案件還原：今年6月24日，中共中央網信辦發布公告，為防范國家數據安全風險，維護國家安全，保障公共利益，依據《國家安全法》《網絡安全法》《數據安全法》，按照《網絡安全審查辦法》（下稱《辦法》），2022年6月23日，網絡安全審查辦公室約談同方知網（北京）技術有限公司負責人，宣布對知網啟動網絡安全審查。

圖 網絡安全審查辦公室對知網啟動網絡安全審查

01知網被查背后

重要行業重要數據關乎國家安全

根據“網信中國”通報，知網掌握著大量個人信息和涉及國防、工業、電信、交通運輸、自然資源、衛生健康、金融等重點行業領域重要數據，以及我國重大項目、重要科技成果及關鍵技術動態等敏感信息。可以說，在數字經濟時代，數據安全直接關乎著國家主權和國家安全，其重要性已經毋庸置疑。“大多數企業都知道數據安全很重要，但并不清楚自己的重要數據、敏感數據等存儲在哪兒、哪些環節流通、哪些業務在調用、隱藏著哪些風險。”值此《數據安全法》正式實施一周年之際，作為本期數據安全“四大名偵探”之一，奇安信集團數據安全治理部總經理楚贇認為，以數據分類分級為核心的數據安全治理，是數據安全體系化建設落地實施的基礎。

02分類分級做不好

數據安全必然會“危機四伏”

從今年國家級的攻防演習結果來看，因為重要、敏感數據被攻方獲取，進而丟失很多分數的企業單位不在少數。經分析發現，很多企業在網絡安全的邊界防護、終端防護、流量威脅檢測及響應方面，做得非常完善，然而由于缺乏對數據的分類分級，在數據安全防護上存在明顯的軟肋，導致在演習中企業的重要數據和敏感數據被輕易獲取，吃虧很大。

從多個真實案例來看，數據分類分級做不好，必然會導致幾個結果：

首先是無法滿足《數據安全法》中的相關合規要求。 《數據安全法》明確提出國家重要數據、核心數據的概念，即關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據，并要求對此類數據實行更加嚴格的管理制度。顯然，對于具有承載著大量科研科技數據的知網而言，科技安全是國家安全的重要組成部分，很多反映科技成果的數據也會直接影響國家安全。楚贇認為，知網不僅僅是個案，對于所有掌握著與國家安全、重點科研、國計民生緊密相關重要和敏感數據的企業平臺而言，迫切需要從合規角度，建立數據分類分級管理制度，對數據進行分類分級，識別出涉及國家和行業領域安全的重要數據、核心數據、個人信息數據，并基于分類分級結果、對敏感數據和重要數據的流轉及使用情況，結合企業場景化的數據安全風險分析及數據安全能力需求分析，制定企業的數據安全策略和技術防護保障措施。其次是無法適應數據規模爆發式增長帶來的安全挑戰。

當前，隨著數字化轉型的深入，企業的數據規模呈爆發式增長，泛在化流動，并且向平臺化集中，同時，隨著業務系統上云、數據交互和流通（甚至存在跨境傳輸）需求的增加，針對于企業業務數據層面的安全管理、安全防護問題也逐漸增多，數據安全形式復雜且變得嚴峻。

如何對海量數據進行有針對性的防護，促進數據安全有序的流動、保障業務應用安全的使用、及時發現潛在數據安全風險并及時處置等，都是企業當前數據安全管理與防護的難題。最后是難以支撐企業數據安全保護的常態化管理。

企業在數字化過程中，數據類型多、數據來源復雜、體量大，如果對所有數據無差別地進行安全管理和防護，對于數據安全管理人員來說就顯得不科學和不現實。因此，摸清企業的數據資產底賬，識別要重點保護的關鍵數據資產就顯得尤為重要，將數據分類分級管理和工作開展賦能到企業的各業務條線，在業務開展過程中就做好數據的分類分級，識別出需要重點保護的關鍵數據，作為常態化管理工作是一種必然。

03從冬奧項目看企業如何開展數據分類分級

那么，企業該如何開展數據分類分級工作？在2022北京冬奧的數據安全保障中，對于冬奧數據的分類分級實踐，具有很好的啟示。

2022北京冬奧可以說是數字科技含量最高的一屆冬奧會，運行著60多個技術系統，包括比賽、組織及協調、觀賽出席儀式、觀賽體驗、裁判及競賽組織、傳播及報道等多個類型。僅從用戶的維度，就可分為運動員、技術官員、媒體、貴賓、觀眾、工作人員等六大用戶。所有這些，都產生出海量數據，衍生出一系列存儲、流轉、處理等各種場景，其重要和敏感等級千差萬別，都需要針對性的數據分類分級解決方案。

