DB52T 1126-2016 政府?dāng)?shù)據(jù) 數(shù)據(jù)脫敏工作指南

DB52DB52/T1126—2016政府?dāng)?shù)據(jù)數(shù)據(jù)脫敏工作指南GovernmentalDataWorkInstructionsforDataMasking2016-09-28發(fā)布2016-09-28實(shí)施貴州省質(zhì)量技術(shù)監(jiān)督局發(fā)布I 1 1 1 41政府?dāng)?shù)據(jù)數(shù)據(jù)脫敏工作指南本標(biāo)準(zhǔn)規(guī)定了政府?dāng)?shù)據(jù)的脫敏原則、脫敏方法和脫敏過程，可為數(shù)據(jù)脫敏工作的規(guī)劃、實(shí)施和管理提供指導(dǎo)。本標(biāo)準(zhǔn)適用于政府結(jié)構(gòu)化數(shù)據(jù)的脫敏工作，包括但不限于數(shù)據(jù)脫敏的提供商、用戶、評測機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)。2術(shù)語和定義下列術(shù)語和定義適用于本文件。數(shù)據(jù)脫敏從原始環(huán)境向目標(biāo)環(huán)境進(jìn)行敏感數(shù)據(jù)交換的過程中，通過一定方法消除原始環(huán)境數(shù)據(jù)中的敏感信息，并保留目標(biāo)環(huán)境業(yè)務(wù)所需的數(shù)據(jù)特征或內(nèi)容的數(shù)據(jù)處理過程。3概述3.1數(shù)據(jù)脫敏原則數(shù)據(jù)脫敏工作不僅要確保敏感信息被去除，還需要盡可能的平衡脫敏所花費(fèi)的代價(jià)、使用方的業(yè)務(wù)需求等多個(gè)因素。因此，為了確保數(shù)據(jù)脫敏的過程、代價(jià)可控，得到的結(jié)果正確且滿足業(yè)務(wù)需要，在實(shí)施數(shù)據(jù)脫敏時(shí)，應(yīng)從技術(shù)和管理兩方面出發(fā)，符合以下原則。3.1.1技術(shù)原則3.1.1.1有效性數(shù)據(jù)脫敏的最基本原則就是要去掉數(shù)據(jù)中的敏感信息，保證數(shù)據(jù)安全，這是對數(shù)據(jù)脫敏工作最基本的要求。有效性要求經(jīng)過數(shù)據(jù)脫敏處理后，原始信息中包含的敏感信息已被移除，無法通過處理后的數(shù)據(jù)得到敏感信息；或者需通過巨大經(jīng)濟(jì)代價(jià)、時(shí)間代價(jià)才能得到敏感信息，其成本已遠(yuǎn)遠(yuǎn)超過數(shù)據(jù)本身的價(jià)值。此外，在處理敏感信息時(shí)，應(yīng)注意根據(jù)原始數(shù)據(jù)的特點(diǎn)和應(yīng)用場景，選擇合適的脫敏方法。3.1.1.2真實(shí)性3.1.1.2.1由于脫敏后的數(shù)據(jù)需要在相關(guān)業(yè)務(wù)系統(tǒng)、測試系統(tǒng)等非原始環(huán)境中繼續(xù)使用，因此需保證脫敏后的數(shù)據(jù)應(yīng)盡可能的真實(shí)體現(xiàn)原始數(shù)據(jù)的特征，且應(yīng)盡可能多的保留原始數(shù)據(jù)中的有意義信息，以減小對使用該數(shù)據(jù)的系統(tǒng)的影響。