数据安全-数据分类分级方案设计

前面针对数据分类分级做了较为系统性的调研分析报告，具体内容可点击，不再做赘述： 数据安全-数据分类分级调研分析报告

前言

通过前期市场调研与分析，发现已经有多家企业在数据分类分级方向发力，国家政策也是21年才正式发布，市场还处于早期阶段，多家产品也是近一两年才出炉，地方政府相关单位也在逐步出台相关政策和做出动作。数据分类分级产品，还是大有市场的，那么我们来看一下针对分类分级方案的具体设计。

总体架构思想

总体架构思想如上图

• 适配各种数据源，可以优先考虑通用的csv、execel文件以及关系型数据库的数据源。
• 数据分类分级产品要做成通用的产品，需要根据行业标准及相关法规，提供内置规范化分类分级模版并达到自动分类分级的效果，同时需要支持基于已有的内置行业分类分级规则自定义完善该规则。
• 实现自动分类分级，主要技术涉及正则表达式、关键字典、机器学习、NLP、文档指纹等。
• 提供访问API给外部服务或第三方产品使用。

核心流程

核心流程图可看出，主要分为：数据源模块、分类分级模版模块和任务执行模块

细节流程

发起数据分类分级任务流程：

1. 选择数据源
2. 选择数据分类分级模版 a. 选择内置分类分级模版 b. 选择自定义分类分级模版 ⅰ. 存在自定义分类分级模版则使用 ⅱ. 不存在自定义分类分级模版则需要去创建
   1. 创建分类模版
   2. 定义分级规则
   3. 分类分级映射数据识别规则 a. 若数据识别规则存在则使用 b. 不存在则需要创建
3. 用户确定创建分类分级任务
4. 数据分类分级任务执行 a. 根据选定的数据源找到对应数据 b. 根据识别规则确定表数据的分类，根据识别规则确定表字段数据的分级 c. 产生一条分类分级后的数据进行落库 d. 循环全部数据分析
5. 数据分类分级任务执行完毕

模块

数据源管理模块

• 支持文件导入数据库
• 支持数据库连接

任务管理管理

• 创建分类分级任务
  • 选择具体数据源下的单表或多张表，但不能跨库
  • 选择分类分级模版
  • 对数据表进行分类
    • 分类下有数据最低密级，需要用户确认或修改最低密级（方便表数据分级）
    • 无法识别分类，强制用户手动选择
  • 对表数据进行分级
    • 无法识别分级，采用默认级别
• 查看分类分级任务进度与结果
  • 未执行任务可删除
  • 执行中任务不可删除
  • 执行完毕任务可删除（但同时会删除分类分级结果及相关数据）

分类分级模版模块

内置分类分级模版

• 分类模版不可修改
• 模版名称唯一
• 每个分类名称必须唯一
• 每个分类有默认数据分级（默认为1级，用来限制分类下的数据分级）
• 内置分类分级映射数据识别规则

内置分级规则

• 密级（默认为4级，用户可增删密级，最多支持10级）
• 密级名称（名称唯一，可修改）
• 密级描述（可修改可为空）

用户自定义分类分级模版

• 分类模版一旦被使用便不可修改
• 模版名称唯一
• 每个分类名称必须唯一
• 每个分类有默认数据分级（默认为1级，用来限制分类下的数据分级）
• 自定义分类分级映射数据识别规则

用户自定义分级规则

• 密级（默认为4级，用户可增删密级，最多支持10级）
• 密级名称（名称唯一，可修改）
• 密级描述（可修改可为空）

数据识别规则模块

• 内置数据识别规则（主要技术涉及正则表达式、关键字典、机器学习、NLP、文档指纹等）
  • 识别规则一旦被使用便不可删减，可增加
  • 常用的如手机号、住址、身份证号，座机、姓名等各种证件号
• 用户自定义识别规则（支持正则、关键字典、模糊匹配）
  • 识别规则一旦被使用便不可删减，可增加
• 样本库（为数据识别规则添加样本库）
• 字段名和字段值
• 匹配度

分类识别规则

• 匹配规则 识别表名和字段名

分级识别规则

• 匹配规则 识别字段名和字段值

常用的数据识别内容

表设计

这里就有点涉密了，就不放表设计了，如果有同学需要了解可私聊一对一提供参考。

外部访问api

入参：账户信息、请求的库表

出参：分类分级表list对象

[{
	"字段名": "name",
	"数据密级": 2,
	"数据识别规则":""
}, {
	"字段名": "tel",
	"数据密级": 3,
	"数据识别规则":""
}]

数据分类分级方案设计就到此一段落了，如果小伙伴有任何问题欢迎探讨，接下来就是项目技术选型了，期待下一篇博客吧！