DB3301∕T 0363—2022 公共数据脱敏管理规范(杭州市).pdf

《DB3301∕T 0363—2022 公共数据脱敏管理规范(杭州市).pdf》由会员分享，可在线阅读，更多相关《DB3301∕T 0363—2022 公共数据脱敏管理规范(杭州市).pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.020CCS L 723301浙江省杭州市地方标准DB 3301/T 03632022公共数据脱敏管理规范Specification for public data desensitizationBDB 3301/T 03632022目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14基本原则.2真实性.2有效性.2一致性.2稳定性.25管理要求.2基本要求.2系统要求.3人员要求54.14.24.34.45.15.25.35.45.5DB 3301/T 03632022II前言本文件按照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规

2、则的规定起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由杭州市数据资源管理局提出并归口。本文件起草单位：杭州市萧山区数据资源管理局、杭州美创科技有限公司。本文件主要起草人：刘诚征、陈琼、肖国军、孙茂阳、胡江涛、张建林、乔祥耀、冯晨、王纪东。DB 3301/T 03632022III引言公共数据的共享与开放，为数据深度分析与挖掘提供了使用价值。公共数据因涉及国家安全、商业秘密和公民隐私等敏感信息，开放共享中需加以保护，完成敏感数据脱敏工作。为指导公共数据脱敏工作的实施，规范操作流程和管理，降低敏感数据泄露风险，特制订本文件。DB 3301/T 036320

3、22公共数据脱敏管理规范1范围本文件规定了公共数据的基本原则和管理要求。本文件适用于公共数据脱敏工作的规划、实施和管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 209452013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法DB33/T 23502021 数字化改革术语定义3术语和定义3.13.23.33.43.53.6DB 3301/T 03632022对原始数据进行变形，去隐私化处理的算法。脱敏系统脱敏系统 d

4、 desensitizationesensitization systemsystem采用各种脱敏算法，通过自动化工具实现敏感数据发现、脱敏操作执行和脱敏全流程管理的应用系统。4基本原则真实性脱敏过程需保持用于后续分析的数据真实特征，以助于实现数据相关业务需求。真实性特征包括但不限于数据结构特征和数据统计特征。有效性经过数据脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息。一致性数据脱敏后，保留主外键关联一致性，保留业务数据关联业务一致性，保留原数据间隐含包含及关联关系。稳定性3.74.14.24.34.45.1DB 3301/T 03632022应按照系统、人员

5、、安全、技术以及数据脱敏工作过程等多方面规范要求，每年开展至少1次及以上数据脱敏评价工作，评价其真实性、有效性、稳定性。评价工作宜在数据脱敏工作验收结束后1个月内完成。系统要求5.2.1脱敏系统安全脱敏系统应采用经国家有关部门认证的产品。系统上线前应进行源代码审查，并通过信息系统安全等级保护三级以上测评。系统运行过程中应定期进行安全扫描，接受网络信息安全和数据安全风险评估，确保安全可靠，无漏洞后门。5.2.2权限分配应满足数据脱敏权限分配，对不同的用户分配不同数据脱敏权限。5.2.3系统账号口令脱敏系统账户的口令应为无意义的字符组，长度至少为十位，并包含大写字符、小写字符、数字和特殊符号，脱敏

6、系统账户口令应定期修改，最长使用时间不超过3个月。5.2.4数据源应适用数据库、文件、大数据平台、动态数据流等不同类型的数据源。5 2 5数据脱敏任务5.2DB 3301/T 036320224a)根据用户的要求创建相比原始数据较小的子集(基本级)；b)应具有抽取多表间关联子集的功能，在数据脱敏后，保持数据表之间的关联关系（增强级）。5.2.8任务监控脱敏产品应能够对数据脱敏任务进行监控。产品宜包括下列功能：a)数据脱敏任务应定时调度(静态脱敏)；b)能够启动、暂停、继续和停止数据脱敏任务(静态脱敏)；c)提供对数据脱敏任务的状态监测，以图形化方式展现每个任务的处理进度，以日志方式展现任务处理

7、明细及任务告警(静态脱敏)；d)实时展现脱敏情况(动态脱敏)；e)展现历史记录，一定时间段的脱敏情况(静态脱敏、动态脱敏)。5.2.9审计记录5.2.9.1审计记录生成，产品应对下列可审计事件生成记录：a)数据脱敏操作日志，包括数据脱敏审批流程和数据脱敏任务的执行等；b)鉴别机制的使用，包括系统用户的登录和注销日志；c)管理操作日志，包括安全策略变更、对用户及角色进行增加、删除和修改等。5.2.9.2对于每一个审计记录，产品记录应包括事件发生的日期和时间，事件类型，主体身份和成功或失败事件，且数据脱敏操作应详细记录原始数据、脱敏范围、目标位置等信息5.2.9.3审计记录查阅，产品应包含下列审计

