測(cè)試數(shù)據(jù)脫敏綜合評(píng)價(jià)體系

1、測(cè)試數(shù)據(jù)脫敏綜合評(píng)價(jià)體系摘要本文提出一種全面的測(cè)試數(shù)據(jù)脫敏方法評(píng)價(jià)體系，從高效性、有效性、真實(shí)性、穩(wěn)定性及多樣性五個(gè)方面來(lái)對(duì)測(cè)試數(shù)據(jù)脫敏需求及脫敏方法進(jìn)行綜合評(píng)估。測(cè)試數(shù)據(jù)脫敏綜合評(píng)價(jià)體系測(cè)試數(shù)據(jù)脫敏工作通常涉及數(shù)據(jù)使用方及數(shù)據(jù)管理方兩個(gè)角色，測(cè)試數(shù)據(jù)脫敏不僅要保證數(shù)據(jù)敏感性被去除，還要盡可能滿足測(cè)試使用方的測(cè)試需求，同時(shí)還要確保其技術(shù)方案是可行且易于管理的。綜合兩方面角色考慮，本文從高效性、有效性、真實(shí)性、穩(wěn)定性及多樣性五個(gè)方面提出了一種全面的測(cè)試數(shù)據(jù)脫敏評(píng)價(jià)指標(biāo)體系。（一）有效性測(cè)試數(shù)據(jù)脫敏的最基本原則就是要去掉數(shù)據(jù)的敏感性，保證數(shù)據(jù)安全，這是對(duì)測(cè)試數(shù)據(jù)脫敏最基本的要求，即有效性。有效性主

2、要從以下兩個(gè)方面進(jìn)行評(píng)價(jià)：1 .相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)敏感性的去除程度。例如，對(duì)客戶姓名采用置為常數(shù)的方法進(jìn)行脫敏，脫敏后所有敏感的姓名數(shù)據(jù)都被置為某個(gè)沒(méi)有敏感性的字符串，即數(shù)據(jù)敏感性完全去除；相對(duì)的，對(duì)客戶姓名采用屏蔽若干位字符的方法（張三置為張*）進(jìn)行脫敏，則脫敏后數(shù)據(jù)仍然保留了具有敏感性的姓信息，即數(shù)據(jù)敏感性部分去除。2 .脫敏后數(shù)據(jù)可能被反推回具有敏感性原始數(shù)據(jù)的程度。采用的脫敏方法不一樣，其破壞脫敏軌跡的程度也不一樣，從而最終導(dǎo)致脫敏后數(shù)據(jù)被反推回脫敏錢(qián)數(shù)據(jù)的程度也不一樣。例如，對(duì)客戶姓名采用置為常數(shù)的方法進(jìn)行脫敏，脫敏結(jié)果不可能被反推回原始數(shù)據(jù)；對(duì)客戶姓名采用按偏移值查姓名表的

3、方法（按配置的固定偏移值選取表中假的姓名）進(jìn)行脫敏，如果姓名表及配置偏移值泄露，脫敏結(jié)果是可能被反推出原始數(shù)據(jù)的。（二）真實(shí)性測(cè)試數(shù)據(jù)最終是需要在測(cè)試中使用，越能真實(shí)體現(xiàn)原始數(shù)據(jù)特征的脫敏后數(shù)據(jù)，越能更好地滿足測(cè)試工作的需求。這是從數(shù)據(jù)使用方的角度來(lái)看對(duì)測(cè)試數(shù)據(jù)脫敏的基本要求，即真實(shí)性。真實(shí)性主要從以下兩個(gè)方面進(jìn)行評(píng)價(jià)：1 .相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)業(yè)務(wù)邏輯特征的保留程度。任何數(shù)據(jù)都是具備一定業(yè)務(wù)邏輯特征的，例如客戶姓名、身份證號(hào)、交易金額等數(shù)據(jù)都有明顯的特征。對(duì)客戶姓名采用置為常數(shù)的方法進(jìn)行脫敏，脫敏后數(shù)據(jù)完全保留了客戶姓名的特征；相對(duì)的，對(duì)客戶姓名采用每個(gè)姓名字符的碼值偏移固定值的方法進(jìn)

