精华内容
下载资源
问答
  • iso26262功能安全ASIL分级
  • 分析了综采工作面瓦斯超限分级断电的必要性,介绍了煤矿安全监控系统监控中心站软件中分级断电模块的设计和监控分站分级断电功能的实现方案。煤矿安全监控系统分级断电功能可在工作面瓦斯体积分数达到设定值时断掉...
  • 功能分级

    2021-08-05 02:29:03
    基本信息中文名心功能分级临床意义可用于评价心脏疾病患者的心功能注意事项注意患者个体之间的差异较大心功能分级评定方法语音1.NYHA心功能Ⅰ~Ⅳ分级1928年纽约心脏病协会(NYHA)提出,几经更新,逐步完善,临床上...

    基本信息

    中文名

    心功能分级临床意义

    可用于评价心脏疾病患者的心功能

    注意事项

    注意患者个体之间的差异较大

    心功能分级评定方法

    语音

    1.NYHA心功能Ⅰ~Ⅳ分级

    1928年纽约心脏病协会(NYHA)提出,几经更新,逐步完善,临床上沿用至今。该分级适用于单纯左心衰竭、收缩性心力衰竭患者的心功能分级。

    (1)Ⅰ级 患者有心脏病,但体力活动不受限制。一般体力活动不引起过度疲劳、心悸、气喘或心绞痛。

    (2)Ⅱ级 患者有心脏病,以致体力活动轻度受限制。休息时无症状,一般体力活动引起过度疲劳、心悸、气喘或心绞痛。

    (3)Ⅲ级 患者有心脏病,以致体力活动明显受限制。休息时无症状,但小于一般体力活动即可引起过度疲劳、心悸、气喘或心绞痛。

    (4)Ⅳ级 患者有心脏病,休息时也有心功能不全或心绞痛症状,进行任何体力活动均使不适增加。

    2.NYHA心功能A~D分级

    为了对心功能分级进行补充,根据客观检查结果(如心电图、运动负荷试验、X线、心脏超声、放射学显像等)对心功能不全患者心功能进行第二类分级,2002美国心脏病学会(ACC)及美国心脏学会(AHA)将此分级做了更新。

    (1)A级 心力衰竭高危患者,但未发展到心脏结构改变,也无症状。

    (2)B级 已发展到心脏结构改变,但尚未引起症状。

    (3)C级 过去或现在有心力衰竭症状并伴有心脏结构损害。

    (4)D级 终末期心力衰竭,需要特殊的治疗措施。

    3.Killip心功能分级

    急性心肌梗死引起的心功能不全采用1967年Killip等提出的分级法(Killip分级)。

    (1)Ⅰ级 无心力衰竭,没有心功能不全的临床表现。

    (2)Ⅱ级 有心力衰竭,肺部啰音范围<50%肺野,出现第三心音,静脉压升高。

    (3)Ⅲ级 严重心力衰竭,肺部啰音范围>50%肺野。

    (4)Ⅳ级 心源性休克,低血压、外周血管收缩的表现,如少尿、发绀和出汗。

    4.Forrest心功能分级

    1977年Forrest等提出了血流动力学的心功能分级,适用于应用心导管的急性心肌梗死患者。

    (1)Ⅰ级 心脏指数>2.2L/(min·m2),肺毛细血管楔压≤18mmHg。

    (2)Ⅱ级 心脏指数>2.2L/(min·m2),肺毛细血管楔压>18mmHg。

    (3)Ⅲ级 心脏指数≤2.2L/(min·m2),肺毛细血管楔压≤18mmHg。

    (4)Ⅳ级 心脏指数≤2.2L/(min·m2),肺毛细血管楔压>18mmHg。

    2003年国外学者根据末梢循环灌注及肺淤血情况对心功能不全患者进行临床心功能分级,分为Ⅰ级(皮肤干、温暖),Ⅱ级(皮肤湿、温暖),Ⅲ级(皮肤干冷)和Ⅳ级(皮肤湿冷),此类分级是由Forrest心功能分级演变而来。

    5.6分钟步行心功能分级

    6分钟步行试验(6MWT)能较好地反映患者生理状态下的心功能,是一种无创、简单、安全的临床试验,常用的分级方法为:I级(<300m);Ⅱ级(300~374.9m);Ⅲ级(375~449.9m);Ⅵ级(≥450m)。

    6.Weber心功能分级

    Weber KT等于20世纪80年代年提出了按照峰值摄氧量以及无氧阈水平进行心功能分级的新方法,评价结果较为客观,更有助于判定患者的病情和预后,对于生存期的预测更精确。

    (1)A级 无或轻度心功能损害,最大耗氧量>20ml/(kg·min),无氧阈>14ml/(kg·min),心脏指数峰值>8ml/(min·m2)。

    (2)B级 轻度至中度心功能损害,最大耗氧量16~20ml/(kg·min),无氧阈11~14ml/(kg·min),心脏指数峰值6~8ml/(min·m2)。

    (3)C级 中度及重度心功能损害,最大耗氧量10~15ml/(kg·min),无氧阈8~10ml/(kg·min),心脏指数峰值4~5ml/(min·m2)。

    (4)D级 重度心功能损害,最大耗氧量<10ml/(kg·min),无氧阈<8ml/(kg·min),心脏指数峰值<4ml/(min·m2)。

    心功能分级临床意义

    语音

    心功能分级可以用于评价心脏疾病患者的心功能,并指导患者的日常活动和康复治疗,正确和客观地评估心功能状况同样有助于临床治疗以及判断预后。

    心功能分级注意事项

    语音

    根据患者主观症状评定心功能分级时,应注意可能有时症状和与客观检查有很大的差距,同时患者个体之间的差异也较大。

    展开全文
  • iso26262功能安全ASIL分级.zip
  • 数据安全分类分级剖析

    千次阅读 2021-09-15 00:04:46
    数据分类分级对于数据的安全管理至关重要,安全分类分级是一个“硬核课题”,从数据治理开始,除了标准化和价值应用,重要的课题就是质量+安全安全是底线,是价值应用的前提和基础。数据分类可以为数据资产结构化...