23.1.2.1.1在進(jìn)行數(shù)據(jù)脫敏前，首先應(yīng)完整的梳理待處理數(shù)據(jù)中包含的所有信息中每一個(gè)項(xiàng)目的內(nèi)容/格式、多條記錄聯(lián)合后包含的統(tǒng)計(jì)特征等），然后明確3.1.2.1.2需要注意的是，有些信息本身可能并不直接是敏感信息，但是可通過3經(jīng)過數(shù)據(jù)脫敏處理后，已知的敏感信息已經(jīng)被隱藏和處理，但脫敏后的數(shù)據(jù)由于保持了原始數(shù)據(jù)的部分統(tǒng)計(jì)特征和結(jié)構(gòu)特征等信息，仍可能存在一定的敏感信息泄漏風(fēng)險(xiǎn)。因此，仍然需要采取合適的方式控制知悉范圍，通過恰當(dāng)?shù)陌踩芾硎侄?，防止?shù)據(jù)外泄。3.1.2.3安全審計(jì)在數(shù)據(jù)脫敏的各個(gè)階段需加入安全審計(jì)機(jī)制，嚴(yán)格、詳細(xì)記錄數(shù)據(jù)處理過程中的相關(guān)信息，形成完整數(shù)據(jù)處理記錄，用于后續(xù)問題排查與數(shù)據(jù)追蹤分析，一旦發(fā)生泄密事件可追溯到是在哪個(gè)數(shù)據(jù)處理環(huán)節(jié)發(fā)生的。3.1.2.4代碼安全對于執(zhí)行數(shù)據(jù)脫敏的程序和代碼模塊，應(yīng)當(dāng)進(jìn)行代碼審查，并對上線前的程序和模塊進(jìn)行代碼安全掃描，確保執(zhí)行數(shù)據(jù)脫敏過程的程序安全可靠，無漏洞和后門。3.2數(shù)據(jù)脫敏常用方法3.2.1泛化技術(shù)泛化是指在保留原始數(shù)據(jù)局部特征的前提下使用一般值替代原始數(shù)據(jù)，泛化后的數(shù)據(jù)具有不可逆性，具體的技術(shù)方法包括但不限于：a)數(shù)據(jù)截?cái)鄷?huì)直接舍棄業(yè)務(wù)不需要的信息，僅保留部分關(guān)鍵信息，例如將手機(jī)號斷為135;b)日期偏移取整：按照一定粒度對時(shí)間進(jìn)行向上或向下偏移取整，可在保證時(shí)間數(shù)據(jù)一定分布特征的情況下隱藏原始時(shí)間，例如將時(shí)間2015010101:01:09按照5秒鐘粒度向下取整得到c)規(guī)整：將數(shù)據(jù)按照大小規(guī)整到預(yù)定義的多個(gè)檔位，例如將客戶資產(chǎn)按照規(guī)模分為高、中、低三個(gè)級別，將客戶資產(chǎn)數(shù)據(jù)用這三個(gè)級別代替。3.2.2抑制技術(shù)抑制是指通過隱藏?cái)?shù)據(jù)中部分信息的方式來對原始數(shù)據(jù)的值進(jìn)行轉(zhuǎn)換，又稱為隱藏技術(shù)，具體的技術(shù)方法包括但不限于：a)掩碼：用通用字符替換原始數(shù)據(jù)中的部分信息，例如將手機(jī)號過掩碼得到135****0001,掩碼后的數(shù)據(jù)長度與原始數(shù)據(jù)一樣。3.2.3擾亂技術(shù)擾亂是指通過加入噪聲的方式對原始數(shù)據(jù)進(jìn)行干擾，以實(shí)現(xiàn)對原始數(shù)據(jù)的扭曲、改變，擾亂后的數(shù)據(jù)仍保留著原始數(shù)據(jù)的分布特征，具體的技術(shù)方法包括但不限于：a)加密：使用加密算法對原始數(shù)據(jù)進(jìn)行加密，例如將編號12345加密為abcde;b)重排：將原始數(shù)據(jù)按照特定的規(guī)則進(jìn)行重新排列，例如將序號12345重排為54321;c)替換：按照特定規(guī)則對原始數(shù)據(jù)進(jìn)行替換，如統(tǒng)一將女性性別替換為F;4g)盡可能采用自動(dòng)化方式實(shí)現(xiàn)敏感數(shù)據(jù)脫敏工作流程，如數(shù)據(jù)脫敏申請、申請審批、數(shù)據(jù)54.2.1一個(gè)完整的數(shù)據(jù)脫敏工作流程包括發(fā)現(xiàn)敏感數(shù)據(jù)、標(biāo)識敏感數(shù)據(jù)、確定脫敏方法、定義脫敏規(guī)則、執(zhí)行脫敏操作和評估脫敏效果等步驟。