DB5120T 19.5-2023 數(shù)據(jù)資源體系技術(shù)指南 第5部分：數(shù)據(jù)脫敏工作指南　　

CCSL71DB5120資陽市市場(chǎng)監(jiān)督管理局發(fā)布IDB5120/T19.5—2023 12規(guī)范性引用文件 13術(shù)語和定義 14總則 25數(shù)據(jù)脫敏流程 46常用脫敏方法 6參考文獻(xiàn) 8DB5120/T19.5—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由資陽市政務(wù)服務(wù)和大數(shù)據(jù)管理局提出并歸口。本文件由資陽市市場(chǎng)監(jiān)督管理局批準(zhǔn)并發(fā)布。本文件起草單位：資陽市大數(shù)據(jù)服務(wù)中心、資陽數(shù)智科技有限公司。本文件主要起草人：劉桄序、戢培全、邵柏華、袁嘉、劉光乾、楊建康、張亞琴、李愛民、劉西北、鄭雪梅、鄧森林、彭國林、陳杜宇、楊通、李強(qiáng)、夏榮、張潤(rùn)澤、任良華、冷耀、陳熙。本文件為首次發(fā)布。1DB5120/T19.5—2023數(shù)據(jù)資源體系技術(shù)指南第5部分：數(shù)據(jù)脫敏工作指南本文件規(guī)定了資陽市域數(shù)據(jù)脫敏工作相關(guān)術(shù)語和定義、總則、數(shù)據(jù)脫敏流程、常用脫敏方法等工作規(guī)范。本文件適用于資陽市域政務(wù)組織、非政務(wù)組織和個(gè)人信息資源數(shù)據(jù)的脫敏工作的規(guī)劃、實(shí)施和管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.1信息技術(shù)詞匯第1部份：基本術(shù)語GB/T11457信息技術(shù)軟件工程術(shù)語GB/T18492信息技術(shù)系統(tǒng)及軟件完整性級(jí)別GB/T20270信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T22032系統(tǒng)工程系統(tǒng)生存周期過程GB/T25000系統(tǒng)與軟件工程（所有部分）GB/T28452信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求GB/T29264信息技術(shù)服務(wù)分類與代碼GB/T29765信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語GB/T36625.3智慧城市數(shù)據(jù)融合第3部分：數(shù)據(jù)采集規(guī)范GB/T38667信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南GB/T40094.2電子商務(wù)數(shù)據(jù)交易第2部分：數(shù)據(jù)描述規(guī)范GB/T40094.3電子商務(wù)數(shù)據(jù)交易第3部分：數(shù)據(jù)接口規(guī)范行GB/T42450信息技術(shù)大數(shù)據(jù)數(shù)據(jù)資源規(guī)劃DB51/T3056政務(wù)數(shù)據(jù)數(shù)據(jù)分類分級(jí)指南3術(shù)語和定義GB/T5271.1、GB/T11457、GB/T18492、GB/T20270、GB/T20271、GB/T25000、GB/T28452、GB/T29264、GB/T29765、GB/T35295、GB/T36625.3、GB/T38667、GB/T40094.2、GB/T40094.3、GB/T42450、DB51/T3056界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)脫敏datadesensitization通過一系列數(shù)據(jù)處理方法對(duì)原始數(shù)據(jù)進(jìn)行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護(hù)方法。