一、解决方案概要

御数坊公司致力于构建组织数据安全管理体系，在安全定级方面，利用人工智能技术，基于法律法规、行业规范、企业管理制度等监管规范，对企业数据资产进行智能化的数据安全定级。

御数坊自研软件产品：DGOffice安全管理软件，利用基于法律法规、行业规范、企业管理制度等监管规范，对数据资产进行智能化分类分级。同时，以数据资产的分类定级为基础，统一管控策略管理、数据权限管理。产品亮点功能包含安全词库的管理、数据资产目录管理、智能化分类定级模型、数据安全目录、统一数据安全管控策略。

二、应用场景痛点与难点简介

数据是企业的战略资产，是新时代的生产要素，数据安全越来越受到重视。国家层面、行业层面、企业层面都对数据分类分级管理提出要求。

国家层面，《中华人民共和国数据安全法》要求国家建立数据安全分类分级保护制度，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。《个人信息保护法》要求对个人信息实行分类管理。

行业层面，行业监管要求企业基于数据分类分级进行数据安全管控。金融行业有《JRT+0197-2020+金融数据安全数据安全分级指南》、《JRT 0158-2018 证券期货业数据分类分级指引》等。政府数据、工业数据和电信及互联网数据，均有相关行业监管要求。

企业层面，数据安全管理的基础是数据分类分级，基于数据分类分级进行数据差异化的保护和利用。

企业面对海量的数据，执行数据分类分级的难点有以下五个方面：

难点1：数据资产盘点问题

多数企业尚未解决数据资产“看得见”的问题，大量敏感数据藏在企业数据“深水区”，需梳理、构建建立明确资产清单，这是数据安全治理的一项基础性和全局性工作。

难点2：数据具有碎片化分布的特征

数据广泛分布在应用系统、数据中台以及操作端，识别和管理困难。

难点3：结构化数据分类分级准确率问题

结构化数据基于内容的自动化分类分级准确率不高。

难点4：结构化数据的字段级的分类分级耗时耗力

采用人工定级方式，参与部门多，时间周期长（耗时数月，200万字段约6000人天），效率低，已有成效难以复用。

难点5：数据分类分级运营管理问题

如果分类分级仅仅停留在一系列的文件制度和汇总表格上的话，很难做好运营管理。

金融企业数据安全管理工作很难开展，难以达到预期效果。数据安全事件频发，风险无处不在。

企业数据安全管理工作还有诸多需要改进的方面：

1.尚未对业务域数据进行数据安全等级认定。

2.针对不同等级的数据，缺乏公司级的数据安全策略。

3.缺乏数据安全的主动防护，存在数据泄露的风险。

4.没有制定数据安全策略的变更管理流程。

5.尚未建立定期举行数据安全防护的培训机制。

6.缺少定期汇总、分析组织内部的数据安全问题。

7.因为抗拒可能造成敏感数据资产的泄露，抗拒数据共享，影响数据应用效率。

如上的问题会导致企业面临数据安全管理和企业数据应用共享效率兼容性问题，过严，造成数据共享的阻力，影响业务部门用数的积极性；过松，造成数据泄漏和其他数据风险。究其原因，数据安全分类分级的基础工作未落实。

三、解决方案亮点介绍

DGOffice安全管理模块基于法律法规、行业规范、企业管理制度等监管规范对资产智能化分类定级、敏感探查。以资产的分类定级为基础统一管控策略管理、数据权限管理。产品亮点功能包含安全词库的管理、数据资产目录管理、智能化分类定级、数据安全目录、统一数据安全管控。

1.构建安全词库，实现精准定级

将国家法律法规、行业标准等数据安全分类定级标准梳理成安全词库，作为数据资产分类定级的判断依据。通过机器学习自动构建敏感信息与安全特征库，实现结构化数据敏感内容识别与精准定级，自动定级准确度达80%以上，且定级结果有法律、规范依据支撑。对非结构化数据，可实现敏感内容识别并实现精准分级定级。词库管理包含词库编辑、敏感标记、统计分析、查询查看功能。

2.构建行业语料库，符合行业管理要求

行业语料库：通过标签管理、知识图谱技术，建立质量、标准、资产等领域语义特征，构建行业语料库，语料库支持多场景能力复用，可将智能定级机制复用于多种业务场景，如资产识别、资产认责、标准识别等场景，保障数据价值运营。此外，具备数据反哺迭代优化的更新提升机制，可基于语义特征构建的业务分类定级关系，反哺、推演数据资产信息。

3.基于数据资产目录的安全管理方式

盘点企业的数据资产信息，形成数据资产目录。在系统中通过自动采集或者人工编辑的方式梳理、接入企业现有数据资产信息作为分类定级的对象。主要功能包含数据资产采集、维护、质量剖析、关系浏览等。

4.数据资产安全目录

资产识别后，经过审核发布后形成企业的数据资产安全目录，安全目录包含了具体的资产基础信息（技术信息、业务信息、管理信息）、样例数据、安全分类、安全等级、敏感属性信息、当前使用者的数据权限信息等。

