數(shù)據(jù)脫敏是數(shù)據(jù)安全領(lǐng)域落地場景較為成熟的技術(shù)手段，在數(shù)據(jù)深層次、大范圍的共享開放的今天，數(shù)據(jù)脫敏在不影響數(shù)據(jù)使用的前提下保護敏感隱私數(shù)據(jù)，已成為數(shù)據(jù)安全建設(shè)重要內(nèi)容。

本文通過對數(shù)據(jù)脫敏技術(shù)及應(yīng)用場景等進行梳理，為各行業(yè)用戶更好的實施數(shù)據(jù)脫敏技術(shù)提供指南，主要內(nèi)容包括以下四個方面：

▼數(shù)據(jù)脫敏法規(guī)政策合規(guī)依據(jù)

▼數(shù)據(jù)脫敏技術(shù)定義及實施過程解析

▼數(shù)據(jù)脫敏典型應(yīng)用場景

▼數(shù)據(jù)脫敏管理體系的建立

數(shù)據(jù)脫敏法規(guī)政策合規(guī)依據(jù)

《網(wǎng)絡(luò)安全法》第四十二條：網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

《數(shù)據(jù)安全法》第二十七條：開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

《個人信息保護法》第五十一條：個人信息處理者應(yīng)當(dāng)根據(jù)個人信息處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)險等，采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施。

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》明確規(guī)定：二級以上保護則需要對敏感數(shù)據(jù)進行脫敏處理。H.4.3安全計算環(huán)境 “大數(shù)據(jù)平臺應(yīng)提供靜態(tài)脫敏和去標(biāo)識化的工具或服務(wù)組件技術(shù)?！?H.4.5安全運維管理 “應(yīng)在數(shù)據(jù)分類分級的基礎(chǔ)上，劃分重要數(shù)字資產(chǎn)范圍，明確重要數(shù)據(jù)進行自動脫敏或去標(biāo)識使用場景和業(yè)務(wù)處理流程。”

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第十二條：數(shù)據(jù)處理者向第三方提供個人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)遵守：（一）向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點，并取得個人單獨同意，符合法律、行政法規(guī)規(guī)定的不需要取得個人同意的情形或者經(jīng)過匿名化處理的除外。

典型行業(yè)：金融行業(yè)合規(guī)要求

《中國銀行業(yè)“十二五”信息科技發(fā)展規(guī)則監(jiān)管指導(dǎo)意見》：加強數(shù)據(jù)、文檔的安全管理，逐步建立信息資產(chǎn)分類分級保護機制。完善敏感信息存儲和傳輸?shù)雀唢L(fēng)險環(huán)節(jié)的控制措施，對數(shù)據(jù)、文檔的訪問應(yīng)建立嚴(yán)格的審批機制。對用于測試的生產(chǎn)數(shù)據(jù)要進行脫敏處理，嚴(yán)格防止敏感數(shù)據(jù)泄露。

《金融行業(yè)網(wǎng)絡(luò)安全等級保護實施指引》：應(yīng)將開發(fā)環(huán)境、測試環(huán)境、實際運行環(huán)境相互分離，敏感數(shù)據(jù)經(jīng)過脫敏后才可在開發(fā)或測試中使用。

《金融數(shù)據(jù) 安全數(shù)據(jù)生命周期安全規(guī)范》：開發(fā)測試等過程的數(shù)據(jù)，應(yīng)事先進行脫敏處理，防止數(shù)據(jù)處理過程中的數(shù)據(jù)泄露，國家及行 業(yè)主管部門另有規(guī)定的除外。

《商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查指南》: 開發(fā)過程中是否使用了生產(chǎn)數(shù)據(jù)，使用的生產(chǎn)數(shù)據(jù)是否得到高級管理層的批準(zhǔn)并經(jīng)過脫敏或相關(guān)限制。”“測試用例是否有生產(chǎn)數(shù)據(jù)，當(dāng)使用生產(chǎn)數(shù)據(jù)測試時是否得到高級管理層的審批并采取相關(guān)限制及進行脫敏處理。

典型行業(yè)：電信和互聯(lián)網(wǎng)行業(yè)合規(guī)要求

《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全 標(biāo)準(zhǔn)體系建設(shè)指南》：數(shù)據(jù)處理 數(shù)據(jù)處理標(biāo)準(zhǔn)用于規(guī)范敏感數(shù)據(jù)、個人信息的保護機制 及相關(guān)技術(shù)要求，明確敏感數(shù)據(jù)保護的場景、規(guī)則、技術(shù)方 法，主要包括匿名化/去標(biāo)識化、數(shù)據(jù)脫敏、異常行為識別等標(biāo)準(zhǔn)。

