JT∕T 1480-2023 交通运输数据脱敏指南

中华人民共和国交通运输行业标准JT/T1480—2023交通运输数据脱敏指南中华人民共和国交通运输部发布标准分享吧http://www.bzfxbJT/T1480—2023前言 2规范性引用文件 3术语和定义 5数据脱敏流程 6数据脱敏管理措施 附录A（资料性）常用敏感数据脱敏技术 附录B（资料性）常用敏感数据脱敏方法 附录C（资料性）常用敏感数据脱敏技术特性 参考文献 Ⅰ标准分享吧http://www.bzfxbJT/T1480—2023起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位：交通运输部科学研究院、山东高速集团有限公司创新研究院、浙江智贝信息科技有限公司、贵州银智科技发展有限公司。Ⅱ标准分享吧http://www.bzfxbJT/T1480—2023交通运输数据脱敏指南本文件提供了交通运输数据脱敏的指导和建议，并给出了交通运输数据脱敏的总则、流程和管理措施。本文件适用于交通运输数据脱敏工作的规划、实施和管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35273信息安全技术个人信息安全规范GB/T37964信息安全技术个人信息去标识化指南3术语和定义GB/T35273、GB/T37964界定的以及下列术语和定义适用于本文件。一旦泄露、非法提供或滥用就有可能会对个人、单位、企业、行业各部门甚至国家安全产生危害的信息。3.2记录了或可能被挖掘出敏感信息的数据。3.3数据脱敏datamasking通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。3.4反脱敏de⁃masking对脱敏后的数据进行挖掘、比对、分析，重新获取原始敏感数据的一种数据还原方法。4总则职责过程中直接或通过第三方依法采集、产生、获取的，以电子或者其他方式记录的各类信息进行脱敏处理。1标准分享吧http://www.bzfxbJT/T1480—2023数据脱敏宜从数据源头对敏感信息进行处理，避免敏感数据在不可控的网络空间中流转时被泄露。根据数据使用的业务场景，宜选择适当的脱敏技术和规则策略，使脱敏数据的反脱敏风险在可控范围内，且不会随着新数据发布或数据使用方之间潜在的关联关系而增加。在反脱敏风险可控前提下，宜根据业务场景和数据特性选择合适的脱敏技术和参数，保障脱敏数据仍然满足最终的应用要求。所使用的数据脱敏技术工具宜优先采用通过具备资格的机构安全认证合格或者安全检测符合要求（例如计算机信息系统安全专用产品销售许可证）的工具，保证脱敏工具不引入新的安全风险。经过脱敏后的数据仍需控制知悉范围，防止数据外泄，避免因扩散范围过广导致多源关联交叉比对分析的风险增加。宜通过制度建设和组织建设对脱敏各个阶段进行有效管理。数据脱敏的各个阶段宜通过安全审计机制记录数据处理过程，形成完整数据处理记录，用于后续问题排查分析和安全事件的取证溯源。数据脱敏的过程宜通过适当的脱敏算法和脱敏策略自动化实现，提高脱敏效率。数据脱敏时需保证对相同的原始数据，在输入条件一致的前提下，多次脱敏的结果是一致的。数据脱敏时宜尽可能保持原始数据特征，保障脱敏后的数据可用，最大限度减少使用脱敏数据对业务的影响。5数据脱敏流程脱敏工作的流程一般包括识别敏感数据、确定脱敏需求、确定脱敏技术和参数、制定脱敏2标准分享吧http://www.bzfxb3JT/T1480—2023图1数据脱敏一般流程5.2.1数据脱敏工作宜首先对敏感数据进行识别和定义，明确需要脱敏的数据范围。可能包括敏感a)识别方式：通过但不限于数据表名称、字段接匹配或正则表达式匹配等方式进行数据识别；b)识别工具：尽量利用自动化工具进行数据识别，识别工具能根据业务需要自定义敏感数据的识别方式，降低对业务系统产生的影响；c)存储类型：支持主流的数据库系统、数据仓库系统、文件系统，同时支持云计算环境下的主流新型存储系统；d)数据关联关系：明确敏感数据结构化或非结构化的数据表现形态，同时分析和建立完整的数据敏感位置和关系库，充分考虑到数据脱敏后对原数据业务特性的继承，保持原数据间的关联关系。