數(shù)據(jù)安全分級劃分

金 濤

(清華大學(xué)軟件學(xué)院 北京 100084)

(清華大學(xué)-中國人壽財(cái)產(chǎn)保險(xiǎn)股份有限公司工業(yè)安全大數(shù)據(jù)聯(lián)合研究中心 北京 100084)

全國人大常委會制定并通過了《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)，自2021年9月1日起施行.《數(shù)據(jù)安全法》就如何保障數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用作出了明確規(guī)定，明確了相關(guān)罰則.第21條明確規(guī)定了實(shí)行數(shù)據(jù)分類分級保護(hù)，并在重要數(shù)據(jù)概念基礎(chǔ)上進(jìn)一步提出了國家核心數(shù)據(jù)概念，實(shí)行更加嚴(yán)格的重點(diǎn)保護(hù).第27條提出在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上做好數(shù)據(jù)安全保護(hù)工作.第53條提出涉密數(shù)據(jù)的處理遵照《中華人民共和國保守國家秘密法》(以下簡稱《保守國家秘密法》)等法律、行政法規(guī)規(guī)定執(zhí)行.

可以看出，《數(shù)據(jù)安全法》明確提出了數(shù)據(jù)分類分級保護(hù)的要求，但數(shù)據(jù)分為幾級，如何分級，目前尚無定論.數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，數(shù)據(jù)分級問題已經(jīng)成為平衡安全和發(fā)展的重要問題，《數(shù)據(jù)安全法》第27條和第53條已經(jīng)為數(shù)據(jù)分級工作指出了方向.

1 相關(guān)工作

雖然在國家層面尚無統(tǒng)一的數(shù)據(jù)分級劃分，但在不同領(lǐng)域已經(jīng)開展了相關(guān)工作[1-5]，并沉淀為相關(guān)標(biāo)準(zhǔn)，代表性工作如下：

2011年發(fā)布的GB/T 26499.1—2011《機(jī)械科學(xué)數(shù)據(jù) 第1部分：分級分類方法》，明確了數(shù)據(jù)分級原則：科學(xué)性原則、安全性原則、共享性原則，并將機(jī)械科學(xué)數(shù)據(jù)分為7個(gè)等級[6].

2016年貴州省發(fā)布的DB52/T 1123—2016《政府?dāng)?shù)據(jù) 數(shù)據(jù)分類分級指南》，定義了貴州省全省范圍內(nèi)政府?dāng)?shù)據(jù)資源的分類分級原則和方法，原則包括：科學(xué)性原則、穩(wěn)定性原則、實(shí)用性原則、擴(kuò)展性原則[7].

2020年2月工業(yè)和信息化部印發(fā)的《工業(yè)數(shù)據(jù)分類分級指南(試行)》，將工業(yè)數(shù)據(jù)分為3個(gè)安全級別.

2020年9月中國人民銀行發(fā)布的JR/T 0197—2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》，給出了數(shù)據(jù)安全定級原則：合法合規(guī)性原則、可執(zhí)行性原則、時(shí)效性原則、自主性原則、差異性原則、客觀性原則，定級主要考慮影響對象和影響程度，將金融數(shù)據(jù)劃分為5級[9].

2020年11月杭州市發(fā)布的DB3301/T 0322.3—2020《數(shù)據(jù)資源管理 第3部分：政務(wù)數(shù)據(jù)分類分級》，根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對受侵害客體的影響程度，按照一定原則和方法進(jìn)行分級；給出了分級分類原則：科學(xué)性原則、實(shí)用性原則、自主性原則；將數(shù)據(jù)分為4級：公開數(shù)據(jù)、一般敏感數(shù)據(jù)、高度敏感數(shù)據(jù)、極度敏感數(shù)據(jù)；以附錄形式給出了不同級別對應(yīng)的共享屬性(無條件共享、有條件共享、不予共享)和開放屬性(無條件開放、有條件開放、不予開放)以及數(shù)據(jù)分級保護(hù)要點(diǎn)[8].

2020年12月工業(yè)和信息化部發(fā)布了YD/T 3813—2020《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》，規(guī)定了基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級原則、數(shù)據(jù)分類工作流程和方法、數(shù)據(jù)分級方法，并給出基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級示例.給出的分級原則包括安全性、穩(wěn)定性、可執(zhí)行性、時(shí)效性、自主性、合理性、客觀性、就高不就低、關(guān)聯(lián)疊加效應(yīng).將電信企業(yè)數(shù)據(jù)劃分為4級[10].

可見，數(shù)據(jù)基于安全工作需要劃分為幾級并沒有統(tǒng)一，這不利于數(shù)據(jù)安全保護(hù)工作，不利于數(shù)據(jù)在確保安全的前提下流通使用，也不利于數(shù)字經(jīng)濟(jì)的發(fā)展.

2 數(shù)據(jù)分級

《數(shù)據(jù)安全法》明確提出在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上進(jìn)行數(shù)據(jù)安全保護(hù)，秘密數(shù)據(jù)處理參照《保守國家秘密法》.本節(jié)首先介紹《保守國家秘密法》和等級保護(hù)相關(guān)內(nèi)容，進(jìn)而提出一種數(shù)據(jù)分級方法.