《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案》：指導(dǎo)電信和重點互聯(lián)網(wǎng)企業(yè)加強內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全組織保障，推動設(shè)立或明確網(wǎng)絡(luò)數(shù)據(jù)安全管理責(zé)任部門和專職人員，負(fù)責(zé)承擔(dān)企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全管理工作，督促協(xié)調(diào)企業(yè)內(nèi)部各相關(guān)主體和環(huán)節(jié)嚴(yán)格落實操作權(quán)限管理、日志記錄和安全審計、數(shù)據(jù)加密、數(shù)據(jù)脫敏、訪問控制、數(shù)據(jù)容災(zāi)備份等數(shù)據(jù)安全保護措施，組織開展數(shù)據(jù)安全崗位人員法律法規(guī)、知識技能等培訓(xùn)。

《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)脫敏技術(shù)要求與測試方法》：提出了數(shù)據(jù)脫敏技術(shù)應(yīng)用架構(gòu)，并且總結(jié)了在實際應(yīng)用數(shù)據(jù)脫敏技術(shù)過程中，主要涉及的三個要素：脫敏算法、脫敏規(guī)則、脫敏策略。此外標(biāo)準(zhǔn)還提出了數(shù)據(jù)脫敏后的效果評估策略。

《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》：查驗企業(yè)數(shù)據(jù)脫敏處理管理規(guī)范和制度文件，是否明確數(shù)據(jù)脫敏處理使用應(yīng)用場景，明確數(shù)據(jù)脫敏規(guī)則、脫敏方法、數(shù)據(jù)脫敏處理流程、涉及部門及人員的職責(zé)分工等。查驗企業(yè)數(shù)據(jù)脫敏處理管理規(guī)范和制度，企業(yè)業(yè)務(wù)和業(yè)務(wù)支撐系統(tǒng)在數(shù)據(jù)權(quán)限和資源的申請階段，是否由該數(shù)據(jù)的數(shù)據(jù)安全管理負(fù)責(zé)人員評估使用真實數(shù)據(jù)的必要性，以及確定該場景下適用的數(shù)據(jù)脫敏規(guī)則及方法。

查驗數(shù)據(jù)脫敏處理管理規(guī)范和制度，是否建立數(shù)據(jù)脫敏處理技術(shù)應(yīng)用安全評估機制，對脫敏后的數(shù)據(jù)可恢復(fù)性進行安全評估，是否對于可恢復(fù)形成原始數(shù)據(jù)的脫敏方法（含算法）進行安全加強。演示企業(yè)業(yè)務(wù)測試系統(tǒng)數(shù)據(jù)庫，企業(yè)是否使用未脫敏的數(shù)據(jù)用于業(yè)務(wù)系統(tǒng)的開發(fā)測試。查驗演示企業(yè)數(shù)據(jù)脫敏工具，是否能對數(shù)據(jù)脫敏處理過程相應(yīng)的操作進行記錄，提供數(shù)據(jù)脫敏處理安全審計能力。

數(shù)據(jù)脫敏技術(shù)定義及實施過程解析

01

數(shù)據(jù)脫敏的定義

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對真實數(shù)據(jù)進行改造并提供測試使用，如身份證號、手機號、卡號、客戶號等個人信息都需要進行數(shù)據(jù)脫敏。

02

數(shù)據(jù)脫敏發(fā)展歷程：

▼人工脫敏階段：多為SQL腳本方式，在ETL處理過程中進行脫敏，該方式工作量大、數(shù)據(jù)處理效率低，同時存在數(shù)據(jù)質(zhì)量差、無法保證數(shù)據(jù)結(jié)構(gòu)的完整性、數(shù)據(jù)間的關(guān)聯(lián)性。

▼平臺脫敏階段：融合了敏感數(shù)據(jù)自動發(fā)現(xiàn)、系統(tǒng)流程化脫敏、支持豐富數(shù)據(jù)源、脫敏算法庫充足、敏感類型豐富等功能，從而減輕人工成本的同時提升效率，保證數(shù)據(jù)脫敏的基本訴求。

▼自動脫敏階段：通過應(yīng)用機器學(xué)習(xí)等技術(shù)，結(jié)合各類數(shù)據(jù)分類分級規(guī)則及已實際使用的數(shù)據(jù)脫敏策略及規(guī)則，實現(xiàn)自動化實時敏感數(shù)據(jù)發(fā)現(xiàn)、自動化脫敏規(guī)則匹配等智能化數(shù)據(jù)脫敏的結(jié)果。同時，具備分布式等多種部署支持，智能性能分析，自動化調(diào)優(yōu)等能力。

