《數據分類分級自動化能力建設指南》報告發布
責編:gltian |2023-11-17 11:34:23數據分類分級作為數據安全治理的第一步,是近年來企業開展數據安全防護工作的重點。隨著企業數據量和復雜度的增加,僅通過手動方式進行分類分級已不可行,通過自動化技術提升數據分類分級效率和準確性成為當前企業組織的普遍需求。不過,組織想要實現數據分類分級自動化并不容易。首先,大多數企業在數據分類分級工作中,自動化程度仍然較低;其次,目前的自動化技術在數據分類分級準確性上存在一定偏差;此外,如何對非結構化數據進行自動化分類分級一直都是難點。
為了更好推動自動化技術在數據分類分級工作中的應用,安全牛以第十版全景圖報告中數據安全細分領域調研數據為基礎,邀請到綠盟科技、美創科技、億賽通、明朝萬達、神州數碼、觀安信息、紐盾科技、北信源(排名不分先后,按調研先后順序展現)8家國內數據安全治理領域的代表性廠商,聯合發起《數據分類分級自動化能力建設指南》報告(以下簡稱“報告”)研究工作,對當前我國企業組織數據分類分級自動化技術的能力供給、技術實現及應用實踐進行研究和分析。2023年11月15日,報告正式發布。
報告關鍵發現
- 當前,我國企業組織在開展數據分類分級工作中,平均自動化應用程度占比不足40%,大量的分類分級工作還需要人工進行,未來自動化應用程度有較大可提升空間;
- 影響自動化數據分類分級質量的主要因素包括數據識別率和打標準確率。調研數據統計發現,針對結構化數據,在無人工干預下,自動化分類分級的準確率僅為60%左右,只有通過人工干預后,最終的數據分類分級準確率才可以提升到90%以上;
- 企業組織數據分類分級自動化技術的應用程度主要取決于以下因素:數據體量大小、數據的質量、行業規范是否明確,以及數據安全保護意愿是否持續;
- 數據分類分級自動化的技術方案有較強的行業屬性,行業項目實踐數量是考量一個廠商數據分類分級自動化能力,以及在該行業實際可用性的重要指標;
- 非文本文件、流媒體文件是當前數據分類分級自動化實施中的難點,也是當前主流數據安全廠商研發的重點;
- 目前數據分類分級自動化能力構建還以項目為主,而未來隨著機器學習、知識庫、大模型等智能化技術的應用,以及甲方用戶數據安全能力的提升,數據安全廠商有可能會演變成為分類分級模板提供者。
數據分類分級自動化的目標
企業組織在開展數據分類分級工作時會面臨諸多挑戰,應優先使用效率高、周期性強且具有廣泛適用性的自動化技術和方法,實現對數據的更好管理與運用。構建自動化的數據分類分級能力,將有助于企業組織實現以下目標:
- 提升對海量數據資產分類分級的實施效率通過采用手工打標的方式對于小數據量是可行的,但是對于海量數據,無論從成本上還是從可擴展性上,人工方式均無法形成有效支撐,需要通過自動化技術來實現。
- 提升對隱藏數據資產的發現識別能力在很多企業中,有大量沒有被納管的數據資產無法被人工方式所識別。而通過自動化的數據資產發現工具,以主動的數據資產掃描發現方式,對隱匿的數據資產進行識別發現,提升企業對數據資產的管理能力。
- 提升分類分級知識復用能力通過數據分類分級自動化工作,企業組織可將項目形成的結論、結果、規則形成知識,并復用移植到其他數據安全管理工作中。這種知識積累可以在后續項目實施中應用,提升項目的實施效果,節約項目實施時間。
- 提升數據分類分級工作的持續性和實時性通常情況下,以項目實施進行的數據分類分級工作,最短期限也在半年以上,大型企業同一個業務系統甚至在一年周期。而通過部署自動化的數據分類分級工具,可以讓數據分類分級工作的實施更加靈活,實施周期也可以縮短至一個月。
- 提升數據分類分級工作的聯動能力人工進行數據分類分級工作,形成的結論不能動態、實時與其他安全設備聯動。而通過自動化數據分類分級產品聯動,能有效形成數據安全產品之間的聯動。