    概述

    **本人博客网站 **IT小神 www.itxiaoshen.com

    数据分类分级管理不仅是加强数据交换共享、提升数据资源价值的前提条件,也是数据安全保护场景下的必要条件。《数据安全法》规定国家建立数据分类分级保护制度,对数据实行分类分级保护,数据分类分级工作是基础和核心,数据分类分级是数据使用管理和安全防护的基础,为数据尤其是重要数据制定分类分级制度并依规管理,是实现数据安全目标的重要工作;数据分类分级不仅是数据安全治理的第一步,也是当前数据安全治理的痛点和难点,数据分类分级是非常有挑战性的工作。总结数据分类分级的基本流程包括4个重要的方面

    image-20210913172423347

    该流程具有科学的方法论指导作用,但其问题在于缺乏实践过程中的具体方法。数据分类分级的行业差异性很大,不同行业数据具有不同的属性和业务处理目标,在开展数据分类分级时,需要深入理解行业业务需求,研究设计具有针对性的方法和工具。

    数据分类分级对于数据的安全管理至关重要,安全分类分级是一个“硬核课题”,从数据治理开始,除了标准化和价值应用,重要的课题就是质量+安全。安全是底线,是价值应用的前提和基础。数据分类可以为数据资产结构化管理、UEBA(用户及实体行为分析)、个人信息画像等数据治理工作提供有效支撑;数据分级通过对不同级别的数据设置相应访问权限、加密规则、脱敏规则等,可大大提升数据安全管控效率,是数据安全精细化管理的重要一步

    政务数据分类分级的痛点问题和挑战

    数据分类面临的痛点问题和挑战

    • 如何选择分类维度的问题

    对于数据进行分类可以有很多维度,包括基于数据形式数据内容等。基于数据形式可以按照数据的存储方式、数据更新频率、数据所处地理位置、数据量等进行分类;数据内容可以根据数据所涉及的主体、业务维度等多个维度进行分类。

    不同维度各有价值,如何选择一个维度对数据进行分类需要考虑数据分类的目的,但很多时候大家都希望通过一个分类维度实现多个目标,或者将两个分类维度混合进行分类。分类维度的不清晰会导致后续基于分类的很多操作都存在问题

    • 单一分类维度下的类别划分问题

    例如,基于内容进行分类的维度,面临数据可能分类不全、类别不清晰的问题。主要原因是大范围内的内容分类是一个很复杂的问题,甚至可能涉及知识分类的问题,这在目前还是一个较为难以解决的问题。类别划分有问题会导致有些数据无法分到一个分类下,而有些数据又同属于两个分类

    数据分级面临的痛点问题和挑战

    • 定性到定量的问题

    针对信息资源的分级,需要根据信息内容确定。目前尚无科学的方法和范式支撑构建信息内容的数学模型,因此很难准确定量地进行数据内容描述。

    举个例子,我国目前已有一些针对政务信息资源的安全级别描述,其中有按损害影响程度进行的数据定级,但没有关于影响程度定量的描述,所谓针对公民的损害,是造成财产损失还是身体伤害?造成什么量级的财产损失?这样的描述难以在实际操作过程中给定级的人员准确的依据去判断政务信息资源属于哪一个级别

    • 分级的级数问题

    在政府部门进行政务信息资源分级时,需要找到一个合适的级数,使得在使用过程中达到效率和安全管控的平衡。过多的分级会给实际使用带来困难,太少的分级又会使得管控难以准确地约束数据。

    目前针对不涉密的政务信息资源主要分为非密内部两级,但是在实际使用过程中这两个级别并不能满足对于数据处理的需求,并不是所有非密的数据都适合让公众知晓,也不是所有内部数据都只能政府部门使用,因此将不涉密的的政务信息资源只简单的分为两级是不合适的。

    • 分级的粒度问题

    在进行分级的时候,分级的粒度是影响分级效果的主要因素之一。以什么样的粒度进行分级才可以既达到分级防护的目的,同时不影响正常的业务仍是一个有待进一步研究明确的问题。

    政府部门的信息资源涉及各行各业,数据存储的格式众多,有文件、表、行列、字段等不同的数据粒度。不同行业中影响信息资源级别的属性要素也不一,例如地理信息资源地图的比例尺和所包含的地图元素是影响信息资源的级别的关键因素。

    • 分级的有效落实问题

    有些地方政府专门成立了大数据管理部门,来规范政府部门对信息资源的共享使用,也出台了相关的数据共享条例、数据安全保障条例等,但是还缺乏完整的流程和环节来完成从数据梳理、数据分类分级到数据存储保护、数据共享使用。

    现有的数据使用模式,是以部门为单位,各自负责自己所拥有的数据,因此相应的规章制度更多注重部门内部,缺乏跨部门的数据使用规范。目前相对成熟的跨部门的具体数据规范主要是公安部门的人口库信息,但是其他部门相对较弱。

    • 数据的升降级方法问题

    政务信息资源是动态变化的,因此数据会发生合并、摘抄等简单操作,也会进行分析融合等复杂操作。这些操作会对已经进行了分级的政务信息资源的级别产生变化。而由于政务信息资源众多,不同部门对信息资源的使用方式、需求粒度都不统一,信息资源的级别发生变化时,人工重新判定的标准难以统一,也无法完全以自动化的方式进行。

    数据安全分类分级

    基础理念

    • 数据资产和元数据关联,是数据安全最终的落脚点;
    • 数据定级,这个是数据安全定级的操作标准,从数据标准引申到定级标准,然后为后续的技术性措施提供指引;
    • 安全策略,这个是数据分类分级的真正核心,就是当有了一套所谓的管理制度和规范后,具体如何衔接到纯粹的技术措施和方法,从制度到方法,中间需要一个“实施策略”。
      • 这里的安全策略,是一个基于数据环境,同时主要从数据环境的变更作为“管控点”的策略。它的基本思路是:
      • 数据是依托于环境进行采集、存储的,在企业的实际工作中,就静止数据而言,环境的安全策略已经基本覆盖了数据的安全策略,包括系统、网络、用户权限等。
      • 只有在环境发生变更,就是数据出现了传输等过程,从一个环境变迁到另一个环境,这个时候,静止数据的环境安全策略无法覆盖,需要就环境变更产生的动态情况进行安全策略的制定,这就是数据的脱敏、加密等技术保护措施的实施动因

    在现代企业中,静止数据的安全措施总体上是有一定基础的,相对于动态数据而言也是更加丰富和完整的。比如物理的机房准入,网络的访问控制,防火墙的管理,用户访问权限,数据生命周期的管理等等。薄弱点在于动态数据部分。比如,当一份生产数据要传输到第三方,这个时候如何处理?谁负责这个事情?具体要做什么处理?谁实施这个操作?在什么地方进行?这些内容,就容易出现空白。

    所以,数据安全分类分级工作,要从企业实际情况出发,不是枉顾实际情况,单纯援引理论直接单搞一套重复建设,而是要和企业已有的安全基础设施、制度体系框架、组织结构和流程机制等结合,从痛点入手,查漏补缺,快速的补短板,形成一套更加完整的数据安全管控体系。

    而这套体系如果仅仅停留在《办法》、《规范》、《指引》上,那还是不接地气,最终要平台化、系统化。通过数据资产盘点、数据标准制定、数据安全定级的索引,再通过数据溯源定位好数据主人,基本上可以在系统平台上解决“WHO”的问题和动员组织能力提供了一个抓手。

    把做什么想明白,把谁来做想明白,把怎么做平台化

    数据安全分类分级理解

    数据分类

    数据分类是指企业、组织的数据按照部门归属、业务属性、行业经验等维度对数据进行类别划分,是个系统的复杂工程。数据分类的目的是要便于数据的管理、利用。基本原则是:分类要合理,即在一个明确的业务目标下,确定逻辑清晰的分类维度,并确保数据有且只有一个分类类别。可以从三个维度进行分类