03

數(shù)據(jù)脫敏關(guān)鍵技術(shù)能力：

1、高仿真能力：

▼保持?jǐn)?shù)據(jù)原始業(yè)務(wù)特征

▼保持?jǐn)?shù)據(jù)之間的關(guān)聯(lián)性

▼保持?jǐn)?shù)據(jù)之間邏輯一致性

▼業(yè)務(wù)依賴數(shù)據(jù)對象同步

2、豐富數(shù)據(jù)源支持

▼關(guān)系型數(shù)據(jù)庫支持

▼大數(shù)據(jù)平臺支持

▼特殊文件類型支持

▼消息列隊支持

3、內(nèi)置豐富脫敏規(guī)則

▼支持多種數(shù)據(jù)脫敏算法

▼支持組合脫敏、自定義分段規(guī)則

▼具備細(xì)粒度數(shù)據(jù)處理能力

4、高處理效率

▼單臺設(shè)備性能最大化

▼具備增量脫敏能力

▼支持分布式部署

04

數(shù)據(jù)脫敏分類：

如上圖所示：動態(tài)脫敏會對數(shù)據(jù)進行多次脫敏，更多應(yīng)用于直接連接生產(chǎn)數(shù)據(jù)的場景，在用戶訪問生產(chǎn)環(huán)境敏感數(shù)據(jù)時，通過匹配用戶IP或MAC地址等脫敏條件，根據(jù)用戶權(quán)限采用改寫查詢SQL語句等方式返回脫敏后的數(shù)據(jù)。例如運維人員在運維工作中直連生產(chǎn)數(shù)據(jù)庫，業(yè)務(wù)人員需要通過生產(chǎn)環(huán)境查詢客戶信息等

05

脫敏算法推薦形態(tài)

06

數(shù)據(jù)脫敏常用算法與實例

其它脫敏算法：

07

數(shù)據(jù)脫敏策略

在設(shè)定具體場景下數(shù)據(jù)脫敏策略時應(yīng)充分考慮數(shù)據(jù)脫敏后數(shù)據(jù)自身可用性及數(shù)據(jù)保密性尋求兩者間的平衡。數(shù)據(jù)脫敏策略的選擇如下顯示。數(shù)據(jù)脫敏的目標(biāo)包括：

▼避免攻擊者識別出原始個人信息主體；

▼控制重標(biāo)識的風(fēng)險，確保重標(biāo)識風(fēng)險不會增加；

▼在控制重標(biāo)識風(fēng)險的前提下，確保脫敏后的數(shù)據(jù)集盡量滿足其預(yù)期目的；

▼選擇合適的數(shù)據(jù)處理方式保證信息攻擊成本不足以支撐攻擊動機。

08

數(shù)據(jù)脫敏實施流程：

1、敏感數(shù)據(jù)識別，對生產(chǎn)系統(tǒng)中敏感數(shù)據(jù)的識別，主要包括：

▼存儲位置：明確敏感數(shù)據(jù)所在的數(shù)據(jù)庫、表、字段（列）；

▼數(shù)據(jù)分類、分級：明確敏感數(shù)據(jù)所屬類別及敏感級別。

2、策略選擇、算法配置，脫敏算法配置主要包括：數(shù)據(jù)脫敏后保持原始特征的分析、數(shù)據(jù)脫敏算法的選擇和數(shù)據(jù)脫敏算法參數(shù)配置。

▼保持原始數(shù)據(jù)的格式、類型；

▼保持原有數(shù)據(jù)之間的依存關(guān)系；

▼保持引用完整性、統(tǒng)計特性、頻率分布、唯一性、穩(wěn)定性。配置需要脫敏的目標(biāo)（數(shù)據(jù)庫名/表名/字段名）以及適當(dāng)?shù)拿撁羲惴▍?shù)，根據(jù)業(yè)務(wù)需求完成其他算法的參數(shù)配置。

3、數(shù)據(jù)脫敏任務(wù)執(zhí)行階段，按照不同需求選擇，動態(tài)脫敏處理步驟和靜態(tài)脫敏處理步驟：

動態(tài)脫敏處理步驟：

▼協(xié)議解析：解析用戶、應(yīng)用訪問大數(shù)據(jù)組件網(wǎng)絡(luò)流量；

▼語法解析：對訪問大數(shù)據(jù)組件的語句進行語法分析；
脫敏規(guī)則匹配：根據(jù)用戶身份信息及要訪問的數(shù)據(jù)；

▼下發(fā)脫敏任務(wù)：由脫敏引擎調(diào)度脫敏任務(wù)；
脫敏結(jié)果輸出：將脫敏后的數(shù)據(jù)輸出，保證原始數(shù)據(jù)的不可見。

靜態(tài)脫敏處理步驟：

▼數(shù)據(jù)選擇/策略配置：選擇待脫敏的數(shù)據(jù)庫及表，配置脫敏策略及脫敏算法，生成脫敏任務(wù)；

▼執(zhí)行脫敏處理：對不同類型數(shù)據(jù)進行處理，將數(shù)據(jù)中的敏感信息進行刪除或隱藏；

▼將脫敏后的數(shù)據(jù)按用戶需求，裝載至不同環(huán)境中，包括文件至文件，文件至數(shù)據(jù)庫，數(shù)據(jù)庫至數(shù)據(jù)庫，數(shù)據(jù)庫至文件等多種裝載方式。

審核編輯：劉清