JTT1480-2023交通运输数据脱敏指南

ＪＴ／Ｔ１４８０—２０２３

交通运输数据脱敏指南

１范围

本文件提供了交通运输数据脱敏的指导和建议并给出了交通运输数据脱敏的总则流程和管理

，、

措施

。

本文件适用于交通运输数据脱敏工作的规划实施和管理

、。

２规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。，

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

，；，（）

本文件

。

信息安全技术个人信息安全规范

ＧＢ／Ｔ３５２７３

信息安全技术个人信息去标识化指南

ＧＢ／Ｔ３７９６４

３术语和定义

界定的以及下列术语和定义适用于本文件

ＧＢ／Ｔ３５２７３、ＧＢ／Ｔ３７９６４。

３１

．

敏感信息ｓｅｎｓｉｔｉｖｅｉｎｆｏｒｍａｔｉｏｎ

一旦泄露非法提供或滥用就有可能会对个人单位企业行业各部门甚至国家安全产生危害的

、、、、

信息

。

３２

．

敏感数据ｓｅｎｓｉｔｉｖｅｄａｔａ

记录了或可能被挖掘出敏感信息的数据

。

３３

．

数据脱敏ｄａｔａｍａｓｋｉｎｇ

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法

。

来源有修改

［：ＧＢ／Ｔ３７９８８—２０１９，３．１２，］

３４

．

反脱敏ｄｅ⁃ｍａｓｋｉｎｇ

对脱敏后的数据进行挖掘比对分析重新获取原始敏感数据的一种数据还原方法

、、，。

４总则

４．１概述

交通运输数据以下简称数据脱敏是指对交通运输建设运营服务及管理等单位在履行各级

（“”）、、

职责过程中直接或通过第三方依法采集产生获取的以电子或者其他方式记录的各类信息进行脱敏

、、，

处理

。

１

ＪＴ／Ｔ１４８０—２０２３

４．２数据脱敏目标

４．２．１避免敏感信息泄露

数据脱敏宜从数据源头对敏感信息进行处理避免敏感数据在不可控的网络空间中流转时被泄露

，。

４．２．２控制反脱敏风险

根据数据使用的业务场景宜选择适当的脱敏技术和规则策略使脱敏数据的反脱敏风险在可控范

，，

围内且不会随着新数据发布或数据使用方之间潜在的关联关系而增加

，。

４．２．３保障脱敏数据可用

在反脱敏风险可控前提下宜根据业务场景和数据特性选择合适的脱敏技术和参数保障脱敏数据

，，

仍然满足最终的应用要求

。

４．３数据脱敏原则

４．３．１安全性原则

４．３．１．１安全可信

所使用的数据脱敏技术工具宜优先采用通过具备资格的机构安全认证合格或者安全检测符合要求

例如计算机信息系统安全专用产品销售许可证的工具保证脱敏工具不引入新的安全风险

（），。

４．３．１．２安全可控

经过脱敏后的数据仍需控制知悉范围防止数据外泄避免因扩散范围过广导致多源关联交叉比对

，，

分析的风险增加宜通过制度建设和组织建设对脱敏各个阶段进行有效管理

。。

４．３．１．３安全可审计

数据脱敏的各个阶段宜通过安全审计机制记录数据处理过程形成完整数据处理记录用于后续问

，，

题排查分析和安全事件的取证溯源

。

４．３．２高效性原则

数据脱敏的过程宜通过适当的脱敏算法和脱敏策略自动化实现提高脱敏效率

，。

４．３．３稳定性原则

数据脱敏时需保证对相同的原始数据在输入条件一致的前提下多次脱敏的结果是一致的

，，。

４．３．４可用性原则

数据脱敏时宜尽可能保持原始数据特征保障脱敏后的数据可用最大限度减少使用脱敏数据对业

，，

务的影响

。

５数据脱敏流程

５．１一般流程

脱敏工作的流程一般包括识别敏感数据确定脱敏需求确定脱敏技术和参数制定脱敏计划实施

、、、、

２

ＪＴ／Ｔ１４８０—２０２３

数据脱敏评估脱敏效果和监控审计如图所示

、，１。

图１数据脱敏一般流程

５．２识别敏感数据