    • 数据管理维度:根据数据的一些客观属性进行分类,便于数据管理机构对数据进行管理,便于数据管理系统的规划
    • 数据应用维度:根据数据内容的固有属性进行分类,便于数据理解和应用
    • 数据所涉及的对象维度:对数据内容的理解的维度,不过更偏向于支撑便于数据权属分析和数据安全管理

    数据分级

    数据分级则是从数据安全、隐私保护和合规的角度对数据的敏感程度进行等级划分。整体来看,建议在数据分类的基础上,根据某类数据的安全属性(如完整性、保密性、可用性),集合数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用时,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,结合自身组织情况将数据分为4—5个安全保护级别

    • 针对定性到定量的问题,需要按照行业需求,结合科学的方法,进行数据信息模型的研究。在实际工作中,可先行结合业务经验进行总结和实践尝试;
    • 针对数据分级级数如何确定的问题,根据Gartner报告表明,合理的数据分级最好在3-5级之间,太多会造成大量的管理负担,不利于正常的实施。在政务信息共享领域,可参考2017年发改委发布的《政务信息资源目录编制指南》文件中的数据分级的描述(见下表),并结合本部门业务实际情况进行研究,确定适合的分级级数;
    • 针对分级粒度的问题,并无标准化的粒度划分方法,实际工作中又可从3个方面进行评估确定:
      • 首先,需要考虑数据会用来干什么,例如查询统计、建模分析、数据密布型人工智能算法。进行查询统计的数据可以针对查询项和统计项进行细粒度的定级,其他项可以适当增大分级粒度;
      • 其次,要考虑数据的处理方式,例如原始数据未改变、融合产生新数据、剪裁产生新数据、更新等。若原始数据未改变,信息资源分级的粒度可以适量大一些;若要融合产生新数据,分级粒度应当更细一些,避免数据融合分析过程中,暴露原本想隐藏的信息,导致原级别定义不准确;
      • 第三,参考数据在信息系统中的存储和处理方式进行定级粒度划分。结构化和半结构化的信息资源在定级的时候,可以根据用途按照行列或者表级的粒度来定级。非结构化的信息资源定级的粒度建议以单个文件的粒度进行;
    • 针对数据分级如何落实的问题,以政务信息共享为例,需要建立更为完善的数据分级流程,理清数据分级在政务信息共享工作中的位置。同时建立分级人员的培训制度、分级的责任制度等,使得对政务信息资源分级能够切实的实施;
    • 针对数据的升降级方法问题,需要制定一系列数据分级的升降级原则,明确在什么情况下数据会发生生升降级变化,通过判断哪些要素进行升降级处理,并制定有效的自动化升降级信息资源预处理机制。

    数据定级流程

    数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准

    image-20210914151039731

    数据定级流程基本步骤

    • 数据资产梳理:
      • 第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
    • 数据安全分级准备:
      • 第二步:明确数据分级的颗粒度( 如库文件、表、字段等) ;
      • 第三步:识别数据安全定级关键要素(影响对象、影响范围、影响程度)。
    • 数据安全级别判定:
      • 第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定;
      • 第五步:综合考虑数据规模、数据聚合、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。
    • 数据安全级别审核:
      • 第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本单位数据安全保护目标相一致。
    • 数据安全级别批准:
      • 第七步:最终由数据定级工作领导组织对数据安全分级结果进行审议批准。

    数据级别变更

    数据级别变更应由数据的主管业务部门/属主部门或数据安全管理部门发起,并按照数据定级流程实施。在数据定级完成后出现下列情形时,应对相关数据的安全级别进行变更:

    • 数据内容发生变化,导致原有数据的安全级别不适用变化后的数据;
    • 数据内容未发生变化,但因数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用;
    • 不同数据类型经汇聚融合形成新的数据类别,使得原有的数据级别不适用,应重新进行级别判定;
    • 因国家或行业主管部门要求,导致原定的数据级别不再适用;
    • 需要对数据级别进行变更的其它情形。

    安全管控策略

    根据数据分类分级结果,从管理、流程和技术等方面,制定基于数据安全视角的全生命周期数据安全管控策略,管理方面包括不限于规范管理决策职责、规范日常维护职责、规范岗位人员职责等;流程方面包括不限于制定数据安全管理整体机制流程安全管控策略、权限管理操作流程管控策略等;技术方面包括不限于制定基础架构的整体安全支撑技术、加密、脱敏、数据防泄漏等的管控策略。

    国内企业数据分类分级产品

    卫士通

    卫士通牵头、参与了数据安全领域的多个国家及地方的标准研究和编制,包括《信息安全技术 大数据安全管理指南》、《信息安全技术 大数据服务安全能力要求》、《政务信息资源安全分级指南》、《雄安新区数据资源目录定级指南》、《雄安集团数据使用暂行办法》等。

    在政务、金融、交通、智慧城市和大型央企等项目中,建设探索解决政务信息共享环节数据缺乏分类分级防护、数据权责难以界定以及数据流转监管困难等问题,针对政务数据资源管理缺乏分类分级方法、数据权责难以界定、数据流转监管困难、企业数据权限管理困难、金融数据分级标准落地等问题,卫士通总结形成了涵盖数据分类分级工作的数据安全解决方案,并在项目中进行了不同程度的落地实践。我们希望基于当前的研究和工作,能够帮助用户确定本单位的数据安全分类分级管理制度、标准,协助用户完成已有数据定权分级,提供基于数据分类分级后的安全防护方案设计和建设服务。

    在实际项目中,卫士通也已积累沉淀形成了专业的数据分类分级产品,如下图所示

    image-20210914110634588

    该产品通过自动化技术,将分类分级的专家经验和方法固化为规则模型和识别引擎,有效避免了采用全人工进行数据分类分级时存在的因人员经验背景知识不足导致的不确定性问题,并且降低了人力成本。

    同时,在具体实施过程中根据不同场景,可与数据资产管理系统、传统数据库、大数据库等进行对接,还可根据不同行业选择不同的识别引擎,通过识别关键要素,结合分类分级的规则进行自动化分类分级

    深信服

    深信服智能数据分类分级平台引入了人工智能与机器学习算法,相较于传统数据分类分级做法,采用机器学习技术,大大提升了准确率,进一步提升了工作效率,减少了人力成本,在数据分类分级上作了一次有效实践,深信服智能数据分类分级平台工作机制如下:

    • 分类分级策略定义
      • 平台内置通用的分类分级策略,用户可根据国家与行业相关的数据分类分级标准和规范进行设置,其中数据分类策略用于定义数据的类型,数据分级策略用于定义数据的安全等级。
    • 多维数据特征提取
      • 平台能够对接各种类型的数据库,实现数据资产的自动发现和数据目录的生成,通过机器学习算法对数据进行多维度元数据特征向量自动提取,对相似字段的数据字段进行聚合归类。
    • 智能分类分级推荐
      • 平台接着会对相似数据类别与级别进行智能推荐,实现数据的智能分类分级,同时在用户分类分级过程中也会不断学习用户对数据的标注,提升智能推荐率,目前分类分级智能推荐率达到90%以上。