5.2.3在识别敏感数据后，宜对敏感数据进行标识，包括标识敏感数据的位置、敏感数据的格式等信息，以便后续对敏感数据的访问、传输和处理进行跟踪和监督。在标识敏感数据时，宜重点关注：a)标识时机：在数据采集阶段对敏感数据进行标识，以便于在整个数据生命周期各个阶段对敏感数据进行有效管理；b)标识类型：支持静态数据的敏感标识及动态流数据的敏感标识；c)标识特性：敏感数据的标识具有便捷性和安全性，确保标识信息能够随敏感数据一起流动，同时确保敏感数据标识信息不容易被恶意攻击者删除和篡改。5.3.1评估敏感数据相关业务系统和用户的所需权限，创建相关资源，宜在数据脱敏生产系统中进行连接配置，保持数据源的可用性。5.3.2对已识别出的敏感数据执行生命周期流程的梳理，明确在生命周期各阶段用户对数据的访问需求和当前的权限设置情况，分析整理出存在敏感数据脱敏需求的业务场景。5.4确定脱敏技术和参数5.4.1针对每一个脱敏需求宜确定是进行静态脱敏还是动态脱敏，其中：a)静态脱敏：针对持久化存储数据的脱敏，脱敏后的数据将以文件、库、表等形式存储于磁盘上，一般用于生产环境数据向非生产环境、数据交换方提供时使用；b)动态脱敏：访问数据过程中的实时脱敏，脱敏后数据一般直接应用于业务系统或数据管理运和参数。相关联的敏感数据宜采用统一的脱敏技术和参数，常用敏感数据脱敏技术见附录A。4JT/T1480—2023敏函数分级、脱敏函数配置、脱敏函数规则指定、脱敏流程控制等相关信息进行配置。a)选择已内置固化常用敏感数据脱敏方法的数据脱敏工具，避免数据脱敏实施过程中重复定义数据脱敏方法；注：常用敏感数据脱敏方法见附录B,常用敏感数据脱敏技术特性见附录C。b)选择提供扩展机制的数据脱敏工具，根据需求自定义脱敏方法；c)选择提供脱敏方法详细说明的脱敏工具，说明内容包括但不限于各类脱敏方法的实现原理、数据引用完整性影响、数据语义完整性影响、数据分布频率影响、约束限制等。根据脱敏需求和相关技术参数，制定脱敏计划。针对每一个脱敏需求，脱敏计划内容宜包括但不a)责任人员：指定参与脱敏工作的所有人员，人员角色定义和工作责任宜参考6.2;b)脱敏技术参数：记录待使用的脱敏技术和参数、相关配置信息、技术工具等，相关人员按照记c)脱敏执行时间和周期：确定脱敏执行开始时间和执行频率；d)脱敏结果校验方案：预估待脱敏的数据总量、增量和预期脱敏结果，确定脱敏结果正确性、完整性校验方法及校验工具；e)脱敏应急方案：明确脱敏过程中可能产生的问题、原因、解决方案和响应根据已制定的脱敏计划实施数据脱敏，宜包括但不限于：a)配置脱敏任务：根据脱敏计划，对脱敏工具、脱敏程序等进行相应参数配置，包括但不限于脱敏技术参数、脱敏执行时间和周期等。b)实施脱敏任务：通过工具自动调度执行、手工触发配置执行、操作系统定时调度任务等方式执行已配置好的脱敏任务，实现数据脱敏。在执行过程中，根据执行状况、错误信息等，按照预c)验证脱敏结果：脱敏任务实施后，对获得的脱敏结果数据开展结果校验，保障数据脱敏结果满足脱敏需求。宜通过收集、整理数据脱敏工作执行相关监控、审计等数据，对数据脱敏的前期工作开展情况进行反馈，评估脱敏效果和优化相关流程配置等。监控审计宜贯穿于数据脱敏全过程。数据脱敏组织机构宜设置相应专业人员（如审计管理员）进行安全审计，建立全流程监控审计机制。数据脱敏工具宜支持配置审计报告，根据各业务系统的审计内容与需求，提供对指定用户、指定时间段、指定应用系统进行相关操作的审计报告，同时能支持定制报告以及审计报告的下载等。5JT/T1480—20236数据脱敏管理措施数据管理机构在制定数据脱敏制度时，宜注意下列要点：a)明确敏感数据管理和使用部门，并明确各自的安全责任和义务。