出處:https://www.secrss.com/articles/29415

在如今的環境下，“業務”逐漸代表著資料的移動。如果說一家企業沒有進行一些資料共享的行為——比如分享銷售的理念和資料、獲取客戶資訊或者向客戶傳達正確的資訊等，那顯然他們並沒有真正的實現自己的“業務”。但是另一方面，使用資料的同時，就代表著要保護資料。

安全人員有大量的方式來保護資料，但是方式如此之多以至於資料的使用方反而怨聲載道：如果把資料保護得太緊，他們就無法完成他們的工作——至少這些資料的使用者是這麼認定的。

解決這個問題的方式之一是對資料進行分級。這條策略在大部分的安全意識專案中都會出現。雖然說這看上去是能解決使用資料和保護資料之間的矛盾，但是如果不提前就一些問題達成共識，反而會使得工作事倍功半。

▶ 分級策略

任何的資料分級都要對資料進行分類，並且打上一些標籤和名字——雖然說不同企業會對標籤和名字有自己的方式。SANS Institute在一份白皮書中標出了幾個組織最常用的分級方式，包括以下這些：

機密性可用性完整性專利性高敏感性功能性敏感業務關鍵業務敏感業務限制擁有者限制擁有者使用自由性企業使用內部使用公開使用無需分級

這個列表體現了資料敏感度的一個趨勢，企業可能用到其中的幾個，但是儘量別全部使用，否則分級就過於精細而難以落地。這些分類的意義，在於幫助企業理解資料一旦被不正當使用、遺失、或者銷燬後會產生怎樣的後果。

企業需要透過資料的流動來進行業務的實現，一般而言，流動會有以下的情景：

1. 發起請求：即一方希望瀏覽或者改變資料。

2. 將資料儲存在當人們需要它時就能接入的位置：基於部門對資料檔案進行分享。

4. 碰巧接入：資料很敏感，但是並沒有得到足夠安全的防護。結果就是，某些人能發現數據並下載。

5. 精準接入：資料可以透過被洩露的憑證接入。

以上的資料使用場景中，最後兩項顯然不是“適當”使用資料的場景；但事實上，這五個場景都可能造成企業和一個不應當知道相關資料的人進行資料共享，無論是意外情況，或者是缺乏對資料的敏感度和風險度意識造成。

▶ 按分級儲存

資料的儲存有著不少風險：誰能夠接入這些資料？誰有許可權修改這個位置的資料？這個位置的資料有備份嗎？多久備份一次？在災難發生的時候這些資料和備份會發生什麼？這個位置在雲端還是本地？這個位置能透過SSO登入嗎？這個位置接入需要多因子認證嗎？儲存介質是否會被盜竊？一旦被盜竊，其他人需要花多少工夫才能獲取其中的資料？這個位置有防火牆保護嗎？一旦這些資料被傳輸，以上問題的回答是否會改變？IT人員能夠在他們的許可權裡回答上述所有問題，但是他們無法確保資料真的按照這些需求進行防護。

儘管說資料分級是個層層遞進的事，但是有時候口令庫可能存在一個筆記本上的未加密資料倉中。這麼做理論上能使能接入資料的人限制在一個人——除非筆記本被分享、偷竊、或者遺失了。而另一方面，可以使用高穩定的VPN進行檔案分享，但是需要PIN去解密。這就代表者只有擁有PIN的人才能真正接入資料，也不會在地震等自然災害中發生無法接入的情況。

根據不同的儲存介質，會有不同的儲存方式以及儲存的資料。

以上的圖表顯示了企業各種儲存介質的安全價值。企業的資訊可能各不相同，因此即使基於這個表格，使用者可能依然缺乏足夠的資訊決定如何儲存資料。資料分級的提議者可能不知道哪些人有接入合作空間的許可權，或者“公司接入”許可權是否也包括了合同工。這對個人來說，資訊量太大了；而如果細節越多，資訊量就更難以控制了。那應該如何瞭解，並實行分級儲存的措施？

▶ “正確儲存”的文化

最直接的方法是直接去問那些資料的使用者。建立一個簡單的調查，基於10-15種類型的檔案，選取五個簡單易懂的儲存位置，詢問那些使用者他們希望把這些資料儲存在哪裡。這些可以包括他們工資單的電子副本、支援網站的口令、流程檔案、私人會議的記錄、預售產品的資料等等。把結果聚集以後匿名化處理，然後在內部告知管理層——包括不同型別檔案的資料分層選擇。鼓勵相關的經理和自己的團隊進行溝通，從而可以做出正確的選擇。

另外，企業還能尋找一些填錯的資料。DLP、CASB等工具可以發現在IT環境中錯填的信用卡號碼或者其他敏感資料。另一方面，一些防火牆工具也能監控並阻斷對受限制資料的連線。一旦知道了問題在哪，就可以讓管理人員針對相關的人員進行訓練。

確保所有系統都有命名的習慣，同時要能易於知曉誰接入過資料——包括資料建立數月或者數年後，這些命名方式要依然能讓人理解；因為2015年的命名規則可能對2020年的新員工並不那麼明顯。

透過使用者訪問審查（User Access Reviews, UAR）和經理們確認，哪些人在CRM、ERP或者其他系統中有哪些文件，同時這些文件在這些系統中代表著什麼。文件會過期，或者原使用者轉移到其他職位了，卻沒有將原文件轉移或者清除。

將資料分級作為年度資訊保安訓練的一環只是保衛資料的戰鬥中的一環。儘管說市面上有很多優秀的訓練課程和影片，但是還是需要根據自己的環境選取最合適的一樣。

數世點評：

資料分級可以說是資料安全的基礎。由於企業資料量龐大，對所有資料進行統一的安全管控方式，會導致某些資料管控不足，或者企業成本過高——因此資料分級是一個必需的工作。由於企業當中資料被各個不同部門的人需要，使用方式又各不相同，安全人員很難從零入手。這個時候，安全人員可以和安全廠商合作，找到最適合自己的切入點，從資料分級開始進行資料防護。

出處:https://www.secrss.com/articles/29415