企业安全—对数据和资产进行识别和分类

0x00 前言

针对数据和资产的保护刻不容缓，这个是每一个做企业安全建设不容放过的一环，那么在识别数据和资产已经对这些数据分类就是必须要了解和掌握的内容。

这里不仅是针对商业机密，还有用户数据，前者在于保护公司利益，后者在于遵纪守法，合法合规

0x01 数据安全生命周期

数据安全生命周期管理是指数据保护始于数据被首次创建时，一直持续到该数据被销

0x02 定义敏感数据

1.个人信息

NIST SP 800-122的定义：

(1)任何可用于识别或追踪个人身份的信息，如姓名、社会保险账号、出生日期、出生
地点、姓名或生物识别记录
(2)与个人有关联或有指向性的其他信息，如医疗、教育、财务和就业信息。最重要的是，组织有责任保护 PII，包括与员工和客户相关的PII。许多法律要求，当数据泄露导致 PII 丢失时，组织要通知个人。

2.受保护的健康信息

受保护的健康信息(protectedhealth information，PH)是与特定个人有关的任何健康信息在美国，《健康保险流通与责任法案》(HPAA)要求保护PH。HIPAA 提供了更正式的PHI定义。
健康信息指以口头、媒介或任何形式记录的任何信息。
(1)这些信息由如下结构设立或接收:卫生保健提供者、健康计划部门、卫生行政部门、雇主、人寿保险公司、学校或卫生保健信息交换所。
(2)涉及任何个人的如下信息:过去、现在或将来在身体、精神方面的健康状况，向个人提供的健康保健条款，过去、现在或将来为个人提供医疗保健而支付的费用。

3.专有数据（商业机密）

专有数据指任何有助于组织保持竞争优势的数据，它可以是开发的软件代码、产品的技术计划、内部流程、知识产权或商业秘密。如果竞争对手获取到专有数据，将严重影响组织的主要任务。

这里需要强调的是，翻译文件也是一项需要保护的商业机密。

0x03 数据分类

一般我们将数据分为四类

• 绝密标签是“应用于此类信息，对其未经授权的披露必然会对国家安全造成异常严重的损害，这是最初的分类机构能够识别或说明的”。
• 秘密标签是“应用于此类信息，对其未经授权的披露必然会对国家安全造成严重损害，这是最初的分类机构能够识别或说明的”。
• 机密标签是“应用于此类信息，对其未经授权的披露会对国家安全造成损害，这是最初的分类机构能够识别或说明的”。
• 未分类数据指不符合绝密、秘密或机密数据描述的任何数据。在美国，任何人都可获得未分类数据，尽管该国通常要求个人使用《信息自由法》(FOIA)中确定的程序请求信息。

0x04 数据状态

我们在保护的时候应该保护所有状态的数据，而不仅仅是落地的数据。

• 静态数据，落地存盘的数据
• 传输中的数据，网络传输
• 使用中的数据。内存中加载的，正在处理的数据

0x05 安全控制

在进行数据分类以及分级识别之后，就应该按照不同的类型执行不同的方案。
这个需要根据不同的数据类型并按照公司组织进行具体的调整。