數據脫敏是數據安全領域落地場景較為成熟的技術手段，在數據深層次、大范圍的共享開放的今天，數據脫敏在不影響數據使用的前提下保護敏感隱私數據，已成為數據安全建設重要內容。

本文通過對數據脫敏技術及應用場景等進行梳理，為各行業用戶更好的實施數據脫敏技術提供指南，主要內容包括以下四個方面：

▼數據脫敏法規政策合規依據

▼數據脫敏技術定義及實施過程解析

▼數據脫敏典型應用場景

▼數據脫敏管理體系的建立

數據脫敏法規政策合規依據

《網絡安全法》第四十二條：網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

《數據安全法》第二十七條：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，采取相應的技術措施和其他必要措施，保障數據安全。

《個人信息保護法》第五十一條：個人信息處理者應當根據個人信息處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取相應的加密、去標識化等安全技術措施。

《信息安全技術 網絡安全等級保護基本要求》明確規定：二級以上保護則需要對敏感數據進行脫敏處理。H.4.3安全計算環境 “大數據平臺應提供靜態脫敏和去標識化的工具或服務組件技術?！?H.4.5安全運維管理 “應在數據分類分級的基礎上，劃分重要數字資產范圍，明確重要數據進行自動脫敏或去標識使用場景和業務處理流程。”

《網絡數據安全管理條例（征求意見稿）》第十二條：數據處理者向第三方提供個人信息，或者共享、交易、委托處理重要數據的，應當遵守：（一）向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點，并取得個人單獨同意，符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外。

典型行業：金融行業合規要求

《中國銀行業“十二五”信息科技發展規則監管指導意見》：加強數據、文檔的安全管理，逐步建立信息資產分類分級保護機制。完善敏感信息存儲和傳輸等高風險環節的控制措施，對數據、文檔的訪問應建立嚴格的審批機制。對用于測試的生產數據要進行脫敏處理，嚴格防止敏感數據泄露。

《金融行業網絡安全等級保護實施指引》：應將開發環境、測試環境、實際運行環境相互分離，敏感數據經過脫敏后才可在開發或測試中使用。

《金融數據 安全數據生命周期安全規范》：開發測試等過程的數據，應事先進行脫敏處理，防止數據處理過程中的數據泄露，國家及行 業主管部門另有規定的除外。

《商業銀行信息科技風險現場檢查指南》: 開發過程中是否使用了生產數據，使用的生產數據是否得到高級管理層的批準并經過脫敏或相關限制?！薄皽y試用例是否有生產數據，當使用生產數據測試時是否得到高級管理層的審批并采取相關限制及進行脫敏處理。

典型行業：電信和互聯網行業合規要求

《電信和互聯網行業數據安全 標準體系建設指南》：數據處理 數據處理標準用于規范敏感數據、個人信息的保護機制 及相關技術要求，明確敏感數據保護的場景、規則、技術方 法，主要包括匿名化/去標識化、數據脫敏、異常行為識別等標準。

《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》：指導電信和重點互聯網企業加強內部網絡數據安全組織保障，推動設立或明確網絡數據安全管理責任部門和專職人員，負責承擔企業內部網絡數據安全管理工作，督促協調企業內部各相關主體和環節嚴格落實操作權限管理、日志記錄和安全審計、數據加密、數據脫敏、訪問控制、數據容災備份等數據安全保護措施，組織開展數據安全崗位人員法律法規、知識技能等培訓。

《電信網和互聯網數據脫敏技術要求與測試方法》：提出了數據脫敏技術應用架構，并且總結了在實際應用數據脫敏技術過程中，主要涉及的三個要素：脫敏算法、脫敏規則、脫敏策略。此外標準還提出了數據脫敏后的效果評估策略。

《電信網和互聯網數據安全評估規范》：查驗企業數據脫敏處理管理規范和制度文件，是否明確數據脫敏處理使用應用場景，明確數據脫敏規則、脫敏方法、數據脫敏處理流程、涉及部門及人員的職責分工等。查驗企業數據脫敏處理管理規范和制度，企業業務和業務支撐系統在數據權限和資源的申請階段，是否由該數據的數據安全管理負責人員評估使用真實數據的必要性，以及確定該場景下適用的數據脫敏規則及方法。

查驗數據脫敏處理管理規范和制度，是否建立數據脫敏處理技術應用安全評估機制，對脫敏后的數據可恢復性進行安全評估，是否對于可恢復形成原始數據的脫敏方法（含算法）進行安全加強。演示企業業務測試系統數據庫，企業是否使用未脫敏的數據用于業務系統的開發測試。查驗演示企業數據脫敏工具，是否能對數據脫敏處理過程相應的操作進行記錄，提供數據脫敏處理安全審計能力。