    同时,分类分级结果以API的形式对外开放,业务系统和安全系统均可以调用API,以根据数据的分类分级结果进行精细化的数据管控与安全防护。

    深信服以智能数据分类分级为核心的数据共享安全解决方案荣获贵州数博会 2021 年“数字政府方案案例创新奖”,在行业内已小有名气

    安恒信息

    自动化数据分类分级打标

    标签化可以通过对数据打标签的方式降低数据安全管理的门槛,帮助单位进行数据的分类管理,分级防护。目前业内的专用工具可基于关联补齐后的数据,结合数据分类分级结果,在原数据基础上进行标记。

    • 结构化数据的打标过程
      • 工具自动方式
        • 工具自动打标签可以通过两种方式实现,一种是通过从数据库中提取元数据,进行自动分级分类,分级分类策略可配置。另一种为借助敏感标签能力,对元数据中的敏感程度和数据定级自动智能推荐,并快速完成数据分级管理。同时自动化工具能够支持数据分级支持对表、字段进行识别和分级标识,可自定义定级规则,并支持标记和变更数据敏感级别,通用的敏感级别包括公开、内部、敏感、机密等。
      • 机器学习方式
        • 目前业内智能化打标一般指的是针对敏感数据进行打标。借助正则表达式、关键词、文档指纹、OCR、机器学习、自然语言处理等先进AI技术提取敏感数据特征,建立相应敏感识别规则,然后统一录入规则引擎。识别规则除机器学习获得以外,还包括系统内置规则及用户根据敏感特征自定义规则,可进行精确的、更多场景的敏感数据识别。识别后的数据与敏感标签库进行匹配,命中规则数据则会打上相应标签,根据标签则可以查看数据分级分类结果以及敏感数据分布情况。
    • 非结构化数据的打标过程
      • 针对文档、图像、视频等非结构化数据,通过标记文件头的方式进行打标。

    image-20210914153105797

    基于数据分类分级的某市政务数据安全管控实践

    政务数据由基础信息、行业、主题等各类别的结构化、非结构化数据的汇集而成。某市政数据为规范市政数局、区委办局两级数据管理的相关标准,规范政务数据安全管控的规则,基于政务数据分类分级管理方法论进行了数据安全管控。

    工作流程

    image-20210914154226904

    制度建设

    由政务数据主管部门牵头,信息安全部门制定分类分级相关的制度规范,包括组织人员岗位职责规范、分类分级规范、分类分级矩阵(含定级方法、安全管控策略)等。

    培训推广

    由政务数据主管部门组织,信息安全部门为业务部门提供数据安全培训,除了针对分类分级制度规范解读、工具使用、安全管控实施细则等,培训内容还涵盖数据安全的常识、数据加密方式方法、数据脱敏方式方法、数据防泄漏等相关方面。通过开展不同角色的安全培训,覆盖政务管理培训和技术培训,将数据安全理论、数据安全最佳实践赋能XX市政务人员,达到培训提高数据安全意识、增强数据分类分级能力的目的。

    实施落地

    • 梳理数据现状。业务部门梳理本部门的全量数据范围,明确数据产生方式、数据结构化特征、数据更新频率、数据应用情况、数据质量情况、数据敏感程度等。
    • 初步确定数据分类分级。依据GB/T 21063.6-2007政务信息资源目录体系第4部分:政务信息资源分类相关要求,业务部门结合自身业务,初步判定数据在确定各分类维度的分类类别和数据安全等级。
    • 部门自主审核。业务部门应对数据在各维度的初步分类结果及数据分级结果进行部门内部自主审核,审核通过后提交至政务数据主管部门审查。
    • 数据分类示例:

    image.png

    • 数据分类分级管控策略矩阵示例

    image.png

    检查评审

    合规性审查。政务数据主管部门对本级及下级业务部门的数据分类和分级结果进行合规性审查。经政务数据主管部门合规性审查通过后,最终确定业务部门的数据在各维度分类下的结果和数据安全等级。

    安全管控

    • 确定最终数据分类分级。经政务数据主管部门合规性审查通过后,最终确定业务部门的数据分类分级结果。
    • 数据安全分级管控。依据数据分级分类规范中的分级管控要求,落实具体管控措施。
    • 变更维护。业务部门应定期组织对分类分级结果的合理性、有效性进行评估,当数据状态、服务范围等方面发生变化时,及时对分类分级结果进行调整,并记录变更过程。

    安华金和

    帮助组织梳理数据资产,制定数据分类分级的标准指南,制定切实可落地的数据安全策略,从而保障数据安全治理工作的顺利开展。

    image-20210914161240136

    国外企业数据分类分级产品

    Netwrix数据分类软件

    Netwrix是美国一家提供信息安全与治理技术的网络安全公司,为用户提供以数据为中心的安全服务,被评为2020年Gartner文件分析软件市场指南“代表性供应商”、2020年Gartner Peer Insight文件分析软件“客户之选”

    Netwrix数据分类平台概述

    Netwrix数据分类平台通过使用数据发现和分类工具(Data Discovery and Classification Tool,简称DDC)实现分类功能。工具自动识别不同应用程序的结构化和非结构化数据,并结合预定义的分类法对文件进行分类,基于分类结果展示数据的分布状态统计。

    无需部署客户端,使用基于WEB的管理控制台执行数据分类操作;通过HTTP协议和第三方应用API接口定位数据源;支持预定义的分类规则,实现对受GDPR、GLBA、HIPAA和其他监管标准保护数据的识别,也可以通过自定义分类规则查询识别其他数据;使用逻辑化和持续化的全文本索引模式,配合使用机器学习算法、语义分析自动查询文件内容;并为每种分类规则设置关联度得分,得分值可依据数据分类结果实时调整,用以调整文件匹配的范围;支持包括英语、德语、法语、汉语、日语、韩语等50余种语言的数据分类

    Netwrix数据分类平台功能

    Netwrix数据分类平台主要包括三个功能:数据采集、数据分类和数据分类结果的可视化呈现。上述功能通过基于WEB的管理控制台(Management Console)贯穿为一体,实现对分类过程的操作配置

