DB3301T 0363-2022 公共数据脱敏管理规范　

ICS35.020CCSL723301SpecificationforpublicdaIDB3301/T0363—2022前言 2规范性引用文件 3术语和定义 4基本原则 2真实性 2有效性 2一致性 2稳定性 25管理要求 2基本要求 2系统要求 3人员要求 5安全要求 5技术要求 6附录A（规范性）数据脱敏全生命周期工作过程 7附录B（资料性）公共数据安全承诺书 8附录C（资料性）常见脱敏算法及使用示例 9附录D（资料性）复杂数据脱敏场景说明 附录E（资料性）常见敏感数据类型的适用脱敏算法规则 参考文献 DB3301/T0363—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由杭州市数据资源管理局提出并归口。本文件起草单位：杭州市萧山区数据资源管理局、杭州美创科技有限公司。本文件主要起草人：刘诚征、陈琼、肖国军、孙茂阳、胡江涛、张建林、乔祥耀、冯晨、王纪东。DB3301/T0363—2022公共数据的共享与开放，为数据深度分析与挖掘提供了使用价值。公共数据因涉及国家安全、商业秘密和公民隐私等敏感信息，开放共享中需加以保护，完成敏感数据脱敏工作。为指导公共数据脱敏工作的实施，规范操作流程和管理，降低敏感数据泄露风险，特制订本文件。1公共数据脱敏管理规范2规范性引用文件仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T20945—2013信息安全技术信息系统安全审计产品技术要求和测试评价方法DB33/T2350—2021数字化改革术语定义3术语和定义能具备一定的安全性要求，一旦泄露会对人、单位、企对某些敏感信息按照一定规则进行数据变形，针对敏感数据从生产环境脱敏完毕之后，在非原生产环境使24基本原则4.2有效性4.3一致性4.4稳定性5管理要求a)确敏感数据管理和使用部门，并明确参与数据脱敏工作各方的业务和安全责任边界；b)根据安全合规要求，参照敏感数据分类分级规范，明确各类数据的安全管控方式；c)建立完备的脱敏审批机制，确保数据脱敏工作安全合规；d)建立数据脱敏全生命周期工作过程体系，确保数据脱敏执行工作合规，数据脱敏全生命周期工作过程按照附录A执行；e)建立数据脱敏系统操作和运维管理制度，并定期评审和修订；f)数据脱敏流程规范建立后，定期对数据管理、数据使用、脱敏系统运维等相关各方开展培训，3DB3301/T0363—2022应按照系统、人员、安全、技术以及数据脱敏工作过程等多方面规范要求，每年开展至少1次及以上数据脱敏评价工作，评价其真实性、有效性、稳定性。评价工作宜在数据脱敏工作验收结束后1个月内完成。系统要求5.2.1脱敏系统安全脱敏系统应采用经国家有关部门认证的产品。系统上线前应进行源代码审查，并通过信息系统安全等级保护三级以上测评。系统运行过程中应定期进行安全扫描，接受网络信息安全和数据安全风险评估，确保安全可靠，无漏洞后门。5.2.2权限分配应满足数据脱敏权限分配，对不同的用户分配不同数据脱敏权限。5.2.3系统账号口令脱敏系统账户的口令应为无意义的字符组，长度至少为十位，并包含大写字符、小写字符、数字和特殊符号，脱敏系统账户口令应定期修改，最长使用时间不超过3个月。5.2.4数据源应适用数据库、文件、大数据平台、动态数据流等不同类型的数据源。5.2.5数据脱敏任务5.2.5.1静态数据脱敏产品应制定数据脱敏任务。任务宜包括：a)设置原始数据存储源；b)设置抽取范围；c)设置脱敏内容；d)选择脱敏规则；e)设置目标数据存储源。