數據脫敏技術定義及實施過程解析

01

數據脫敏的定義

數據脫敏是指對某些敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護。在涉及客戶安全數據或者一些商業性敏感數據的情況下，在不違反系統規則條件下，對真實數據進行改造并提供測試使用，如身份證號、手機號、卡號、客戶號等個人信息都需要進行數據脫敏。

02

數據脫敏發展歷程：

▼人工脫敏階段：多為SQL腳本方式，在ETL處理過程中進行脫敏，該方式工作量大、數據處理效率低，同時存在數據質量差、無法保證數據結構的完整性、數據間的關聯性。

▼平臺脫敏階段：融合了敏感數據自動發現、系統流程化脫敏、支持豐富數據源、脫敏算法庫充足、敏感類型豐富等功能，從而減輕人工成本的同時提升效率，保證數據脫敏的基本訴求。

▼自動脫敏階段：通過應用機器學習等技術，結合各類數據分類分級規則及已實際使用的數據脫敏策略及規則，實現自動化實時敏感數據發現、自動化脫敏規則匹配等智能化數據脫敏的結果。同時，具備分布式等多種部署支持，智能性能分析，自動化調優等能力。

03

數據脫敏關鍵技術能力：

1、高仿真能力：

▼保持數據原始業務特征

▼保持數據之間的關聯性

▼保持數據之間邏輯一致性

▼業務依賴數據對象同步

2、豐富數據源支持

▼關系型數據庫支持

▼大數據平臺支持

▼特殊文件類型支持

▼消息列隊支持

3、內置豐富脫敏規則

▼支持多種數據脫敏算法

▼支持組合脫敏、自定義分段規則

▼具備細粒度數據處理能力

4、高處理效率

▼單臺設備性能最大化

▼具備增量脫敏能力

▼支持分布式部署

04

數據脫敏分類：

如上圖所示：動態脫敏會對數據進行多次脫敏，更多應用于直接連接生產數據的場景，在用戶訪問生產環境敏感數據時，通過匹配用戶IP或MAC地址等脫敏條件，根據用戶權限采用改寫查詢SQL語句等方式返回脫敏后的數據。例如運維人員在運維工作中直連生產數據庫，業務人員需要通過生產環境查詢客戶信息等

05

脫敏算法推薦形態

06

數據脫敏常用算法與實例

其它脫敏算法：

07

數據脫敏策略

在設定具體場景下數據脫敏策略時應充分考慮數據脫敏后數據自身可用性及數據保密性尋求兩者間的平衡。數據脫敏策略的選擇如下顯示。數據脫敏的目標包括：

▼避免攻擊者識別出原始個人信息主體；

▼控制重標識的風險，確保重標識風險不會增加；

▼在控制重標識風險的前提下，確保脫敏后的數據集盡量滿足其預期目的；

▼選擇合適的數據處理方式保證信息攻擊成本不足以支撐攻擊動機。

08

數據脫敏實施流程：

1、敏感數據識別，對生產系統中敏感數據的識別，主要包括：

▼存儲位置：明確敏感數據所在的數據庫、表、字段（列）；

▼數據分類、分級：明確敏感數據所屬類別及敏感級別。

2、策略選擇、算法配置，脫敏算法配置主要包括：數據脫敏后保持原始特征的分析、數據脫敏算法的選擇和數據脫敏算法參數配置。

▼保持原始數據的格式、類型；

▼保持原有數據之間的依存關系；

▼保持引用完整性、統計特性、頻率分布、唯一性、穩定性。配置需要脫敏的目標（數據庫名/表名/字段名）以及適當的脫敏算法參數，根據業務需求完成其他算法的參數配置。

3、數據脫敏任務執行階段，按照不同需求選擇，動態脫敏處理步驟和靜態脫敏處理步驟：

動態脫敏處理步驟：

▼協議解析：解析用戶、應用訪問大數據組件網絡流量；

▼語法解析：對訪問大數據組件的語句進行語法分析；
脫敏規則匹配：根據用戶身份信息及要訪問的數據；

▼下發脫敏任務：由脫敏引擎調度脫敏任務；
脫敏結果輸出：將脫敏后的數據輸出，保證原始數據的不可見。

靜態脫敏處理步驟：

▼數據選擇/策略配置：選擇待脫敏的數據庫及表，配置脫敏策略及脫敏算法，生成脫敏任務；

▼執行脫敏處理：對不同類型數據進行處理，將數據中的敏感信息進行刪除或隱藏；

▼將脫敏后的數據按用戶需求，裝載至不同環境中，包括文件至文件，文件至數據庫，數據庫至數據庫，數據庫至文件等多種裝載方式。

審核編輯：劉清