本發(fā)明涉及數(shù)據(jù)信息安全技術(shù)領(lǐng)域,特別的,涉及一種基于電網(wǎng)企業(yè)數(shù)據(jù)的分級分類模型方法。
背景技術(shù):
伴隨對信息系統(tǒng)依賴性的增加,電網(wǎng)企業(yè)的數(shù)據(jù)量、數(shù)據(jù)的重要性日益增大,隨之增大的還有數(shù)據(jù)泄漏風(fēng)險。雖然目前國內(nèi)外設(shè)備廠商已經(jīng)基于不同用戶需求開發(fā)出了數(shù)據(jù)防泄漏系統(tǒng),也制定了初步的數(shù)據(jù)分類分級制度和管控策略,但是缺少針對電網(wǎng)企業(yè)的數(shù)據(jù)分類分級標(biāo)準(zhǔn)和管控策略制度。信息安全建設(shè)更多的是考慮硬件和軟件的安全,電網(wǎng)企業(yè)現(xiàn)有的數(shù)據(jù)分級分類方法更多的是在公司層面對數(shù)據(jù)進(jìn)行宏觀的分類分級,業(yè)務(wù)部門對數(shù)據(jù)安全感知度不高,數(shù)據(jù)管控中心對數(shù)據(jù)敏感程度把握不夠,數(shù)據(jù)防泄漏工作的效果有限。現(xiàn)有方法忽視了人員、數(shù)據(jù)、文檔、服務(wù)、無形資產(chǎn)等重要對象。導(dǎo)致電網(wǎng)企業(yè)在實施數(shù)據(jù)安全工作的過程中普遍存在各種不足及問題,主要問題及不足如下:
(1)缺乏對數(shù)據(jù)生命周期安全管控措施;電網(wǎng)企業(yè)數(shù)據(jù)量龐大,核心敏感數(shù)據(jù)與一般數(shù)據(jù)缺乏整理區(qū)分保護(hù),核心敏感數(shù)據(jù)流轉(zhuǎn)生命周期不清晰。
(2)數(shù)據(jù)防泄漏系統(tǒng)安全策略的制定沒有電網(wǎng)企業(yè)數(shù)據(jù)分類分級標(biāo)準(zhǔn)參考,導(dǎo)致安全策略制定不夠客觀和充分;數(shù)據(jù)防泄漏系統(tǒng)本身并沒有完整的對企業(yè)的數(shù)據(jù)進(jìn)行調(diào)查和統(tǒng)計數(shù)量,識別出企業(yè)需要防護(hù)的敏感數(shù) 據(jù),數(shù)據(jù)防泄漏系統(tǒng)安全策略的制定依靠的是系統(tǒng)的內(nèi)定策略和技術(shù)人員的主觀意識決定,缺乏規(guī)范性。
(3)信息資產(chǎn)識別不充分;由于電網(wǎng)企業(yè)缺少判斷數(shù)據(jù)分級分類標(biāo)準(zhǔn)也并沒有專門的統(tǒng)計企業(yè)數(shù)據(jù)量,數(shù)據(jù)防泄漏系統(tǒng)在制定安全策略時也就無法精確識別數(shù)據(jù)資產(chǎn)是否需要保護(hù),該采取什么樣防護(hù)措施。
技術(shù)實現(xiàn)要素:
有鑒于此,本發(fā)明的目的是提供一種基于電網(wǎng)企業(yè)數(shù)據(jù)的分級分類模型方法,本發(fā)明的數(shù)據(jù)分級分類模型方法具有科學(xué)、客觀的特性,能夠?qū)㈦娋W(wǎng)企業(yè)數(shù)據(jù)分級分類制定成符合電網(wǎng)企業(yè)的數(shù)據(jù)保護(hù)模型,數(shù)據(jù)防泄漏系統(tǒng)安全策略配置可以按照此方法模型進(jìn)行制定,進(jìn)而提高數(shù)據(jù)防泄漏工作的效率,使數(shù)據(jù)防泄漏工作更加規(guī)范化、標(biāo)準(zhǔn)化,解決電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略不夠客觀及不夠充分等問題。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn):一種基于電網(wǎng)企業(yè)數(shù)據(jù)的分級分類模型方法,其特征在于,包括以下步驟:
S1、數(shù)據(jù)調(diào)研,通過與業(yè)務(wù)系統(tǒng)及相關(guān)數(shù)據(jù)存儲點相關(guān)負(fù)責(zé)人交流,或通過訪談、工作組形式與業(yè)務(wù)部門一同整理業(yè)務(wù)流程,識別業(yè)務(wù)流程中產(chǎn)生何種數(shù)據(jù)、數(shù)據(jù)的存儲方式、數(shù)據(jù)的流程方向、不同存儲位置的訪問權(quán)、數(shù)據(jù)的生命周期;
S2、數(shù)據(jù)收集,通過數(shù)據(jù)調(diào)研編制成業(yè)務(wù)流程圖和對應(yīng)的數(shù)據(jù)流程圖,分析流程在設(shè)計、運行等方面存在的現(xiàn)狀,以及流程中的關(guān)鍵控制點,數(shù)據(jù)收集范圍包括業(yè)務(wù)流程數(shù)據(jù)、客戶終端保存數(shù)據(jù)、存儲器保存數(shù)據(jù)和其他數(shù)據(jù),確保收集全電網(wǎng)企業(yè)數(shù)據(jù);
S3、測試數(shù)據(jù)真實性,對業(yè)務(wù)流程進(jìn)行穿行測試,尤其對業(yè)務(wù)流程產(chǎn)生的數(shù)據(jù)和數(shù)據(jù)流轉(zhuǎn);
S4、數(shù)據(jù)分類,對于數(shù)據(jù)來源進(jìn)行詳細(xì)分類,;
S5、數(shù)據(jù)分級,根據(jù)電網(wǎng)企業(yè)特性,主要參考“等?!?、“保密法”、“行業(yè)最佳實踐”的要求進(jìn)行數(shù)據(jù)分級,共分為四個級別,分別為一級、二級、三級、四級;
S6、將S1到S5步驟中已經(jīng)分類分級的數(shù)據(jù)進(jìn)行統(tǒng)一整理,建立一個數(shù)據(jù)防泄漏系統(tǒng),且制定安全策略時可直接參考的數(shù)據(jù)分級分類模型,給電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略時提供一個數(shù)據(jù)保護(hù)參考標(biāo)準(zhǔn)。
進(jìn)一步地,所述步驟S4中數(shù)據(jù)來源包括有形數(shù)據(jù)產(chǎn)生地,如硬件系統(tǒng)、紙質(zhì)或者其他物理媒介;以及無形數(shù)據(jù)產(chǎn)生地,如軟件、服務(wù)或者其他方式方法。
進(jìn)一步地,所述步驟S4中的數(shù)據(jù)分類完成后還再進(jìn)行一次業(yè)務(wù)系統(tǒng)穿插測試。
進(jìn)一步地,所述步驟S5中每個分級都賦予一定數(shù)值:一級3.8≦t≦4.0、二級3≦t<3.8、三級1.8≦t<3、四級t<1.8。
進(jìn)一步地,所述步驟S5數(shù)據(jù)分級完成后再根據(jù)文檔的“數(shù)據(jù)類型”,“影響范圍和對象”,“損失影響”三個維度對數(shù)據(jù)文檔進(jìn)行評分,評估數(shù)據(jù)級別。
更進(jìn)一步地,所述“影響范圍和對象”維度賦值情況為數(shù)據(jù)泄露影響到總公司的為最高影響范圍賦值4分,只影響到分公司賦值次一級評分為3分,只影響部門再次一級為2分,只影響個人為最低評分1分。
更進(jìn)一步地,所述“損失影響”維度的賦值是根據(jù)文檔發(fā)生了泄漏,企業(yè)可能面臨的財務(wù)或聲譽損失,損失可分為:高、中、低、幾乎沒有四個級別來評定賦值,其中高為4分,中為3分,低為2分,幾乎沒有為1分。
更進(jìn)一步地,數(shù)據(jù)最終評分為三個維度綜合數(shù)值,綜合評分將根據(jù)以下公式得出:數(shù)據(jù)級別得分t=數(shù)據(jù)類型得分*30%+影響范圍和對象得分*20%+損失影響預(yù)估得分*50%。