2DB5120/T19.5—20234總則4.1數(shù)據(jù)脫敏原則4.1.1有效性數(shù)據(jù)脫敏的最基本原則就是去掉數(shù)據(jù)中的敏感信息，保證數(shù)據(jù)安全。有效性原則要求經(jīng)過數(shù)據(jù)脫敏處理后，原始信息中包含的敏感信息已被移除，無法通過處理后的數(shù)據(jù)得到敏感信息；或者需通過巨大經(jīng)濟(jì)代價(jià)、時(shí)間代價(jià)才能得到敏感信息，其成本已遠(yuǎn)遠(yuǎn)超過數(shù)據(jù)本身的價(jià)值。此外，在處理敏感信息時(shí)，應(yīng)注意根據(jù)原始數(shù)據(jù)的特點(diǎn)和應(yīng)用場(chǎng)景，選擇合適的脫敏方法。4.1.2真實(shí)性由于脫敏后的數(shù)據(jù)需要在相關(guān)業(yè)務(wù)系統(tǒng)、測(cè)試系統(tǒng)等非原始環(huán)境中繼續(xù)使用，因此需保證脫敏后的數(shù)據(jù)應(yīng)盡可能的真實(shí)體現(xiàn)原始數(shù)據(jù)的特征，且應(yīng)盡可能多的保留原始數(shù)據(jù)中的有意義信息，以減小對(duì)使用該數(shù)據(jù)的系統(tǒng)的影響。真實(shí)性原則要求脫敏過程需保持用于后續(xù)分析的數(shù)據(jù)真實(shí)特征，以實(shí)現(xiàn)數(shù)據(jù)相關(guān)業(yè)務(wù)需求，包括但不限于數(shù)據(jù)結(jié)構(gòu)特征和數(shù)據(jù)統(tǒng)計(jì)特征：數(shù)據(jù)結(jié)構(gòu)特征是指數(shù)據(jù)本身的構(gòu)成遵循一定的規(guī)則（例如身份證號(hào)由地區(qū)編碼、生日、順序號(hào)和校驗(yàn)碼組成數(shù)據(jù)統(tǒng)計(jì)特征是指大量的數(shù)據(jù)記錄所隱含的統(tǒng)計(jì)趨勢(shì)（例如開戶人地區(qū)分布、年齡分布等）。為達(dá)到真實(shí)性要求，在一般情況下開展數(shù)據(jù)脫敏工作時(shí)，應(yīng)注意：a）保持原數(shù)據(jù)的格式；b）保持原數(shù)據(jù)的類型；c）保持原數(shù)據(jù)之間的依存關(guān)系d）保持語義完整性；e）保持引用完整性；f）保持?jǐn)?shù)據(jù)的統(tǒng)計(jì)、聚合特征；g）保持頻率分布；h）保持唯一性。4.1.3高效性應(yīng)保證數(shù)據(jù)脫敏的過程可通過程序自動(dòng)化實(shí)現(xiàn)，可重復(fù)執(zhí)行。在不影響有效性的前提下，需注意平衡脫敏的力度與所花費(fèi)的代價(jià)，將數(shù)據(jù)脫敏的工作控制在一定的時(shí)間和經(jīng)濟(jì)成本內(nèi)。本質(zhì)上，高效性原則是成本和安全性相互作用的結(jié)果，在確保一定安全底線的前提下，盡可能減少數(shù)據(jù)脫敏工作所花費(fèi)的額外代價(jià)。4.1.4穩(wěn)定性由于原始數(shù)據(jù)間存在關(guān)聯(lián)性，為保障數(shù)據(jù)使用者可正常使用和分析數(shù)據(jù)，因此數(shù)據(jù)脫敏時(shí)需保證對(duì)相同的原始數(shù)據(jù)，在各輸入條件一致的前提下，無論脫敏多少次，其最終結(jié)果數(shù)據(jù)是相同的。