- 簡化數據安全管理與運營通過自動化方式掃描企業數據資產,并形成數據資產地圖,不僅可以提升企業對數據資產的把控能力,還可以提升數據安全運營工作的效率。
數據分類分級自動化的難點
企業在實現數據分類分級自動化的過程中,會存在以下三方面的困難和挑戰:
- 分類分級模板自動生成挑戰數據分類分級模板自動化生成需要規則及先驗知識,然而在兩個方面目前還比較欠缺:從生成規則上看,當前可直接用于生成模板標準、規定較少,無論是目前已有的分類分級國家標準還是行業標準,對數據分類的劃分較粗,無法對應成深入到字段級規則的分類分級掃描模板。從先驗知識上看,數據的業務屬性明顯,因此不同行業、不同企業數據分類分級模板很難直接移植。這就意味著,在進行自動化的分類分級工作前,需要有人工對測試分類分級結果進行評估,并對分類分級模板進行修改。
- 數據質量不穩定由數據資產掃描所識別出的數據質量是不穩定的。很多低質量的數據無法獲取其屬性,也無法準確地判斷其內容,這一方面加大了數據分類分級自動化的應用難度,另一方面低質量數據識別出的不準確結果,也可能無論是人為修改抑或自動修改識別模型,均存在影響模型準確度的可能。
- 數據分類分級準確率較低數據分類分級自動化工具的準確性一直是考察數據分類分級能力的重要指標,也是數據分類分級自動化能力的重要難點。從用戶側來講,用戶對數據資產的把控管理程度、用戶所在行業的標準細化程度能夠影響項目的準確率;從廠商側看,廠商數據安全服務人員的能力、已有項目積累、智能化技術的應用,均對數據分類分級準確率有影響。
數據分類分級自動化技術應用
從流程上看,數據分類分級工作可分為三個階段:準備階段、實施階段及持續運營階段。在此流程中,自動化技術主要可應用于實施階段和持續運營階段。
數據分類分級自動化工作原理
自動化技術在數據分級分類工作中的主要應用環節包括:
- 基于已有的規則庫,用實際的業務數據,對規則模板的應用情況進行自動化測試;
- 對數據資產進行自動化的主被動測試。對于可以主動探測的系統,采用主動探測的方式進行掃描;對于不可主動探測的系統,采用被動監聽的方式,根據數據量的大小,進行以天為單位的監聽工作;
- 對分類分級測試結果進行研判,并結合人工方式,對模板中的規則、特征等內容進行修改,在反復修改中,自動化形成適合項目的模板;
- 通過采用模板,對數據資產依照先分類,后定級的方式,進行數據分類分級自動化打標工作;
- 對數據分類分級結果進行評判,然后進行差值分析。如符合用戶要求,則生成清單、報告等,并繼續后續的數據安全治理工作。如不符合用戶要求,則持續改進直至符合;
- 對于大部分企業,還需要對數據進行持續的監督,并對增量數據進行持續的分類分級工作。
數據分類分級自動化雖然能夠在減少人工、提高效率等方面,對數據分類分級提供支持,但在是否選擇自動化工具時,報告認為企業還需要根據自身情況進行考量:
首先,要考慮自身的數據量,如果自身數據量不大,依靠手動的分類分級即可滿足需求,分類分級自動化工具的應用對效率的提升不高;
其次,要考慮數據分類分級的應用場景。一般來講,數據分類分級作為數據安全治理的第一步,后續必然會聯動其他安全技術。而如果用戶沒有持續地數據安全運營場景,數據分類分級自動化工具使用率較低;
再次,要考慮在自身行業,是否有數據分類分級的標準。如果沒有數據分類分級標準,建立數據分類分級的規則和模板需要較強人工討論工作。對數據資產的打標也可能需要“一事一議”,在這種情況下,通過自動化工具提供的準確率較低,因此不適用于自動化工具的應用。
最后,要考慮數據質量,如果數據質量較差,數據資產的掃描準確率較低,數據敏感信息的識別效率也較差。在這種情況下,可以先提升數據質量,再進行數據分類分級自動化工作,或者直接通過人工方式進行。
