一种基于金融业数据安全的数据分级分类方法与流程

1.本发明涉及金融业数据安全技术领域，具体为一种基于金融业数据安全的数据分级分类方法。


背景技术：

2.随着我国数据合规相关立法(如《数据安全法》与《个人信息保护法》等)的相继落地，金融行业应当及时关注、了解立法动向，强化数据合规的内控管理，并辅之以技术手段协助企业实现数据合规，使数据合规隐患防于未然。
3.数据是金融行业最具有战略性的、最为核心的资产。数据库和数据文件里保存着客户信息、征信信息和各类资金数据，数据的安全不仅关系到机构自身的金融风险和品牌，还关系到公共秩序甚至国家利益。互联网、云计算和大数据的急速发展以及网上金融服务业务的开展使得金融机构的数据信息的价值及可访问性得到了提升，也致使数据安全面临严峻的挑战。关键问题是，如何让数据在安全合规的前提下最大程度的发挥价值？
4.通过全面了解核心数据资产的安全状况，识别数据资产风险，才能不断优化和提升数据资产管理能力。对于所有以数据为生产要素或者希望从存量数据中挖掘数据价值的同时又有数据安全合规需求和业务驱动需求的金融企业具有十分重要的价值。
5.数据分类分级作为数据安全管理的基石，尤其是对于金融业来说，其管理的高价值的数据需要更严格的保护机制。如果没有数据分类和分级，低估数据风险等级，会导致不准确的风险评估，错误管理将带来安全隐患，甚至发生敏感数据泄露事件；反之，高估数据风险等级，对所有数据都施以最高级别的保护，毫无疑问会造成巨大浪费，高额成本难以承受。数据分类分级能指导安全团队恰当有效地保护重要数据资产，这一切的前提都是以合规性和安全隐私保护为基础的精准数据分类和分级。
6.现有的数据分级分类在合规性和安全隐私保护方面均存在欠缺，具体如下：
7.1.现有的数据分级分类方法并不区分各行业的标准，导致金融业无法使用通用的数据分类分级标准的系统。
8.2.现有技术都是基于通用模型执行数据分级或者分类，而无法根据用户的主动要求设置个性化的规则，不能满足用户的个性化分类要求，分类不能进一步细化，无法实现所有数据的分类分级和数据全面的保护。
9.3.现有技术无法参考数据信息给予推荐数据的分类和分级；当数据质量不高，同一列中识别出多种字段信息时，无法进行有效的数据分类和分级。
10.现有的技术无法通过数据资产地图的可视化方式帮助管理者了解数据风险，包括：企业有多少数据、有哪些类型的数据、有哪些是敏感数据，这些数据的敏感等级分别是什么？账户权限分布情况和变化如何？数据权限是否满足最小授权原则？为此，我们提出一种基于金融业数据安全的数据分级分类方法。