本發(fā)明的有益效果是:本發(fā)明的數(shù)據(jù)分級分類模型方法具有科學(xué)、客觀的特性,能夠?qū)㈦娋W(wǎng)企業(yè)數(shù)據(jù)分級分類制定成符合電網(wǎng)企業(yè)的數(shù)據(jù)保護(hù)模型,數(shù)據(jù)防泄漏系統(tǒng)安全策略配置可以按照此方法模型進(jìn)行制定,進(jìn)而提高數(shù)據(jù)防泄漏工作的效率,使數(shù)據(jù)防泄漏工作更加規(guī)范化、標(biāo)準(zhǔn)化,解決電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略不夠客觀及不夠充分等問題。
附圖說明
圖1顯示了本發(fā)明的數(shù)據(jù)分級分類方法流程圖;
圖2顯示了本發(fā)明的數(shù)據(jù)分級分類方法的三個維度評分模型。
具體實施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖對本發(fā)明作進(jìn)一步的詳細(xì)說明。應(yīng)該理解,這些描述只是示例性的,而并非要限制本發(fā)明的范圍。此外,在以下說明中,省略了對公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念。
如圖1,本數(shù)據(jù)分級分類方法建立數(shù)據(jù)分級分類模型過程共分為六個階段,分別為數(shù)據(jù)調(diào)研、收集數(shù)據(jù)、測試數(shù)據(jù)真實性、數(shù)據(jù)分類、數(shù)據(jù)分 級、建立數(shù)據(jù)分級分類模型。
(1)數(shù)據(jù)調(diào)研,通過與業(yè)務(wù)系統(tǒng)及相關(guān)數(shù)據(jù)存儲點相關(guān)負(fù)責(zé)人交流,或通過訪談、工作組形式與業(yè)務(wù)部門一同整理業(yè)務(wù)流程,識別業(yè)務(wù)流程中產(chǎn)生何種數(shù)據(jù)、數(shù)據(jù)的存儲方式、數(shù)據(jù)的流程方向、不同存儲位置的訪問權(quán)、數(shù)據(jù)的生命周期。
(2)收集數(shù)據(jù),根據(jù)數(shù)據(jù)調(diào)研得到的信息編制成業(yè)務(wù)流程圖和對應(yīng)的數(shù)據(jù)流程圖,分析流程在設(shè)計、運行等方面存在的現(xiàn)狀,特別是對流程中的關(guān)鍵控制點。數(shù)據(jù)收集范圍包包括業(yè)務(wù)流程數(shù)據(jù)、客戶終端保存數(shù)據(jù)、存儲器保存數(shù)據(jù)等,確保收集全電網(wǎng)企業(yè)數(shù)據(jù)。
(3)測試數(shù)據(jù)真實性,對業(yè)務(wù)流程進(jìn)行穿行測試,尤對業(yè)務(wù)流程產(chǎn)生的數(shù)據(jù)、數(shù)據(jù)流轉(zhuǎn),以確保數(shù)據(jù)收集的完整性、真實性和準(zhǔn)確性。
(4)數(shù)據(jù)分類;數(shù)據(jù)分類要充分考慮數(shù)據(jù)來源進(jìn)行詳細(xì)數(shù)據(jù)分類,其中數(shù)據(jù)產(chǎn)生地:包括有形數(shù)據(jù)產(chǎn)生地(如硬件系統(tǒng)、紙質(zhì)等)和無形數(shù)據(jù)產(chǎn)生地(如軟件、服務(wù)等)。區(qū)分的越詳細(xì)數(shù)據(jù)分類誤差就越小,而且數(shù)據(jù)分類完成后還需再進(jìn)行一次業(yè)務(wù)系統(tǒng)穿插測試,確保數(shù)據(jù)分類準(zhǔn)確性。
(5)數(shù)據(jù)分級;根據(jù)電網(wǎng)企業(yè)特性,主要參考“等?!薄ⅰ氨C芊ā?、“行業(yè)最佳實踐”等要求進(jìn)行數(shù)據(jù)分級。共分為四個級別,分別為一級、二級、三級、四級。每個分級都賦予一定數(shù)值:一級3.8≦t≦4.0、二級3≦t<3.8、三級1.8≦t<3、四級t<1.8。而后再根據(jù)文檔的“數(shù)據(jù)類型”,“影響范圍和對象”,“損失影響”三個維度對數(shù)據(jù)文檔進(jìn)行評分,評估數(shù)據(jù)級別。