如最終結(jié)果是不穩(wěn)定的，可能導(dǎo)致數(shù)據(jù)使用者無法將本有聯(lián)系的數(shù)據(jù)正確的進(jìn)行關(guān)聯(lián)，從而造成數(shù)據(jù)的使用出現(xiàn)問題。例如，某ID有兩條記錄，但是由于脫敏結(jié)果的不穩(wěn)定，得到了兩個(gè)不同的脫敏ID1和ID2，則在使用該數(shù)據(jù)時(shí)，就無法得知ID1和ID2其實(shí)是同一個(gè)ID，從而使得數(shù)據(jù)分析結(jié)果出現(xiàn)錯(cuò)誤。4.1.5可配置同一份原始數(shù)據(jù)，可能被用于不同的數(shù)據(jù)分析場(chǎng)景，由于不同場(chǎng)景下的安全要求不同，數(shù)據(jù)脫敏時(shí)的處理方式和處理字段也不盡相同。因此需通過配置的方式，按照輸入條件不同生成不同的脫敏結(jié)果，從而可以方便的按數(shù)據(jù)使用場(chǎng)景等因素為不同的最終用戶提供不同的脫敏數(shù)據(jù)。3DB5120/T19.5—20234.2數(shù)據(jù)脫敏管理4.2.1組織管理資陽市政務(wù)服務(wù)和大數(shù)據(jù)管理局應(yīng)制定完備的數(shù)據(jù)脫敏規(guī)范和流程，并對(duì)可能接觸到脫敏數(shù)據(jù)的相關(guān)方進(jìn)行數(shù)據(jù)脫敏規(guī)程的推廣培訓(xùn)，并定期評(píng)估和維護(hù)數(shù)據(jù)脫敏規(guī)程內(nèi)容，以保證數(shù)據(jù)脫敏工作執(zhí)行的規(guī)范性和有效性。在制定數(shù)據(jù)脫敏規(guī)范時(shí)，應(yīng)關(guān)注以下事項(xiàng)：a）應(yīng)明確指定敏感數(shù)據(jù)管理部門，并明確其安全責(zé)任和義務(wù)；b）應(yīng)根據(jù)安全合規(guī)需求，建立敏感數(shù)據(jù)的分類分級(jí)制度、數(shù)據(jù)脫敏的工作流程、脫敏工具的運(yùn)維管理制度，并定期對(duì)相關(guān)流程制度進(jìn)行評(píng)審和修訂；c）建立敏感數(shù)據(jù)分類制度時(shí)，可從個(gè)人隱私數(shù)據(jù)、業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)等方面對(duì)敏感數(shù)據(jù)分類，并根據(jù)敏感數(shù)據(jù)的重要性程度定義敏感數(shù)據(jù)的安全級(jí)別，同時(shí)明確對(duì)各類、各級(jí)別數(shù)據(jù)相應(yīng)的安全管控機(jī)制；d）在數(shù)據(jù)脫敏工具的運(yùn)維管理制度中，可納入對(duì)數(shù)據(jù)脫敏工具的系統(tǒng)安全檢測(cè)，以保證數(shù)據(jù)脫敏工具自身的安全性；e）數(shù)據(jù)脫敏制度建立完畢后，應(yīng)定期對(duì)數(shù)據(jù)脫敏工作的相關(guān)方，如數(shù)據(jù)管理方、數(shù)據(jù)使用方、脫敏工具運(yùn)維方，開展針對(duì)相關(guān)制度的培訓(xùn)工作，以提升規(guī)范化意識(shí)。4.2.2敏感信息識(shí)別在進(jìn)行數(shù)據(jù)脫敏前，首先應(yīng)完整的梳理待處理數(shù)據(jù)中包含的所有信息分類（包括單條記錄中每一個(gè)項(xiàng)目的內(nèi)容/格式、多條記錄聯(lián)合后包含的統(tǒng)計(jì)特征等），然后明確其中哪些信息分類屬于敏感信息，并標(biāo)注出其敏感程度、泄露后可能造成的后果、應(yīng)急預(yù)案等。