５２１数据脱敏工作宜首先对敏感数据进行识别和定义明确需要脱敏的数据范围可能包括敏感

．．，。

信息的数据主要有核心数据重要数据个人信息

、、。

５２２在敏感数据识别过程中宜重点关注

．．，：

识别方式通过但不限于数据表名称字段名称数据记录内容数据表备注数据文件内容直

ａ）：、、、、

接匹配或正则表达式匹配等方式进行数据识别

；

识别工具尽量利用自动化工具进行数据识别识别工具能根据业务需要自定义敏感数据的

ｂ）：，

识别方式降低对业务系统产生的影响

，；

存储类型支持主流的数据库系统数据仓库系统文件系统同时支持云计算环境下的主流

ｃ）：、、，

新型存储系统

；

数据关联关系明确敏感数据结构化或非结构化的数据表现形态同时分析和建立完整的数

ｄ）：，

据敏感位置和关系库充分考虑到数据脱敏后对原数据业务特性的继承保持原数据间的关

，，

联关系

。

５２３在识别敏感数据后宜对敏感数据进行标识包括标识敏感数据的位置敏感数据的格式等信

．．，，、

息以便后续对敏感数据的访问传输和处理进行跟踪和监督在标识敏感数据时宜重点关注

，、。，：

标识时机在数据采集阶段对敏感数据进行标识以便于在整个数据生命周期各个阶段对敏

ａ）：，

感数据进行有效管理

；

标识类型支持静态数据的敏感标识及动态流数据的敏感标识

ｂ）：；

标识特性敏感数据的标识具有便捷性和安全性确保标识信息能够随敏感数据一起流动同

ｃ）：，，

时确保敏感数据标识信息不容易被恶意攻击者删除和篡改

。

５．３确定脱敏需求

５３１评估敏感数据相关业务系统和用户的所需权限创建相关资源宜在数据脱敏生产系统中进行

．．，，

连接配置保持数据源的可用性

，。

５３２对已识别出的敏感数据执行生命周期流程的梳理明确在生命周期各阶段用户对数据的访问

．．，

需求和当前的权限设置情况分析整理出存在敏感数据脱敏需求的业务场景

，。

５．４确定脱敏技术和参数

５４１针对每一个脱敏需求宜确定是进行静态脱敏还是动态脱敏其中

．．，：

静态脱敏针对持久化存储数据的脱敏脱敏后的数据将以文件库表等形式存储于磁盘上

ａ）：，、、，

一般用于生产环境数据向非生产环境数据交换方提供时使用

、；

动态脱敏访问数据过程中的实时脱敏脱敏后数据一般直接应用于业务系统或数据管理运

ｂ）：，

维不持久化存储

，。

５４２梳理敏感数据的关联关系包括主外键信息父子关系信息跨系统关联信息等确定脱敏技术

．．，、、，

和参数相关联的敏感数据宜采用统一的脱敏技术和参数常用敏感数据脱敏技术见附录

。，Ａ。

３

ＪＴ／Ｔ１４８０—２０２３

５４３配置脱敏规则时宜对用户权限信息系统属性信息系统连接信息脱敏表表关系表列脱

．．，、、、、、、

敏函数分级脱敏函数配置脱敏函数规则指定脱敏流程控制等相关信息进行配置

、、、。

５４４选择数据脱敏工具时宜重点关注

．．，：

选择已内置固化常用敏感数据脱敏方法的数据脱敏工具避免数据脱敏实施过程中重复定义

ａ），

数据脱敏方法

；

注：常用敏感数据脱敏方法见附录常用敏感数据脱敏技术特性见附录

Ｂ，Ｃ。

选择提供扩展机制的数据脱敏工具根据需求自定义脱敏方法

ｂ），；

选择提供脱敏方法详细说明的脱敏工具说明内容包括但不限于各类脱敏方法的实现原理

ｃ），、

数据引用完整性影响数据语义完整性影响数据分布频率影响约束限制等

、、、。

５．５制定脱敏计划

根据脱敏需求和相关技术参数制定脱敏计划针对每一个脱敏需求脱敏计划内容宜包括但不

，。，

限于

：

责任人员指定参与脱敏工作的所有人员人员角色定义和工作责任宜参考

ａ）：，６．２；

脱敏技术参数记录待使用的脱敏技术和参数相关配置信息技术工具等相关人员按照记

ｂ）：、、，

录内容逐条配置确认操作和审计

、、；

脱敏执行时间和周期确定脱敏执行开始时间和执行频率

ｃ）：；

脱敏结果校验方案预估待脱敏的数据总量增量和预期脱敏结果确定脱敏结果正确性完

ｄ）：、，、