8、记录查询与访问功能：a)只允许授权管理员访问审计记录；b)满足按条件对审计记录进行组合查询。5.2.9.4审计记录存储，产品应根据 GB/T 20945-2013 标准中说明的基本级、增强级等级划分，提供下列安全功能要求：a)存储于掉电非易失性存储介质中（基本级）；b)审计记录导出，并能够异地存储（增强级）；c)审计记录应至少保存 6 个月及以上时间，其中涉及关键性日志建议保留 1 年以上或永久保存。5.2.10接口管理开发者应提供一个接口规范。接口规范宜满足下列要求：a)使用非形式化风格来描述产品安全功能及其外部接口；b)是内在一致的；c)描述所有外部接口的用途与使用方法，适当提供效果、例外

9、情况和错误消息的细节；d)标识安全功能子系统的所有接口；e)标识安全功能子系统的哪些接口是外部可见的；f)完备地表示产品安全功能。5.2.11环境要求高层次设计中涉及的环境宜满足下列要求：a)内存容量应满足脱敏工作的性能要求；b)脱敏源为大型高性能主机，网络环境要求千兆以上，万兆最佳；c)脱敏主机配置 SSD 脱敏应用运行；d)描述每个安全功能子系统所提供的安全功能性；DB 3301/T 03632022e)标识安全功能所要求的任何基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现的支持性保护机制。人员要求5.3.1保密管理脱敏操作员、安全管理员、安全审计员应以个人名义与组织签署保密协

10、议和安全承诺书。若涉及相关脱敏实施单位，该单位应同时与组织签署保密协议和数据安全承诺书，见附录B。5.3.2审计管理员负责对脱敏操作员、安全管理员的操作行为进行审计、跟踪、分析、和监督检查，及时发现违规行为和异常行为，进行数据库日志、脱敏系统日志、安全事件的分析和取证。5.3.3安全管理员负责制定脱敏系统的安全策略，数据脱敏工作的范围和日程，并进行日常安全检查、权限管理和日常操作培训。5.3.4脱敏操作员负责数据脱敏工作的具体执行，并向安全管理员和脱敏审计员定期汇报工作情况。安全要求5.35.4DB 3301/T 03632022技术要求5.5.1数据脱敏算法按照数据使用场景及安全要求配置不同

11、的脱敏算法，常见脱敏算法及使用示例见附录C。5.5.2脱敏处理要求5.5.2.1根据敏感数据类型呈现的数据字段特征，并参考浙江省公共数据条例结合公共数据应用场景及分类分级保护要求来选择恰当的脱敏处理规则，复杂数据脱敏场景说明见附录 D，常见敏感字段的脱敏算法规则见附录 E。5.5.2.2敏感数据进行适用的脱敏算法规则处理后，可通过数据打标，区分脱敏后数据与原始数据。经过脱敏处理后的数据在对外共享开放前，应满足脱敏结果核对需求：a)脱敏数据标识随着敏感数据一起流动；b)标识信息不易被恶意攻击者删除和篡改；c)考虑便捷性和安全性，使标识后的数据容易被识别。5.5DB 3301/T 03632022

12、7AA附录A（规范性）数据脱敏全生命周期工作过程数据脱敏全生命周期工作过程应符合图A.1的要求。图 A.1 数据脱敏全生命周期工作过程数据脱敏全生命周期工作过程数据脱敏的核心任务是将生产数据中的敏感数据进行脱敏，通过数据脱敏系统，通过标准化的数据建模以及自动化流程，可以安全、方便、标准地将测试数据进行脱敏。数据脱敏工作的主要流程包括：1)敏感数据识别结合依据公共数据分类分级相关规范要求，按照数据的业务属性和敏感程度进行敏感数据分级，并对分级结果作人工复核。2)评估脱敏权限评估业务系统和数据使用方所需权限，建立覆盖脱敏数据全生命周期的访问和操作权限体系。3)确定脱敏方法在对发现后的敏感数据进行脱

