DB52T 1126-2016 政府数据 数据脱敏工作指南

DB52DB52/T1126—2016政府数据数据脱敏工作指南GovernmentalDataWorkInstructionsforDataMasking2016-09-28发布2016-09-28实施贵州省质量技术监督局发布I 1 1 1 41政府数据数据脱敏工作指南本标准规定了政府数据的脱敏原则、脱敏方法和脱敏过程，可为数据脱敏工作的规划、实施和管理提供指导。本标准适用于政府结构化数据的脱敏工作，包括但不限于数据脱敏的提供商、用户、评测机构和监管机构。2术语和定义下列术语和定义适用于本文件。数据脱敏从原始环境向目标环境进行敏感数据交换的过程中，通过一定方法消除原始环境数据中的敏感信息，并保留目标环境业务所需的数据特征或内容的数据处理过程。3概述3.1数据脱敏原则数据脱敏工作不仅要确保敏感信息被去除，还需要尽可能的平衡脱敏所花费的代价、使用方的业务需求等多个因素。因此，为了确保数据脱敏的过程、代价可控，得到的结果正确且满足业务需要，在实施数据脱敏时，应从技术和管理两方面出发，符合以下原则。3.1.1技术原则3.1.1.1有效性数据脱敏的最基本原则就是要去掉数据中的敏感信息，保证数据安全，这是对数据脱敏工作最基本的要求。有效性要求经过数据脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息；或者需通过巨大经济代价、时间代价才能得到敏感信息，其成本已远远超过数据本身的价值。此外，在处理敏感信息时，应注意根据原始数据的特点和应用场景，选择合适的脱敏方法。3.1.1.2真实性3.1.1.2.1由于脱敏后的数据需要在相关业务系统、测试系统等非原始环境中继续使用，因此需保证脱敏后的数据应尽可能的真实体现原始数据的特征，且应尽可能多的保留原始数据中的有意义信息，以减小对使用该数据的系统的影响。23.1.2.1.1在进行数据脱敏前，首先应完整的梳理待处理数据中包含的所有信息中每一个项目的内容/格式、多条记录联合后包含的统计特征等），然后明确3.1.2.1.2需要注意的是，有些信息本身可能并不直接是敏感信息，但是可通过3经过数据脱敏处理后，已知的敏感信息已经被隐藏和处理，但脱敏后的数据由于保持了原始数据的部分统计特征和结构特征等信息，仍可能存在一定的敏感信息泄漏风险。因此，仍然需要采取合适的方式控制知悉范围，通过恰当的安全管理手段，防止数据外泄。3.1.2.3安全审计在数据脱敏的各个阶段需加入安全审计机制，严格、详细记录数据处理过程中的相关信息，形成完整数据处理记录，用于后续问题排查与数据追踪分析，一旦发生泄密事件可追溯到是在哪个数据处理环节发生的。3.1.2.4代码安全对于执行数据脱敏的程序和代码模块，应当进行代码审查，并对上线前的程序和模块进行代码安全扫描，确保执行数据脱敏过程的程序安全可靠，无漏洞和后门。3.2数据脱敏常用方法3.2.1泛化技术泛化是指在保留原始数据局部特征的前提下使用一般值替代原始数据，泛化后的数据具有不可逆性，具体的技术方法包括但不限于：a)数据截断会直接舍弃业务不需要的信息，仅保留部分关键信息，例如将手机号断为135;b)日期偏移取整：按照一定粒度对时间进行向上或向下偏移取整，可在保证时间数据一定分布特征的情况下隐藏原始时间，例如将时间2015010101:01:09按照5秒钟粒度向下取整得到c)规整：将数据按照大小规整到预定义的多个档位，例如将客户资产按照规模分为高、中、低三个级别，将客户资产数据用这三个级别代替。3.2.2抑制技术抑制是指通过隐藏数据中部分信息的方式来对原始数据的值进行转换，又称为隐藏技术，具体的技术方法包括但不限于：a)掩码：用通用字符替换原始数据中的部分信息，例如将手机号过掩码得到135****0001,掩码后的数据长度与原始数据一样。