整性校验方法及校验工具

；

脱敏应急方案明确脱敏过程中可能产生的问题原因解决方案和响应流程

ｅ）：、、。

５．６实施数据脱敏

根据已制定的脱敏计划实施数据脱敏宜包括但不限于

，：

配置脱敏任务根据脱敏计划对脱敏工具脱敏程序等进行相应参数配置包括但不限于脱

ａ）：，、，

敏技术参数脱敏执行时间和周期等

、。

实施脱敏任务通过工具自动调度执行手工触发配置执行操作系统定时调度任务等方式执

ｂ）：、、

行已配置好的脱敏任务实现数据脱敏在执行过程中根据执行状况错误信息等按照预

，。，、，

先确定的应急方案进行处置并能动态修改展示停止继续执行相关脱敏任务

，、、、。

验证脱敏结果脱敏任务实施后对获得的脱敏结果数据开展结果校验保障数据脱敏结果满

ｃ）：，，

足脱敏需求

。

５．７评估脱敏效果

宜通过收集整理数据脱敏工作执行相关监控审计等数据对数据脱敏的前期工作开展情况进行

、、，

反馈评估脱敏效果和优化相关流程配置等

，。

５．８监控审计

监控审计宜贯穿于数据脱敏全过程数据脱敏组织机构宜设置相应专业人员如审计管理员进

。（）

行安全审计建立全流程监控审计机制数据脱敏工具宜支持配置审计报告根据各业务系统的审计内

，。，

容与需求提供对指定用户指定时间段指定应用系统进行相关操作的审计报告同时能支持定制报告

，、、，

以及审计报告的下载等

。

４

ＪＴ／Ｔ１４８０—２０２３

６数据脱敏管理措施

６．１制度建设

数据管理机构在制定数据脱敏制度时宜注意下列要点

，：

明确敏感数据管理和使用部门并明确各自的安全责任和义务

ａ），。

根据安全合规需求建立敏感数据的分类分级规范并明确各级各类数据的安全管控方式

ｂ），，。

建立数据脱敏的工作流程脱敏工具的运维管理制度并定期对相关流程制度进行评审和

ｃ）、，

修订

。

数据脱敏制度建立后定期对数据脱敏工作的相关方包括但不限于数据管理方数据使用

ｄ），，、

方脱敏工具运维方等开展针对相关制度的培训工作对脱敏工具运维服务机构开展机构及

、。

人员背景调查签署保密服务协议加强第三方合作服务行为监督定期评估运维服务机构安

，，，

全保密技术防护和应急处置能力避免因第三方服务或人员引发的安全风险

、，。

制定完备的敏感数据使用审批流程

ｅ）。

６．２组织建设

数据管理机构宜设置数据脱敏管理小组包括专门的脱敏操作员安全管理员和审计管理员主要

，、，

工作如下

：

脱敏操作员具体执行整个数据脱敏工作定期向安全管理员和审计管理员汇报数据脱敏执

ａ）：；

行情况

。

安全管理员制定脱敏系统的安全策略进行日常安全检查和权限管理制定并部署脱敏系统

ｂ）：，；

账户密码安全规则以及数据库和敏感数据的脱敏控制策略制定数据脱敏工作的范围和日

，；

程管理具体的脱敏过程负责脱敏系统内部的规则配置但无法看到具体的审计信息为相

；；，；

关人员提供脱敏培训

。

审计管理员对脱敏操作员安全管理员的操作行为进行审计跟踪分析和监督检查定期形

ｃ）：、、、，

成安全审计报告对审计信息进行报表归总和分析及时发现违规行为和异常行为进行数据

，，；

库日志和脱敏系统日志分析安全事件的分析和取证对数据库安全策略账户权限以及关键

、；、

参数设置等进行审核和监督定期检查操作记录分析审计结果提出对数据脱敏管理工作的

，；，

改进意见并向主管领导汇报审计结果及建议

，。

５

ＪＴ／Ｔ１４８０—２０２３

附录Ａ

（资料性）

常用敏感数据脱敏技术

Ａ．１概述

常用敏感数据脱敏技术包括但不限于假名化技术抑制技术泛化技术扰乱技术加密技术等

：、、、、。

脱敏技术需考虑下列两个条件

：

不影响当前开发测试环境的正常使用即满足脱敏数据的可用性和一致性校验

ａ）、，；

脱敏技术宜避免数据被反脱敏

ｂ）。

Ａ．２假名化技术

Ａ．２．１固定映射

固定映射是指对一串数据设置映射规则在映射规则不变的情况下相同原数据脱敏后结果相同