需要注意的是，有些信息本身可能并不直接是敏感信息，但是可通過與其他一些信息結(jié)合后推斷出敏感信息，此時(shí)也應(yīng)將此類信息納入數(shù)據(jù)脫敏的范圍。4.2.3數(shù)據(jù)安全可控經(jīng)過數(shù)據(jù)脫敏處理后，已知的敏感信息已經(jīng)被隱藏和處理，但脫敏后的數(shù)據(jù)由于保持了原始數(shù)據(jù)的部分統(tǒng)計(jì)特征和結(jié)構(gòu)特征等信息，仍可能存在一定的敏感信息泄漏風(fēng)險(xiǎn)。因此，仍然需要采取合適的方式控制知悉范圍，通過恰當(dāng)?shù)陌踩芾硎侄危乐箶?shù)據(jù)外泄。4.2.4過程安全審計(jì)在數(shù)據(jù)脫敏的過程中嚴(yán)格、詳細(xì)記錄數(shù)據(jù)處理過程中的相關(guān)信息，形成完整數(shù)據(jù)處理記錄，用于后續(xù)問題排查與數(shù)據(jù)追蹤分析，一旦發(fā)生泄密事件可追溯到是在哪個(gè)數(shù)據(jù)處理環(huán)節(jié)發(fā)生的。4.2.5脫敏應(yīng)用場(chǎng)景數(shù)據(jù)脫敏應(yīng)用的場(chǎng)景很多，有針對(duì)個(gè)人、法人和其他客體的：a）針對(duì)個(gè)人的脫敏應(yīng)用場(chǎng)景，例如：1）匿名敏感信息，包含個(gè)人敏感信息的數(shù)據(jù)，但不能識(shí)別到具體個(gè)人身份，如：某市個(gè)人家庭財(cái)產(chǎn)超過1000萬元的人數(shù)有1000人。此類脫敏數(shù)據(jù)可用于社會(huì)科學(xué)研究需要，可用于相關(guān)部門發(fā)布分析報(bào)告需要，及其他一些機(jī)構(gòu)或個(gè)人需要。2）非匿名敏感信息，包含個(gè)人敏感信息的數(shù)據(jù)，可以通過一定技術(shù)手段識(shí)別到個(gè)人。此類場(chǎng)景需要先識(shí)別訪問數(shù)據(jù)的用戶身份，例如：個(gè)人可以查詢自己名下的存款、金融資產(chǎn)和不動(dòng)產(chǎn)；夫妻可以查詢對(duì)方薪酬、對(duì)方名下的家庭資產(chǎn)；債權(quán)人可以在授權(quán)的情況下查看債務(wù)人的資產(chǎn)情況，等等。b）針對(duì)法人的脫敏應(yīng)用場(chǎng)景，例如：1）僅限本組織的人員可以獲取訪問的組織內(nèi)部信息，包括但不限于：組織規(guī)范、日常管理和運(yùn)營(yíng)的制度、工作手冊(cè)、工作流程圖、信息系統(tǒng)等。4DB5120/T19.5—20232）僅限本組織相關(guān)部門人員可以獲取訪問的部門內(nèi)的經(jīng)營(yíng)數(shù)據(jù)、繳納稅務(wù)、社保、公積金等數(shù)據(jù)。3）僅限本組織高層人員才可以獲取訪問的財(cái)務(wù)報(bào)表、經(jīng)營(yíng)機(jī)密信息等。c）針對(duì)其他客體的脫敏應(yīng)用場(chǎng)景，例如：1）針對(duì)需要管理部門授權(quán)才能訪問的重要公共基礎(chǔ)設(shè)施詳細(xì)數(shù)據(jù)，例如：橋梁、鐵路、自來水、電力等數(shù)據(jù)。2）各行業(yè)監(jiān)管部門掌握的本行業(yè)高風(fēng)險(xiǎn)數(shù)據(jù)，例如：傳染病、礦產(chǎn)、水文、海洋、軍事設(shè)施、高精度測(cè)繪地理信息等數(shù)據(jù)。