4、行脫敏，則脫敏后數(shù)據(jù)為亂碼，完全喪失了客戶姓名的特征。2 .相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征的保留程度。任何數(shù)據(jù)都是具備一定統(tǒng)計(jì)分布特征的，例如客戶姓名數(shù)據(jù)中，有單姓多，復(fù)姓少，大姓多，小姓少，一些字符高頻出現(xiàn)，一些字符根本不會(huì)出現(xiàn)等。對(duì)客戶姓名采用置為常數(shù)的方法進(jìn)行脫敏，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征完全被破壞；相對(duì)的，對(duì)客戶姓名采用按偏移值查姓名表的方法（按配置的固定偏移值選取表中假的姓名）進(jìn)行脫敏，由于姓名表的數(shù)量遠(yuǎn)小于真實(shí)情況，故脫敏數(shù)據(jù)部分保留了統(tǒng)計(jì)分布特征；對(duì)客戶姓名采用每個(gè)姓名字符的碼值偏移固定值的方法進(jìn)行脫敏，則完全保留了客戶姓名的特征。（三）高效性不同的測(cè)試數(shù)據(jù)脫敏方法，其實(shí)施

5、難度是不一樣的，是否能高效地完成數(shù)據(jù)脫敏，是從數(shù)據(jù)管理方的角度來(lái)看對(duì)測(cè)試數(shù)據(jù)脫敏的重要要求，即高效性。高效性主要從以下兩個(gè)方面進(jìn)行評(píng)價(jià)：1 .測(cè)試脫敏方法實(shí)施的時(shí)間開(kāi)銷情況。實(shí)施脫敏的時(shí)間及計(jì)算資源占用越少越好。2.測(cè)試脫敏方法實(shí)施的空間開(kāi)銷情況。實(shí)施脫敏必須的存儲(chǔ)空間越少越好。（四）穩(wěn)定性由于原始數(shù)據(jù)間存在關(guān)聯(lián)性（如兩張表中都有客戶姓名數(shù)據(jù)，并且業(yè)務(wù)要求兩張表的客戶姓名必須一致），如果對(duì)兩張表分別脫敏后客戶姓名數(shù)據(jù)不一致了，就會(huì)影響后期測(cè)試。這要求測(cè)試數(shù)據(jù)脫敏方法需要保證對(duì)相同的原始數(shù)據(jù)，只要配置參數(shù)一定，無(wú)論脫敏多少次，結(jié)果數(shù)據(jù)是相同的，即穩(wěn)定性。（五）多樣性多樣性即測(cè)試數(shù)據(jù)脫敏可能根據(jù)需

6、求不同而生成不同脫敏結(jié)果的程度。這是從測(cè)試數(shù)據(jù)管理方的角度出發(fā)對(duì)測(cè)試數(shù)據(jù)脫敏的高級(jí)要求，一般情況，有配置參數(shù)的數(shù)據(jù)脫敏方法都可以按照輸入?yún)?shù)不同而產(chǎn)生不同的測(cè)試結(jié)果，從而使得測(cè)試數(shù)據(jù)管理方可以方便的按測(cè)試場(chǎng)景，測(cè)試環(huán)境等因素為不同的測(cè)試項(xiàng)目提供不同的脫敏后數(shù)據(jù)環(huán)境，去除多個(gè)測(cè)試項(xiàng)目使用數(shù)據(jù)間的關(guān)聯(lián)性，提高多項(xiàng)目數(shù)據(jù)使用的安全性。不同場(chǎng)景的測(cè)試數(shù)據(jù)脫敏需求分析商業(yè)銀行應(yīng)用系統(tǒng)測(cè)試過(guò)程中，不同的測(cè)試場(chǎng)景，測(cè)試數(shù)據(jù)脫敏的需求則不同。本節(jié)將上文提出測(cè)試數(shù)據(jù)脫敏綜合評(píng)價(jià)體系中的五維評(píng)價(jià)指標(biāo)進(jìn)行分級(jí)細(xì)化，以此作為分析具體場(chǎng)景測(cè)試數(shù)據(jù)脫敏需求的基礎(chǔ)。為簡(jiǎn)化分析，本文將場(chǎng)景對(duì)于單個(gè)指標(biāo)的最低要求從低到高分為三

