可信数据服务 多方数据融合挖掘技术要求

1可信数据服务多方数据融合挖掘技术要求本文件规范了数据提供方、融合挖掘方、平台提供方和结果方等参与方在开展跨主体的数据融合和挖掘过程中的安全技术要求，包括数据流入、数据融合、数据挖掘和数据流出四大环节的安全技术要求。本文件适用于网络运营者规范数据融合与挖掘活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件信息安全技术个人信息安全规范信息安全技术个人信息去标识化指南数据中心设计规范3术语和定义下列术语和定义适用于本文件。网络的所有者、管理者和网络服务提供者。两个或两个以上的不同法律主体个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。[来源：GB/T25069-2个人信息主体personalinformationsubject个人信息所标识或者关联的自然人。去标识化de-identification通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。数据挖掘datamining在对原始数据进行包括去标识化等处理的基础上，对数据进行加工、分析、建模、聚合等处理。挖据数据背后隐藏的价值，以用于分析、决策、预测等应用场景。数据提供方dataprovider为数据融合挖掘提供经处理后的输入数据的主体。融合挖掘方dataminer为数据融合挖掘提供数据融合、数据挖掘等技术工具或服务的主体。平台提供方platformprovider为数据融合挖掘提供平台的主体。使用融合挖掘平台最终输出结果数据的主体下列缩略语适用于本文件。应用编程接口(ApplicationProgramming分布式拒绝服务攻击(DistributedDenial多方教据肆合挖掘存证3)数据提供方应对其他输入的个人数据进行去标识化操作，去标识化应遵循GB/T37964-2019约定的原则和相关技术标准。b)数据提供方应对输入的用户数据进行去标识化操作，包括采用假名、加密、统计、抑制、泛化、随机化、数据合成、哈希函数等技术手段对个人信息进行处理，去标识化应遵循GB/T37964-2019约定的原则和相关技术标准。具体的去标识化处理还需要满足以下要求：1)应采用假名、加密、统计、抑制、泛化、随机化、数据合成、哈希函数等技术手段对个人信息进行处理，应确保去标识化后的数据具有可用性；2)去标识化后的数据应具有有效性，确保敏感信息已被消除，无法通过脱敏后的数据推断、重建、还原。数据提供方应确保在采用所有合理范围内可能使用的重识别方法时，去标识化后的数据在不结合额外信息的情况下无法重标识到个人：3)去标识化后的数据应具有可重现性，即相同原始数据在配置相同脱敏算法和参数后，具有一致性。随机类算法无需具有可重现性，但须保证算法的随机性；4)去标识化后的数据应具有关联性，即对于结构化和非结构化数据，在对存在数据表关联关系的字段进行脱敏后，关联关系不会被破坏；5)去标识化后的数据应具有可配置性，能够针对不同的数据级别、安全性要求或业务需求提供相应的脱敏处理配置：6)去标识化后的数据应具有稳定性，确保脱敏后的数据保持频率分布等总体统计特征不变。c)数据流入前数据提供方应确保数据的合规性。参与方应制定数据流入的安全审核流程，对数据源、使用需求等进行审核，以确保数据融合挖掘的正当性与合法性；d)平台提供方应对可能识别到个人的敏感数据进行脱敏，包括非敏感数据中能够用于重新生成敏感数据或者回溯到敏感数据的部分。脱敏方式的选取宜充分结合业务需要、数据共享场景和安全风险评估结果，选择被碰撞或猜解凤险较低的脱敏技术。