重庆三峡银行数据脱敏漂白平台项目需求说明书

1、重庆三峡银行（数据脱敏漂白平台） 项目需求说明书一总则1.1. 项目背景“系统不宕机，信息不泄露”是监管对我行信息科技管理要求的底线，银监 会在信息科技风险管理指引、信息科技风险现场检查指南 等文件中对于城 市商业银行明确提出“加强数据、文档的安全管理，完善敏感信息存储和传输等 高风险环节的控制措施，对数据、文档的访问应建立严格的审批机制。 对用于测 试所使用的生产数据应完善审批并采取相关限制，进行脱敏、变形处理，防止敏感数据泄露。”我行在审计监管、系统开发测试，内外部培训等各种应用场景中均涉及包含 客户信息和账户信息等相关敏感数据的使用。 技术人员虽采用脚本等方法对敏感 数据进行了脱敏。但人

2、工脱敏的数据在其安全性，可用性以及系统之间的关联性 等方面难以满足各种场景数据使用的需求， 也无法完全满足监管对敏感信息安全 管理的要求。1.2. 项目建设目标通过构建统一的数据脱敏漂白平台，为审计监督、系统开发测试、培训等多 种应用场景提供脱敏漂白数据，保证数据的安全性以及不同系统数据之间的关联 性。建立客户信息安全保护机制，实现敏感隐私数据的有效保护。简化人工干预 数据处理的繁琐，降低出错的几率，满足我行数据管理要求。通过构建数据脱敏平台建立信息资产分类分级保护机制。 满足银监会对商业 银行敏感信息数据的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁” 的规定。二、需求说明2.1.

3、数据库兼容范围在舁 厅P分类项目是否支持1源及目标 数据库ORACLE必须2Informix必须3SQL SERVER必须4MySQL必须5DB2必须6Sybase必须2.2. 隐私数据识别原则上要为每个需要脱敏的数据类型提出算法要求， 系统规则库中除内置可 供用户选择的各种脱敏规则外，对于一些特殊的算法，应可根据用户需提出的具 体的实施算法配置。规则库应包含但不限于以下数据类型的通用脱敏规则：1）中文姓名2）证件号码含：身份证、军官证、港澳台通行证、驾驶证等3）手机电话号码4）通讯地址邮箱5）营业执照号（工商注册号）6）组织机构代码7）纳税人识别号8）邮政编码9）其他同数据类型不同内容混合证

4、件号码：对私证件号码与对公证件代码混合客户名称：对私姓名与对公名称混合2.3. 脱敏要求有效性要求：相对于原有数据，脱敏后数据敏感性必须全部去掉且数据不能 被反推回原始数据。真实性要求：相对于原有数据，脱敏后数据业务逻辑特征要尽可能保留；相 对于原有数据，脱敏后数据统计分布特征要尽可能保留。高效性要求：1.测试脱敏方法实施的时间开销情况。实施脱敏的时间及计算 资源占用越少越好。2.测试脱敏方法实施的空间开销情况。实施脱敏必须的存储 空间越少越好。稳定性要求：由于原始数据间存在关联性（如两张表中都有客户姓名数据， 并且业务要求两张表的客户姓名必须一致），如果对两张表分别脱敏后客户姓名 数据不一致

5、了，就会影响后期测试。这要求测试数据脱敏方法需要保证对相同的 原始数据，只要配置参数一定，无论脱敏多少次，结果数据是相同的。不仅须确 保表与表之间的关联关系，也必须保证支持跨数据源或异构数据源之间的表与表 之间的关联关系；支持自动同步关系型数数据库内部已存在的表外键关系。多样性要求：测试数据脱敏可能根据需求不同而生成不同脱敏结果的程度。这是从测试数据管理方的角度出发考虑， 一般情况，有配置参数的数据脱敏方法 都可以按照输入参数不同而产生不同的测试结果，从而使得测试数据管理方可以方便的按测试场景，测试环境等因素为不同的测试项目提供不同的脱敏后数据环 境，去除多个测试项目使用数据间的关联性，提高多

6、项目数据使用的安全性。2.4. 脱敏规则数据脱敏过程必须具备以下特点：可用性、数据关联关系、业务规则关系、数据分布、 易用性和可定制。 从而在针对不同系统进行数据脱敏时， 制定良好的脱敏方法， 因此为整个数据脱敏关键所在， 故要求常用的实施脱敏方法必须包含且不限于如下几种方式：1）随机查表替换：如统一将某字符替换为另一随机从中间表中找出的字符，对内部人员可以完全保持信息完整性。2） 洗牌混淆： 对全部原数据进行洗牌， 按照一定的顺序进行重排， 类似 “替换”例如序号12345 重排为 54321。3）唯一数据映射变换：对卡号，账号等唯一数据列，按其业务规则映射生成4）非唯一数据按业务规则随机生