7、級(jí)或者兩級(jí)，以數(shù)字1、2、3等代表不同分級(jí)，其中1代表場(chǎng)景對(duì)于該指標(biāo)的要求最低，能容忍其表現(xiàn)不佳；2代表場(chǎng)景對(duì)于該指標(biāo)的要求中等，能容忍其表現(xiàn)一般；3代表場(chǎng)景對(duì)于該指標(biāo)的要求最高，需要其表現(xiàn)優(yōu)秀。各指標(biāo)具體分級(jí)依據(jù)如下：（一）有效性1級(jí)：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)敏感性可允許部分非關(guān)鍵信息殘留；脫敏后數(shù)據(jù)不易被反推回原始數(shù)據(jù)，如泄露多項(xiàng)關(guān)鍵配置數(shù)據(jù)，可能被反推，但反推難度較大。2級(jí)：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)敏感性必須全部去掉；脫敏后數(shù)據(jù)不易被反推回原始數(shù)據(jù)，如泄露多項(xiàng)關(guān)鍵配置數(shù)據(jù)，可能被反推，但反推難度較大。3級(jí)：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)敏感性必須全部去掉；無(wú)論泄露多少配置數(shù)據(jù)，脫敏后數(shù)據(jù)

8、不能被反推回原始數(shù)據(jù)。（二）真實(shí)性1級(jí)：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)業(yè)務(wù)邏輯特征可允許被完全破壞；相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征可允許被完全破壞。2級(jí)：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)業(yè)務(wù)邏輯特征要在一定程度保留；相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征要在一定程度保留。3級(jí)：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)業(yè)務(wù)邏輯特征要盡可能保留；相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征要盡可能保留。（三）高效性1級(jí)：測(cè)試脫敏方法實(shí)施能容忍較大的時(shí)間或空間開(kāi)銷。2級(jí)：測(cè)試脫敏方法實(shí)施能容忍較小的時(shí)間或空間開(kāi)銷。3級(jí)：測(cè)試脫敏方法實(shí)施要盡可能降低時(shí)間或空間開(kāi)銷。（四）穩(wěn)定性1級(jí)：測(cè)試脫敏方法不用保證配置參數(shù)一定時(shí)，多少

9、次處理結(jié)果一致。3級(jí)：測(cè)試脫敏方法必須保證配置參數(shù)一定時(shí)，多少次處理結(jié)果一致。（五）多樣性1級(jí)：測(cè)試脫敏方法不需要根據(jù)配置參數(shù)不同生成不同的脫敏結(jié)果。2級(jí)：測(cè)試脫敏方法需要根據(jù)配置參數(shù)不同生成不同的脫敏結(jié)果，可選結(jié)果接近有限集合。3級(jí)：測(cè)試脫敏方法需要根據(jù)配置參數(shù)不同生成不同的脫敏結(jié)果，可選結(jié)果接近無(wú)限集合。在對(duì)具體場(chǎng)景進(jìn)行分析時(shí)，著重從五個(gè)指標(biāo)維度來(lái)分析該場(chǎng)景下測(cè)試數(shù)據(jù)脫敏的最低需求，如下面兩個(gè)場(chǎng)景：場(chǎng)景一，網(wǎng)上銀行“查詢交易”功能測(cè)試。執(zhí)行20余個(gè)（配套卡數(shù)據(jù)20余個(gè)）正反向測(cè)試用例，使用卡號(hào)和密碼登陸網(wǎng)上銀行，點(diǎn)擊賬戶查詢，輸入要素包括卡號(hào)和密碼，輸出要素包括賬號(hào)、幣種、開(kāi)戶行、開(kāi)戶時(shí)間

