本發(fā)明涉及數(shù)據(jù)信息安全技術(shù)領(lǐng)域，特別的，涉及一種基于電網(wǎng)企業(yè)數(shù)據(jù)的分級(jí)分類模型方法。

背景技術(shù)：

伴隨對(duì)信息系統(tǒng)依賴性的增加，電網(wǎng)企業(yè)的數(shù)據(jù)量、數(shù)據(jù)的重要性日益增大，隨之增大的還有數(shù)據(jù)泄漏風(fēng)險(xiǎn)。雖然目前國(guó)內(nèi)外設(shè)備廠商已經(jīng)基于不同用戶需求開發(fā)出了數(shù)據(jù)防泄漏系統(tǒng)，也制定了初步的數(shù)據(jù)分類分級(jí)制度和管控策略，但是缺少針對(duì)電網(wǎng)企業(yè)的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)和管控策略制度。信息安全建設(shè)更多的是考慮硬件和軟件的安全，電網(wǎng)企業(yè)現(xiàn)有的數(shù)據(jù)分級(jí)分類方法更多的是在公司層面對(duì)數(shù)據(jù)進(jìn)行宏觀的分類分級(jí)，業(yè)務(wù)部門對(duì)數(shù)據(jù)安全感知度不高，數(shù)據(jù)管控中心對(duì)數(shù)據(jù)敏感程度把握不夠，數(shù)據(jù)防泄漏工作的效果有限?，F(xiàn)有方法忽視了人員、數(shù)據(jù)、文檔、服務(wù)、無(wú)形資產(chǎn)等重要對(duì)象。導(dǎo)致電網(wǎng)企業(yè)在實(shí)施數(shù)據(jù)安全工作的過(guò)程中普遍存在各種不足及問(wèn)題，主要問(wèn)題及不足如下：

(1)缺乏對(duì)數(shù)據(jù)生命周期安全管控措施；電網(wǎng)企業(yè)數(shù)據(jù)量龐大，核心敏感數(shù)據(jù)與一般數(shù)據(jù)缺乏整理區(qū)分保護(hù)，核心敏感數(shù)據(jù)流轉(zhuǎn)生命周期不清晰。

(2)數(shù)據(jù)防泄漏系統(tǒng)安全策略的制定沒(méi)有電網(wǎng)企業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)參考，導(dǎo)致安全策略制定不夠客觀和充分；數(shù)據(jù)防泄漏系統(tǒng)本身并沒(méi)有完整的對(duì)企業(yè)的數(shù)據(jù)進(jìn)行調(diào)查和統(tǒng)計(jì)數(shù)量，識(shí)別出企業(yè)需要防護(hù)的敏感數(shù) 據(jù)，數(shù)據(jù)防泄漏系統(tǒng)安全策略的制定依靠的是系統(tǒng)的內(nèi)定策略和技術(shù)人員的主觀意識(shí)決定，缺乏規(guī)范性。

(3)信息資產(chǎn)識(shí)別不充分；由于電網(wǎng)企業(yè)缺少判斷數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)也并沒(méi)有專門的統(tǒng)計(jì)企業(yè)數(shù)據(jù)量，數(shù)據(jù)防泄漏系統(tǒng)在制定安全策略時(shí)也就無(wú)法精確識(shí)別數(shù)據(jù)資產(chǎn)是否需要保護(hù)，該采取什么樣防護(hù)措施。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明的目的是提供一種基于電網(wǎng)企業(yè)數(shù)據(jù)的分級(jí)分類模型方法，本發(fā)明的數(shù)據(jù)分級(jí)分類模型方法具有科學(xué)、客觀的特性，能夠?qū)㈦娋W(wǎng)企業(yè)數(shù)據(jù)分級(jí)分類制定成符合電網(wǎng)企業(yè)的數(shù)據(jù)保護(hù)模型，數(shù)據(jù)防泄漏系統(tǒng)安全策略配置可以按照此方法模型進(jìn)行制定，進(jìn)而提高數(shù)據(jù)防泄漏工作的效率，使數(shù)據(jù)防泄漏工作更加規(guī)范化、標(biāo)準(zhǔn)化，解決電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略不夠客觀及不夠充分等問(wèn)題。

本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)：一種基于電網(wǎng)企業(yè)數(shù)據(jù)的分級(jí)分類模型方法，其特征在于，包括以下步驟：

S1、數(shù)據(jù)調(diào)研，通過(guò)與業(yè)務(wù)系統(tǒng)及相關(guān)數(shù)據(jù)存儲(chǔ)點(diǎn)相關(guān)負(fù)責(zé)人交流，或通過(guò)訪談、工作組形式與業(yè)務(wù)部門一同整理業(yè)務(wù)流程，識(shí)別業(yè)務(wù)流程中產(chǎn)生何種數(shù)據(jù)、數(shù)據(jù)的存儲(chǔ)方式、數(shù)據(jù)的流程方向、不同存儲(chǔ)位置的訪問(wèn)權(quán)、數(shù)據(jù)的生命周期；