13、敏前，应首先确定脱敏方法，可选的数据脱敏方案应根据应用场景的需求选择静态数据脱敏和动态数据脱敏。不同的数据脱敏方案对数据源的影响不同，脱敏的时效性也不一样。脱敏方案确定后，就可以选择对应的数据脱敏工具。4)制定脱敏规则和算法针对每一个需要脱敏的业务系统业务对象的关联关系以及脱敏准则进行梳理，包括主外键信息、父子关系信息、跨系统关联信息、脱敏规则等。宜采用统一的脱敏规则和算法，并满足以下条件：a)不影响当前开发、测试环境的正常测试，即满足数据对象的可用性和正确性校验；b)脱敏算法均为不可逆算法，即从脱敏后的数据无法推算出原始数据。5)配置脱敏策略通过人工配置脱敏规则与流程细节，人工配置需要针对用

14、户权限信息、系统属性信息、系统连接信息、脱敏表、表关系、表列、脱敏函数分级、脱敏函数配置、脱敏函数规则指定、脱敏流程控制等相关信息进行配置。如果无需配置自动导入，可略过此步。6)配置脱敏元数据接口生产数据脱敏系统预留了跟元数据管理系统的接口，并且可以依据具体接口信息进行修改，实现敏感配置信息的导入。7)执行脱敏操作脱敏操作执行，包括通过手工触发配置执行、设定时间调度执行、基于命令行通过操作系统级别的计划任务执行等方法，实现数据抽取并脱敏至相应的环境。在执行过程中，可以根据执行状况、错误信息等动态修改、展示、继续执行相关脱敏任务。8)审计脱敏报告配置审计报告，根据各业务系统的审计内容与需求，对指

15、定用户、指定时间段、指定应用系统进行相关操作的审计报表，同时满足自定制报告以及审计报告的下载等。通过上述标准化的脱敏流程，可以完全实现科学化、自动化、规范化的数据脱敏流程。敏感数据识别评估脱敏权限确定脱敏方法制定脱敏规则和算法配置脱敏策略、接口执 行 脱 敏操作审 计 脱 敏报告DB 3301/T 036320228BB附录B（资料性）公共数据安全承诺书公共数据安全承诺书见图B.1。图 B.1 公共数据承诺书公共数据安全承诺书为保障公共数据安全，依法保护个人信息，公共数据利用主体在获取利用公共数据过程中，郑重承诺遵守本承诺书的有关条款，切实做好数据安全和个人信息保护工作并承担相应法律责任。一、

16、公共数据利用主体承诺遵守中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法及有关法律、法规和行政规章制度、文件规定。二、公共数据利用主体承诺健全数据安全管理制度，对本单位涉及公共数据的岗位人员、信息系统、IT资产、共享披露、外包服务等实施全面的安全管理。三、公共数据利用主体严格按照授权范围使用公共数据，不以任何方式将相关数据提供给非授权第三方或用于商业目的。涉及个人信息和商业秘密的数据，必须经公民、法人和其他组织授权同意后使用。四、公共数据利用主体承诺如发现数据安全隐患或其它不安全因素，第一时间上报，并密切配合主管部门做好数据安全事件的处置及调查工作，采取措施消除安全

17、隐患。五、公共数据利用主体承诺一旦发现有关数据已经泄露或可能泄露，立即通知主管部门，共同采取相应措施，查找相关工作人员和泄漏原因、线索和证据，并承担相应责任。六、若违反本承诺书有关条款和国家相关法律法规的，公共数据利用主体直接承担相应法律责任。侵犯商业秘密、个人隐私等他人合法权益或造成财产损失的，由公共数据利用主体直接赔偿并且销毁有关数据。同时，公共数据主管部门和公共数据开放主体有权暂停或停止数据开放服务。七、本承诺书自签署之日起生效并遵行。主要负责人：公共数据利用主体（签章）：年月日DB 3301/T 036320229CC附录C（资料性）常见脱敏算法及使用示例C.1常见脱敏算法的概念见表

18、C.1。表 C.1 常见脱敏算法脱敏算法脱敏算法详细表述详细表述随机映射随机映射是指采用了一定程度的随机性作为其逻辑的一部分，对数值、字符或字符串进行随机，并保留原业务特征。固定映射固定映射是指对一串数字设置映射种子，在映射种子不变的情况下，相同原数据脱敏后结果相同，并保留原始业务特征。遮盖填充遮盖是指通过设置遮盖符，对原数据全部或部分进行遮盖处理。填充是指将遮盖区域用固定的字符串覆盖。范围内随机范围内随机主要使用在对日期或金额类字符上，在一个指定的范围内进行随机，并保留原业务特征。浮动浮动是指对日期或金额类型字符，设置上浮或下降固定值或百分比，并保留原业务特征。归零归零是指对于数值类型数据采

