新闻中心 / 安全与合规 / 企业数据分类分级
安全与合规

企业数据分类分级——从核心机密到公开信息

宝软数字 EIOS 团队 2026-02-26 阅读时间约12分钟
企业数据分类分级——从核心机密到公开信息

一、为什么数据分类分级是安全治理的基石

在企业数字化转型的浪潮中,数据已成为与人才、资本并列的核心生产要素。然而,大多数企业在数据安全上的投入仍然停留在"一刀切"的防护模式——对所有数据施加同等级别的保护措施,既浪费资源又未能真正保护关键资产。数据分类分级的本质逻辑是:不是所有数据都需要相同的保护,安全投入应与数据价值成正比。

2025年9月实施的《中华人民共和国数据安全法》第二十一条明确提出,国家建立数据分类分级保护制度。这标志着数据分类分级已从"最佳实践"上升为"法定要求"。对于企业而言,数据分类分级不仅是监管合规的硬性门槛,更是实现数据安全精细化管理的前提条件。没有清晰的数据资产地图和分级标签,所有的安全策略——从访问控制到加密传输再到数据脱敏——都将失去锚点。

从攻击者的视角来看,未分级的数据环境就像一座没有门牌号码的大厦:攻击者没有明确的攻击目标优先级,但防御者同样无法确定防守重点。一旦边界被突破,攻击者可以在环境中横向移动,接触到本应受到最高级别保护的数据。有效的分类分级将数据资产的敏感度标签化,使得安全系统能够根据数据级别自动执行差异化的保护策略。

对于使用AI平台的企业来说,数据分类分级还有一层特殊的意义。AI模型的训练和推理需要海量数据,如果训练数据中混入了未脱敏的敏感信息,模型可能会在输出中泄露这些信息——这就是著名的"模型记忆攻击"风险。通过前置的数据分类分级,企业可以在数据流入AI训练管道之前就识别并处理敏感数据,从根本上降低数据泄露风险。

数据分类分级框架示意
图1:企业数据分类分级的四级框架模型

二、四级分类模型:核心机密、内部敏感、限制共享、公开信息

基于国内外主流数据分类标准和企业实践,推荐采用四级分类模型,为每一级数据设定明确的识别标准、保护措施和处理流程。

第一级:核心机密数据(Confidential / Level 4)。这是企业最敏感的资产,一旦泄露将对企业造成灾难性影响。典型包括:核心算法源代码和模型参数、未公开的并购交易信息、专利发明的技术细节、客户支付密码和银行账户信息、高管层的战略决策文档。核心机密数据的保护要求最高:存储必须AES-256加密,传输必须TLS 1.3+加密,访问必须双因素认证加审批流程,所有操作记录完整审计日志且不可删除。原则上,核心机密数据不应离开企业内网,禁止通过邮件、即时通讯等非安全渠道传输。

第二级:内部敏感数据(Restricted / Level 3)。这类数据如果泄露会对企业造成显著损害,但影响程度低于核心机密。典型包括:员工薪资和绩效信息、客户的合同条款和交易记录、供应商的报价和商业条款、内部财务报表和管理报告、未发布的产品路线图。保护措施包括:最小权限的RBAC访问控制、传输层加密、定期的访问权限审计、离职员工的数据回收流程。

第三级:限制共享受限数据(Internal / Level 2)。企业内部使用但扩散风险可控的数据,泄露会造成轻微损害。典型包括:部门级别的项目文档和会议纪要、培训材料和内部wiki、员工通讯录(脱敏后)、已发布产品的技术文档。保护措施:基于角色的访问控制、基本的传输加密、离职后权限回收。

第四级:公开信息(Public / Level 1)。可向外部公开的信息,泄露不会造成损害。典型包括:已发布的新闻稿和公告、产品手册和白皮书、招聘信息、投资者关系材料、官方网站内容。这类数据无需特殊保护,但需确保信息发布的审批流程,防止敏感信息被误标记为公开。

关键原则:数据级别不是永久不变的。一份并购方案的保密级别会随着交易的公布而从核心机密降为公开信息。因此分类分级必须是动态的、可审计的、与数据生命周期挂钩的持续治理过程。
数据资产盘点流程
图2:数据资产盘点的四步方法论——发现、识别、标记、验证

三、分类分级的实操方法论——从数据资产盘点起步

许多企业在数据分类分级上止步于纸面文件,因为不知道从哪里开始。实际上,分类分级的实施有成熟的方法论可循,核心是"先盘点、再分级、后联动"的三步走策略。

第一步:数据资产盘点。在实施任何分类分级之前,企业必须首先回答"我们有哪些数据、它们在哪里"。资产盘点通常涵盖四个维度:数据结构化程度(数据库表、Excel文件、PDF文档、邮件、聊天记录)、数据存储位置(本地服务器、云存储、SaaS应用、员工终端)、数据流(数据从哪里来、到哪里去、由谁使用)、数据所有权(每个数据集的责任人和管理部门)。实践中,推荐使用自动化数据发现工具扫描企业的文件服务器、数据库、云存储和SaaS应用,建立初始的数据资产清单。人工访谈补充工具无法覆盖的知识——特别是散布在各部门桌面上的非结构化数据。

第二步:数据分级标记。在完成资产盘点后,对每类数据进行分级。分级应从"数据所有者"而不是"安全团队"出发——因为业务部门最了解数据的真实价值。安全团队提供分级标准和判断框架,业务部门负责具体判定。在实践中,推荐先建立一份"数据分类分级矩阵",列出每个业务域中常见的数据类型及其标准级别,作为全公司的参考基准。对于无法直接归类的数据,采用"就高不就低"原则——暂时按更高级别处理,后续再调整。

第三步:标签化与自动化联动。将分级结果转化为机器可读的元数据标签,嵌入到数据资产的存储系统中。通过策略引擎,让安全控制措施自动根据标签执行——例如标记为"核心机密"的文件自动禁止邮件外发,标记为"内部"的数据库表自动应用RBAC权限。这不是一次性的项目,而是持续运转的治理流程:新数据产生时自动扫描和分级、已有数据定期重新评估、离职员工的数据权限自动回收、数据降级时自动调整保护策略。

DLP和加密联动架构
图3:数据分类标签驱动的自动化安全策略执行架构

四、技术落地:DLP、加密、访问控制的自动化联动

分类分级本身不产生安全价值——价值来自于分级标签如何驱动安全控制措施的自动化执行。三种关键技术构成了数据分级落地的铁三角:数据防泄漏(DLP)、加密管理和访问控制。

DLP(数据防泄漏)系统是分类分级最常见的执行器。当一份文档被打上"核心机密"标签后,DLP系统会监控该文档的所有流转路径:如果员工尝试通过邮件发送这份文档,DLP会拦截并报警;如果文档被复制到USB存储设备,DLP会阻止操作并记录审计日志;如果文档被上传到未经授权的云服务,DLP会阻断上传。现代DLP系统已经不再依赖简单的关键词匹配,而是结合自然语言处理、上下文分析和用户行为基线来判断数据泄露风险,大幅降低了误报率。

加密管理方面,不同级别的数据应采用差异化的加密策略。核心机密数据在存储层强制AES-256加密,密钥与数据分离存储,且每季度轮换密钥。内部敏感数据同样加密存储,但密钥管理策略可以更灵活。限制共享数据在传输层加密即可,存储层视具体风险评估决定。公开数据无需加密存储,但传输过程中仍应使用TLS保护完整性。加密策略的核心挑战不在于技术实现,而在于密钥生命周期的管理——谁有权生成、分发、撤销密钥,密钥丢失或泄露后的应急流程是什么,这些管理问题往往比技术问题更难解决。

访问控制则应从静态的RBAC(基于角色的访问控制)向动态的ABAC(基于属性的访问控制)演进。ABAC可以根据用户的属性(部门、职级、项目)、数据的属性(级别、类型、所属项目)、环境的属性(网络位置、设备状态、时间)以及操作的属性(读、写、删除)来综合判断是否授权。例如,一条规则可能是:"只有当用户属于财务部、数据级别为内部、访问时间为工作日的9:00至18:00、设备为公司配发终端时,才允许访问财务数据。"这种细粒度的动态策略无论通过手工配置还是传统规则引擎都难以规模化维护,而AI驱动的策略推荐引擎可以基于历史访问模式自动推荐规则,并通过模拟引擎验证规则的有效性。

行业分级差异对比
图4:金融、医疗、制造业数据分类分级的行业差异

五、行业实践:金融、医疗、制造业的分级差异

数据分类分级的标准不是普适的——不同行业的监管要求和数据类型决定了分类标准的差异性。理解这种差异对于跨行业服务的企业尤为重要。

金融行业对数据分类分级的要求最为严格和成熟。银保监会发布的《银行保险机构数据安全管理办法》要求金融机构将数据分为五级——从核心业务数据、重要业务数据、一般业务数据到客户信息、公开数据——每一级都有对应的加密、访问控制和审计要求。金融行业的特殊性在于:客户金融信息(如账户余额、交易流水)受到多重法规的交叉监管,包括《个人信息保护法》、《数据安全法》和人民银行的专项规定。金融数据的分类通常还会交叉考虑数据用途——同样的客户姓名,用于KYC合规和用于精准营销,安全级别可能完全不同。

医疗行业的核心关注点是患者健康信息(PHI)的保护。根据《个人信息保护法》和《健康医疗大数据标准、安全和服务管理办法》,医疗数据中的个人健康信息属于敏感个人信息,需要取得个人的单独同意才能处理。医疗数据分级的难点在于:一份电子病历中可能同时包含多级信息——患者姓名和身份证号(核心机密)、诊断结论(内部敏感)、用药记录(限制共享)、挂号排班信息(公开)——如何在不破坏数据完整性的前提下实现字段级别的分级控制,是医疗行业面临的技术挑战。

制造业的数据分类重点在于工业知识产权和工艺流程数据。制造企业的核心机密通常是工艺参数、配方数据、设备控制逻辑和未公开的研发成果。制造业的数据分类还有一层物理安全的维度:某些数据可能被标记为"限制共享"不是因为法律要求,而是因为一旦泄露给竞争对手,可能导致数年的技术领先优势在几个月内被追平。工业互联网和智能制造的发展使得制造业数据从"封闭的车间"走向"互联的云平台",数据分类分级的紧迫性前所未有。

EIOS数据发现引擎
图5:EIOS AI驱动的智能数据发现与自动分级工作流

六、EIOS能力:AI驱动的智能数据发现与自动分级

传统的数据分类分级依赖人工审核和静态规则,在面对海量非结构化数据时力不从心。宝软数字 EIOS 平台将AI能力融入到数据分类分级的全流程中,从根本上改变了这一现状。

智能数据发现引擎是EIOS在数据分类分级领域的核心能力。引擎能够自动扫描企业环境中的数据资产——无论数据存储在本地文件服务器、云对象存储、关系型数据库还是SaaS应用中。与传统基于文件名和扩展名扫描的工具不同,EIOS引擎通过深度内容分析理解数据的真实含义:它能识别出合同扫描件中的金额和签署方、能从邮件的上下文中判断讨论的主题、能在代码仓库中定位包含密钥和凭据的文件。引擎采用预训练的NLP模型和可配置的行业规则库,在保证准确率的同时降低部署成本。

自动分级推荐是引擎的第二个关键能力。在完成数据发现后,EIOS会根据预配置的分级策略和行业规则,自动为每项数据资产推荐一个初始分级标签。例如,如果引擎在一个文件夹中发现大量包含身份证号码的文件,它会自动推荐标记为"核心机密"并触发审批流程。自动推荐不是最终决策——分级结果需要数据所有者的确认——但它将人工审核的工作量从"逐文件判断"降低为"批量审批异常项",效率提升数十倍。

持续监控和动态调整是EIOS区别于一次性咨询项目的关键优势。引擎持续运行,定期重新扫描数据环境:当一份文件的访问模式发生显著变化时,引擎会评估是否需要调整其分级标签;当新数据被创建时,引擎会在分钟级别内完成扫描和分级推荐;当员工离职或岗位变动时,引擎会触发相应数据的权限回收流程。这种持续的、自动化的治理能力,确保了数据分类分级不是一次性的"合规运动",而是融入日常运营的安全基线。

数据分类分级不是终点,而是数据安全治理的起点。有了清晰的数据资产地图和分级标签,企业才能在此基础上构建精准的访问控制、有效的DLP策略、合理的加密方案和有意义的审计追踪——这正是EIOS AI引擎帮助客户实现的目标。
数据安全治理闭环
图6:从数据发现到持续监控——数据分类分级的完整治理闭环