御数坊企业数据安全底座的功能主要包括：资产管理、权限管理、权责认定、分类分级、安全策略、安全赋能。

1.资产管理

数据安全治理关键是以数据资产为基础的安全管控，因此数据资产管理是进行治理的前提。通过数据资产管理工具自动采集将企业的结构化、半结构化以及非结构化的资产进行盘点，形成数据资产目录。

2.权责认定

数据安全治理涉及安全专家、业务人员、数据管理人员等多种岗位的共同参与，如何能让不同的参与人员专注于自己的职责、同时又不影响整体工作开展？如何让多种角色的人员高效、简单的协同工作？如何在问题发生时快速、准确的找到相关负责人、并解决问题？随着数据安全治理管控的数据资产范围不断扩大、管控力度加深，这些问题严重影响安全治理的进度和效果。通过大量的实践经验来看，建立权责体系是解决这一问题的有效手段。通过工具快速建立人员、管控事项、管理职责的关系。同时支持权责关系的变更、预警等运营维护保证该关系持续有效。

3.分类分级

分类分级是数据安全治理的核心，在企业的经验中通常人工标记的方式。但是人工标记的方式一方面会因为不同人的理解不同造成同一个资产标记等级不一样。另一方面随着企业的资产数在不断增加，人工标记的效率已经无法满足业务使用。因此在分类分级过程中要采用系统工具自动化的进行分类分级。分类分级本身作为数据安全管理的工具，不能成为造成数据不安全的漏洞。所以在分类定级的过程中应该采用数据资产元数据和样例数据定级的模式，尽量减少分类分级工具访问原始数据存储库。在实践中，一种比较好的模式是分类分级工具根据数据资产目录信息分类定级，在定级过程中对于无法自动定级的数据资产结合权责关系人工定级。通过任务、模型驱动流程化的方式推动多方角色协同，共同完成分类分级、敏感数据资产的识别。

4.权限管理

随着数据应用的场景日益增加，管理数据的使用权限成为数据安全治理的关键。在数据安全治理过程中需要基于数据资产的分类分级结果进行统一数据权限管理。保证管理人员可以给使用者进行数据授权，数据使用者可以申请数据的使用权限。

5.安全策略

对于数据资产，不同生命周期阶段需要不同的数据管控策略，同一阶段不同使用场景的管控策略也不相同。企业在管理过程中通常是采用不同的安全防护工具单独管理的方式管理，这种管理方式往往造成，管控力度不统一，同一个数据链路中有的环节过于严格有的没有防护。因此，安全策略管理中，需要充分利用分类定级的结果，以数据安全等级为基础进行管控，建立统一的数据管控标准，为各个环节的安全工具提供目标资产的标准。

6.安全赋能模块

企业的业务系统及相关业务流程和数据安全管控的软件和产品在进行数据安全的管控时都需要基于用户账户对于数据资产的访问权限和分类分级的管控要求进行识别，因此企业有必要建立统一的基于数据资产和用户账户权限的数据安全标准，只有为企业建立统一的识别标准和统一的识别接口，才能实现企业数据安全的统一管理和数据安全管控的大价值，才能帮助企业做到精细化的数据安全管控。有了这个基础的数据安全标准和统一数据安全的接口，企业的所有的业务系统和安全软件都可以具备精确的识别能力，从而实现精细化的数据安全管控效果。因此通过对于企业业务系统及流程和安全软件的安全赋能，可以极大的提高企业的数据安全管控能力，从根本上解决企业数据安全管控过程中的落地难得问题，解决企业安全软件使用效力不达要求的问题。

四、金融行业客户名单

国家开发银行、申万宏源证券公司。

五、客户评价

客户评价：通过部署、实施和应用御数坊数据安全分类分级产品，实现了百万字段的快速、高效、准确的数据分类分级。与单纯用人工方式对数据进行分类分级相比，采用智能化分类分级，大大提升数据定级的准确度和工作效率，这也使分类分级维护工作变得更加容易，可以用来支撑数据安全策略和数据安全管理。

图：智能化数据分类分级系统功能架构

带来的价值：

1.完成数据安全分类分级

完成了数据安全定级规则的制定，编制并维护了数据安全规则术语，高效率实现了百万级数据资产小时级智能化数据安全定级，为公司大数据应用数据管理奠定基础。实现结构化数据敏感内容识别与精准定级，自动定级准确度达80%以上，且定级结果有法律、规范依据支撑。

2.能力价值体现 

结构化数据定级为数据合理的开放与共享提供依据，避免敏感数据泄漏。对内，安全分级结合数据授权管理，实现数据安全共享，发挥数据价值；对外，为开展数据增值服务合作提供依据和保障，在一定的管理审核支撑下，实现数据服务，为社会赋能。

3.社会效益

为后继制定差异化的针对性数据安全管控策略、加强数据安全管控成效、降低数据安全风险与损失、数据应用价值挖掘带来持续不断的经济和管理效益。

作为企业数据资产管理与安全管控的重要基础，为与外部企业和组织开展数据增值服务合作提供依据和保障，在一定的管理审核支撑下，向其他行业以及社会开放特定的数据，实现金融数据的社会赋能。