脱敏技术包括但不限于泛化、干扰等数据脱敏技术；数据抽样技术；字符子链屏蔽等模糊化处理技术：屏蔽、局部抑制、记录抑制等抑制技术：噪声添加、置换、微聚集等随机化技术：e)平台提供方应确保数据生产系统或装置可以在数据流入后对数据质量进行审计，保证可审计数据的一致性和完整性；f)平台提供方宜支持动态主动识别数据流入过程中的敏感数据，具体职责包括但不限于1)平台提供方宜内置敏感数据识别规则，能够对数据集的字段进行敏感属性识别；2)平台提供方宜支持自定义敏感数据的识别规则，通过自定义敏感数据的类型，满足用户个性化的数据保护需求3)平台提供方宜具有智能数据分类分级的功能，利用语义近似度分析、规则分析、词典分析等技术将获取到的数据按照内容与含义分成类型模型，使用机器学习技术优化聚类与分类的准确性与识别效率，建立动态、有针对性的敏感数据规则与分类模型：4)平台提供方宜支持按电信、工业和金融等行业数据的特性和行业需求，自定义数据的分5)平台提供方宜建立字段级教感数据的评估和审核机制，包括但不限于创建、评估、结果审核、重评估、人工修正等；6)平台提供方宜构建敏感数据的全景式分布视图，展示平台中敏感数据所在的数据库、数据表、具体字段及数量等信息。g)平台提供方应对数据提供方的接入进行身份认证。采用限制IP地址、端口号等技术防止第三方的恶意接入，确保仅有经过授权的主体有权限接入系统中。对于可信任的数据提供方，平5台方可设置单独的安全区域进行互联；对不可信任的数据提供方，应在接入前依照行业监管部门的安全防护规范进行安全检测，通过后才可进行数据流入；h)平台提供方应确保去标识化后可用于恢复识别个人的相关信息与去标识化后信息分开存储，使用权限进行分别管理；1)平台提供方应在数据流入环节确保安全存储，具体职责包括但不限于：1)应保证数据的逻辑隔离和权限隔离，对具有高度敏感性的数据宜采用物理隔离的方式；2)不同数据提供方的数据在融合前需要隔离存储3)对有时限的数据需要保留数据过期元信息，并妥善隔离保存：4)不应因存储形式和存储时效的改变而降低安全保护强度：5)应根据数据的安全级别、重要性、量级、使用频率等因素，将数据分级存储，对于有明确分级要求的数据需要按照对应的数据分级要求进行存储；6)对于备份数据其存储期限应和数据过期期限相同；7)数据备份存放环境和物理设施应按照GB50174-2017的要求执行安全保护；宜支持数据指纹校验防止数据泄露。j参与方应在数据流入前对数据使用的目的、方式、范围、频率、权限、存储的有效期、过期数据的处理策略等进行约定，平台提供方应根据约定对数据的流入和使用进行管控。融合挖掘方应向数据提供方告知数据的去向、用途、使用期限和销毁策略等事项：k)参与方需要对脱敏处理后的数据集进行评价，以确保其满足关于消除敏感性、过程可控、成本可控和业务需要的脱敏要求，防止数据流入过程中的数据泄露6.2数据融合相关要求包括：a)平台提供方应对原始数据、过程数据及结果数据进行分层存储，保障原始数据与结果数据之间的独立性：宜根据流入数据的格式、频率和方式，设计多态融合的存储方式，并根据不同存储方式之间的流动设置安全措施；b)平台提供方应依照最小授权原则，在数据融合存储中实现对人员和应用程序的访问权限控制；c)平台提供方宜具备对数据融合存储非法访问的识别与实时阻断能力，应确保隔离区内的数据只有通过指定的访问管控入口才可流入流出，防止绕过管控读写数据；d)平台提供方应对数据融合过程的访问和操作进行记录，并形成审计日志，对访问和操作进行记录、风险监测与分析，对识别出的风险及时告警；平台宜采用防算改技术等对审计日志进行存证，实现对过程的溯源：e)平台提供方应采用脱敏处理后的数据进行融合。