，，。

映射规则宜设置为同类数据之间的映射从而保留原始业务特征

，。

示例：

设定映射规则将字符张映射为字符李对原数据姓名张三通过固定映射算法后一次脱敏结果为李

———“”“”，，“”，“

三二次脱敏结果为李三脱敏后数据仍然保持姓名特征

”，“”，。

Ａ．２．２哈希映射

哈希映射是指将任意长度的二进制值通过规则映射为固定长度的二进制串固定长度的二进制字

。

符串也称为哈希值映射规则称为哈希算法常用的安全哈希算法有等安

，。ＳＭ３、ＳＨＡ⁃１６０、ＳＨＡ⁃２５６。

全哈希算法一般要求不能通过哈希值反向推导出原始数据哈希冲突概率小哈希冲突是指不同原始

，。

数据通过哈希算法映射到同一哈希值

，。

Ａ．３抑制技术

抑制技术的典型手段是屏蔽屏蔽是指通过设置屏蔽符对原数据全部或部分进行屏蔽处理

。，。

示例：

通过设定屏蔽符对原数据通过屏蔽算法脱敏后脱敏结果为

∗，１３５１２３４５６７８１３５∗∗∗∗５６７８。

Ａ．４泛化技术

Ａ．４．１截取

截取是指保留数据从起始位置至结束位置的内容

。

示例：

设定起始位置为结束位置为对原数据采用截取算法脱敏结果为

２，６，ａｂｃｄｅｆｇｈｉｊｋｂｃｄｅｆ。

Ａ．４．２截断

截断是指保留数据除起始位置至结束位置以外的内容

。

示例：

设定起始位置为结束位置为对原数据采用截断算法脱敏结果为

２，６，ａｂｃｄｅｆｇｈｉｊｋａｇｈｉｊｋ。

Ａ．４．３取整

取整是指对属性值进行向上或向下取整至最接近取整基数的倍数向上或向下取整取决于属性

，。

６

ＪＴ／Ｔ１４８０—２０２３

值与取整基数倍数之间的接近程度可在保持属性具有一定分布特征的情况下隐藏原始属性

，。

示例１：

将数值按照为取整基数进行向下取整得到

１３１，１０，１３０。

示例２：

将时间按照秒粒度向上取整得到

２０１８０１０１０１：０１：０９５２０１８０１０１０１：０１：１０。

Ａ．４．４规整

规整是指将数据按照大小规整到预定义的多个档位

。

示例１：

将客户资产按照规模分为高中低三个级别将客户资产数据用这三个级别代替

、、，。

示例２：

将用户年龄设置为以上等几个区间将年龄映射到区间

［０，１８］，（１８，３０］，（３０，５０］，（５０，７０］，７０，２５（１８，３０］。

Ａ．５扰乱技术

Ａ．５．１重排

重排是指将原始数据按照特定的规则进行重新排列

。

示例：

将序号重排为

１２３４５５４３２１。

Ａ．５．２均化

均化是指针对数值性的敏感数据在保证脱敏后数据集总值或平均值与原数据集相同的情况下改

，，

变数值的原始值

。

Ａ．５．３散列

散列是指对原始数据取散列值使用散列值来代替原始数据

，。

Ａ．５．４随机映射

随机映射是指采用了一定程度的随机性作为其逻辑的一部分对数值字符或字符串进行随机并

，、，

保留原业务特征

。

示例：

将生日通过随机映射脱敏为脱敏后依然保留了生日的数据特征

１９８４１２２２１９９００２１１，。

Ａ．５．５范围内随机

范围内随机是指在一个指定的范围内进行随机映射并保留原业务特征主要使用在对日期或金额

，，

类数据脱敏

。

示例：

设定范围对原数据采用范围内随机脱敏后的脱敏结果为

１０００～９９９９，３８４７２．００８３９４．００。

Ａ．５．６浮动

浮动是指对日期或金额类型数据设置上浮或下降固定值或百分比并保留原业务特征

，，。

示例：

设定上浮下降比例为对原数据采用浮动脱敏后脱敏结果为

、５％，１０００．００１０５０．００。

Ａ．５．７置空

置空是将敏感数据删除采用空值填充根据敏感数据类型不同适用不同值填充

，“”。，。

７

ＪＴ／Ｔ１４８０—２０２３

示例１：

对原数据采用置空算法后脱敏结果为

３８１．３８０．００。

示例２：

对字符串类型使用置空算法后脱敏结果为

，ＮＵＬＬ。

Ａ．６加密技术

Ａ．６．１保格式加密