3.2.3扰乱技术扰乱是指通过加入噪声的方式对原始数据进行干扰，以实现对原始数据的扭曲、改变，扰乱后的数据仍保留着原始数据的分布特征，具体的技术方法包括但不限于：a)加密：使用加密算法对原始数据进行加密，例如将编号12345加密为abcde;b)重排：将原始数据按照特定的规则进行重新排列，例如将序号12345重排为54321;c)替换：按照特定规则对原始数据进行替换，如统一将女性性别替换为F;4g)尽可能采用自动化方式实现敏感数据脱敏工作流程，如数据脱敏申请、申请审批、数据54.2.1一个完整的数据脱敏工作流程包括发现敏感数据、标识敏感数据、确定脱敏方法、定义脱敏规则、执行脱敏操作和评估脱敏效果等步骤。如图1所示，图1数据脱敏工作流程4.2.2发现敏感数据4.2.2.1为了有效开展数据脱敏工作，必须对组织所拥有的数据进行梳理和分类，建议将数据分为高度敏感数据、中度敏感数据和非敏感数据；同时，组织机构需首先分析建立完整的敏感数据位置和关系库，确保数据脱敏工作能够充分考虑到必须的业务范围、脱敏后数据对原数据业务特性的继承(如保持原数据间的依赖关系)。4.2.2.2基于敏感数据分类分级制度，一方面建立有效的数据发现手段，在组织机构完整的数据范围内查找并发现敏感数据；另一方面明确敏感数据结构化或非结构化的数据表现形态，如敏感数据固定的字段格式。4.2.2.3在敏感数据返现过程中，可关注以下事项：a)定义数据脱敏工作执行的范围，在该范围内执行敏感数据的发现工作。b)通过数据表名称、字段名称、数据记录内容、数据表备注、数据文件内容等直接匹配或正则表达式匹配的方式发现敏感数据；c)考虑数据引用的完整性，如保证数据库的引用完整性约束；d)数据发现手段应支持主流的数据库系统、数据仓库系统、文件系统，同时应支持云计算环境下的主流新型存储系统；e)尽量利用自动化工具执行数据发现工作，并降低该过程对生产系统的影响；f)数据发现工具具有扩展机制，可根据业务需要自定义敏感数据的发现逻辑；g)固化常用的敏感数据发现规则，例如身份证号、手机号等敏感数据的发现规则，避免重复定义数据发现规则。4.2.3标识敏感数据4.2.3.1组织在通过业务梳理发现了敏感数据之后，需要对敏感数据进行标识，包括标识敏感数据的位置、敏感数据的格式等信息，以便后续对敏感数据的访问、传输和处理进行跟踪和监督。4.2.3.2敏感数据的标识方法应该确保敏感数据标识信息能够随敏感数据一起流动，并不易于删除和篡改，从而可以对敏感数据进行有效跟踪，以确保敏感数据的安全合规性。4.2.3.3在标识敏感数据时，可关注以下事项：a)应该尽早在数据的收集阶段就对敏感数据进行识别和标识，这样便于在数据的整个生命周期阶段对敏感数据进行有效管理；b)敏感数据的标识方法必须考虑到便捷性和安全性，使得标识后的数据很容易被识别，同时，要确保敏感数据标识信息不容易被恶意攻击者删除和篡改；64.2.4.1在对标识后的敏感数据进行脱敏前，应首先确定脱敏方法，可选的数据脱敏方案包括4.2.5定义脱敏规则4.2.5.1针对组织机构内已识别和标识出的敏感数据，组织机构需建立敏感数据在相关业务场d)数据脱敏工具应提供扩展机制4.2.6.1根据已定义的数据脱敏规则、以及数据脱敏工作的流程和数据脱敏工具的运维管理制7a)支持从数据源克隆数据到新环境(例如从生产环境、备份库克隆数据到新环境),并在新环境中进行脱敏过程的执行；也支持在数据源端直接进行脱敏；b)对脱敏任务的管理，可考虑采用自动化管理的方式提升任务管理效率，例如定时、条件设置的方式触发脱敏任务的执行；c)执行对脱敏任务的运行监控，关注任务执行的稳定性、以及脱敏任务对业务的影响；d)设置专人定期对数据脱敏的相关日志记录进行安全审计，审计应重点关注高权限账号的操作日志和脱敏工作的记录日志；发布审计报告，并跟进审计中发现的例外和异常。4.2.7评估脱敏效果4.2.7.1通过收集、整理数据脱敏工作执行的数据，例如相关监控数据、审计数据，对数据脱敏的前期工作开展情况进行反馈，从而优化相关规程、明确数据脱敏过程中应关注的事项。4.2.7.2在该过