數(shù)據(jù)脫敏是數(shù)據(jù)安全領域落地場景較為成熟的技術手段，在數(shù)據(jù)深層次、大范圍的共享開放的今天，數(shù)據(jù)脫敏在不影響數(shù)據(jù)使用的前提下保護敏感隱私數(shù)據(jù)，已成為數(shù)據(jù)安全建設重要內容。

本文通過對數(shù)據(jù)脫敏技術及應用場景等進行梳理，為各行業(yè)用戶更好的實施數(shù)據(jù)脫敏技術提供指南，主要內容包括以下四個方面：

▼數(shù)據(jù)脫敏法規(guī)政策合規(guī)依據(jù)

▼數(shù)據(jù)脫敏技術定義及實施過程解析

▼數(shù)據(jù)脫敏典型應用場景

▼數(shù)據(jù)脫敏管理體系的建立

數(shù)據(jù)脫敏法規(guī)政策合規(guī)依據(jù)

《網(wǎng)絡安全法》第四十二條：網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。

《數(shù)據(jù)安全法》第二十七條：開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。

《個人信息保護法》第五十一條：個人信息處理者應當根據(jù)個人信息處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取相應的加密、去標識化等安全技術措施。

《信息安全技術 網(wǎng)絡安全等級保護基本要求》明確規(guī)定：二級以上保護則需要對敏感數(shù)據(jù)進行脫敏處理。H.4.3安全計算環(huán)境 “大數(shù)據(jù)平臺應提供靜態(tài)脫敏和去標識化的工具或服務組件技術。” H.4.5安全運維管理 “應在數(shù)據(jù)分類分級的基礎上，劃分重要數(shù)字資產范圍，明確重要數(shù)據(jù)進行自動脫敏或去標識使用場景和業(yè)務處理流程。”

《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》第十二條：數(shù)據(jù)處理者向第三方提供個人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應當遵守：（一）向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點，并取得個人單獨同意，符合法律、行政法規(guī)規(guī)定的不需要取得個人同意的情形或者經(jīng)過匿名化處理的除外。

典型行業(yè)：金融行業(yè)合規(guī)要求

《中國銀行業(yè)“十二五”信息科技發(fā)展規(guī)則監(jiān)管指導意見》：加強數(shù)據(jù)、文檔的安全管理，逐步建立信息資產分類分級保護機制。完善敏感信息存儲和傳輸?shù)雀唢L險環(huán)節(jié)的控制措施，對數(shù)據(jù)、文檔的訪問應建立嚴格的審批機制。對用于測試的生產數(shù)據(jù)要進行脫敏處理，嚴格防止敏感數(shù)據(jù)泄露。

《金融行業(yè)網(wǎng)絡安全等級保護實施指引》：應將開發(fā)環(huán)境、測試環(huán)境、實際運行環(huán)境相互分離，敏感數(shù)據(jù)經(jīng)過脫敏后才可在開發(fā)或測試中使用。

《金融數(shù)據(jù) 安全數(shù)據(jù)生命周期安全規(guī)范》：開發(fā)測試等過程的數(shù)據(jù)，應事先進行脫敏處理，防止數(shù)據(jù)處理過程中的數(shù)據(jù)泄露，國家及行 業(yè)主管部門另有規(guī)定的除外。

《商業(yè)銀行信息科技風險現(xiàn)場檢查指南》: 開發(fā)過程中是否使用了生產數(shù)據(jù)，使用的生產數(shù)據(jù)是否得到高級管理層的批準并經(jīng)過脫敏或相關限制?！薄皽y試用例是否有生產數(shù)據(jù)，當使用生產數(shù)據(jù)測試時是否得到高級管理層的審批并采取相關限制及進行脫敏處理。

典型行業(yè)：電信和互聯(lián)網(wǎng)行業(yè)合規(guī)要求

《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全 標準體系建設指南》：數(shù)據(jù)處理 數(shù)據(jù)處理標準用于規(guī)范敏感數(shù)據(jù)、個人信息的保護機制 及相關技術要求，明確敏感數(shù)據(jù)保護的場景、規(guī)則、技術方 法，主要包括匿名化/去標識化、數(shù)據(jù)脫敏、異常行為識別等標準。