b)根据安全合规需求，建立敏感数据的分类分级规范，并明确各级各类数据的安全管控方式。c)建立数据脱敏的工作流程、脱敏工具的运维管理制度，并定期对相关流程制度进行评审和修订。d)数据脱敏制度建立后，定期对数据脱敏工作的相关方，包括但不限于数据管理方、数据使用方、脱敏工具运维方等开展针对相关制度的培训工作。对脱敏工具运维服务机构开展机构及人员背景调查，签署保密服务协议，加强第三方合作服务行为监督，定期评估运维服务机构安全保密、技术防护和应急处置能力，避免因第三方服务或人员引发的安全风险。e)制定完备的敏感数据使用审批流程。数据管理机构宜设置数据脱敏管理小组，包括专门的脱敏操作员、安全管理员和审计管理员，主要工作如下：a)脱敏操作员：具体执行整个数据脱敏工作；定期向安全管理员和审计管理员汇报数据脱敏执行情况。b)安全管理员：制定脱敏系统的安全策略，进行日常安全检查和权限管理；制定并部署脱敏系统账户密码安全规则，以及数据库和敏感数据的脱敏控制策略；制定数据脱敏工作的范围和日程；管理具体的脱敏过程；负责脱敏系统内部的规则配置，但无法看到具体的审计信息；为相关人员提供脱敏培训。c)审计管理员：对脱敏操作员、安全管理员的操作行为进行审计、跟成安全审计报告，对审计信息进行报表归总和分析，及时发现违规行为和异常行为；进行数据库日志和脱敏系统日志分析、安全事件的分析和取证；对数据库安全策略、账户权限以及关键参数设置等进行审核和监督，定期检查操作记录；分析审计结果，提出对数据脱敏管理工作的改进意见，并向主管领导汇报审计结果及建议。6JT/T1480—2023附录A常用敏感数据脱敏技术常用敏感数据脱敏技术包括但不限于：假名化技术、抑制技术、泛化技术、扰乱技术、加密技术等。脱敏技术需考虑下列两个条件：a)不影响当前开发、测试环境的正常使用，即满足脱敏数据的可用性和一致性校验；b)脱敏技术宜避免数据被反脱敏。A.2假名化技术固定映射是指对一串数据设置映射规则，在映射规则不变的情况下，相同原数据脱敏后结果相同。映射规则宜设置为同类数据之间的映射，从而保留原始业务特征。示例：哈希映射是指将任意长度的二进制值通过规则映射为固定长度的二进制串。固定长度的二进制字全哈希算法一般要求不能通过哈希值反向推导出原始数据，哈希冲突概率小。哈希冲突是指不同原始数据，通过哈希算法映射到同一哈希值。符串也称为哈希值，映射规则称为哈希算法。常用的安全哈希算法有SM全哈希算法一般要求不能通过哈希值反向推导出原始数据，哈希冲突概率小。哈希冲突是指不同原始数据，通过哈希算法映射到同一哈希值。A.3抑制技术抑制技术的典型手段是屏蔽。屏蔽是指通过设置屏蔽符，对原数据全部或部分进行屏蔽处理。示例：通过设定屏蔽符∗,对原数过屏蔽算法脱敏后脱敏结果为135∗∗∗∗5678。A.4泛化技术截取是指保留数据从起始位置至结束位置的内容。示例：截断是指保留数据除起始位置至结束位置以外的内容。示例：取整是指对属性值进行向上或向下取整，至最接近取整基数的倍数。向上或向下取整取决于属性7JT/T1480—2023值与取整基数倍数之间的接近程度，可在保持属性具有一定分布特征的情况下隐藏原始属性。规整是指将数据按照大小规整到预定义的多个档位。将客户资产按照规模分为高、中、低三个级别，将客户资产数据用这三个级别代替。重排是指将原始数据按照特定的规则进行重新排列。示例：均化是指针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下，改变数值的原始值。散列是指对原始数据取散列值，使用散列值来代替原始数据。随机映射是指采用了一定程度的随机性作为其逻辑的一部分，对数值、字符或字符串进行随机，并保留原业务特征。示例：将生日19841222通过随机映射脱敏为19900211,脱敏后依然保留了生日的数据特征。范围内随机是指在一个指定的范围内进行随机映射，并保留原业务特征，主要使用在对日期或金额类数据脱敏。