技术实现要素：

11.本发明的目的在于提供一种基于金融业数据安全的数据分级分类方法，以解决上述背景技术中提出的问题。
12.为实现上述目的，本发明提供如下技术方案：一种基于金融业数据安全的数据分级分类方法，包括以下步骤：
13.s1、数据资产识别，管理及授权页面，为用户提供集中的资产管理和识别授权管理功能；
14.s2、确定识别规则；
15.s3、识别任务配置，数据资产授权且开通识别权限后，会自动创建识别任务，并按照识别规则中已开启的规则扫描；
16.s4、分类分级判定；
17.s5、数据资产保护：通过数据资产地图，用户可以根据资产地图的可视化方式了解数据资产的综合安全情况。
18.优选的，包括s2中确定识别规则的方法，该方法包括以下步骤：
19.s21、内置金融业数据分类分级标准：参照gbt37973-2019大数据安全管理指南、jr/t0171/-2020个人信息保护技术规范、gb/t37988-2019数据安全能力成熟度模型、jr/t0/97-2020金融数据安全分级指南等国家及行业的政策要求，内置金融行业规则，用户使用系统内置的金融业的数据分类分级标准进行数据自动分类分级；
20.s22、用户自定义分类分级规则：支持用户的自定义设置个性化的规则，满足用户的个性化分类要求，实现所有数据的分类分级和数据全面的保护。
21.优选的，包括s4中分类分级判定的方法，该方法采用自动分类分级推荐引擎，推荐引擎参考数据上下文信息综合给予最优匹配度推荐的类别和等级；或当数据质量不高，同一列中识别出多种字段信息时，自动展示该列数据的规则命中列表，包括规则名称、匹配度；通过自定义设置推荐命中率，大于一定匹配度百分比后系统会自动确认，未达到推荐命中率的各数据项根据占比进行手工修改确认梳理。
22.优选的，包括s5中数据资产保护的方法，该方法包括：
23.敏感数据分布模块，可查看对应数据库的敏感数据类型分布、敏感级别分布和识别规则命中top10的分布信息；
24.识别历史记录模块，显示数据分类分级识别任务的扫描历史；
25.账号权限模块，显示该库用户所有的权限；
26.存储信息模块，显示资产存储走势和数据总量走势情况，可选择展示近一周、近一月、近半年；
27.异常报警模块，显示该数据库的审计异常报警历史模块。
28.与现有技术相比，本发明的有益效果是：
29.1.内置金融业数据分类分级标准：参照gbt37973-2019大数据安全管理指南、jr/t0171/-2020个人信息保护技术规范、gb/t37988-2019数据安全能力成熟度模型、jr/t0/97-2020金融数据安全分级指南等国家及行业的政策要求，内置金融行业规则。用户可以使用系统内置的金融业的数据分类分级标准进行数据自动分类分级。
30.2.用户自定义规则：除了系统内置规则，也支持用户的自定义设置个性化的规则，
满足用户的个性化分类要求，实现所有数据的分类分级和数据全面的保护。
31.3.自动分类分级推荐引擎：推荐引擎参考数据上下文信息综合给予最优匹配度推荐的类别和等级；或当数据质量不高，同一列中识别出多种字段信息时，自动展示该列数据的规则命中列表，包括规则名称、匹配度；通过自定义设置推荐命中率，大于一定匹配度百分比后系统会自动确认，未达到推荐命中率的各数据项可根据占比进行手工修改确认梳理，从而提高数据分级分类效率。
32.4.数据资产地图：用户可以根据资产地图的可视化方式了解数据资产的综合安全情况，包括：敏感数据分布、识别历史记录、账号权限明细、存储情况、异常报警五个方面。帮助管理者通过可视化的方式全面了解核心数据资产的安全状况，识别数据资产风险，从而不断优化和提升数据资产管理能力。本系统对于所有以数据为生产要素或者希望从存量数据中挖掘数据价值的同时又有数据安全合规需求和业务驱动需求的金融企业具有十分重要的价值。
附图说明
33.图1为本发明工作流程示意图。
具体实施方式
34.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
35.实施例一
36.请参阅图1，本发明提供一种技术方案：一种基于金融业数据安全的数据分级分类方法，包括以下步骤：
37.s1、数据资产识别，管理及授权页面，为用户提供集中的资产管理和识别授权管理功能；
38.s2、确定识别规则；
39.s3、识别任务配置，数据资产授权且开通识别权限后，会自动创建识别任务，并按照识别规则中已开启的规则扫描。本页面可进行识别任务的设置、开启自动扫描，或手动运行识别任务。在识别任务页面，可查看数据源名称、数据库名称等信息，可按照不同数据源、扫描状态、时间、数据库名称来检索；
40.s4、分类分级判定；
41.s5、数据资产保护：通过数据资产地图，用户可以根据资产地图的可视化方式了解数据资产的综合安全情况。
42.实施例二
43.本实施例与实施例一的区别在于，包括s2中确定识别规则的方法，该方法包括以下步骤：
44.s21、内置金融业数据分类分级标准：参照gbt37973-2019大数据安全管理指南、jr/t0171/-2020个人信息保护技术规范、gb/t37988-2019数据安全能力成熟度模型、jr/
t0/97-2020金融数据安全分级指南等国家及行业的政策要求，内置金融行业规则，用户使用系统内置的金融业的数据分类分级标准进行数据自动分类分级；
45.s22、用户自定义分类分级规则：支持用户的自定义设置个性化的规则，满足用户的个性化分类要求，实现所有数据的分类分级和数据全面的保护。
46.实施例三
47.本实施例与实施例一和实施例二的区别在于，包括s4中分类分级判定的方法，该方法采用自动分类分级推荐引擎，推荐引擎参考数据上下文信息综合给予最优匹配度推荐的类别和等级；或当数据质量不高，同一列中识别出多种字段信息时，自动展示该列数据的规则命中列表，包括规则名称、匹配度；通过自定义设置推荐命中率，大于一定匹配度百分比后系统会自动确认，未达到推荐命中率的各数据项根据占比进行手工修改确认梳理，从而提高数据分级分类效率。
48.实施例四
49.本实施例与实施例一的区别在于，包括s5中数据资产保护的方法，该方法包括：
50.敏感数据分布模块，可查看对应数据库的敏感数据类型分布、敏感级别分布和识别规则命中top10的分布信息；
51.识别历史记录模块，显示数据分类分级识别任务的扫描历史；
52.账号权限模块，显示该库用户所有的权限；
53.存储信息模块，显示资产存储走势和数据总量走势情况，可选择展示近一周、近一月、近半年；
54.异常报警模块，显示该数据库的审计异常报警历史模块。
55.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
56.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。