5.2.5.2动态数据脱敏产品应制定数据脱敏任务。任务宜包括：a)根据动态数据源的范围，设置数据脱敏任务；b)配置数据源的参数信息；c)设置动态数据的脱敏范围；d)设置脱敏内容；e)设置数据脱敏的起止时间；f)选择脱敏规则。5.2.6敏感数据自动扫描和检测产品应能够根据预定义的策略对敏感数据进行自动扫描和检测：a)静态数据脱敏产品应能对整个数据库或文件中敏感数据进行自动扫描和检测；b)动态数据脱敏产品应能对数据流中敏感数据进行自动扫描和检测。5.2.7数据脱敏子集抽取静态数据脱敏的产品应能够创建子集抽取规则。产品宜包括下列功能：4DB3301/T0363—2022a)根据用户的要求创建相比原始数据较小的子集(基本级)；b)应具有抽取多表间关联子集的功能，在数据脱敏后，保持数据表之间的关联关系（增强级）。5.2.8任务监控脱敏产品应能够对数据脱敏任务进行监控。产品宜包括下列功能：a)数据脱敏任务应定时调度(静态脱敏)；b)能够启动、暂停、继续和停止数据脱敏任务(静态脱敏)；c)提供对数据脱敏任务的状态监测，以图形化方式展现每个任务的处理进度，以日志方式展现任务处理明细及任务告警(静态脱敏)；d)实时展现脱敏情况(动态脱敏)；e)展现历史记录，一定时间段的脱敏情况(静态脱敏、动态脱敏)。5.2.9审计记录5.2.9.1审计记录生成，产品应对下列可审计事件生成记录：a)数据脱敏操作日志，包括数据脱敏审批流程和数据脱敏任务的执行等；b)鉴别机制的使用，包括系统用户的登录和注销日志；c)管理操作日志，包括安全策略变更、对用户及角色进行增加、删除和修改等。5.2.9.2对于每一个审计记录，产品记录应包括事件发生的日期和时间，事件类型，主体身份和成功或失败事件，且数据脱敏操作应详细记录原始数据、脱敏范围、目标位置等信息5.2.9.3审计记录查阅，产品应包含下列审计记录查询与访问功能：a)只允许授权管理员访问审计记录；b)满足按条件对审计记录进行组合查询。5.2.9.4审计记录存储，产品应根据GB/T20945-2013标准中说明的基本级、增强级等级划分，提供下列安全功能要求：a)存储于掉电非易失性存储介质中（基本级）；b)审计记录导出，并能够异地存储（增强级）；c)审计记录应至少保存6个月及以上时间，其中涉及关键性日志建议保留1年以上或永久保存。5.2.10接口管理开发者应提供一个接口规范。接口规范宜满足下列要求：a)使用非形式化风格来描述产品安全功能及其外部接口；b)是内在一致的；c)描述所有外部接口的用途与使用方法，适当提供效果、例外情况和错误消息的细节；d)标识安全功能子系统的所有接口；e)标识安全功能子系统的哪些接口是外部可见的；f)完备地表示产品安全功能。5.2.11环境要求高层次设计中涉及的环境宜满足下列要求：a)内存容量应满足脱敏工作的性能要求；b)脱敏源为大型高性能主机，网络环境要求千兆以上，万兆最佳；c)脱敏主机配置SSD脱敏应用运行；d)描述每个安全功能子系统所提供的安全功能性；5DB3301/T0363—2022e)标识安全功能所要求的任何基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现的支持性保护机制。人员要求5.3.1保密管理脱敏操作员、安全管理员、安全审计员应以个人名义与组织签署保密协议和安全承诺书。若涉及相关脱敏实施单位，该单位应同时与组织签署保密协议和数据安全承诺书，见附录B。5.3.2审计管理员负责对脱敏操作员、安全管理员的操作行为进行审计、跟踪、分析、和监督检查，及时发现违规行为和异常行为，进行数据库日志、脱敏系统日志、安全事件的分析和取证。