确保每个数据提供方在数据融合过程中无法获取或推知其他数据提供方的任何敏感数据：f)平台提供方宜具备对过程数据进行识别检测的功能，在发现疑似敏感数据时进行风险提示；g)平台提供方应监测融合前数据的流入路径、原始类别及安全级别，并在发生改变且导致相同或不同级别的数据融合时，参与方应协商对融合后的数据重新进行分类、定级，汇聚后数据级别一般不低于所汇聚的原始数据的最高级别相关要求包括a)平台提供方应确保模型的数据安全，确保每个参与方在数据挖掘过程中无法获取或推知具体个人的隐私数据，确保攻击者无法推导出数据提供方的信息；b)模型应具有鲁棒性以抵御恶意攻击，恶意攻击包括但不限于对抗样本、数据投毒和后门攻击；c)平台提供方应保障过程数据的隐私性，确保融合挖掘过程数据仅可被结果方获取，且过程数据未超出约定的范围；d)平台提供方应具备对过程数据和模型的篡改监测和处置能力。平台提供方宜根据数量、安全性和可用性进行监测，并对监测到的算改行为实施应急处置；e)平台提供方应实现对数据挖掘过程中的融合挖掘算法进行鉴权，防止对过程数据的越权访问：f)平台提供方应对数据融合及数据挖掘过程中的输入数据用法用量、模型参数信息以及结果输出数据进行记录。平台提供方应保存任务进行时的日志信息，用于识别数据及模型投毒攻击、排查系统错误和审计等用途；g)平台提供方不宜存储模型数据、过程数据或结果数据；h)数据挖掘过程中平台提供方应具备能够有效抵御数据泄露攻击的能力，并根据泄露的数据量、差异程度和泄露影响等因素对泄露攻击的严重程度进行评估；i)当数据融合挖掘产生的结果与业务决策强绑定且需实时反馈给结果方时，融合挖掘方应在线完成决策，并将决策结果返回给结果方后立即删除决策结果：j)各参与方应遵循最小化原则存储过程数据，在保证可追溯性的前提下，应在数据融合挖掘完成后采用覆写法等方式删除非必要的过程数据。相关要求包括；a)平台提供方宜对输出结果进行分类分级，并基于分类分级的结果在数据流出对数据安全进行风险评估，判断是否可能包含敏感数据。平台提供方应将凤险判定结果告知结果方，并对结果进行权限控制，防止结果被非授权方访问b)平台提供方应对流出数据的摘要等数据、数据流出行为、操作主体和接收流出数据的主体等进行存证，以确保对数据流出具有追测能力。存证数据本身需要进行脱敏、加密等处理，对存证数据约定的存储时限应符合法律法规的要求；c)平台提供方应具备对数据的一致性、完整性、及时性和可用性等数据质量进行确认的能力，确认数据质量满足结果方需求，并确认输出结果符合参与方的约定；d)平台提供方应具备对数据流出的操作进行审计和对异常操作进行告警的能力。其中操作审计的内容包括但不限于数据流出的操作流程，操作范围、操作结果等：对数据使用范围的审计包括用户隐私、敏感数据、重要标识等内容。所有审计记录应被独立存储，严禁在任何情况下对审计结果进行修改和删除：e)平台提供方应具备对输出结果的评价能力，支持标准AP1定义的模型效果指标、特征相关性和重要性指标等输出结果；1)平台提供方应支持不同类型的数据输出方式，包括但不限于文件、数据库，API等；g)平台提供方应支持在数据流出后删除原始数据、过程数据和结果数据，平台提供方应根据数据分类分级结果建立相应的数据销毁机制。对数据流出后的原始数据的目录、文件、数据库记录等资源所在的存储空间进行释放，或在重新分配给其他用户前进行完全清除。数据删除的操作行为应具有可追溯性h)平台提供方宜具备结果方的流量控制机制，防止访问过载：i)在多方数据融合的挖据结果包含群体数据或多个个体数据的情况下，在保障数据可用的情况下，宜采用差分隐私等隐私保护技术，确保流出的数据无法通过差分攻击等方法被推断出未经授权的个人隐私数据；0参与方应对结果数据的有效期进行约定，平台提供方应具备根据约定设置有效期、对超期的结果数据及时删除的功能。