《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動方案》：指導電信和重點互聯(lián)網(wǎng)企業(yè)加強內部網(wǎng)絡數(shù)據(jù)安全組織保障，推動設立或明確網(wǎng)絡數(shù)據(jù)安全管理責任部門和專職人員，負責承擔企業(yè)內部網(wǎng)絡數(shù)據(jù)安全管理工作，督促協(xié)調企業(yè)內部各相關主體和環(huán)節(jié)嚴格落實操作權限管理、日志記錄和安全審計、數(shù)據(jù)加密、數(shù)據(jù)脫敏、訪問控制、數(shù)據(jù)容災備份等數(shù)據(jù)安全保護措施，組織開展數(shù)據(jù)安全崗位人員法律法規(guī)、知識技能等培訓。

《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)脫敏技術要求與測試方法》：提出了數(shù)據(jù)脫敏技術應用架構，并且總結了在實際應用數(shù)據(jù)脫敏技術過程中，主要涉及的三個要素：脫敏算法、脫敏規(guī)則、脫敏策略。此外標準還提出了數(shù)據(jù)脫敏后的效果評估策略。

《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》：查驗企業(yè)數(shù)據(jù)脫敏處理管理規(guī)范和制度文件，是否明確數(shù)據(jù)脫敏處理使用應用場景，明確數(shù)據(jù)脫敏規(guī)則、脫敏方法、數(shù)據(jù)脫敏處理流程、涉及部門及人員的職責分工等。查驗企業(yè)數(shù)據(jù)脫敏處理管理規(guī)范和制度，企業(yè)業(yè)務和業(yè)務支撐系統(tǒng)在數(shù)據(jù)權限和資源的申請階段，是否由該數(shù)據(jù)的數(shù)據(jù)安全管理負責人員評估使用真實數(shù)據(jù)的必要性，以及確定該場景下適用的數(shù)據(jù)脫敏規(guī)則及方法。

查驗數(shù)據(jù)脫敏處理管理規(guī)范和制度，是否建立數(shù)據(jù)脫敏處理技術應用安全評估機制，對脫敏后的數(shù)據(jù)可恢復性進行安全評估，是否對于可恢復形成原始數(shù)據(jù)的脫敏方法（含算法）進行安全加強。演示企業(yè)業(yè)務測試系統(tǒng)數(shù)據(jù)庫，企業(yè)是否使用未脫敏的數(shù)據(jù)用于業(yè)務系統(tǒng)的開發(fā)測試。查驗演示企業(yè)數(shù)據(jù)脫敏工具，是否能對數(shù)據(jù)脫敏處理過程相應的操作進行記錄，提供數(shù)據(jù)脫敏處理安全審計能力。

數(shù)據(jù)脫敏技術定義及實施過程解析

01

數(shù)據(jù)脫敏的定義

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對真實數(shù)據(jù)進行改造并提供測試使用，如身份證號、手機號、卡號、客戶號等個人信息都需要進行數(shù)據(jù)脫敏。

02

數(shù)據(jù)脫敏發(fā)展歷程：

▼人工脫敏階段：多為SQL腳本方式，在ETL處理過程中進行脫敏，該方式工作量大、數(shù)據(jù)處理效率低，同時存在數(shù)據(jù)質量差、無法保證數(shù)據(jù)結構的完整性、數(shù)據(jù)間的關聯(lián)性。

▼平臺脫敏階段：融合了敏感數(shù)據(jù)自動發(fā)現(xiàn)、系統(tǒng)流程化脫敏、支持豐富數(shù)據(jù)源、脫敏算法庫充足、敏感類型豐富等功能，從而減輕人工成本的同時提升效率，保證數(shù)據(jù)脫敏的基本訴求。

▼自動脫敏階段：通過應用機器學習等技術，結合各類數(shù)據(jù)分類分級規(guī)則及已實際使用的數(shù)據(jù)脫敏策略及規(guī)則，實現(xiàn)自動化實時敏感數(shù)據(jù)發(fā)現(xiàn)、自動化脫敏規(guī)則匹配等智能化數(shù)據(jù)脫敏的結果。同時，具備分布式等多種部署支持，智能性能分析，自動化調優(yōu)等能力。