5.3.3安全管理员负责制定脱敏系统的安全策略，数据脱敏工作的范围和日程，并进行日常安全检查、权限管理和日常操作培训。5.3.4脱敏操作员负责数据脱敏工作的具体执行，并向安全管理员和脱敏审计员定期汇报工作情况。安全要求5.4.1安全角色根据授权用户不同的安全角色，赋予授权用户不同的访问权限，并且安全角色之间应相互制约。重要功能(如用户/权限管理、审计记录管理、数据脱敏任务管理和敏感数据操作)应由不同用户执行。5.4.2审批流程在对敏感数据进行操作时，应提供审批流程，通过审批后才能执行数据脱敏任务（增强级）。5.4.3通信安全在脱敏过程中，脱敏系统应确保各组件之间传输的数据非明文。5.4.4安全可控原始数据经过数据脱敏处理后，仍保持部分统计特征和结构特征，存在泄露风险，应采取恰当的安全管理手段，防止数据外泄。5.4.5安全审计应在数据脱敏的各个阶段加入安全审计机制，详细记录数据处理过程中的相关信息，形成完整数据处理记录。5.4.6安全评估应制定数据脱敏评估体系，定期评估和维护数据脱敏内容，并定期对接触到脱敏数据的相关方进行脱敏安全培训。6DB3301/T0363—2022技术要求5.5.1数据脱敏算法按照数据使用场景及安全要求配置不同的脱敏算法，常见脱敏算法及使用示例见附录C。5.5.2脱敏处理要求5.5.2.1根据敏感数据类型呈现的数据字段特征，并参考浙江省公共数据条例结合公共数据应用场景及分类分级保护要求来选择恰当的脱敏处理规则，复杂数据脱敏场景说明见附录D，常见敏感字段的脱敏算法规则见附录E。5.5.2.2敏感数据进行适用的脱敏算法规则处理后，可通过数据打标，区分脱敏后数据与原始数据。经过脱敏处理后的数据在对外共享开放前，应满足脱敏结果核对需求：a)脱敏数据标识随着敏感数据一起流动；b)标识信息不易被恶意攻击者删除和篡改；c)考虑便捷性和安全性，使标识后的数据容易被识别。7DB3301/T0363—2022数据脱敏全生命周期工作过程数据脱敏全生命周期工作过程应符合图A.1的要求。数据脱敏全生命周期工作过程数据脱敏的核心任务是将生产数据中的敏感数据进行脱敏，通过数据脱敏系统，通过标准化的数据建模以及自动化流程，可以安全、方便、标准地将测试数据进行脱敏。数据脱敏工作的主要流程包括：敏感数据识别制定脱敏规则和算法确定脱敏方法评估脱敏权限执行制定脱敏规则和算法确定脱敏方法评估脱敏权限执行脱敏操作审计脱敏报告配置脱敏策略、接口1)敏感数据识别结合依据《公共数据分类分级》相关规范要求，按照数据的业务属性和敏感程度进行敏感数据分级，并对分级结果作人工复核。2)评估脱敏权限评估业务系统和数据使用方所需权限，建立覆盖脱敏数据全生命周期的访问和操作权限体系。3)确定脱敏方法在对发现后的敏感数据进行脱敏前，应首先确定脱敏方法，可选的数据脱敏方案应根据应用场景的需求选择静态数据脱敏和动态数据脱敏。不同的数据脱敏方案对数据源的影响不同，脱敏的时效性也不一样。脱敏方案确定后，就可以选择对应的数据脱敏工具。4)制定脱敏规则和算法针对每一个需要脱敏的业务系统业务对象的关联关系以及脱敏准则进行梳理，包括主外键信息、父子关系信息、跨系统关联信息、脱敏规则等。宜采用统一的脱敏规则和算法，并满足以下条件：a)不影响当前开发、测试环境的正常测试，即满足数据对象的可用性和正确性校验；b)脱敏算法均为不可逆算法，即从脱敏后的数据无法推算出原始数据。5)配置脱敏策略通过人工配置脱敏规则与流程细节，人工配置需要针对用户权限信息、系统属性信息、系统连接信息、脱敏表、表关系、表列、脱敏函数分级、脱敏函数配置、脱敏函数规则指定、脱敏流程控制等相关信息进行配置。