数据分类分级,是中国网安集体编织的“皇帝新衣”
曾经有大佬讲过,如果想要实现财务自由,就去创业。还在创业路上的人,是万万不敢给后来人如此建议,因为我们常常看到的是冲进创业赛道的 10 个人,有 9 个半出来的,变得更穷了。不过钱财毕竟身外之物,除了飘渺的钱财外,创业还能带来其它很多收获。
比如,如果你想要识别人心,见识形形色色的各类人物,创业就是最好的途径,没有之一。
无比自嗨的创业者,着眼全球的投资人,行色匆匆的老板,照本宣科的专家,夸夸其谈的销售,沉默寡言的技术大拿,虚与委蛇的小领导。
每个人都有自己的一套逻辑,无比自洽,局外人难辨真假,只能从偶尔瞥见的对方晃动的二郎腿和飘忽不定的眼神判断,此人不甚靠谱,仅此而已。
01
—
数据分类分级
逻辑极其自洽
此处省略关于什么是数据分类分级定义的长篇累牍解释,简化来讲,数据分类是指将组织内部的数据按照其性质、用途、来源等因素进行逻辑上的分组。这通常包括但不限于个人身份信息(PII)、财务数据、健康医疗信息、知识产权、业务敏感信息等。**数据分级,**则是在分类的基础上,进一步根据数据的泄露或滥用可能给组织带来的风险程度,将其划分成不同等级,如公开级、内部级、敏感级和高度敏感级等。
数据分类分级的想要达到的作用在于:
- 精确控制访问权限**:**确保只有授权人员才能访问敏感或关键数据。
- 实施差异化保护**:**依据数据的级别部署相应级别的安全控制措施,如加密、访问控制、监控和审计等。
- **风险管理:**通过识别和优先保护最重要的数据,降低数据泄露或滥用的风险。
逻辑可谓天衣无缝,正当合理,严肃权威。如此缜密的逻辑,驱动了每年至少数十亿的数据安全分类分级项目。(银行、金融机构、政府、大企业每年都做,平均一个项目价格在 50 万至 100 万之间。)
02
—
数据分类分级
脱离现实的期望
小时候家里承包过乡下的中学食堂,父母负责给全校的学生蒸包子、炒菜,每天都会收到零零散散的现金。忙过了饭点,父母就开始整理收到的菜钱,按照面值大小和破损程度,进行分类分级。
这个例子很贴切,所有人都能深切理解。此处对于钞票的分类整理,目的和保障财产的安全(防盗)毫不相干,也毫无帮助,而仅仅在于日后更为方便的使用纸钞。
把如今的数据,比作金钱,也是同样的道理。分类整理有其必要性,对数据的流通和使用有益,但和保障数据的安全关系不大。原因已经在之前的文章里详细解释了:
03
—
独立的分类分级系统
现实用处不大
当前的数据分类分级重在资产盘点,就如同要详细整理出自家有多少资产一样,家里有多少张桌子、几把椅子、存款几何、车几辆、衣服多少件。整理结束,得到的就是不同维度的几张清单,当然这些清单不是打印到 A4 纸上的临时性记录,而是也会以结构化的数据存在,变成描述企业数据资产的数据。那么常见的是哪些清单呢:
1、《数据资产清单》
企业内有多少个应用,每个应用对应了多少个数据库,每个数据库对应了多少张数据表,每个数据表的数据量(字段数目、数据行数、数据存储空间大小)等等。
2、《数据分类分级清单》
与现有数据库一一映射的数据分类分级清单,如下面这样子的表格记录。
| 数据库名 | 数据表名 | 字段名 | 数据类型 | 安全等级 |
|---|---|---|---|---|
| db_customer | cus_details | name | 姓名 | C3 |
| db_customer | cus_details | sex | 性别 | C3 |
| db_customer | cus_details | age | 年龄 | C3 |
| db_customer | cus_details | phone | 电话号码 | C3 |
为什么这些清单叫做临时性的结果呢?因为应用或者业务系统是在不断迭代升级的,其结果就是对应的数据库和表结构会变化,数据库、表格、字段都在不停地增、删、改,对应的资产清单记录由于是人肉加工的结果,缺乏自动化的同步更新机制,势必导致资产清单的过时。
对于平台型的企业,如大部分的科技企业,本身都是自研产品为主,那么只需要配合规范的内部开发流程,如应用开发者在涉及到数据库的变动的时候,必须同步更新元数据库(即上述资产清单),否则不予批准代码的推送和应用发布,如此才可保证资产清单的实时性和权威性地位。
相反,对于大量依赖第三方服务商提供系统的机构,如政务部门和银行,这个问题将变得非常尖锐,每次系统的更新就意味着对历史资产清单的否定了。
04
—
把过程当做结果
把观点看作事实
这就是逻辑的魅力和强大的迷惑性,不知道是哪位专家给数据分类分级定义了如此完美又闭环的逻辑,同时又是如此远离现实的逻辑。
分类分级了这么多年,也没人去思考分类分级本身只是通往数据管控的过程而已,不断的还有新的专家和行业实践在到处分享和教导他人应该怎么做分类分级。所有人都对分类分级和真正的目的之间的这条鸿沟,默契的视而不见,避而不谈。
所有的网安从业者们,都在一起编织着一件看不见的华丽衣裳,也不知道到底是要穿给谁看的,童话里好歹还有个皇帝。
05
—
动态的分类分级能力
才是企业数据安全正解
几乎可以明确的是,现如今那一张张静态的分类分级表格,对于企业内部实际的数据管控几乎没啥价值。多少有点管控能力的地方,和那个独立的分类分级系统也没啥关系。
光是抨击问题而不带方案建议,多少也是有点耍流氓了。
数据分类分级,本质上代表的是数据识别的能力,企业需要具备。数据分类分级的目标,是要做数据管控,企业也需要具备。两者都具备的前提,才是数据分类分级应该有的姿态,缺少了任意一环都是欺骗,乙方欺骗甲方,甲方欺骗国家。
而要同时具备数据识别和安全管控的能力,那么就必须是在数据的动态使用过程中,附加两种能力。从技术上来讲,唯有数据网关和隔离浏览器两种技术路线。
黑客/网络安全学习路线
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
下面给大家分享一份2025最新版的网络安全学习路线资料,帮助新人小白更系统、更快速的学习黑客技术!
一、2025最新网络安全学习路线
一个明确的学习路线可以帮助新人了解从哪里开始,按照什么顺序学习,以及需要掌握哪些知识点。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
我们把学习路线分成L1到L4四个阶段,一步步带你从入门到进阶,从理论到实战。