5數(shù)據(jù)脫敏流程5.1流程結(jié)構(gòu)一個(gè)完整的數(shù)據(jù)脫敏工作流程應(yīng)包括：發(fā)現(xiàn)敏感數(shù)據(jù)、標(biāo)識(shí)敏感數(shù)據(jù)、確定脫敏方法、定義脫敏規(guī)則、執(zhí)行脫敏操作和評(píng)估脫敏效果等步驟。5.2發(fā)現(xiàn)敏感數(shù)據(jù)為了有效開展數(shù)據(jù)脫敏工作，必須對(duì)組織所擁有的數(shù)據(jù)進(jìn)行梳理和分類，建議將數(shù)據(jù)分為高度敏感數(shù)據(jù)、中度敏感數(shù)據(jù)和非敏感數(shù)據(jù)；同時(shí)，組織需首先分析建立完整的敏感數(shù)據(jù)位置和關(guān)系庫，確保數(shù)據(jù)脫敏工作能夠充分考慮到必須的業(yè)務(wù)范圍、脫敏后數(shù)據(jù)對(duì)原數(shù)據(jù)業(yè)務(wù)特性的繼承（如保持原數(shù)據(jù)間的依賴關(guān)系）。基于敏感數(shù)據(jù)分類分級(jí)制度，一方面建立有效的數(shù)據(jù)發(fā)現(xiàn)手段，在組織完整的數(shù)據(jù)范圍內(nèi)查找并發(fā)現(xiàn)敏感數(shù)據(jù)；另一方面明確敏感數(shù)據(jù)結(jié)構(gòu)化或非結(jié)構(gòu)化的數(shù)據(jù)表現(xiàn)形態(tài)，如敏感數(shù)據(jù)固定的字段格式。在該過程中，可關(guān)注以下事項(xiàng)：a）定義數(shù)據(jù)脫敏工作執(zhí)行的范圍，在該范圍內(nèi)執(zhí)行敏感數(shù)據(jù)的發(fā)現(xiàn)工作。b）通過數(shù)據(jù)表名稱、字段名稱、數(shù)據(jù)記錄內(nèi)容、數(shù)據(jù)表備注、數(shù)據(jù)文件內(nèi)容等直接匹配或正則表達(dá)式匹配的方式發(fā)現(xiàn)敏感數(shù)據(jù)；c）考慮數(shù)據(jù)引用的完整性，如保證數(shù)據(jù)庫的引用完整性約束；d）數(shù)據(jù)發(fā)現(xiàn)手段應(yīng)支持主流的數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)倉庫系統(tǒng)、文件系統(tǒng)，同時(shí)應(yīng)支持云環(huán)境下的主流新型存儲(chǔ)系統(tǒng)；e）盡量利用自動(dòng)化工具執(zhí)行數(shù)據(jù)發(fā)現(xiàn)工作，并降低該過程對(duì)生產(chǎn)系統(tǒng)的影響；f）數(shù)據(jù)發(fā)現(xiàn)工具具有擴(kuò)展機(jī)制，可根據(jù)業(yè)務(wù)需要自定義敏感數(shù)據(jù)的發(fā)現(xiàn)邏輯；g）固化常用的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，例如身份證號(hào)、手機(jī)號(hào)等敏感數(shù)據(jù)的發(fā)現(xiàn)規(guī)則，避免重復(fù)定義數(shù)據(jù)發(fā)現(xiàn)規(guī)則。5.3標(biāo)識(shí)敏感數(shù)據(jù)在通過業(yè)務(wù)梳理發(fā)現(xiàn)了敏感數(shù)據(jù)之后，需要對(duì)敏感數(shù)據(jù)進(jìn)行標(biāo)識(shí)，包括標(biāo)識(shí)敏感數(shù)據(jù)的位置、敏感數(shù)據(jù)的格式等信息，以便后續(xù)對(duì)敏感數(shù)據(jù)的訪問、傳輸和處理進(jìn)行跟蹤和監(jiān)督。