    • 数据采集
      • 运行在数据分类服务器(Data Classification Server)上的数据分类采集服务(Data Classification Collector Service),采集数据源(Data Source)的文档后,将文档转换为纯文本,并形成文件元数据(Metadata)存储于数据分类SQL数据库(Data Classification SQL Database)。数据分类索引服务(Data Classification Index Service)基于收集的文档内容和元数据,创建全文本查询索引(Full-text Search Index),并将其存储至索引库(Data Classification Index)
      • 数据源是需采集和分类的数据存储库。通过管理控制台的数据源内容配置功能,实现对需采集数据源的添加和管理,添加后可查看数据采集结果
      • Netwrix支持分类的数据源有:Windows文件系统、Windows Server系列服务器、Linux文件系统(SMB/CIFS/NFS)、Office 365、数据库、Outlook(2010以上版本)、DropBox、Exchange服务器/邮箱、Google Drive、SharePoint等。在数据采集阶段,除了选择需采集的数据源类型,还需针对每种数据源配置相应的采集选项,以便于更精细化地定位
        • 数据库:Netwrix支持对SQL Server(2008以上版本)、Oracle、PostgreSQL、EMC等主流数据库内容的采集及分类。采集前需要先设置数据库访问用户名(如Windows服务或IIS程序池用户)或连接信息。数据库连接创建成功后,数据分类采集服务即可将采集到的内容智能映射为元数据。数据库内容采集的主要配置项如下:
          • 数据库类型。从SQLServer、Oracle、MySQL、PostgreSQL等选项中选取所需采集的数据库类型
          • 数据库服务器信息。设置采集目标数据库的服务器地址、具体数据库名称、登录用户名和身份认证方式
          • OCR处理模式。Netwrix可以通过OCR模式采集数据库文件中的图片内容,可从“禁用/默认路径/标准质量/增强质量”4种模式中选择
          • 数据库采集范围。设置需采集内容的数据库表、列的范围。
        • 文件系统:Netwrix支持对Windows文件系统和Linux文件系统的内容采集
          • 文件(夹)路径。设置需采集内容的文件(夹)路径
          • 文件夹级别。设置采集文件夹深度,可以选择是否包含子文件夹、是否采集所有子文件夹,以及子文件夹深度的范围(2-99级)
          • 文件夹访问信息。设置访问文件夹所需的系统帐户和密码,以及是否允许匿名访问文件目录
          • 重新索引周期。当源文件发生变更(增加/修改)后,Netwrix分类会定期更新索引,默认更新周期为7天
          • 文件类型。设置需采集的文件类型
          • 是否采集相同内容的副本文件,以及采集文件的优先级
        • 查看数据源采集结果
          • 数据采集流程自动对数据源进行采集、格式转换和创建索引的处理操作后,即可在管理控制台上查看数据源采集结果,包括:数据源类型、数据源文件位置、数据源采集状态、数据源索引创建状态、数据源采集文件数量及总大小
    • 数据分类
      • 数据分类服务(Data Classification Classifier Service)根据Netwrix预定义的第三方分类法(Taxonomies)和用户自定义的分类法,对文件内容匹配后分类,最终将分类结果存储于数据分类采集数据库(Data Classification Collector Database)中
      • Netwrix数据分类工具提供预定义分类法,这些分类法包括数百个现成的分类规则。每种分类法包含一系列术语(term),术语又由一系列配置规则(configuration clue)定义。通过使用规则与文件内容进行匹配,最终定位源文件的所属分类
        • 分类法
          • Netwrix数据分类平台所提供的预定义分类法共8种,其中4种核心分类法覆盖了个人、金融、医疗等领域,包括:财务信息(Financial Records)、PII(Personal Identifiable Information,个人可识别信息)、第三方支付行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)、患者健康信息(Patient Health Information,PHI),余下4种衍生于核心分类法,用于满足部分特定的合规性要求,称为衍生分类法,包括:GDPR(通用数据保护条例)、GDPR第九章中涉及的个人信息特殊类别、GLBA(金融现代法案)、HIPAA(医疗保险可携性和责任法案)。除了上述预定义分类法外,用户也可以添加自定义分类法
        • 分类规则
          • 分类规则通过复合词精确/模糊匹配、区分大小写、单词发音、正则表达式、语种类型匹配等11种匹配方式,查询文件内容后对其分类。此外,用户也可以添加自定义分类规则,添加时可设置规则的分数,代表其与分类特征的关联度。分数越高,则关联度越高,此项规则可用于对文件进行分类的概率越大。
          • 分类规则用于描述文档中发现的语言,使得文档归属于特定的主题。Netwrix提供预定义分类规则用于查询文件内容,这些规则涵盖了如英语、法语、德语、西班牙语等多语种的个人可识别信息(姓名、家庭住址等),以及英国、新加坡、南非等多个国家的识别码和登记码
        • 分类标签
          • Netwrix支持将分类标签写入被采集数据的属性中。具体操作方式为:在管理控制台上,将分类标签写入到指定数据源的属性中。分类标签可采用[分类名称|分类ID]的格式呈现
          • 例如:农业分类法中有农场(ID为11)和生产(ID为32)两个子分类。当同时包含农业和生产的文件分类完成后,分类标签即写入该文件的属性中,即文件属性增加项——属性名称农业,属性值[农业|11;生产|32]
    • 分类结果展示
      • 通过查看管理控制台上的数据源及分类规则详细信息、统计审计报告如文件分布地图等功能,展示数据分类结果
      • 数据分类结束后,即可在管理控制台通过多种方式查看分类结果
        • 通过数据源查看
          • 选择某项数据源,即可查看已采集的数据信息,包括:文件名称、路径、分类状态、匹配的分类等内容。
          • 数据源查看文件分类结果
        • 通过规则查看
          • 选择分类法及其子节点中的术语,即可查看该术语对应的规则信息,包括:规则类型、规则名称、规则的分数。选择每种规则,即可查看与之匹配的文件数量
        • 文件分析报告(Data Analysis Report)
          • 可在Netwrix管理控制台上查看数据分析报告,对报告中的数据进行筛选和细化,以查询包含文件按照分类结果的分布状态。常用的报告有三种:文件分布地图(按分类和数据源分组统计),以及最近一周分类标签分配情况
          • 文件分布地图-按分类法分组统计
          • 文件分布地图-按数据源分组统计
          • 最近7天分类标签分配情况

    image-20210914162552914

    小结

    Netwrix作为全球500余家公司的数据安全治理供应商,实际数据分类、数据审计、数据安全功能远不止这些。Netwrix的数据分类工具作为数据安全的基础,提供了诸多参考方向,例如:无需单独部署客户端,使用一套服务器、一个WEB管理控制台的轻量化部署,即可完成数据分类全过程;可基于不同种类的分类数据源配置相应的分类配置项,为更精确的定位数据源提供支撑;使用预定义的数据合规分类法及其规则,满足国外对个人隐私数据识别的主流需求;使用多维度的象限统计图表,更直观地查看数据的分布情况。除此之外,Netwrix的数据审计和数据安全功能,能够提供以数据分类为基石、以用户实体行为分析UEBA(User and Entity Behavior Analytics)为核心的数据安全审计功能,最终形成数据防护流程体系。

    资料

    数据安全分级分类文档资料列表名称

    image-20210914145814534

    展开全文
  • 首先在现有节点备份和重映射应对方案基础上,考虑节点间的安全约束关系对网络安全性能的影响,提出网络切片中虚拟节点物理节点的安全参数评估模型,建立虚拟节点物理节点之间的安全约束关系;然后基于安全参数...
  • 支持XP、Win7安全策略自动配置(家庭版系统部分功能不支持) 功能:设置密码策略、关闭多余服务、设置屏保时间、禁用其余用户等等 特色功能: XP瞬间打补丁 WIN7启用自带防火墙,漏扫扫不到
  • 包括双重预防工作责任体系管理、安全风险分级管理、隐患排查治理、煤矿“一张图”智能分析以及移动端双控平台等功能,通过平台可以推进煤矿安全生产的标准化、信息化和智能化,实现事前风险分级管控、事中隐患排查治理...
  • 原来如果某个部门业务系统数据发生篡改、破坏、泄露、非法获取、非法利用的安全事件影响的只是局部而现在则是整个企业数据资产层面,可见数据安全已经明确上升到国家安全、整个企业、组织或机构安全的最高层级

