业务敏感信息等。数据分级,则是在分类的基础上,进一步根据数据的泄露或滥用可能给组织带来的风险程度,将其划分成不同等级,如公开级、内部级、敏感级和高度敏感级等。数据分类分级的想要达到的作用在于:

  • 精确控制访问权限确保只有授权人员才能访问敏感或关键数据。
  • 实施差异化保护依据数据的级别部署相应级别的安全控制措施,如加密、访问控制、监控和审计等。
  • 风险管理:通过识别和优先保护最重要的数据,降低数据泄露或滥用的风险。

逻辑可谓天衣无缝,正当合理,严肃权威。如此缜密的逻辑,驱动了每年至少数十亿的数据安全分类分级项目。(银行、金融机构、政府、大企业每年都做,平均一个项目价格在 50 万至 100 万之间。)

数据分类分级,脱离现实的期望

小时候家里承包过乡下的中学食堂,父母负责给全校的学生蒸包子、炒菜,每天都会收到零零散散的现金。忙过了饭点,父母就开始整理收到的菜钱,按照面值大小和破损程度,进行分类分级。这个例子很贴切,所有人都能深切理解。此处对于钞票的分类整理,目的和保障财产的安全(防盗)毫不相干,也毫无帮助,而仅仅在于日后更为方便的使用纸钞。把如今的数据,比作金钱,也是同样的道理。分类整理有其必要性,对数据的流通和使用有益,但和保障数据的安全关系不大。

独立的分类分级系统,现实用处不大

当前的数据分类分级重在资产盘点,就如同要详细整理出自家有多少资产一样,家里有多少张桌子、几把椅子、存款几何、车几辆、衣服多少件。整理结束,得到的就是不同维度的几张清单,当然这些清单不是打印到 A4 纸上的临时性记录,而是也会以结构化的数据存在,变成描述企业数据资产的数据。那么常见的是哪些清单呢:

1、《数据资产清单》

企业内有多少个应用,每个应用对应了多少个数据库,每个数据库对应了多少张数据表,每个数据表的数据量(字段数目、数据行数、数据存储空间大小)等等。

2、《数据分类分级清单》

与现有数据库一一映射的数据分类分级清单,如下面这样子的表格记录。

数据库名

数据表名字段名数据类型安全等级
db_customercus_detailsname姓名C3
db_customercus_detailssex性别C3
db_customercus_detailsage年龄C3
db_customercus_detailsphone电话号码C3

为什么这些清单叫做临时性的结果呢?因为应用或者业务系统是在不断迭代升级的,其结果就是对应的数据库和表结构会变化,数据库、表格、字段都在不停地增、删、改,对应的资产清单记录由于是人肉加工的结果,缺乏自动化的同步更新机制,势必导致资产清单的过时。对于平台型的企业,如大部分的科技企业,本身都是自研产品为主,那么只需要配合规范的内部开发流程,如应用开发者在涉及到数据库的变动的时候,必须同步更新元数据库(即上述资产清单),否则不予批准代码的推送和应用发布,如此才可保证资产清单的实时性和权威性地位。相反,对于大量依赖第三方服务商提供系统的机构,如政务部门和银行,这个问题将变得非常尖锐,每次系统的更新就意味着对历史资产清单的否定了。

把过程当做结果,把观点看作事实

这就是逻辑的魅力和强大的迷惑性,不知道是哪位专家给数据分类分级定义了如此完美又闭环的逻辑,同时又是如此远离现实的逻辑。

分类分级了这么多年,也没人去思考分类分级本身只是通往数据管控的过程而已,不断的还有新的专家和行业实践在到处分享和教导他人应该怎么做分类分级。所有人都对分类分级和真正的目的之间的这条鸿沟,默契的视而不见,避而不谈。

所有的网安从业者们,都在一起编织着一件看不见的华丽衣裳,也不知道到底是要穿给谁看的,童话里好歹还有个皇帝。

动态的分类分级能力,才是企业数据安全正解

几乎可以明确的是,现如今那一张张静态的分类分级表格,对于企业内部实际的数据管控几乎没啥价值。多少有点管控能力的地方,和那个独立的分类分级系统也没啥关系。

光是抨击问题而不带方案建议,多少也是有点耍流氓了。

数据分类分级,本质上代表的是数据识别的能力,企业需要具备。数据分类分级的目标,是要做数据管控,企业也需要具备。两者都具备的前提,才是数据分类分级应该有的姿态,缺少了任意一环都是欺骗,乙方欺骗甲方,甲方欺骗国家。

而要同时具备数据识别和安全管控的能力,那么就必须是在数据的动态使用过程中,附加两种能力。从技术上来讲,唯有数据网关和隔离浏览器两种技术路线。

文章来源:https://mp.weixin.qq.com/s/7qiUtKm723MBzyGRvSWBiw

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/400129.html
如有侵权请联系:admin#unsafe.sh