敏感數(shù)據(jù)的標(biāo)識(shí)方法應(yīng)該確保敏感數(shù)據(jù)標(biāo)識(shí)信息能夠隨敏感數(shù)據(jù)一起流動(dòng)，并不易于刪除和篡改，從而可以對(duì)敏感數(shù)據(jù)進(jìn)行有效跟蹤，以確保敏感數(shù)據(jù)的安全合規(guī)性。在標(biāo)識(shí)敏感數(shù)據(jù)時(shí)，可關(guān)注以下事項(xiàng)：a）應(yīng)該盡早在數(shù)據(jù)的收集階段就對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別和標(biāo)識(shí)，這樣便于在數(shù)據(jù)的整個(gè)生命周期階段對(duì)敏感數(shù)據(jù)進(jìn)行有效管理；b）敏感數(shù)據(jù)的標(biāo)識(shí)方法必須考慮到便捷性和安全性，使得標(biāo)識(shí)后的數(shù)據(jù)很容易被識(shí)別，同時(shí)要確保敏感數(shù)據(jù)標(biāo)識(shí)信息不容易被惡意攻擊者刪除和篡改；5DB5120/T19.5—2023c）敏感數(shù)據(jù)的標(biāo)識(shí)方法應(yīng)支持靜態(tài)數(shù)據(jù)的敏感標(biāo)識(shí)以及動(dòng)態(tài)流數(shù)據(jù)的敏感標(biāo)識(shí)。5.4確定脫敏場(chǎng)景在標(biāo)識(shí)敏感數(shù)據(jù)基礎(chǔ)上，確定脫敏場(chǎng)景，脫敏場(chǎng)景包括但不限于：a）靜態(tài)脫敏：對(duì)原始數(shù)據(jù)進(jìn)行一次脫敏后，脫敏后的結(jié)果數(shù)據(jù)可以多次使用；b）動(dòng)態(tài)脫敏：針對(duì)不同用戶需求，對(duì)數(shù)據(jù)進(jìn)行屏蔽處理的數(shù)據(jù)脫敏方式，要求系統(tǒng)有安全措施確保用戶不能夠繞過數(shù)據(jù)脫敏層次直接接觸敏感數(shù)據(jù)。5.5選擇脫敏方法在對(duì)標(biāo)識(shí)后的敏感數(shù)據(jù)進(jìn)行脫敏前，應(yīng)首先確定脫敏方法，可選的數(shù)據(jù)脫敏方案包括靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏。不同的數(shù)據(jù)脫敏方案對(duì)數(shù)據(jù)源的影響不同，脫敏的時(shí)效性也不一樣。脫敏方案確定后，就可以選擇對(duì)應(yīng)的數(shù)據(jù)脫敏工具。在確定數(shù)據(jù)脫敏方案時(shí)，可關(guān)注以下事項(xiàng)：a）靜態(tài)數(shù)據(jù)脫敏方法是對(duì)原始數(shù)據(jù)進(jìn)行一次脫敏后，脫敏后的結(jié)果數(shù)據(jù)可以多次使用，非常適合使用場(chǎng)景比較單一的場(chǎng)合；b）動(dòng)態(tài)數(shù)據(jù)脫敏方法是在敏感數(shù)據(jù)顯示時(shí)，針對(duì)不同用戶需求，對(duì)顯示數(shù)據(jù)進(jìn)行屏蔽處理的數(shù)據(jù)脫敏方式，它要求系統(tǒng)有安全措施確保用戶不能夠繞過數(shù)據(jù)脫敏層次直接接觸敏感數(shù)據(jù)。動(dòng)態(tài)數(shù)據(jù)脫敏比較適合用戶需求不確定、使用場(chǎng)景復(fù)雜的情形。5.6定義脫敏規(guī)則針對(duì)已識(shí)別和標(biāo)識(shí)出的敏感數(shù)據(jù)，資陽市政務(wù)服務(wù)和大數(shù)據(jù)管理局需建立敏感數(shù)據(jù)在相關(guān)業(yè)務(wù)場(chǎng)景下的脫敏規(guī)則。