S2、數(shù)據(jù)收集，通過(guò)數(shù)據(jù)調(diào)研編制成業(yè)務(wù)流程圖和對(duì)應(yīng)的數(shù)據(jù)流程圖，分析流程在設(shè)計(jì)、運(yùn)行等方面存在的現(xiàn)狀，以及流程中的關(guān)鍵控制點(diǎn)，數(shù)據(jù)收集范圍包括業(yè)務(wù)流程數(shù)據(jù)、客戶終端保存數(shù)據(jù)、存儲(chǔ)器保存數(shù)據(jù)和其他數(shù)據(jù)，確保收集全電網(wǎng)企業(yè)數(shù)據(jù)；

S3、測(cè)試數(shù)據(jù)真實(shí)性，對(duì)業(yè)務(wù)流程進(jìn)行穿行測(cè)試，尤其對(duì)業(yè)務(wù)流程產(chǎn)生的數(shù)據(jù)和數(shù)據(jù)流轉(zhuǎn)；

S4、數(shù)據(jù)分類，對(duì)于數(shù)據(jù)來(lái)源進(jìn)行詳細(xì)分類，；

S5、數(shù)據(jù)分級(jí)，根據(jù)電網(wǎng)企業(yè)特性，主要參考“等?！?、“保密法”、“行業(yè)最佳實(shí)踐”的要求進(jìn)行數(shù)據(jù)分級(jí)，共分為四個(gè)級(jí)別，分別為一級(jí)、二級(jí)、三級(jí)、四級(jí)；

S6、將S1到S5步驟中已經(jīng)分類分級(jí)的數(shù)據(jù)進(jìn)行統(tǒng)一整理，建立一個(gè)數(shù)據(jù)防泄漏系統(tǒng)，且制定安全策略時(shí)可直接參考的數(shù)據(jù)分級(jí)分類模型，給電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略時(shí)提供一個(gè)數(shù)據(jù)保護(hù)參考標(biāo)準(zhǔn)。

進(jìn)一步地，所述步驟S4中數(shù)據(jù)來(lái)源包括有形數(shù)據(jù)產(chǎn)生地，如硬件系統(tǒng)、紙質(zhì)或者其他物理媒介；以及無(wú)形數(shù)據(jù)產(chǎn)生地，如軟件、服務(wù)或者其他方式方法。

進(jìn)一步地，所述步驟S4中的數(shù)據(jù)分類完成后還再進(jìn)行一次業(yè)務(wù)系統(tǒng)穿插測(cè)試。

進(jìn)一步地，所述步驟S5中每個(gè)分級(jí)都賦予一定數(shù)值：一級(jí)3.8≦t≦4.0、二級(jí)3≦t<3.8、三級(jí)1.8≦t<3、四級(jí)t<1.8。

進(jìn)一步地，所述步驟S5數(shù)據(jù)分級(jí)完成后再根據(jù)文檔的“數(shù)據(jù)類型”，“影響范圍和對(duì)象”，“損失影響”三個(gè)維度對(duì)數(shù)據(jù)文檔進(jìn)行評(píng)分，評(píng)估數(shù)據(jù)級(jí)別。

更進(jìn)一步地，所述“影響范圍和對(duì)象”維度賦值情況為數(shù)據(jù)泄露影響到總公司的為最高影響范圍賦值4分，只影響到分公司賦值次一級(jí)評(píng)分為3分，只影響部門再次一級(jí)為2分，只影響個(gè)人為最低評(píng)分1分。

更進(jìn)一步地，所述“損失影響”維度的賦值是根據(jù)文檔發(fā)生了泄漏，企業(yè)可能面臨的財(cái)務(wù)或聲譽(yù)損失，損失可分為：高、中、低、幾乎沒(méi)有四個(gè)級(jí)別來(lái)評(píng)定賦值，其中高為4分，中為3分，低為2分，幾乎沒(méi)有為1分。

更進(jìn)一步地，數(shù)據(jù)最終評(píng)分為三個(gè)維度綜合數(shù)值，綜合評(píng)分將根據(jù)以下公式得出：數(shù)據(jù)級(jí)別得分t＝數(shù)據(jù)類型得分*30％+影響范圍和對(duì)象得分*20％+損失影響預(yù)估得分*50％。