如圖1所示，圖1數(shù)據(jù)脫敏工作流程4.2.2發(fā)現(xiàn)敏感數(shù)據(jù)4.2.2.1為了有效開展數(shù)據(jù)脫敏工作，必須對組織所擁有的數(shù)據(jù)進(jìn)行梳理和分類，建議將數(shù)據(jù)分為高度敏感數(shù)據(jù)、中度敏感數(shù)據(jù)和非敏感數(shù)據(jù)；同時(shí)，組織機(jī)構(gòu)需首先分析建立完整的敏感數(shù)據(jù)位置和關(guān)系庫，確保數(shù)據(jù)脫敏工作能夠充分考慮到必須的業(yè)務(wù)范圍、脫敏后數(shù)據(jù)對原數(shù)據(jù)業(yè)務(wù)特性的繼承(如保持原數(shù)據(jù)間的依賴關(guān)系)。4.2.2.2基于敏感數(shù)據(jù)分類分級制度，一方面建立有效的數(shù)據(jù)發(fā)現(xiàn)手段，在組織機(jī)構(gòu)完整的數(shù)據(jù)范圍內(nèi)查找并發(fā)現(xiàn)敏感數(shù)據(jù)；另一方面明確敏感數(shù)據(jù)結(jié)構(gòu)化或非結(jié)構(gòu)化的數(shù)據(jù)表現(xiàn)形態(tài)，如敏感數(shù)據(jù)固定的字段格式。4.2.2.3在敏感數(shù)據(jù)返現(xiàn)過程中，可關(guān)注以下事項(xiàng)：a)定義數(shù)據(jù)脫敏工作執(zhí)行的范圍，在該范圍內(nèi)執(zhí)行敏感數(shù)據(jù)的發(fā)現(xiàn)工作。b)通過數(shù)據(jù)表名稱、字段名稱、數(shù)據(jù)記錄內(nèi)容、數(shù)據(jù)表備注、數(shù)據(jù)文件內(nèi)容等直接匹配或正則表達(dá)式匹配的方式發(fā)現(xiàn)敏感數(shù)據(jù)；c)考慮數(shù)據(jù)引用的完整性，如保證數(shù)據(jù)庫的引用完整性約束；d)數(shù)據(jù)發(fā)現(xiàn)手段應(yīng)支持主流的數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)倉庫系統(tǒng)、文件系統(tǒng)，同時(shí)應(yīng)支持云計(jì)算環(huán)境下的主流新型存儲系統(tǒng)；e)盡量利用自動(dòng)化工具執(zhí)行數(shù)據(jù)發(fā)現(xiàn)工作，并降低該過程對生產(chǎn)系統(tǒng)的影響；f)數(shù)據(jù)發(fā)現(xiàn)工具具有擴(kuò)展機(jī)制，可根據(jù)業(yè)務(wù)需要自定義敏感數(shù)據(jù)的發(fā)現(xiàn)邏輯；g)固化常用的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，例如身份證號、手機(jī)號等敏感數(shù)據(jù)的發(fā)現(xiàn)規(guī)則，避免重復(fù)定義數(shù)據(jù)發(fā)現(xiàn)規(guī)則。