在敏感數(shù)據(jù)生命周期識(shí)別的基礎(chǔ)上，明確存在數(shù)據(jù)脫敏需求的業(yè)務(wù)場(chǎng)景，并結(jié)合行業(yè)法規(guī)的要求和業(yè)務(wù)場(chǎng)景的需求，制定相應(yīng)業(yè)務(wù)場(chǎng)景下有效的數(shù)據(jù)脫敏規(guī)則。在該過程中，可關(guān)注以下事項(xiàng)：a）識(shí)別組織在業(yè)務(wù)開展過程中應(yīng)遵循的個(gè)人隱私保護(hù)、數(shù)據(jù)安全保護(hù)等關(guān)鍵領(lǐng)域國內(nèi)外法規(guī)、行業(yè)監(jiān)管規(guī)范或標(biāo)準(zhǔn)，以此作為數(shù)據(jù)脫敏規(guī)則必須遵循的原則；b）對(duì)已識(shí)別出的敏感數(shù)據(jù)執(zhí)行生命周期（產(chǎn)生、采集、使用、交換、銷毀）流程的梳理，明確在生命周期各階段，用戶對(duì)數(shù)據(jù)的訪問需求和當(dāng)前的權(quán)限設(shè)置情況，分析整理出存在數(shù)據(jù)脫敏需求的業(yè)務(wù)場(chǎng)景。例如，在梳理過程中，會(huì)發(fā)現(xiàn)存在對(duì)敏感數(shù)據(jù)的訪問需求和訪問權(quán)限不匹配的情況（用戶僅需獲取敏感數(shù)據(jù)中部分內(nèi)容即可，但卻擁有對(duì)敏感數(shù)據(jù)內(nèi)容全部的訪權(quán)限因此該業(yè)務(wù)場(chǎng)景存在敏感數(shù)據(jù)的脫敏需求；c）進(jìn)一步分析存在數(shù)據(jù)脫敏需求的業(yè)務(wù)場(chǎng)景，在“最小夠用”的原則下明確待脫敏的數(shù)據(jù)內(nèi)容、符合業(yè)務(wù)需求的脫敏方式，以及該業(yè)務(wù)的服務(wù)水平方面的要求，以便于脫敏規(guī)則的制定。其中，脫敏的方式可參考“常用數(shù)據(jù)脫敏方法”；d）數(shù)據(jù)脫敏工具應(yīng)提供擴(kuò)展機(jī)制，從而讓用戶可根據(jù)需求自定義脫敏的方法；e）通過數(shù)據(jù)脫敏工具選擇數(shù)據(jù)脫敏方法時(shí)，脫敏工具中應(yīng)對(duì)各類方法的使用進(jìn)行詳細(xì)的說明，說明應(yīng)包括但不限于規(guī)則的實(shí)現(xiàn)原理、數(shù)據(jù)引用完整性影響、數(shù)據(jù)語義完整性影響、數(shù)據(jù)分布頻率影響、約束和限制等，以支撐脫敏工具的使用者在選擇脫敏方式時(shí)做出正確的選擇；f）應(yīng)固化常用的敏感數(shù)據(jù)脫敏規(guī)則，例如身份證號(hào)、手機(jī)號(hào)等的常用脫敏規(guī)則，避免數(shù)據(jù)脫敏項(xiàng)目實(shí)施過程中重復(fù)定義數(shù)據(jù)脫敏規(guī)則。5.7執(zhí)行脫敏操作根據(jù)已定義的數(shù)據(jù)脫敏規(guī)則、數(shù)據(jù)脫敏工作的流程和數(shù)據(jù)脫敏工具的運(yùn)維管理制度，在實(shí)際業(yè)務(wù)運(yùn)營(yíng)過程中執(zhí)行數(shù)據(jù)脫敏，可包括條數(shù)據(jù)脫敏和塊數(shù)據(jù)脫敏。條數(shù)據(jù)脫敏是對(duì)單條數(shù)據(jù)根據(jù)脫敏規(guī)則實(shí)施6DB5120/T19.5—2023脫敏，塊數(shù)據(jù)脫敏是對(duì)聚合數(shù)據(jù)實(shí)施脫敏。