本發(fā)明的有益效果是：本發(fā)明的數(shù)據(jù)分級(jí)分類模型方法具有科學(xué)、客觀的特性，能夠?qū)㈦娋W(wǎng)企業(yè)數(shù)據(jù)分級(jí)分類制定成符合電網(wǎng)企業(yè)的數(shù)據(jù)保護(hù)模型，數(shù)據(jù)防泄漏系統(tǒng)安全策略配置可以按照此方法模型進(jìn)行制定，進(jìn)而提高數(shù)據(jù)防泄漏工作的效率，使數(shù)據(jù)防泄漏工作更加規(guī)范化、標(biāo)準(zhǔn)化，解決電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略不夠客觀及不夠充分等問(wèn)題。

附圖說(shuō)明

圖1顯示了本發(fā)明的數(shù)據(jù)分級(jí)分類方法流程圖；

圖2顯示了本發(fā)明的數(shù)據(jù)分級(jí)分類方法的三個(gè)維度評(píng)分模型。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明。應(yīng)該理解，這些描述只是示例性的，而并非要限制本發(fā)明的范圍。此外，在以下說(shuō)明中，省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述，以避免不必要地混淆本發(fā)明的概念。

如圖1，本數(shù)據(jù)分級(jí)分類方法建立數(shù)據(jù)分級(jí)分類模型過(guò)程共分為六個(gè)階段，分別為數(shù)據(jù)調(diào)研、收集數(shù)據(jù)、測(cè)試數(shù)據(jù)真實(shí)性、數(shù)據(jù)分類、數(shù)據(jù)分 級(jí)、建立數(shù)據(jù)分級(jí)分類模型。

(1)數(shù)據(jù)調(diào)研，通過(guò)與業(yè)務(wù)系統(tǒng)及相關(guān)數(shù)據(jù)存儲(chǔ)點(diǎn)相關(guān)負(fù)責(zé)人交流，或通過(guò)訪談、工作組形式與業(yè)務(wù)部門一同整理業(yè)務(wù)流程，識(shí)別業(yè)務(wù)流程中產(chǎn)生何種數(shù)據(jù)、數(shù)據(jù)的存儲(chǔ)方式、數(shù)據(jù)的流程方向、不同存儲(chǔ)位置的訪問(wèn)權(quán)、數(shù)據(jù)的生命周期。

(2)收集數(shù)據(jù)，根據(jù)數(shù)據(jù)調(diào)研得到的信息編制成業(yè)務(wù)流程圖和對(duì)應(yīng)的數(shù)據(jù)流程圖，分析流程在設(shè)計(jì)、運(yùn)行等方面存在的現(xiàn)狀，特別是對(duì)流程中的關(guān)鍵控制點(diǎn)。數(shù)據(jù)收集范圍包包括業(yè)務(wù)流程數(shù)據(jù)、客戶終端保存數(shù)據(jù)、存儲(chǔ)器保存數(shù)據(jù)等，確保收集全電網(wǎng)企業(yè)數(shù)據(jù)。

(3)測(cè)試數(shù)據(jù)真實(shí)性，對(duì)業(yè)務(wù)流程進(jìn)行穿行測(cè)試，尤對(duì)業(yè)務(wù)流程產(chǎn)生的數(shù)據(jù)、數(shù)據(jù)流轉(zhuǎn)，以確保數(shù)據(jù)收集的完整性、真實(shí)性和準(zhǔn)確性。

(4)數(shù)據(jù)分類；數(shù)據(jù)分類要充分考慮數(shù)據(jù)來(lái)源進(jìn)行詳細(xì)數(shù)據(jù)分類，其中數(shù)據(jù)產(chǎn)生地：包括有形數(shù)據(jù)產(chǎn)生地(如硬件系統(tǒng)、紙質(zhì)等)和無(wú)形數(shù)據(jù)產(chǎn)生地(如軟件、服務(wù)等)。區(qū)分的越詳細(xì)數(shù)據(jù)分類誤差就越小，而且數(shù)據(jù)分類完成后還需再進(jìn)行一次業(yè)務(wù)系統(tǒng)穿插測(cè)試，確保數(shù)據(jù)分類準(zhǔn)確性。

(5)數(shù)據(jù)分級(jí)；根據(jù)電網(wǎng)企業(yè)特性，主要參考“等?！?、“保密法”、“行業(yè)最佳實(shí)踐”等要求進(jìn)行數(shù)據(jù)分級(jí)。共分為四個(gè)級(jí)別，分別為一級(jí)、二級(jí)、三級(jí)、四級(jí)。每個(gè)分級(jí)都賦予一定數(shù)值：一級(jí)3.8≦t≦4.0、二級(jí)3≦t<3.8、三級(jí)1.8≦t<3、四級(jí)t<1.8。而后再根據(jù)文檔的“數(shù)據(jù)類型”，“影響范圍和對(duì)象”，“損失影響”三個(gè)維度對(duì)數(shù)據(jù)文檔進(jìn)行評(píng)分，評(píng)估數(shù)據(jù)級(jí)別。

(6)建立數(shù)據(jù)分級(jí)分類模型；將以上步驟已經(jīng)分類分級(jí)的數(shù)據(jù)進(jìn)行統(tǒng)一整理，建立一個(gè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略時(shí)可直接參考的數(shù)據(jù)分級(jí)分類模型，相當(dāng)于給電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)制定安全策略時(shí)提供一個(gè)數(shù)據(jù)保護(hù)參考標(biāo)準(zhǔn)。

如圖2，本數(shù)據(jù)分級(jí)分類模型采用的數(shù)據(jù)分級(jí)方法從三個(gè)維度進(jìn)行評(píng)分，分別為數(shù)據(jù)類型、影響范圍和對(duì)象、損失影響。由于數(shù)據(jù)共分成四級(jí)，每個(gè)維度評(píng)分?jǐn)?shù)據(jù)類型分值最高也只能為4分，最低為1分，每個(gè)維度數(shù)據(jù)類型分值高低將由數(shù)據(jù)重要性決定，比如數(shù)據(jù)類型維度有財(cái)務(wù)類型、企業(yè)戰(zhàn)略類型數(shù)據(jù)、也有一般行政類型數(shù)據(jù)，參考電網(wǎng)企業(yè)“等?！?、“保密法”、“行業(yè)最佳實(shí)踐”給予不同數(shù)據(jù)密級(jí)定義不同數(shù)據(jù)類型分值，財(cái)務(wù)類、企業(yè)戰(zhàn)略類型數(shù)據(jù)等敏感數(shù)據(jù)可賦值4分，一般行政類型數(shù)據(jù)不怎么重要可賦值為1分。

影響范圍和對(duì)象維度賦值情況為數(shù)據(jù)泄露影響到總公司的為最高影響范圍賦值4分，只影響到分公司賦值次一級(jí)評(píng)分為3分，只影響部門再次一級(jí)為2分，只影響個(gè)人為最低評(píng)分1分。數(shù)據(jù)影響范圍是參見(jiàn)數(shù)據(jù)流轉(zhuǎn)生命周期所涉及范圍來(lái)評(píng)定。

損失影響維度的賦值是根據(jù)文檔發(fā)生了泄漏，企業(yè)可能面臨的財(cái)務(wù)或聲譽(yù)損失，損失可分為：高、中、低、幾乎沒(méi)有四個(gè)級(jí)別來(lái)評(píng)定賦值。每個(gè)級(jí)別賦予一定財(cái)務(wù)損失范圍，如果數(shù)據(jù)泄露財(cái)務(wù)損失在該范圍內(nèi)就會(huì)評(píng)估為相應(yīng)數(shù)值，其中高為4分，中為3分，低為2分，幾乎沒(méi)有為1分。

數(shù)據(jù)最終評(píng)分為三個(gè)維度綜合數(shù)值，綜合評(píng)分將根據(jù)以下公式得出：數(shù)據(jù)級(jí)別得分t＝數(shù)據(jù)類型得分*30％+影響范圍和對(duì)象得分*20％+損 失影響預(yù)估得分*50％，每個(gè)維度權(quán)重劃分是根據(jù)抽樣調(diào)查全國(guó)電網(wǎng)企業(yè)相關(guān)負(fù)責(zé)人給予三個(gè)維度權(quán)重分值的平均值得出的，具有客觀性，科學(xué)性，可用性。

根據(jù)數(shù)據(jù)綜合評(píng)分可評(píng)定數(shù)據(jù)級(jí)別為：一級(jí)3.8≦t≦4.0、二級(jí)3≦t<3.8、三級(jí)1.8≦t<3、四級(jí)t<1.8，一級(jí)為最高級(jí)，以此類推。數(shù)據(jù)分級(jí)分類模型，共將電網(wǎng)企業(yè)數(shù)據(jù)分類劃分為四個(gè)級(jí)別，給電網(wǎng)企業(yè)數(shù)據(jù)防泄漏系統(tǒng)安全策略定義提供了數(shù)據(jù)價(jià)值參考標(biāo)準(zhǔn)，數(shù)據(jù)防泄漏系統(tǒng)可根據(jù)此分級(jí)分類模型不同等級(jí)數(shù)據(jù)給予不同安全監(jiān)控措施，不僅提高了工作效率還能夠更全面保護(hù)電網(wǎng)企業(yè)數(shù)據(jù)。

應(yīng)當(dāng)理解的是，本發(fā)明的上述具體實(shí)施方式僅僅用于示例性說(shuō)明或解釋本發(fā)明的原理，而不構(gòu)成對(duì)本發(fā)明的限制。因此，在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外，本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。