03

數(shù)據(jù)脫敏關鍵技術能力：

1、高仿真能力：

▼保持數(shù)據(jù)原始業(yè)務特征

▼保持數(shù)據(jù)之間的關聯(lián)性

▼保持數(shù)據(jù)之間邏輯一致性

▼業(yè)務依賴數(shù)據(jù)對象同步

2、豐富數(shù)據(jù)源支持

▼關系型數(shù)據(jù)庫支持

▼大數(shù)據(jù)平臺支持

▼特殊文件類型支持

▼消息列隊支持

3、內置豐富脫敏規(guī)則

▼支持多種數(shù)據(jù)脫敏算法

▼支持組合脫敏、自定義分段規(guī)則

▼具備細粒度數(shù)據(jù)處理能力

4、高處理效率

▼單臺設備性能最大化

▼具備增量脫敏能力

▼支持分布式部署

04

數(shù)據(jù)脫敏分類：

如上圖所示：動態(tài)脫敏會對數(shù)據(jù)進行多次脫敏，更多應用于直接連接生產數(shù)據(jù)的場景，在用戶訪問生產環(huán)境敏感數(shù)據(jù)時，通過匹配用戶IP或MAC地址等脫敏條件，根據(jù)用戶權限采用改寫查詢SQL語句等方式返回脫敏后的數(shù)據(jù)。例如運維人員在運維工作中直連生產數(shù)據(jù)庫，業(yè)務人員需要通過生產環(huán)境查詢客戶信息等

05

脫敏算法推薦形態(tài)

06

數(shù)據(jù)脫敏常用算法與實例

其它脫敏算法：

07

數(shù)據(jù)脫敏策略

在設定具體場景下數(shù)據(jù)脫敏策略時應充分考慮數(shù)據(jù)脫敏后數(shù)據(jù)自身可用性及數(shù)據(jù)保密性尋求兩者間的平衡。數(shù)據(jù)脫敏策略的選擇如下顯示。數(shù)據(jù)脫敏的目標包括：

▼避免攻擊者識別出原始個人信息主體；

▼控制重標識的風險，確保重標識風險不會增加；

▼在控制重標識風險的前提下，確保脫敏后的數(shù)據(jù)集盡量滿足其預期目的；

▼選擇合適的數(shù)據(jù)處理方式保證信息攻擊成本不足以支撐攻擊動機。

08

數(shù)據(jù)脫敏實施流程：

1、敏感數(shù)據(jù)識別，對生產系統(tǒng)中敏感數(shù)據(jù)的識別，主要包括：

▼存儲位置：明確敏感數(shù)據(jù)所在的數(shù)據(jù)庫、表、字段（列）；

▼數(shù)據(jù)分類、分級：明確敏感數(shù)據(jù)所屬類別及敏感級別。

2、策略選擇、算法配置，脫敏算法配置主要包括：數(shù)據(jù)脫敏后保持原始特征的分析、數(shù)據(jù)脫敏算法的選擇和數(shù)據(jù)脫敏算法參數(shù)配置。

▼保持原始數(shù)據(jù)的格式、類型；

▼保持原有數(shù)據(jù)之間的依存關系；

▼保持引用完整性、統(tǒng)計特性、頻率分布、唯一性、穩(wěn)定性。配置需要脫敏的目標（數(shù)據(jù)庫名/表名/字段名）以及適當?shù)拿撁羲惴▍?shù)，根據(jù)業(yè)務需求完成其他算法的參數(shù)配置。

3、數(shù)據(jù)脫敏任務執(zhí)行階段，按照不同需求選擇，動態(tài)脫敏處理步驟和靜態(tài)脫敏處理步驟：

動態(tài)脫敏處理步驟：

▼協(xié)議解析：解析用戶、應用訪問大數(shù)據(jù)組件網(wǎng)絡流量；

▼語法解析：對訪問大數(shù)據(jù)組件的語句進行語法分析；
脫敏規(guī)則匹配：根據(jù)用戶身份信息及要訪問的數(shù)據(jù)；

▼下發(fā)脫敏任務：由脫敏引擎調度脫敏任務；
脫敏結果輸出：將脫敏后的數(shù)據(jù)輸出，保證原始數(shù)據(jù)的不可見。

靜態(tài)脫敏處理步驟：

▼數(shù)據(jù)選擇/策略配置：選擇待脫敏的數(shù)據(jù)庫及表，配置脫敏策略及脫敏算法，生成脫敏任務；

▼執(zhí)行脫敏處理：對不同類型數(shù)據(jù)進行處理，將數(shù)據(jù)中的敏感信息進行刪除或隱藏；

▼將脫敏后的數(shù)據(jù)按用戶需求，裝載至不同環(huán)境中，包括文件至文件，文件至數(shù)據(jù)庫，數(shù)據(jù)庫至數(shù)據(jù)庫，數(shù)據(jù)庫至文件等多種裝載方式。

審核編輯：劉清