4.2.3標(biāo)識敏感數(shù)據(jù)4.2.3.1組織在通過業(yè)務(wù)梳理發(fā)現(xiàn)了敏感數(shù)據(jù)之后，需要對敏感數(shù)據(jù)進(jìn)行標(biāo)識，包括標(biāo)識敏感數(shù)據(jù)的位置、敏感數(shù)據(jù)的格式等信息，以便后續(xù)對敏感數(shù)據(jù)的訪問、傳輸和處理進(jìn)行跟蹤和監(jiān)督。4.2.3.2敏感數(shù)據(jù)的標(biāo)識方法應(yīng)該確保敏感數(shù)據(jù)標(biāo)識信息能夠隨敏感數(shù)據(jù)一起流動(dòng)，并不易于刪除和篡改，從而可以對敏感數(shù)據(jù)進(jìn)行有效跟蹤，以確保敏感數(shù)據(jù)的安全合規(guī)性。4.2.3.3在標(biāo)識敏感數(shù)據(jù)時(shí)，可關(guān)注以下事項(xiàng)：a)應(yīng)該盡早在數(shù)據(jù)的收集階段就對敏感數(shù)據(jù)進(jìn)行識別和標(biāo)識，這樣便于在數(shù)據(jù)的整個(gè)生命周期階段對敏感數(shù)據(jù)進(jìn)行有效管理；b)敏感數(shù)據(jù)的標(biāo)識方法必須考慮到便捷性和安全性，使得標(biāo)識后的數(shù)據(jù)很容易被識別，同時(shí)，要確保敏感數(shù)據(jù)標(biāo)識信息不容易被惡意攻擊者刪除和篡改；64.2.4.1在對標(biāo)識后的敏感數(shù)據(jù)進(jìn)行脫敏前，應(yīng)首先確定脫敏方法，可選的數(shù)據(jù)脫敏方案包括4.2.5定義脫敏規(guī)則4.2.5.1針對組織機(jī)構(gòu)內(nèi)已識別和標(biāo)識出的敏感數(shù)據(jù)，組織機(jī)構(gòu)需建立敏感數(shù)據(jù)在相關(guān)業(yè)務(wù)場d)數(shù)據(jù)脫敏工具應(yīng)提供擴(kuò)展機(jī)制4.2.6.1根據(jù)已定義的數(shù)據(jù)脫敏規(guī)則、以及數(shù)據(jù)脫敏工作的流程和數(shù)據(jù)脫敏工具的運(yùn)維管理制7a)支持從數(shù)據(jù)源克隆數(shù)據(jù)到新環(huán)境(例如從生產(chǎn)環(huán)境、備份庫克隆數(shù)據(jù)到新環(huán)境),并在新環(huán)境中進(jìn)行脫敏過程的執(zhí)行；也支持在數(shù)據(jù)源端直接進(jìn)行脫敏；b)對脫敏任務(wù)的管理，可考慮采用自動(dòng)化管理的方式提升任務(wù)管理效率，例如定時(shí)、條件設(shè)置的方式觸發(fā)脫敏任務(wù)的執(zhí)行；c)執(zhí)行對脫敏任務(wù)的運(yùn)行監(jiān)控，關(guān)注任務(wù)執(zhí)行的穩(wěn)定性、以及脫敏任務(wù)對業(yè)務(wù)的影響；d)設(shè)置專人定期對數(shù)據(jù)脫敏的相關(guān)日志記錄進(jìn)行安全審計(jì)，審計(jì)應(yīng)重點(diǎn)關(guān)注高權(quán)限賬號的操作日志和脫敏工作的記錄日志；發(fā)布審計(jì)報(bào)告，并跟進(jìn)審計(jì)中發(fā)現(xiàn)的例外和異常。4.2.7評估脫敏效果4.2.7.1通過收集、整理數(shù)據(jù)脫敏工作執(zhí)行的數(shù)據(jù)，例如相關(guān)監(jiān)控?cái)?shù)據(jù)、審計(jì)數(shù)據(jù)，對數(shù)據(jù)脫敏的前期工作開展情況進(jìn)行反饋，從而優(yōu)化相關(guān)規(guī)程、明確數(shù)據(jù)脫敏過程中應(yīng)關(guān)注的事項(xiàng)。4.2.7.2在該過