    从法律说起

    **本人博客网站 **IT小神 www.itxiaoshen.com

    数字化经济下企业做数据化转型进行数据开发利用往往是先将原来分散各部门各业务系统的数据(业务数据如互联网用户数据、企业内部数据如人力资源系统、研发生产数据如核心技术或专利等)集中到大数据仓库中,这个集中化数仓安全重要性就非常凸显了,原来如果某个部门业务系统数据发生篡改、破坏、泄露、非法获取、非法利用的安全事件影响的只是局部而现在则是整个企业数据资产层面,可见数据安全已经明确上升到国家安全、整个企业、组织或机构安全的最高层级。

    随着即将到来个人信息保护法2021年11月1日开始正式执行,至此中国已集齐了《网络安全法》、《数据安全法》、《个人信息保护法》三大安全法律顶层设计并进入全方位实施阶段,三大法律并不是各自独立而是相互结合、相辅相成的,共同构成了中国数据安全的法律保障体系,成为推动我国数字经济持续健康发展的坚实“防火墙”,这也标志着数据安全法制时代正式来临;因此在数字化经济发展时代的企业、组织或机构需要改变传统的“重生产,轻安全”的思维模式,特别是经常踩着数据应用红灯线运营的企业就更加要注意了。

    越来越多的律师事务所加大力度积极投身于数据安全律法,研究企业数据安全运营合规性,如果您的企业有专门的法务部门,那恭喜您了,法务部门能够深度结合法律顶层设计来逐步剖析并在合规合法的条件协助企业内部各部门进行数据开发利用;然而大多数的企业甚至是从事数据安全产品或服务的企业没有这样内部资源,国内从事数据安全方向的企业也大都是中小型企业偏多具有一定安全技术背景,不少也参与国家、地方、行业安全治理标准的构建。数据安全不是一朝一夕、一蹴而就完成的工作,而且需要长期动态长效性运营。从数据安全法第二章节也可以看出国家统筹数据安全和发展的决心,数据作为生产基本要素是必须要开发利用的,但国家也会有条不紊的推进数据安全律法的执行,当然律法初期执行阶段会有一些相对缓和的处罚,目的保障数据安全的条件下发展数据经济。

    看数据安全行业布局

    一般有数据安全的需求初期项目建设渠道包括数据安全咨询服务企业如四大咨询等、企业级安全大厂如奇安信等、数据安全治理和数据治理的专业企业等,但笔者认为还有不能忽视另外团体,那就是从事数据安全法律师,有监管则必有处罚,有处罚则必有轻重,这也会使从事数据安全案件的律师行业发展,因此笔者认为从事数据安全企业如能和律师行业联合是如虎添翼,即可以得到法律深层解读又可以接触更多有数据安全业务需求的客户,接下来我们基于《数据安全法》来分析探讨下几个当前从事数据安全企业的行业布局方向

    • 根据第一章第四条:维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力;第一章第十一条:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
      • 从以上两条可以看出不管是数据境内或者境外开发利用,国家肯定数据安全治理全局的发展方向,数据安全需要在数据全生命周期的整体上动态的治理,关注基于企业业务场景化的数据安全,包含数据安全组织架构、数据安全管理体系、数据安全技术体系、数据安全运营体系,因此从这个方向上数据安全治理企业依赖数据安全治理专业理论框架为基础,深入研究数据安全理论、DSG、外国数据安全理论及律法、标准,系统性全盘统筹数据安全,脚踏实地,包括进一步细化企业的数据安全咨询服务、数据安全实施服务、数据安全技术产品、数据安全运营服务,目前看国内有不少数据安全治理专业公司(笔者在之前文章已有提到国内数据安全治理公司名单)已经在这个方向有所深入了,当然数据安全治理是可以独立分开,没有做标准的数据治理前提下先做数据安全治理是可以的。
    • 根据第一章第六条:各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
      • 从本条可以看到不管是国家机关、组织机构、各行业企业进行数据开发利用都是有监管要求,这里着重点是监管要求,这种强制性和及时性要求促使从事数据安全企业布局方向侧重点之一是满足各行业监管的要求,根据各行业已发布或者即将发布的逐渐细化的数据安全考核评分标准或细则构建数据安全实施服务,根据每一阶段考核逐步实施,如目前政务数据数据安全试行阶段,各市、县、区政府大数据局需要接受省政府大数据局的监管要求,可能需要提供如数据安全管理制度、数据安全分类分级工作结果、数据安全自查报告等佐证材料,根据每项分数计入考核结果。目前阶段也可以看出部分行业还没有比较细的考核要求,通过试行阶段收集数据安全工作开展较好的案例用于后续数据安全建设指南,笔者相信随着顶层法律执行后,随着快速而来将会有更多地方和各行各业进一步细化的法律条款和标准,数据安全工作将从萌芽期快速进入发展期阶段,因此基于监管要求业务的数据安全企业战略方向部署得快马加鞭;部署数据安全合规性检查的流程引擎,数据安全合规性可以支持数据安全责任明确、灵活定制数据安全制度等审批流程、RABA数据权限最小粒度化、数据安全审计等功能。
    • 根据第一章第九条:国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。第二章第二十条:国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
      • 从以上两条可以看到国家在抓紧数据安全知识和意识传达,从这个基准点看可以布局于企业级数据安全培训机构方向,包含培训和数据安全管理人员专业证书认定,包含培训数据安全意识、数据安全法律、数据安全理论知识、数据安全管理总则、制度、规范流程建设指南、模板表单、数据科学、数据分析和数据挖掘、数据安全专业人员知识等。如果你的企业现在还没有数据安全的意识,那么得抓紧了,在当前信息化社会意识先行如行军打仗粮草先行的重要性,只有意识先跟上了数据安全落地实施也就不远了。
    • 根据第二章第十六条:国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
      • 从本条看国家大力提供数据安全技术研究和创新,比如目前有些数据安全技术研究企业研究零信任体系、可信计算、联邦学习隐私计算、区块链、IPFS数据安全技术应用等,不断探讨数据安全应用的技术落地的能性,数据安全治理是长期赛道,笔者也深度认为只有在数据安全有专业性、研究性、真正投入付出、掌握核心数据安全技术的企业才能屹立不倒笑到最后。
    • 根据第二章第十八条:国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
      • 从本条看国家号召专业机构建设数据安全检测评估、认证服务体系,也即是可以布局数据安全检测技术产品或服务方向以及数据安全资质认证评估机构,数据安全检测包括提供基于不同国家机关、行业的数据安全检测可视化数据安全态势感知和发现数据安全问题;数据安全资质认证评估如DSMM数据安全能力成熟度模型乃至国外能力成熟度模型等级认证,有效期后重新评估企业安全等级,特别是从事数据安全治理的企业最好能尽快资格认证,自身数据安全等级资质具备才能更好、更有信服力开展对外部企业的数据安全业务。
    • 根据第四章:第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。第四章第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等
      • 从上面两条以及第三章数据安全制度中也较多强调从国家层面的数据安全风险评估、监测预警、应急处置。数据安全治理是长期性、迭代性的工作,数据流转是动态的,从这也可以看出数据安全治理运营工作必要性,基于数据安全运营服务的方向行业布局,专注于运营阶段数据安全治理,提供数据安全监督检查及评价能力、数据安全运营服务的管理体系能力、技术工具支撑能力、运营基础能力培训能力等;包括数据安全检查制度、数据安全自查报告、数据安全风险评估预测系统,数据安全问题或事件发生实时监测及预警系统、提前建立相应数据安全事件及问题应急处置流程和处理实施,基于数据安全问题或事件发生后智能化启动应急处置。
    • 第三章整篇幅都是数据安全制度,详细可查看数据安全法
      • 从整个第三篇中可以看出目前阶段行业布局数据安全咨询服务的紧迫性,绝大部分企业组织是没有数据安全治理基础理论,数据安全来临但不知道从哪里入手做到哪里。而数据安全咨询服务可以以咨询专家加教练身份进入企业,调研企业实际情况、分析企业数据安全现状给企业提供数据安全综合解决方案并协助企业将数据安全实施落地和结果反馈、迭代优化到预期的阶段性成果达成。