數據分類分級代表性國產廠商分析
企業組織在選擇數據分級分類自動化工具和相關方案選型時,需要從廠商的產品能力、應用能力和項目能力等維度進行考量。
數據分類分級自動化工具選型因素
本次報告根據第十版網絡安全行業全景圖中“數據安全”細分領域的研究數據,對領域中的部分代表性廠商進行調研訪談,并對其在數據分類分級自動化方面的應用特點進行了研究分析。
綠盟科技
<
綠盟科技是一家綜合型安全廠商,在人工智能技術應用方面具有較強的前沿性和創新性。在綠盟科技數據分類分級產品中,應用了詞向量等較先進的人工智能技術,提高了數據分類分級的準確性及效率。綠盟科技數據分類分級方案適合于較大型企業進行數據安全總體建設,特別是具備一定數據治理實踐基礎的企業。
美創科技
美創科技推出數據分類分級產品/方案,強調數據分類分級后的實際可用性,因此在進行分類分級時,會重點考慮與組織業務的貼合程度。同時,美創科技將數據分類分級相關產品與其他數據安全產品形成了有效聯動,能夠將數據分類分級結果應用在后續的數據防護、數據流轉等工作中。近年來,美創科技在政府、醫療等行業的數據分類分級工作,針對行業數據的特點、類型進行了較深入的分析和了解。
億賽通
億賽通是一家能力較全面的數據安全廠商,能夠從全生命周期的數據安全防護視角來考慮和提供數據分類分級服務方案,并與后續的安全防護工作進行聯動。億賽通在政府、金融等行業有較廣泛的應用積累,特別是在具備大數據流量、交換、共享的場景下,可以基于行業經驗積累和產品優勢,提供完整的全生命周期數據安全治理解決方案。
明朝萬達
明朝萬達是國內一家傳統的數據安全廠商,在數據分類分級領域有較完善的理論和技術積累,且有完整的數據安全產品能夠與數據分類分級方案相配合。明朝萬達在金融行業的數據安全治理中有較防范的客戶積累,對于金融行業業務系統、業務數據類型有較全面了解,并以此來簡化規則模板的建立,增加規則的應用效果和準確性。
神州數碼
神州數碼是一家傳統的信息化方案商和綜合服務商,近年來積極布局數據安全領域。神州數碼的數據安全服務能力體系是自上而下構建,即從平臺類產品布局,向底層安全防護產品提供支持和延展。神州數碼的數據分類分級解決方案既可獨立作為工具,也可以被集成在統一的數據安全管控平臺中,與數據脫敏、數據水印、分享溯源等安全能力協同聯動,構建整體的數據安全治理能力體系。
觀安信息
觀安信息有著較豐富的數據分類分級項目實施經驗,因此積累沉淀了數量眾多的數據分類分級規則模板。同時,觀安信息的數據分類分級服務能力可以與其數據安全平臺整合聯動,支持用戶企業開展持續性的數據安全運營工作。在觀安信息的數據分類分級產品中,一個重要特點是可以有效支持對非文本文件的識別,例如識別人類生物特征信息等。對于一些無文本數據的分類分級工作,觀安信息也可以提供圖像相似度匹配等方式,進行有效發現和標記。
紐盾科技
紐盾科技將其數據分類分級產品定位于流程化、賦能,能夠較好地幫助用戶完成數據安全合規工作。在進行數據分類分級建設時,紐盾科技方案的特點主要體現在:一是減少用戶的應用成本,二是能較好滿足評估、出境等多種合規場景。目前,紐盾科技數據治理方案已經全面融合利用人工智能技術、大模型技術,幫助企業提升數據分類分級中的自動化程度。
北信源
北信源是一家傳統的綜合型安全廠商,特別是在終端安全管控方面有較深厚技術積累。在北信源數據安全治理方案中,對于終端文檔數據的防護是其一個重要特點,并能夠與涉密系統相關聯,全面實現終端數據的泄露防護。北信源數據分類分級方案的另一個優勢點在于對非結構化數據的安全識別和分類分級打標中,并且與終端數據防泄漏聯動,實現針對性的數據資產分級保護。
目前,《數據分類分級自動化能力建設指南》報告已經在安全牛商城上架,獲取完整版本報告,請點擊識別下方二維碼:
