2026-03-03 09:39:13 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档编译自NIST特别出版物1800-39，旨在指导中大型组织利用商用产品执行非结构化数据分类实践。核心内容围绕数据发现、识别与标记展开，通过演示工作流解决数据环境复杂带来的治理难题，以支持零信任架构、合规监管及AI训练等场景。文档明确了受众范围与项目局限，提供了数据分类工具的实施参考，助力组织提升数据资产理解与安全控制能力。 综合评分： 88 文章分类： 数据安全,技术标准,安全建设,解决方案

cover_image

美国国家标准与技术研究院特别出版物1800 数据分类实践

原创

草根老烦草根老烦

老烦的草根安全观

2026年2月14日 23:21 广东

美国国家标准与技术研究院特别出版物1800-39

数据分类实践

| | | | — | — | | 威廉·纽豪斯穆鲁贾·索帕亚* 马里兰州盖瑟斯堡国家标准与技术研究所约翰·肯特肯尼斯·桑德林* 瑞安·威廉姆斯* 弗吉尼亚州麦克莱恩MITRE公司凯伦·肯特 Trusted Cyber Annex 马克·埃文斯吉米·卡茨* ActiveNav 约翰·多布罗斯基哈米特·辛格 IBM | 内维尔·琼斯海伦·法雷尔* Janusnet 巴勃罗·布拉斯科简·吉尔伯特 D’Nan Godfrey 马特·乔希姆里奇·约翰逊卢德米拉·里瑙多吉娜·森塔泰雷兹可信网络技术帕特里克·格里尔威尔逊·帕顿杰森·怀特* Trellix |

*前雇员；本出版物的所有工作都是在上市公司完成的。

2026年2月

初步公开草案

编译樊山

2026年2月

概述

本出版物展示了执行非结构化数据分类实践的商用产品。

1.1 挑战

该项目的目标是帮助组织学习如何理解其非结构化数据，并准备非结构化数据以利用组织的安全和隐私控制。

由于类型、格式、位置和用例的庞大数量和多样性，一个组织的数据环境可能看起来令人望而生畏且未知。它可以包括存储在端点上的数据库和文件中的个人身份信息（PII）、保存在云环境中的数字对话、数据湖和文件存储中的结构化和非结构化数据等等。

由于数据如此庞大和无处不在，组织需要对哪些数据资产有共同的理解，以识别和保护它们。

该项目旨在通过演示在非结构化数据上使用数据分类工具，提高组织对其数据资产的共同理解，以满足监管数据政策。

NCCoE使用联邦公报通知（FRN）[1]向有兴趣将其产品和技术专长用于支持和演示数据分类实践的组织发出公开邀请。

1.2 受众

本实践指南的受众是处理、管理或保护数据的大中型组织的技术人员和领导层。这些组织内的特定受众可能包括：

l首席数据官（CDO）专注于数字化转型、与合作伙伴的信息共享和数据保护

l首席信息安全官（CISO）

l专注于数据生命周期的信息安全专业人员

l数据管理专业人员

l零信任架构（ZTA）实施者和运营商

l负责识别其组织中非结构化数据存储中可能存在需要加密保护的信息的人员

l数据科学家和所有者正在发现和标记非结构化数据，以训练人工智能系统。

l监管合规性-支持审计，满足数据监管要求和保留政策，他们可能会从了解数据分类工具中受益，并且是组织的一部分

l数据保护官员，他们对数据分类工具的理解可以支持他们了解与个人数据保护相关的问题，作为业务风险和责任计划的一部分。

l希望保护关键数据并删除不需要的数据以节省存储的成本效益专家

l战略规划师寻求了解数据可以驻留在哪里，比如本地与云端，以及数据是否可以用于支持人工智能模型或其他创新用例的开发

1.3 范围

本出版物的范围是数据分类实践，本出版物具体演示了通过模式发现、识别和标记非结构化数据，模式是用于根据敏感性、类型或业务功能将数据组织和分类到不同类别的框架或结构。

该项目缺乏：

l为USG、医疗保健、金融服务等特定行业部门制定监管和分类政策。

l展示完整的数据管理生命周期

l执行已定义策略或已定义模式的验证

l展示标签数据后数据分类实践的数据保护实践

l在标签过程中专注于错误处理或数据检查

创建合成数据是为了使数据分类工具能够处理不受隐私和安全限制的非结构化数据。此项目中使用的数据分类工具已安装并配置为在托管合成数据的已知网络文件位置内查找。

1.4 本指南的结构

本NIST网络安全实践指南为用户提供了使用商用数据分类技术复制数据发现、识别和标记所需的信息。本指南分为几节，组织如下：

第2节提供了一个项目概述，包括项目的动机、实施数据分类实践的挑战、项目方法和项目的合作者。

第3节描述了所使用的合成数据。

第4节描述了使用工作流中的步骤对我们的项目合作者提供的每个数据分类工具进行演示。

第5节记录了项目发现和见解。

第6节将项目中使用的工具映射到网络安全框架2.0子类别。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老烦的草根安全观草根老烦草根老烦《美国国家标准与技术研究院特别出版物1800 数据分类实践》