如果无需配置自动导入，可略过此步。6)配置脱敏元数据接口生产数据脱敏系统预留了跟元数据管理系统的接口，并且可以依据具体接口信息进行修改，实现敏感配置信息的导入。7)执行脱敏操作脱敏操作执行，包括通过手工触发配置执行、设定时间调度执行、基于命令行通过操作系统级别的计划任务执行等方法，实现数据抽取并脱敏至相应的环境。在执行过程中，可以根据执行状况、错误信息等动态修改、展示、继续执行相关脱敏任务。8)审计脱敏报告配置审计报告，根据各业务系统的审计内容与需求，对指定用户、指定时间段、指定应用系统进行相关操作的审计报表，同时满足自定制报告以及审计报告的下载等。通过上述标准化的脱敏流程，可以完全实现科学化、自动化、规范化的数据脱敏流程。图A.1数据脱敏全生命周期工作过程8DB3301/T0363—2022（资料性）公共数据安全承诺书公共数据安全承诺书见图B.1。公共数据安全承诺书为保障公共数据安全，依法保护个人信息，公共数据利用主体在获取利用公共数据过程中，郑重承诺遵守本承诺书的有关条款，切实做好数据安全和个人信息保护工作并承担相应法律责任。一、公共数据利用主体承诺遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及有关法律、法规和行政规章制度、文件规定。二、公共数据利用主体承诺健全数据安全管理制度，对本单位涉及公共数据的岗位人员、信息系统、IT资产、共享披露、外包服务等实施全面的安全管理。三、公共数据利用主体严格按照授权范围使用公共数据，不以任何方式将相关数据提供给非授权第三方或用于商业目的。涉及个人信息和商业秘密的数据，必须经公民、法人和其他组织授权同意后使用。四、公共数据利用主体承诺如发现数据安全隐患或其它不安全因素，第一时间上报，并密切配合主管部门做好数据安全事件的处置及调查工作，采取措施消除安全隐患。五、公共数据利用主体承诺一旦发现有关数据已经泄露或可能泄露，立即通知主管部门，共同采取相应措施，查找相关工作人员和泄漏原因、线索和证据，并承担相应责任。六、若违反本承诺书有关条款和国家相关法律法规的，公共数据利用主体直接承担相应法律责任。侵犯商业秘密、个人隐私等他人合法权益或造成财产损失的，由公共数据利用主体直接赔偿并且销毁有关数据。同时，公共数据主管部门和公共数据开放主体有权暂停或停止数据开放服务。七、本承诺书自签署之日起生效并遵行。主要负责人：公共数据利用主体（签章）：年月日图B.1公共数据承诺书9DB3301/T0363—2022（资料性）常见脱敏算法及使用示例C.1常见脱敏算法的概念见表C.1。表C.1常见脱敏算法浮动是指对日期或金额类型字符，设置上浮或下降固定值或百分比截取是指对字符串按照起始位置、结束位置截取一定长度连续字符串进行a)可使用保格式、保类型加密算法，保留数据原有格式和类型，可在不修改应用逻辑前提下实现b)可使用保序加密算法，密文排序与明文排序一致，可在不修改应用逻辑前提下实现基于密文的C.2脱敏算法使用示例见表C.2。表C.2脱敏算法使用示例将生日19841222通过随机映射脱敏为19900211。脱敏后的数据依然是一串具有生设定映射规则：0→G，1→H，2→A，3→Z，4→E，5→O，6→K，7→L，8→M，9→Z。通过固定映射算法对原数行脱敏，结果为HZ设定遮盖符：*；通过遮盖填充算法对原数行脱敏，结果为1设定范围1000至9999；通过范围内随机脱敏算法对原数据38472.00进行脱敏，设定上浮、下降5%；通过浮动脱敏算法对原数据1000.00进行脱DB33