10、、賬戶注冊(cè)類型、賬戶狀態(tài)、當(dāng)前余額、可用余額、交易日期、交易時(shí)間、收入金額、支出金額、本次余額、對(duì)方賬號(hào)、交易行名、交易渠道、交易說(shuō)明、交易摘要等。場(chǎng)景二，銀行資金交易系統(tǒng)“現(xiàn)券交易提交合規(guī)交易”性能測(cè)試。對(duì)現(xiàn)券交易提交合規(guī)交易進(jìn)行單交易負(fù)載測(cè)試，并發(fā)10用戶，單批次執(zhí)行30分鐘，共對(duì)比測(cè)試5個(gè)批次。測(cè)試鋪底數(shù)據(jù)及交易數(shù)據(jù)預(yù)估千萬(wàn)量級(jí)。分析場(chǎng)景一，由于涉及密碼等高敏感性數(shù)據(jù)，數(shù)據(jù)脫敏有效性需達(dá)最高級(jí)；測(cè)試需要詳細(xì)驗(yàn)證輸出結(jié)果，真實(shí)性至少達(dá)到中等級(jí)；功能測(cè)試數(shù)據(jù)量小，高效性要求可為最低級(jí)；交易數(shù)據(jù)中涉及賬號(hào)、卡號(hào)等有關(guān)聯(lián)性要求數(shù)據(jù)，有穩(wěn)定性要求，其他數(shù)據(jù)沒(méi)有；該交易屬于重點(diǎn)回歸測(cè)試對(duì)象，不同環(huán)境

11、數(shù)據(jù)有多樣性要求，達(dá)到中等級(jí)即可。分析場(chǎng)景二，由于未涉及高敏感性數(shù)據(jù)，但由于數(shù)據(jù)量較多，數(shù)據(jù)脫敏有效性達(dá)到中等級(jí)即可；性能測(cè)試不驗(yàn)證交易執(zhí)行詳細(xì)結(jié)果，真實(shí)性達(dá)到最低級(jí)即可；測(cè)試數(shù)據(jù)量大，處理時(shí)間空間有要求，高效性需達(dá)到最高級(jí)；交易數(shù)據(jù)中涉及賬號(hào)等有關(guān)聯(lián)性要求數(shù)據(jù)，有穩(wěn)定性要求，其他數(shù)據(jù)沒(méi)有；多輪對(duì)比測(cè)試批次一般要求相同數(shù)據(jù)環(huán)境，無(wú)多樣性要求。綜上，這兩個(gè)場(chǎng)景測(cè)試數(shù)據(jù)脫敏的最低需求如下:序號(hào)后效性真實(shí)性高效性穩(wěn)定性多樣性切樂(lè)3211-32切樂(lè)一2131-31主流數(shù)據(jù)脫敏方法分析按上節(jié)中的分析方法，下表對(duì)目前商業(yè)銀行主流數(shù)據(jù)脫敏方法進(jìn)行歸類后分析，不同的方法類在五個(gè)維度指標(biāo)上的表現(xiàn)如下:序號(hào)處理方

12、法歸類方法說(shuō)明測(cè)試數(shù)據(jù)脫敏綜合評(píng)價(jià)體系有效性真實(shí)性高效性穩(wěn)定性多樣性1刪除313312置常數(shù)置為固定值，或者其他數(shù)據(jù)列值323333隨機(jī)查表替換隨機(jī)從中間表中找出數(shù)據(jù)替換原數(shù)據(jù)321-3（視中間表大?。?24固定參數(shù)查表替換通過(guò)固定參數(shù)從中間表中找出數(shù)據(jù)替換原數(shù)據(jù)221-3（視中間表大小）325碼值隨機(jī)偏移將原數(shù)據(jù)碼值隨機(jī)偏移后置為新值323136碼值固定參數(shù)偏移將原數(shù)據(jù)碼值按特定算法及參數(shù)置為特定新值22-3（視特定算法）2-3（視特定算法）327隨機(jī)算數(shù)置換對(duì)原數(shù)據(jù)（數(shù)字類型）按某種算數(shù)方法計(jì)算，參數(shù)為隨機(jī)值323138固定參數(shù)算數(shù)置換對(duì)原數(shù)據(jù)（數(shù)字類型）按某種算數(shù)方法計(jì)算，參數(shù)為固定參數(shù)233139字符串部分屏蔽對(duì)字符串中部分字符用特定字符屏蔽1233110隨機(jī)生成定長(zhǎng)字符串隨機(jī)生成固定長(zhǎng)度字符串3131211隨機(jī)生成不定長(zhǎng)字符串隨機(jī)生成長(zhǎng)度不一的字符串3131312時(shí)間老