7、成：对手机，固定电话，地址，邮件等非唯一数据列，按其业务规则随机生成。5）参数算数置换：对原数据（数字类型）按某种算数方法计算，参数为固定或随机参数，例如类似针对身份证号末尾校验位的计算。6）码值参数偏移 : 将原数据码值随机或按特定偏移算法及参数置为随机或特定新值。7）时间老化：对时间数据或具备时间属性的数据（身份证）等按固定值进行老化时间特征。8）字符串部分屏蔽：对字符串中部分字符用特定字符屏蔽。9）随机生成不定长字符串：可针对空字符或原字符串末端随机生成长度不一的字符串。2.5. 数据管理2.5.1. 支持数据装载支持将漂白好的伪数据直接写入目标数据库，要求包括但不限于：1）支持源环境和

8、目标环境数据库异构。2）支持全量和抽样装载。3）支持元数据的直接装载。4）支持数据源表结构自动备份功能。5）默认使用高速批量写入技术。2.5.2. 隐私数据扫描要求支持对元数据进行数据采样， 并对采样数据进行扫描， 并根据其内部算法对扫描的数据进行分析， 定位哪些表哪些字段为隐私数据， 属于哪种隐私数据，要求具体包括但不限于：1）扫描基于元数据内容，而非字段名。2）为保证数据扫描的准确性， 采样数据量至少在1000 条以上 （含 1000条） ，超出部分按一定数量间隔采样。3）支持对发现的隐私数据进行自动或手动进行分类。4）支持对混合数据的发现和分类（如对私姓名与对公名称混合，不能自动按脏数据

9、处理） 。2.5.3. 任务批次管理批次管理用于生成不同任务类型的批次号 （区别于上述用于表示版本号的数据批次号） ，通过建立任务批次号，一方面保证在没有修改脱敏规则的前提下，同一批次下脱敏出的数据结果保持不变，即保证了各数据表的一致性和关联关系； 而另一方面， 使脱敏工作中各阶段任务通过任务批次号完全独立开来， 互不 影响，从而缩减时间成本，使作业进度更加灵活可控。例如： 在单一需求申请下， 抽取任务进行的同时， 也可建立后续脱敏任务的任务批次号并设置好相关参数，这样在前一任务完成后系统将根据任务批次的顺序自动进入后续任务的实施中；而在多个需求申请下，在实施项目 A 的数据漂白任务时， 可同

10、时配置实施项目 B 的数据抽取任务， 并根据实际需要设置顺序作业或并行作业，从而真正达到资源的最大化利用。2.5.4. 多用户与权限管理要求平台须拥有完善的访问管理机制， 其中包括了用户管理、 各功能模块的使用和数据的访问权限。 系统默认通过角色对用户的权限进行控制， 缺省角色包括了系统管理员、审计用户、操作用户、数据审批用户、普通用户等。以此即可完成对各种用户角色的使用和访问控制。针对多用户多项目情况，具体涉及的主要需求为：1） 由普通用户提出测试数据使用的申请及具体脱敏漂白需求， 该角色一般 由各项目开发或测试项目经理担任。2） 数据审批用户对普通用户提出的测试数据使用申请进行审核， 该用

11、户一 般由各普通用户直属上一级领导担任。3） 操作用户对数据审批用户审核通过的数据使用申请进行再校验， 并根据 需求配置脱敏规则、源数据库、目标数据库。并在脱敏完成后，审核脱敏数据是 否符合要求并授权给数据申请者使用。4）系统管理员负责对用户权限分配5）审计用户负责对前台操作日志进行查阅。具体流程如下图2.5.5. 安全相关1 .必须提供完备的用户认证，授权加密等安全能力。2 .针对一体机类产品，杜绝外部设备对本地数据的直接访问和拷贝。3 .审计（前台对所有操作日志可查）4 .对涉及到的业务数据具有完备的保护机制，保证信息屏蔽有效，具备生产数据从抽取到销毁的完整流程，并明确各角色在流程中的安全责任， 最大化防范数据信息盗取和安全泄密事件的发生。三、非功能性需求1. 业务恢复时间目标（业务RTOA72小时、业务恢复点目标（业务RPO/72小 时；2. 漂白数据处理速率不低于 3000条/ 秒。3. 一体机设备数据存储容量不低于500G。4. 系统使用范围和用户数指标： 系统为基础支撑类平台且仅局限信息科技部内部使用。未来三年至五年的用户增长压力可忽略。其他4.1. 其他功能1）简单易用：要求基于图形用户界面，具备简洁明快，向导式的使用风格，内置大量的规则、算法和默认配置，让用户能根据指引“傻