保格式加密是指使用加密算法对原始数据进行加密后密文与明文格式相同

，。

示例：

编号加密后结果为保留了数据原有长度和数据类型

１２３４５７６５４８，。

Ａ．６．２保序加密

保序加密是指用保序加密值替代目标脱敏数据密文的排序与明文的排序相同

，。

Ａ．６．３同态加密

同态加密是指采用同态加密用加密值替代目标脱敏字段该技术支持对加密数据进行处理但是

。，

处理过程不会泄露任何原始内容同时拥有密钥的用户对处理过的数据进行解密后得到的正好是处

。，，

理前的结果

。

８

ＪＴ／Ｔ１４８０—２０２３

附录Ｂ

（资料性）

常用敏感数据脱敏方法

常用敏感数据脱敏方法见表

Ｂ．１。

表Ｂ．１常用敏感数据脱敏方法

敏感数据参考脱敏算法脱敏效果示例

两个字或三个字的至少个字用代替大于三个字的至

１∗，

姓名固定映射随机映射屏蔽加密少个字用代替保留姓氏例如张三脱敏后为张李

、、、２∗，。，∗，

二宝脱敏后为李欧阳正华脱敏后为欧阳

∗∗，∗∗

保留前位和后位出生年月日用代替例如

公民身份号码固定映射随机映射屏蔽加密６４，∗。

、、、脱敏后为

５１１３２１１９９００３２９０４３１５１１３２１∗∗∗∗∗∗∗∗０４３１

保留前位和后位出生年月日用代替例如

驾驶证号固定映射随机映射屏蔽加密６４，∗。

、、、脱敏后为

５１１３２１１９９００３２９０４３１５１１３２１∗∗∗∗∗∗∗∗０４３１

保留前位和最后位其余用代替例如

电话号码固定映射随机映射屏蔽加密３３，∗。１５８１２３４４５６７

、、、脱敏后为

１５８∗∗∗∗∗５６７

护照号固定映射随机映射屏蔽加密末位用代替例如脱敏后为

、、、４∗。Ｇ１２３４５６７８Ｇ１２３４∗∗∗∗

保留最后位其余用代替例如空字第脱敏

军官证编号固定映射随机映射屏蔽加密３，∗。１２３４５６７８

、、、后为空字第

∗∗∗∗∗６７８

地址使用截取仅返回一部分可用数据例如重庆市万州

永久居住证随机映射屏蔽截取加密，。

、、、区雨航街幢室脱敏后为重庆市万州区

１３０１

保留前位和最后位中间用代替例如

４４，∗。

银行卡号固定映射随机映射屏蔽加密脱敏后为

、、、９５５５３３０１２０２１０６５６１２３４９５５５∗∗∗∗∗∗∗∗∗∗

∗∗１２３４

行踪轨迹随机映射屏蔽加密置空直接删除或将其置为值

、、、ＮＵＬＬ

精准定位信息随机映射屏蔽加密置空直接删除或将其置为值

、、、ＮＵＬＬ

未公开的违法

随机映射屏蔽加密置空直接删除或将其置为值

犯罪记录、、、ＮＵＬＬ

婚史屏蔽置空直接删除或将其置为值

、ＮＵＬＬ

前小于等于位的隐藏前位大于位的保留前

“＠”５，２；５，

位其余用代替例如脱敏后为

电子邮箱固定映射随机映射加密３，∗。ｌｅｙｕ＠１６３．ｃｏｍ∗∗ｙｕ＠

、、脱敏后为

１６３．ｃｏｍ，１５８９０１２３４５６７＠１３９．ｃｏｍ１５８∗∗∗∗∗

∗∗∗＠１３９．ｃｏｍ

网络账号屏蔽加密全部用代替例如脱敏后为

、∗。ｒｏｏｔ∗∗∗∗

网络密码或口令屏蔽加密全部用代替例如脱敏后为

、∗。ａｂｃ＠１２３ａ∗∗∗∗∗∗∗∗

网络安全管理策略屏蔽加密加密处理

、

固定映射随机映射置空

项目合同金额、、、全部用代替例如金额万脱敏后为金额万

屏蔽加密∗。：３０：∗∗

、

９

ＪＴ／Ｔ１４８０—２０２３

表Ｂ．１常用敏感数据脱敏方法续

（）

敏感数据参考脱敏算法脱敏效果示例

保留地区编码和流水号最后位其余用代替例如川

车牌号固定映射随机映射屏蔽加密２，∗。

、、、脱敏后为川

ＡＮ８７５７７ＡＮ∗∗∗７７

保留最后位其余用代替例如

车辆识别码固定映射随机映射屏蔽加密６，∗。ＬＹＡＦＲ７１０３ＢＣ７２２２２２

（ＶＩＮ）、、、脱敏后为

∗∗∗∗∗∗∗∗∗∗∗７２２２２２

第位用代替例如脱敏后为

道路运输证号固定映射随机映射屏蔽７～１０∗。３７１５２６３２４６３９

、、

３７１５２６∗∗∗∗３９