圖?北京冬奧會涉及業務環境“數據的分類分級其實是兩項復雜的工作，一個是根據數據的屬性和特征等劃分類別，第二個是根據數據的安全性遭到破壞后帶來的影響來劃分安全等級。”楚贇認為。在冬奧數據的分類分級過程中，根據數據的特征和屬性的不同，將數據劃分為個人數據、競賽數據、業務數據、運行和安全數據四大類別。在安全分級方面，則根據數據的影響對象和程度，結合流轉場景和安全需求的不同，冬奧數據安全保障團隊將其劃分為公開級（L1）、內部級（L2）、敏感級（L3）、高敏感級（L4）四個等級。

圖?冬奧數據分類分級如圖所示，個人敏感信息（如生物識別、網絡身份鑒權、個人健康生理、個人財產等），競賽保密數據、業務保密數據（如預算和投資計劃、財務報表等財務保密數據）、運行和安全保密數據（如網絡設備/IT系統/應用的密碼及關聯信息、核心網絡設備及IT系統配置數據）等都屬于L4高敏感數據。對于這些高敏感數據，在流轉范圍方面，則按照批準的授權列表嚴格管理，禁止對外披露或共享高敏感級數據。在管控方面，實施嚴格的技術和管理措施，保護數據的機密性、完整性和可用性，應加密存儲確保數據訪問控制安全，并建立嚴格的數據安全管理規范以及數據實時監控機制。根據這樣的分類分級框架和指引，任何數據，都可以對應相應的類別和分級。這樣，就可以根據不同的級別、使用場景，制定針對性的安全策略，落實相關管理措施、技術措施、運營服務等。對于廣大企業客戶而言，如何借鑒冬奧項目，做好數據的安全治理和分類分級？楚贇認為，企業首先要依據行業或者地方的合規要求，結合自身的業務和數據安全管理的需求，結合地方及行業最佳實踐，制定適合企業自身的數據安全分類分級標準和規范，明確企業分類分級工作開展的具體要求，方法、流程等，規范企業的數據分類分級工作。其次，在數據分類分級工作的具體開展過程中，企業可以結合自身情況，先選擇部分核心業務系統開展數據資產的盤點和分類分級的試點工作，形成內部最佳實踐，逐步開展全域數據的分類分級工作。04

做好數據安全

需循序漸進、把握四個方面

對于廣大政企客戶而言，數據安全的建設迫在眉睫，楚贇認為，數據安全是一項長期復雜工程，需要組織、制度和流程各方面的保障，不能一蹴而就，企業需要從以下四個方面著手，循序漸進開展數據安全能力建設。

首先要切換視角，圍繞“保護重要數據資產”為目的，開展數據安全治理，去梳理業務、識別典型業務場景，梳理數據資產，做好分類分級，識別重要的數據資產，摸清現有的管理及技術防護的現狀，盤清家底。

詳見：企業數據資產盤點與數據標準梳理方法

圖?數據安全治理整體路徑然后，圍繞重要的數據資產，重新審視已有的安全措施是否有效并覆蓋到了對重要數據資產的保護，加強基礎安全能力建設，補足短板。同時，以數據分類分級為基礎，去規劃設計數據安全防護體系， 結合業務的場景化以及迫切性，有序建設，逐步補全安全能力，將數據安全能力全面覆蓋數據在流轉過程中的各階段，涉及數據采集、傳輸、存儲、處理、交換和銷毀等各環節，使安全能力內生于業務系統以及數據信息化基礎環境建設中，在業務流程中按需調用，靈活配置安全能力，達到深度融合、全面覆蓋。

詳見：拒絕“盲人摸象”，數據分類分級方法論與實戰總結

最后，定期開展數據安全能力評估，不斷優化和提升數據安全能力，持續運營，只有不斷完善、不斷改進，數據安全道路才能越走越遠

總而言之，安全工作只有起點，沒有終點，企業的數據安全不可能一勞永逸。楚贇建議，企業需要開展數據安全治理和分類分級， 建立相應的制度、流程、規范等，以分類分級為基礎，進行數據安全管理體系、技術防護體系、運營體系的規劃和設計。可以說，以數據分類分級為核心的數據安全治理，是數據安全體系化建設落地實施的基礎。