示例：浮动是指对日期或金额类型数据，设置上浮或下降固定值或百分比，并保留原业务特征。示例：8JT/T1480—2023对字符串类型，使用置空算法后脱敏结果为NULL。保格式加密是指使用加密算法对原始数据进行加密后，密文与明文格式相同。示例：编号12345加密后结果为76548,保留了数据原有长度和数据类型。保序加密是指用保序加密值替代目标脱敏数据，密文的排序与明文的排序相同。同态加密是指采用同态加密用加密值替代目标脱敏字段。该技术支持对加密数据进行处理，但是处理过程不会泄露任何原始内容。同时，拥有密钥的用户对处理过的数据进行解密后，得到的正好是处理前的结果。９—常用敏感数据脱敏方法常用敏感数据脱敏方法见表。表常用敏感数据脱敏方法敏感数据参考脱敏算法脱敏效果示例姓名两个字或三个字的至少１个字用∗代替，大于三个字的至少２个字用∗代替，保留姓氏。例如，张三脱敏后为张∗，李二宝脱敏后为李∗∗，欧阳正华脱敏后为欧阳∗∗公民身份号码脱敏后为∗∗∗∗∗∗∗∗驾驶证号脱敏后为∗∗∗∗∗∗∗∗电话号码脱敏后为∗∗∗∗∗护照号末４位用∗代替。例如脱敏后为∗∗∗∗军官证编号保留最后３位，其余用∗代替。例如空字第脱敏后为空字第∗∗∗∗∗永久居住证地址使用截取，仅返回一部分可用数据。例如重庆市万州区雨航街１幢室脱敏后为重庆市万州区银行卡号脱敏后为∗∗∗∗∗∗∗∗∗∗∗∗行踪轨迹直接删除或将其置为值精准定位信息直接删除或将其置为值未公开的违法犯罪记录直接删除或将其置为值婚史直接删除或将其置为值电子邮箱３位，其余用∗代替。例如脱敏后为∗∗脱敏后为∗∗∗∗∗∗∗∗网络账号全部用∗代替。例如脱敏后为∗∗∗∗网络密码或口令全部用∗代替。例如脱敏后为∗∗∗∗∗∗∗∗网络安全管理策略加密处理项目合同金额全部用∗代替。例如金额万脱敏后为金额：∗∗万JT/T1480—2023敏感数据参考脱敏算法脱敏效果示例车牌号保留地区编码和流水号最后2位，其余用∗代替。例如川AN87577脱敏后为川AN∗∗∗77车辆识别码(VIN)保留最后6位，其余用∗代替。例如LYAFR7103BC722222脱敏后为∗∗∗∗∗∗∗∗∗∗∗722222道路运输证号第7~10位用∗代替。例如371526324639脱敏后为371526∗∗∗∗39船舶识别号保留前3位和后4位，其余用∗代替。例如CN20091622307脱敏后为CN2∗∗∗∗∗∗2307水上移动通信业务识别码(MMSI)保留前3位和后3位，其余用∗代替。例如413526810,脱敏后为413∗∗∗810船舶编号保留前2位和后2位，其余用∗代替。例如B9306160,脱敏后为B9∗∗∗∗60国际海事组织(IMO)编号保留前2位和后2位，其余用∗代替。例如9306160,脱敏后为93∗∗∗60船舶呼号保留第1位和最后1位，其余用∗代替。例如A8KM8,脱敏后为A∗∗∗8名称使用限制返回，仅返回一部分可用数据。例如香港阿联酋船务（中国）有限公司，脱敏后为香港∗∗∗∗∗∗有限公司水路运输服务许可证号保留前4位和后3位，其余用∗代替。例如苏水CG0700016脱敏后为苏水CG∗∗∗∗016港口经营许可证号括号中的数字编码保留后两位，其余用∗代替。例如（苏泰兴）港经证(02047)号脱敏后为（苏泰兴）港经证(∗∗∗水路运输许可证号保留前4位和后3位，其余用∗代替。例如苏水SJ0100069脱敏后为苏水SJ∗∗∗∗069证书流水号保留前2位和后2位，其余用∗代替。例如ZKL03171脱敏后为ZK∗∗∗∗71行政处罚案件案号保留前4位和后5位，其余用∗代替。例如苏海事罚字∗∗∗∗∗060⁃1⁃12018060703000060⁃1⁃1脱敏后为苏海事罚字2018∗∗∗∗∗060⁃1⁃1客票售票票价脱敏后为中船舶预计进/离港时间按照一定粒度对时间进行偏移取整。例如2017/8/2517:船舶载客人数按照一定规律对数据进行均化，保证数据集总值与原来相同。例如载客312人与载客288人，均化后都为载客300人船舶货物数量按照一定规律