2.1 秘密數(shù)據(jù)分級

《保守國家秘密法》將秘密數(shù)據(jù)劃分為3級：絕密、機(jī)密、秘密。不同密級的定級由相應(yīng)定密程序確定，不同密級的數(shù)據(jù)保密工作有相關(guān)規(guī)范標(biāo)準(zhǔn)明確.

2.2 等級保護(hù)分級

2020年發(fā)布的GB/T 22240—2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》，根據(jù)等級保護(hù)對象的重要程度、受侵害的客體和對客體的侵害程度將等級保護(hù)對象的安全保護(hù)等級劃分為5級[11].

等級保護(hù)對象受侵害的客體以及對客體的侵害程度與等級之間的關(guān)系如表1所示:

表1 等保定級要素與等級的關(guān)系

等級保護(hù)對象主要包括信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等，不涉及秘密對象.可見，等級保護(hù)標(biāo)準(zhǔn)已經(jīng)明確將數(shù)據(jù)資源作為一種保護(hù)對象，故5級劃分同樣適用于數(shù)據(jù).

2.3 數(shù)據(jù)分級劃分

結(jié)合2.1節(jié)和2.2節(jié)的內(nèi)容，根據(jù)數(shù)據(jù)的保密性、完整性、可用性被破壞后受侵害的客體和侵害客體的程度，數(shù)據(jù)分級劃分如表2所示.

表2 數(shù)據(jù)分級

按照《數(shù)據(jù)安全法》要求，數(shù)據(jù)劃分為涉密數(shù)據(jù)和非密數(shù)據(jù).

涉密數(shù)據(jù)的分級按照定密程序確定，不同密級數(shù)據(jù)的安全保護(hù)工作遵循相應(yīng)規(guī)范標(biāo)準(zhǔn).

非密數(shù)據(jù)的分級按照等級保護(hù)分級，1～5級的定級按照等保定級流程確定，在定級工作過程中不斷完善目錄，明確哪些數(shù)據(jù)的定級不得低于幾級或是不得高于幾級.由于《網(wǎng)絡(luò)安全法》明確提出了重要數(shù)據(jù)概念，《數(shù)據(jù)安全法》進(jìn)一步明確提出了國家核心數(shù)據(jù)概念，根據(jù)《數(shù)據(jù)安全法》相應(yīng)法條描述，可以理解為國家核心數(shù)據(jù)是重要數(shù)據(jù)中安全級別最高的一類數(shù)據(jù)，故第5級數(shù)據(jù)又進(jìn)一步細(xì)分為5.1級非核心重要數(shù)據(jù)和5.2級國家核心數(shù)據(jù)，其定級的確定需要依據(jù)相關(guān)目錄按照相關(guān)原則流程確定.

第1～5級不同級別數(shù)據(jù)的安全保護(hù)，涉及系統(tǒng)和網(wǎng)絡(luò)層面的，第1～4級可直接按照等級保護(hù)第1～4級的要求進(jìn)行.第4級及以上系統(tǒng)和網(wǎng)絡(luò)涉及到關(guān)鍵信息基礎(chǔ)設(shè)施，而尚在進(jìn)展中的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)標(biāo)準(zhǔn)將保護(hù)能力劃分為3級，可以對齊到本文數(shù)據(jù)分級的第4級、5.1級、5.2級，即第4級數(shù)據(jù)的安全保護(hù)涉及系統(tǒng)和網(wǎng)絡(luò)層面的，可以結(jié)合等保第4級要求和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的能力等級1要求進(jìn)行，5.1級數(shù)據(jù)按照關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的能力等級2要求進(jìn)行，5.2級數(shù)據(jù)按照關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的能力等級3要求進(jìn)行.不同級別數(shù)據(jù)的安全保護(hù)涉及組織、不同數(shù)據(jù)處理活動要求的，可在修訂的GB/T 35274《大數(shù)據(jù)服務(wù)安全能力要求》中明確.

3 總結(jié)與展望

本文圍繞數(shù)據(jù)分級開展研究工作，分析了已有相關(guān)工作，重點(diǎn)介紹了涉密數(shù)據(jù)分級和等級保護(hù)分級與定級，結(jié)合2類數(shù)據(jù)的分級將數(shù)據(jù)劃分為8級，并對其中的第5級進(jìn)行了細(xì)化分級.這種數(shù)據(jù)分級很好地結(jié)合了實(shí)踐中成熟的保密管理和等級保護(hù)工作，數(shù)據(jù)定級工作可操作性強(qiáng)，分級后的數(shù)據(jù)安全保護(hù)工作思路清晰，能充分發(fā)揮標(biāo)準(zhǔn)體系的配套支撐作用.在現(xiàn)有標(biāo)準(zhǔn)工作基礎(chǔ)上，還需要進(jìn)一步開展工作，制定不同級別數(shù)據(jù)不同數(shù)據(jù)處理活動的安全保護(hù)要求以及對組織的要求，完善相關(guān)目錄.