(6)建立數(shù)據(jù)分級分類模型;將以上步驟已經(jīng)分類分級的數(shù)據(jù)進(jìn)行統(tǒng)一整理,建立一個數(shù)據(jù)防泄漏系統(tǒng)制定安全策略時可直接參考的數(shù)據(jù)分級分類模型,相當(dāng)于給電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略時提供一個數(shù)據(jù)保護(hù)參考標(biāo)準(zhǔn)。
如圖2,本數(shù)據(jù)分級分類模型采用的數(shù)據(jù)分級方法從三個維度進(jìn)行評分,分別為數(shù)據(jù)類型、影響范圍和對象、損失影響。由于數(shù)據(jù)共分成四級,每個維度評分?jǐn)?shù)據(jù)類型分值最高也只能為4分,最低為1分,每個維度數(shù)據(jù)類型分值高低將由數(shù)據(jù)重要性決定,比如數(shù)據(jù)類型維度有財務(wù)類型、企業(yè)戰(zhàn)略類型數(shù)據(jù)、也有一般行政類型數(shù)據(jù),參考電網(wǎng)企業(yè)“等?!?、“保密法”、“行業(yè)最佳實踐”給予不同數(shù)據(jù)密級定義不同數(shù)據(jù)類型分值,財務(wù)類、企業(yè)戰(zhàn)略類型數(shù)據(jù)等敏感數(shù)據(jù)可賦值4分,一般行政類型數(shù)據(jù)不怎么重要可賦值為1分。
影響范圍和對象維度賦值情況為數(shù)據(jù)泄露影響到總公司的為最高影響范圍賦值4分,只影響到分公司賦值次一級評分為3分,只影響部門再次一級為2分,只影響個人為最低評分1分。數(shù)據(jù)影響范圍是參見數(shù)據(jù)流轉(zhuǎn)生命周期所涉及范圍來評定。
損失影響維度的賦值是根據(jù)文檔發(fā)生了泄漏,企業(yè)可能面臨的財務(wù)或聲譽損失,損失可分為:高、中、低、幾乎沒有四個級別來評定賦值。每個級別賦予一定財務(wù)損失范圍,如果數(shù)據(jù)泄露財務(wù)損失在該范圍內(nèi)就會評估為相應(yīng)數(shù)值,其中高為4分,中為3分,低為2分,幾乎沒有為1分。
數(shù)據(jù)最終評分為三個維度綜合數(shù)值,綜合評分將根據(jù)以下公式得出:數(shù)據(jù)級別得分t=數(shù)據(jù)類型得分*30%+影響范圍和對象得分*20%+損 失影響預(yù)估得分*50%,每個維度權(quán)重劃分是根據(jù)抽樣調(diào)查全國電網(wǎng)企業(yè)相關(guān)負(fù)責(zé)人給予三個維度權(quán)重分值的平均值得出的,具有客觀性,科學(xué)性,可用性。
根據(jù)數(shù)據(jù)綜合評分可評定數(shù)據(jù)級別為:一級3.8≦t≦4.0、二級3≦t<3.8、三級1.8≦t<3、四級t<1.8,一級為最高級,以此類推。數(shù)據(jù)分級分類模型,共將電網(wǎng)企業(yè)數(shù)據(jù)分類劃分為四個級別,給電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)安全策略定義提供了數(shù)據(jù)價值參考標(biāo)準(zhǔn),數(shù)據(jù)防泄漏系統(tǒng)可根據(jù)此分級分類模型不同等級數(shù)據(jù)給予不同安全監(jiān)控措施,不僅提高了工作效率還能夠更全面保護(hù)電網(wǎng)企業(yè)數(shù)據(jù)。
應(yīng)當(dāng)理解的是,本發(fā)明的上述具體實施方式僅僅用于示例性說明或解釋本發(fā)明的原理,而不構(gòu)成對本發(fā)明的限制。因此,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。