19、用清空并置为0.00的脱敏算法。截取截取是指对字符串按照起始位置、结束位置截取一定长度连续字符串进行截取的脱敏算法。截断截断是指对字符串保留除起始位置以外的内容。时间偏移按照一定偏移量（绝对值或百分比）对时间进行向上或向下偏移并取整到一定单位，可在保证时间数据一定分布特征的情况下隐藏原始时间。分档将数据按照预设条件归类到不同档次中。加密使用加密算法对原始数据进行加密：a)可使用保格式、保类型加密算法，保留数据原有格式和类型，可在不修改应用逻辑前提下实现基于密文的检索和关联分析；b)可使用保序加密算法，密文排序与明文排序一致，可在不修改应用逻辑前提下实现基于密文的排序和精确匹配。重排将原始数据按

20、照特定的规则进行重新排列均化对数值类数据，在保证脱敏后数据集的总值（平均值）与原数据集一致的情况下，改变数据原始值。散列对原始数据取散列值，使用散列值来代替原始数据。C.2脱敏算法使用示例见表 C.2。表 C.2 脱敏算法使用示例脱敏算法脱敏算法使用示例使用示例随机映射将生日19841222通过随机映射脱敏为19900211。脱敏后的数据依然是一串具有生日特征的数据。固定映射设定映射规则：0G，1H，2A，3Z，4E，5O，6K，7L，8M，9Z。通过固定映射算法对原数据13512345678进行脱敏，结果为HZOHAZEOKLM。遮盖填充设定遮盖符：*；通过遮盖填充算法对原数据1351234

21、5678进行脱敏，结果为135*5678。范围内随机设定范围1000至9999；通过范围内随机脱敏算法对原数据38472.00进行脱敏，结果为8394.00。浮动设定上浮、下降5%；通过浮动脱敏算法对原数据1000.00进行脱敏，结果为1049.00。DB 3301/T 0363202210表 C.2 脱敏算法使用示例（续）脱敏算法脱敏算法使用示例使用示例归零通过归零算法对原数据381.38进行脱敏，结果为0.00。截取设定开始位置：2，结束位置6，通过截取算法对原数据abcdefghijk进行脱敏，结果为bcdef。截断设定起始位置：2，结束位置6，通过截断算法对原数据abcdefghijk

22、进行脱敏，结果为aghijk。时间偏移将 时 间 20200701-16:31:09 按 照 10 秒 偏 移 量、5 秒 取 整 量 进 行 时 间 偏 移 脱 敏，结 果 为20200701-16:31:20。分档将纳税额按照规模分为高、中、低三档，分别进行脱敏。加密对身份证号140*98312103253进行加密（例如FF1保格式算法），结果为BEA*HIDBCBADCFD。重排通过重排脱敏算法对序号1234进行脱敏，结果为23415。均化数据集10,15,20，总值45，平均值15，通过均化算法进行脱敏，结果为13,18,19。散列对身份证号140*98312103253进行散列，结果

23、为631。DB 3301/T 0363202211DD附录D（资料性）复杂数据脱敏场景说明常见复杂数据脱敏类型如下见表D.1。表 D.1 复杂数据脱敏场景说明类型类型举例说明举例说明数据类型脱敏如编号的内容为：类别编码+身份证号混合类型的敏感信息脱敏如客户编号既有机构名称，又有中文姓名混合字符串的敏感信息脱敏混合字符串指既包含英文字符又包含中文字符及数字的字符串量级类型数据脱敏满足数据条目量达到一定数目的敏感信息脱敏。如居民缴费时间、金额场景类型脱敏a)在系统开发、测试过程中，会对真实敏感生产数据进行操作，存在数据交换、数据共享、数据分析等第三方数据应用场景（如通过API接口方式向特定平台提供

24、数据）。此场景策略宜采用静态脱敏，提供脱敏后的生产数据，为第三方数据应用场景提供适用的敏感信息泄露防护作用，保证脱敏后数据的特征、逻辑及各类数据间的一般性、业务性关联；b)在运维过程中，第三方运维人员通过运维工具接触底层真实数据，其中也包含重要的敏感数据信息和业务的个人隐私数据，存在安全隐患（如用电信息）。此场景策略宜采用动态脱敏，对数据库账户的身份管理，数据库系统管理员账户权限限制访问，最高权限账户权限、敏感数据账户、个人账户等进行严格的区分管理；c)应用系统日常使用当中，应用系统有大量的敏感信息在应用系统上面显示，导致了敏感信息泄漏（如企业数据有统一信用代码、法人、手机号码）。此场景宜采用