    数据分类分级实施概述

    如果你的企业、组织或机构想要做数据安全治理,不想花费昂贵的费用那可以跟着小编一起来学习、分享然后根据企业实际情况调整和实施,本篇主要探讨数据安全制度的数据分类分级基础工作

    • 首先在企业组织战略、高层次层面成立企业数据安全组织架构,成立一个自顶向下决策层-管理层-支持层和外加一个贯穿整个数据安全治理全程的监督审计监督层(有点类似企业项目管理QA智能)全方位数据安全团队,明确责任及定人定岗。很多人有疑问引入数据安全后企业操作流程繁琐工作量增大及成本明显增加,这就需要企业先权衡评数据安全投入和数据开发利用的价值对比,这就需要在合规合法前提下选择企业所关注进行投入,除了必要流程其他流程是可以适当简化的。后续有时间单独讨论咨询服务课题再详细剖析,详细参见数据安全治理白皮书。

    image-20211024113133143

    • 其次建立数据安全管理体系,从数据安全总则、制度、指南、表单模板的四级文件,依据顶层数据安全总则纲要并逐层拆分和细化,如数据安全分类分级目标、数据安全分类分级制度、数据安全分类分级建设指南、数据安全分类工具表单模板等,后续有时间单独讨论咨询服务课题再详细剖析

    image-20211024114040419

    • 数据分类分级

      • 数据调研

        • 与数据部门、业务部门、职能部门沟通了解数据范围、业务数据大体分布,人工收集机密数据、核心数据、重要数据、敏感数据或规则标识,是否有国家机密数据特别是针对政务公共数据。
        • 数据资产发现,可以借助行业数据资产发现工具或者人工、脚本实现都可以,形成数资产统计概况、全面盘点企业的数据资产
          • 数据资产发现工具可以发现已有数据格式的文件的结构化、半结构化、非结构化的数据
          • 有基于网络流量分析方法(网络旁路或串行都可以)和数据存储终端部署探针扫描方法(支持多操作系统如linux、mac、windows终端)
          • 形成数据资产概览和数据分布
        • 数据数据资产的发现对数据进行标准化,形成数据字典和数据资源目录
        • 明确数据范围和数据分类分级目标
      • 数据分类分级实施方案

        • 可以依据国家标准、地方标准、行业标准编制实施框架,如大数据 数据分类指南、行业数据分级指南,比如

        image-20211024130038338

        image-20211024130106281

        • 根据企业关注点和业务场景需求明确分类分级原则、选择分类视角、分类分级维度、分类分级方法
        • 制定数据分类分级初步结果评估、定期评估、审核、批准、变更维护工作流程或方法
      • 数据分类分级实施

        • 数据预处理工具

          • 将元数据等信息导入mysql数仓,如果数据量大可以到hive表大数据数仓中,对于数据需要做一些处理和加工、分析挖掘可以借助Python语言数据分析低成本和方便性,安装anaconda环境、使用pycharm IDE或者jupyter notebook编辑器,使用单机版python数据分析numpy(数值计算、支持大量的维度数组与矩阵运算,封装数学函数库和运算)、pandas(数据分析、数据挖掘,如处理表格数据)、matplotlib(Python 2D-绘图领域)和scikit-learn单机版机器学习内置常用机器学习算法如分类、回归、聚类、降维、模型选择、预处理等,当然数据量大的可以使用分布式spark MLlib和Flink的机器学习了。后续我们再专门学习人工智能再来阐述

          image-20211024132008609

        • 数据分类分级工具或者编写脚本、程序处理

          • 基于标识匹配、正则匹配规则处理
          • 收集元数据数据字典等资源与真实数据库不能完全对比关联处理
          • 通过元数据和探查自动化填充一些的分类维度
          • 基于不同行业数据应用维度的数据属性进行机器学习、NLP分类
          • 基于不同行业数据结合国家法律进行机器学习、NLP分级
          • 结果人工二次审核,基于审核确认数据训练模型并预测新的数据
        • 数据维度处理

          • 从数据管理维度、数据应用维度、隐私保护维度、数据对象维度进一步补充数据维度,详细可以参考分类分级标准,如

            image-20211024134054610

          • 评估是否满足分类管理和分级保护预期目标

      • 数据分类分级交付清单输出

        • 数据分类分级实施报告
          • 数据分类分级收集和处理资料数据概况分析
          • 数据分类、分级依据
          • 数据分类图表示例
          • 数据分类实施过程说明
        • 数据分类清单
          • 数据表层级分类
        • 数据分级清单
          • 数据字段层级定级
          • 表字段最大级别作为数据表层级定级
    展开全文
  • 信息安全事件分类分级解读

    万次阅读 2018-03-08 13:39:52
    信息安全事件分类分级解读 信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。 1、信息安全事件分类 依据《中华人民...