L1级别:网络安全的基础入门
L1阶段:我们会去了解计算机网络的基础知识,以及网络安全在行业的应用和分析;学习理解安全基础的核心原理,关键技术,以及PHP编程基础;通过证书考试,可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别:网络安全的技术进阶
L2阶段我们会去学习渗透测试:包括情报收集、弱口令与口令爆破以及各大类型漏洞,还有漏洞挖掘和安全检查项目,可参加CISP-PTE证书考试。

L3级别:网络安全的高阶提升
L3阶段:我们会去学习反序列漏洞、RCE漏洞,也会学习到内网渗透实战、靶场实战和技术提取技术,系统学习Python编程和实战。参加CISP-PTE考试。

L4级别:网络安全的项目实战
L4阶段:我们会更加深入进行实战训练,包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握;而L3 L4更多的是通过项目实战来掌握核心技术,针对以上网安的学习路线我们也整理了对应的学习视频教程,和配套的学习资料。
二、技术文档和经典PDF书籍
书籍和学习文档资料是学习网络安全过程中必不可少的,我自己整理技术文档,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,(书籍含电子版PDF)

三、网络安全视频教程
对于很多自学或者没有基础的同学来说,书籍这些纯文字类的学习教材会觉得比较晦涩难以理解,因此,我们提供了丰富的网安视频教程,以动态、形象的方式展示技术概念,帮助你更快、更轻松地掌握核心知识。
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛
学以致用 ,当你的理论知识积累到一定程度,就需要通过项目实战,在实际操作中检验和巩固你所学到的知识,同时为你找工作和职业发展打下坚实的基础。

五、网络安全工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

面试不仅是技术的较量,更需要充分的准备。
在你已经掌握了技术之后,就需要开始准备面试,我们将提供精心整理的网安面试题库,涵盖当前面试中可能遇到的各种技术问题,让你在面试中游刃有余。
如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…


**读者福利 |** CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
扫一扫
1299
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