在日常的脫敏工作中，監(jiān)控分析數(shù)據(jù)脫敏過程的穩(wěn)定性、以及對(duì)業(yè)務(wù)的影響性，同時(shí)對(duì)脫敏工作開展定期的安全審計(jì)，已發(fā)現(xiàn)脫敏工作中存在的安全風(fēng)險(xiǎn)。在該過程中，可關(guān)注以下事項(xiàng)：a）支持從數(shù)據(jù)源克隆數(shù)據(jù)到新環(huán)境（例如從生產(chǎn)環(huán)境、備份庫克隆數(shù)據(jù)到新環(huán)境），并在新環(huán)境中進(jìn)行脫敏過程的執(zhí)行；也支持在數(shù)據(jù)源端直接進(jìn)行脫敏；b）對(duì)脫敏任務(wù)的管理，可考慮采用自動(dòng)化管理的方式提升任務(wù)管理效率，例如定時(shí)、條件設(shè)置的方式觸發(fā)脫敏任務(wù)的執(zhí)行；c）執(zhí)行對(duì)脫敏任務(wù)的運(yùn)行監(jiān)控，關(guān)注任務(wù)執(zhí)行的穩(wěn)定性、以及脫敏任務(wù)對(duì)業(yè)務(wù)的影響；d）設(shè)置專人定期對(duì)數(shù)據(jù)脫敏的相關(guān)日志記錄進(jìn)行安全審計(jì)，審計(jì)應(yīng)重點(diǎn)關(guān)注高權(quán)限賬號(hào)的操作日志和脫敏工作的記錄日志；發(fā)布審計(jì)報(bào)告，并跟進(jìn)審計(jì)中發(fā)現(xiàn)的例外和異常。5.8評(píng)估脫敏效果通過收集、整理數(shù)據(jù)脫敏工作執(zhí)行的數(shù)據(jù)，例如相關(guān)監(jiān)控?cái)?shù)據(jù)、審計(jì)數(shù)據(jù)，對(duì)數(shù)據(jù)脫敏的前期工作開展情況進(jìn)行反饋，從而優(yōu)化相關(guān)規(guī)程、明確數(shù)據(jù)脫敏過程中應(yīng)關(guān)注的事項(xiàng)。在該過程中，可關(guān)注以下事項(xiàng)：a）評(píng)估脫敏后數(shù)據(jù)對(duì)應(yīng)用系統(tǒng)的功能、性能的影響，從而明確對(duì)整體業(yè)務(wù)服務(wù)水平的影響；測(cè)試負(fù)載應(yīng)盡量保證與生產(chǎn)環(huán)境一致，應(yīng)盡量提供從生產(chǎn)環(huán)境克隆數(shù)據(jù)訪問負(fù)載到脫敏系統(tǒng)進(jìn)行回放測(cè)試的功能；b）根據(jù)組織業(yè)務(wù)發(fā)展的情況和脫敏工作執(zhí)行的反饋，優(yōu)化數(shù)據(jù)脫敏工作開展的規(guī)程，旨在全組織機(jī)構(gòu)范圍內(nèi)增強(qiáng)數(shù)據(jù)安全能力并滿足合規(guī)要求。6常用脫敏方法6.1泛化泛化是指在保留原始數(shù)據(jù)局部特征的前提下使用一般值替代原始數(shù)據(jù)，泛化后的數(shù)據(jù)具有不可逆性，具體的技術(shù)方法包括但不限于：a）數(shù)據(jù)截?cái)啵褐苯由釛墭I(yè)務(wù)不需要的信息，僅保留部分關(guān)鍵信息，例如將手機(jī)號(hào)斷為135。b）日期偏移取整：按照一定粒度對(duì)時(shí)間進(jìn)行向上或向下偏移取整，可在保證時(shí)間數(shù)據(jù)一定分布特征的情況下隱藏原始時(shí)間，例如將時(shí)間2015010101:01:09按照5秒鐘粒度向下取整得到20150101c）規(guī)整：將數(shù)據(jù)按照大小規(guī)整到預(yù)定義的多個(gè)檔位，例如將客戶資產(chǎn)按照規(guī)模分為高、中、低三個(gè)級(jí)別，將客戶資產(chǎn)數(shù)據(jù)用這三個(gè)級(jí)別代替。6.2抑制抑