25、动态脱敏，合规且被授权用户才可以看到明文数据，未授权的或者不合规用户只可看到脱敏后的数据。DB 3301/T 0363202212EE附录E（资料性）常见敏感数据类型的适用脱敏算法规则常见敏感字段脱敏算法规则见表E.1。表 E.1 常见敏感数据类型的适用算法规则序号序号类别类别敏感数据类型敏感数据类型算法规则算法规则1个人类个人类IP 地址随机映射2户籍地址随机映射3居住地址随机映射4工作单位随机映射5身份证固定映射、随机映射、遮盖6中国护照固定映射、随机映射、遮盖7外国护照固定映射、随机映射、遮盖8军官证固定映射、随机映射、遮盖9永久居住证随机映射、遮盖10港澳通行证随机映射、遮盖11台胞证

26、随机映射、遮盖12开户许可证固定映射、随机映射、遮盖13税务登记证固定映射、随机映射、遮盖14医师资格证书固定映射、随机映射15姓名固定映射、随机映射、遮盖16电话号码固定映射、随机映射、遮盖17邮编固定映射、随机映射18电子邮箱固定映射、随机映射19银行卡号固定映射、随机映射、遮盖20日期范围随机、浮动、固定映射21护照号固定映射、随机映射、遮盖22社保卡固定映射、随机映射、遮盖23医保卡固定映射、随机映射24户籍类别固定映射、随机映射、遮盖25兵役状况固定映射、随机映射26套内建筑面积随机映射、加密27住所户型固定映射、随机映射28住所用途固定映射、随机映射29居住情况固定映射、随机映射3

27、0是否违建固定映射、随机映射31出租房用途随机映射、加密32出租间数随机映射、加密33限住人数随机映射、加密34出租房性质固定映射、随机映射、遮盖DB 3301/T 0363202213表 E.1 常见敏感数据类型的适用算法规则（续）序号序号类别类别敏感数据类型敏感数据类型算法规则算法规则35个人类死亡日期随机映射、数据水印、浮动36死亡注销类别固定映射、随机映射、遮盖37注销日期随机映射、数据水印、浮动38注销标识固定映射、随机映射、遮盖39有效期限起始日期随机映射、数据水印、浮动40有效期限截止日期随机映射、数据水印、浮动41房屋所有权人类型固定映射、随机映射、遮盖42房屋所有权人姓名固定

28、映射、随机映射、遮盖43学历固定映射、随机映射、遮盖44学历专业固定映射、随机映射45学历授予学校固定映射、随机映射46学历授予时间随机映射、数据水印、浮动47学位代码固定映射、随机映射、遮盖48最高奖项（荣誉）固定映射、随机映射49婚姻状况固定映射、随机映射50政治面貌固定映射、随机映射51健康状况固定映射、随机映射52民族固定映射、随机映射53民族代码固定映射、随机映射54籍贯固定映射、随机映射55组织类组织机构名称固定映射、随机映射、遮盖、数据水印56组织机构代码固定映射、随机映射57医疗机构登记号固定映射、随机映射58工商营业执照固定映射、遮盖59社会统一信用代码随机映射、遮盖60工商

29、登记执照号码随机映射61工商登记有效期限固定映射、随机映射、遮盖62车牌号码固定映射、随机映射、遮盖63车牌颜色固定映射、随机映射、遮盖64产业类别固定映射、随机映射、遮盖65保险缴费基数固定映射、随机映射、遮盖66服务网点名称随机映射67发卡地随机映射68网点地址随机映射69基金代码固定映射70证券代码固定映射71证券名固定映射72服务网点编号固定映射、遮盖73银行行号固定映射、随机映射、遮盖74案件号固定映射、随机映射、遮盖DB 3301/T 0363202214表 E.1 常见敏感数据类型的适用算法规则（续）序号序号类别类别敏感数据类型敏感数据类型算法规则算法规则75组织类结案罚款金额固

30、定映射、遮盖76结案情况执行结果固定映射、遮盖77签署合同金额固定映射、遮盖78承包租赁款应收时间范围随机、浮动、固定映射79承包租赁款收款时间范围随机、浮动、固定映射80客体类注销标志固定映射、遮盖81违法人固定映射、随机映射、遮盖82违法地址随机映射83违法事件固定映射、遮盖84违法行为固定映射、遮盖85违法时间随机映射、数据水印、浮动86现场照片固定映射、遮盖DB 3301/T 0363202215参考文献1 中华人民共和国网络安全法（中华人民共和国主席令第五十三号）2 中华人民共和国数据安全法（中华人民共和国主席令 第八十四号）3 中华人民共和国个人信息保护法（中华人民共和国主席令第九十一号）4 浙江省公共数据条例（2022年1月21日浙江省第十三届人民代表大会第六次会议通过）