参与方可对结果方从平台获取的数据的使用期限进行约定。6.5基础安全要求相关要求包括：a)数据提供方和平台提供方应确保流入、流出数据的质量符合参与方协议的要求：b)平台提供方应具备接收数据访问权限申请、对权限进行授权和管理的功能，确保流入数据在数据提供方授权后方可被访问，过程数据和结果数据的访问权限须符合参与方约定；c)平台提供方应具备对参与方的身份认证功能，具体功能包括但不限于：1)平台提供方应对参与方的系统接入进行身份认证，确保只允许通过认证的主体接入系统；2)宜采用两种或两种以上组合的认证方式实现用户的身份认证。d)平台提供方应对参与方进行身份鉴别和权限控制，具体职责包括但不限于：2)身份鉴别信息应具有复杂度要求并定期更换：3)平台提供方应配置登录失败处理功能，在多次登录失败后应采取必要的保护措施；4)平台提供方应使用密码技术对鉴别数据进行保密性和完整性保护；5)平台应强制结果方在首次登录时修改初始口令，当结果方身份鉴别信息丢失或失效时平台提供方应采用技术措施确保鉴别信息重置过程的安全；6)平台应在任务启动前对，并在结果方每次接收结果前对其用户权限进行校验；7)平台应重命名或删除默认账户，修改默认账户的默认登录口令。e)平台提供方应保障数据传输的安全性，具体职责包括但不限于：1)各参与方之间进行网络通信时应采用加密传输等方式建立安全通道，宜采用VPN或者专线等传输方式以确保传输通道的安全性：安全传输协议包括但不限于SSL,TLS,HTTPS等；平台提供方应确保数据传输通道具有防攻击的能力，具体方式包括但不限于入侵检测、DDoS等安全技术：2)平台提供方宜确保传输数据的不可慕改性和敏感数据的加密，具体方式包括但不限于数据加密、数字签名、时间戳、区块链等；应支持数据的可逆加密和不可逆加密，其中可逆加密支持对称加密(常见加密算法包括DES、AES、RC系列、SM4等)和非对称加密(常见算法包括RSA、DSA、EOC和SM2等):加密算法应具有一定的强度，确保原始数据和模型参数不能被篡改或泄露，并且确保当攻击者捕捉到传输数据时不能进行推导或还原3)平台提供方应配合参与方或第三方对数据传输进行必要的安全测试，测试内容包括但不限于渗透测试、库漏洞查找等，平台方应定期检查评估传输的安全可靠性；1)平台提供方应具备数据泄露的抵御、监测、评估与处置能力；应根据泄露的数据量、泄露比例、与原始数据的差异与敏感信息被推断出的可能性等因素对泄露的影响进行评估。平台提供方应确保泄露影响低于参与方的可接受水平；g)平台提供方应确保能识别数据被慕改的情形，当识别到被算改的数据时，应对数据进行标记，暂停该数据参与相关处理和计算。平台提供方应及时将该情况通知参与方，并对数据被算改的原因进行排查：8h)平台提供方应支持用户密钥安全管理，确保密钥的安全，对密钥的生成、分发、验证、更新、存储、备份、有效期、销毁进行管理；i)平台提供方应支持对数据操作的全流程进行记录和溯源，确保数据的可审计与可追溯；0平台提供方须预置数据操作先确认再执行的功能，所有数据操作均须经由参与方确认后方可执行；k)平台提供方应建立完善的审计机制，具体内容包括但不限于；1)平台提供方应对平台系统进行定期的审计，应支持参与方引入第三方对本次数据融合挖掘的过程和结果进行审计：2)平台提供方应建立自动化审计系统，监测记录数据融合挖掘的全流程：3)审计过程形成的记录能应对DDoS等事件的处置，并为应急响应和事后调查提供支撑；4)平台提供方应防止非授权访问、篡改或删除审计记录；5)审计内容包括但不限于登录、加解密、授权、操作数据、打印、内外网通信等过程；6)平台提供方应及时通知参与方审计过程中发现的异常情况，