    信息安全事件分类分级解读

         信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。

    1、信息安全事件分类

      依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全技信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》  《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等多部法律法规文件,根据信息安全事件发生的原因、表现形式等,将信息安全事件分为网络攻击事件、有害程序事件、信息泄密事件和信息内容安全事件四大类。

    网络攻击事件:

      通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件,包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。

    有害程序事件:

      蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。

    信息泄露事件:

      通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等,导致的信息安全事件。信息泄露事件包括专利泄露、系统主动监控及异常查单、产品竞价推销、怀疑员工泄露客户资料、员工泄露公司合同等。

    信息内容安全事件:

       利用信息网络发布、传播危害国家安全、社会稳定、公共利益和公司利益的内容的安全事件。包括违反法律、法规和公司规定的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件。 

    2、信息安全事件分级

      依据《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》  《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等法律法规文件,从以下因素进行考虑

    信息密级:衡量因信息安全事件中所涉及信息的重要程度的要素;

    声誉影响:衡量因信息安全事件对公司品牌所造成的负面影响范围和程度的要素;

    业务影响:衡量因信息安全事件对公司或事发部门正常业务开展所造成的负面影响程度的要素;

    资产损失:衡量因恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

    根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。

    特别重大事件(Ⅰ级)

    特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受特别严重的系统损失;

    b)  产生特别重大的社会影响。

    解读:公司部门中心的基础设施网络、重要信息系统(A类I类系统)、核心网站(如官网、管理后台)瘫痪,导致长时间业务中断,直接导致巨大经济损失的事件;绝密和机密数据(数据库或客户资料)被泄露导致大范围社会传播事件,严重影响公司声誉;对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件,直接影响公司投资者关系或者上市进程或者公司股价等事件

    重大事件(Ⅱ级)

    重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;

    b)  产生的重大的社会影响。

    解读:公司部门中心的基础设施网络、重要信息系统(A类I类系统)、核心网站(如官网、管理后台)瘫痪,导致业务中断,造成严重影响或经济损失的事件;绝密和机密数据(数据库或客户资料)遭受非法访问或传播事件;未经授权对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件。

    较大事件(Ⅲ级)

    较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;

    b)  产生较大的社会影响。

    解读:公司信息系统、网站、部门范围内的网络通信或者应用系统受到影响,并关系到业务正常运行的事件和用户系统账户被非法使用,遭受非法访问和泄密、传播损害公司形象利益的言论等事件,但是这些事件仅出现社会舆论小范围报告,没有给公司带来实际的损失和影响的事件。

    一般事件(Ⅳ级)

    一般事件是指不满足以上条件的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;

    b)  产生一般的社会影响。

    解读:公司内小范围出现的网络延时或故障,信息系统功能缺陷或者短暂不可用,导致个别用户或者业务受影响等技术层面的事件,或部分员工无意识的违反信息安全规定等管理层面的事件,但是这些事件没有给公司带来实际的损失和影响的事件。

     

    欢迎大家分享更好的思路,热切期待^^_^^ !

     

    展开全文
  • DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个...
  • Dataphin提供基于数据分级分类和数据脱敏的敏感数据识别和保护能力,助力企业建立合规的数据安全体系,保障企业数据安全。本篇,我们就来聊聊Dataphin的数据安全能力。 作者:龙裔 1、企业的数据安全挑战 ...
  • 功能安全专题之功能安全概念阶段

    千次阅读 多人点赞 2020-06-30 16:42:53
    **“当我们展望未来新技术的挑战时,采用统一的...在诸多的标准规范中,ISO 26262(汽车功能安全标准),继承自 IEC 61508(通用电子电气功能安全标准),定义了针对汽车工业的安全(Safety)相关组件的国际标准。
  • 【摘要】为了深化落实手术分级授权管理,保障临床手术安全,构建了手术分级授权管理系统。系统实现了手术申请、手术审批、手术查询、手术资格授权、手术资格查询信息化管理,并在医生申请手术时规范手术名称和自动...
  • 数据安全之数据分类分级系统建设

    千次阅读 2020-05-01 18:57:15
    数据分类分级在数据安全治理过程中至关重要,数据的分级是数据重要性的直观化展示,是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配精力及力度的基础(80%精力关注重要数据,20%...
  • 数据安全分类分级实施指南 重点 (Top highlight)Balance within the imbalance to balance what’s imbalanced — Amadou Jarou Bah 在不平衡中保持平衡以平衡不平衡— Amadou Jarou Bah Disclaimer: This is a ...
  • 信息安全事件分类分级指南

    万次阅读 2019-02-15 17:24:26
    二、信息安全事件分级分级考虑要素:信息系统的重要程度、系统损失和社会影响。 1. 信息系统的重要程度: 信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息...
  • 分布式文件系统是云计算研究领域内一个重要的分支,尽管分布式系统的分级安全功能的重要性很早就被意识到,但是在安全网络下进行分布式文件系统工作却极少。该文提出并设计基于分级安全局域网的分布式文件系统。采用...
  • 为解决传统文件共享方式单一、安全性不足以及共享文件权限控制自主性过高的问题,提出了一种文件加密存储分级访问控制方案,通过在系统中增加分级管理单元,实现对用户、文件的分级以及用户对文件访问权限的控制,...
  • 随着当今经济社会的快速发展,一些陈旧的、过时的变电站以及老式的设备等等已经不能适应时代发展的需要了,它们无论在功能方面还是在安全可靠的系数方面都存在着较大的风险,根本不能满足现代化电力系统在各方面的基本...
  • 等级保护  《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:  第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。...
  • 现有通用环境下基于分级身份的同类协议相比, 该协议的通信开销及双线性对计算开销较小, 且均为常量, 不受节点层次数影响, 可扩展性更强, 并且具有密钥派生控制功能。最后, 在标准模型下证明了协议的安全性。
  • 功能安全SIL--SIL1_,_SIL2,_SIL3,_SIL4_的定义分级,详细介绍各级的分类及应用
  • 软件测试分级理论

    千次阅读 2018-02-24 19:22:24
    功能测试可以分为性能测试、安全测试、可用性测试、稳定性测试等。 例如,在软件生产的 不同阶段 ,有单元测试、集成测试、系统测试、冒烟测试、alpha测试、beta测试等。 例如,根据 测试 执行频率 ,软件测试可以...
  • 自动驾驶分级

    千次阅读 2019-08-13 15:38:46
    为了更好地区分不同层级的自动驾驶技术,国际汽车...美国国家公路交通安全管理局(NHTSA)原本有自己的一套分类体系,分为五个级别,但在2016年9月转为使用SAE的分类标准。今天绝大多数主流自动驾驶研究者已将SAE标...
  • 一般这个安全机制有更低的复杂性和更小体积计划的功能来比的话 b) a safety requirement shall be allocated to the intended functionality and implemented applying the corresponding decomposed ASIL. 一个...
  • 自动驾驶分级傻傻分不清,是大家普遍存在的问题。...NHTSA(国家高速路安全管理局)和SAE(国际汽车工程师协会)的自动驾驶分级可以分别在官网下载,下面是一个中文版两个等级的汇总表格。 ...
  • Windows7下如何开启和关闭系统分级功能.docWindows7下如何开启和关闭系统分级功能.docWindows7下如何开启和关闭系统分级功能.docWindows 7下如何开启关闭系统分级功能系统分级是Windows 7操作系统自带的电脑性能...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 24,451
精华内容 9,780
关键字:

安全分级与功能分级