数据脱敏技术定义及实施过程解析

数据脱敏是数据安全领域落地场景较为成熟的技术手段，在数据深层次、大范围的共享开放的今天，数据脱敏在不影响数据使用的前提下保护敏感隐私数据，已成为数据安全建设重要内容。

本文通过对数据脱敏技术及应用场景等进行梳理，为各行业用户更好的实施数据脱敏技术提供指南，主要内容包括以下四个方面：

▼数据脱敏法规政策合规依据

▼数据脱敏技术定义及实施过程解析

▼数据脱敏典型应用场景

▼数据脱敏管理体系的建立

数据脱敏法规政策合规依据

《网络安全法》第四十二条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

《数据安全法》第二十七条：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全。

《个人信息保护法》第五十一条：个人信息处理者应当根据个人信息处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应的加密、去标识化等安全技术措施。

《信息安全技术 网络安全等级保护基本要求》明确规定：二级以上保护则需要对敏感数据进行脱敏处理。H.4.3安全计算环境 “大数据平台应提供静态脱敏和去标识化的工具或服务组件技术。” H.4.5安全运维管理 “应在数据分类分级的基础上，划分重要数字资产范围，明确重要数据进行自动脱敏或去标识使用场景和业务处理流程。”

《网络数据安全管理条例（征求意见稿）》第十二条：数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守：（一）向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外。

典型行业：金融行业合规要求

《中国银行业“十二五”信息科技发展规则监管指导意见》：加强数据、文档的安全管理，逐步建立信息资产分类分级保护机制。完善敏感信息存储和传输等高风险环节的控制措施，对数据、文档的访问应建立严格的审批机制。对用于测试的生产数据要进行脱敏处理，严格防止敏感数据泄露。

《金融行业网络安全等级保护实施指引》：应将开发环境、测试环境、实际运行环境相互分离，敏感数据经过脱敏后才可在开发或测试中使用。

《金融数据 安全数据生命周期安全规范》：开发测试等过程的数据，应事先进行脱敏处理，防止数据处理过程中的数据泄露，国家及行 业主管部门另有规定的除外。

《商业银行信息科技风险现场检查指南》: 开发过程中是否使用了生产数据，使用的生产数据是否得到高级管理层的批准并经过脱敏或相关限制。”“测试用例是否有生产数据，当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理。

典型行业：电信和互联网行业合规要求

《电信和互联网行业数据安全 标准体系建设指南》：数据处理 数据处理标准用于规范敏感数据、个人信息的保护机制 及相关技术要求，明确敏感数据保护的场景、规则、技术方 法，主要包括匿名化/去标识化、数据脱敏、异常行为识别等标准。

《电信和互联网行业提升网络数据安全保护能力专项行动方案》：指导电信和重点互联网企业加强内部网络数据安全组织保障，推动设立或明确网络数据安全管理责任部门和专职人员，负责承担企业内部网络数据安全管理工作，督促协调企业内部各相关主体和环节严格落实操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施，组织开展数据安全岗位人员法律法规、知识技能等培训。

《电信网和互联网数据脱敏技术要求与测试方法》：提出了数据脱敏技术应用架构，并且总结了在实际应用数据脱敏技术过程中，主要涉及的三个要素：脱敏算法、脱敏规则、脱敏策略。此外标准还提出了数据脱敏后的效果评估策略。

《电信网和互联网数据安全评估规范》：查验企业数据脱敏处理管理规范和制度文件，是否明确数据脱敏处理使用应用场景，明确数据脱敏规则、脱敏方法、数据脱敏处理流程、涉及部门及人员的职责分工等。查验企业数据脱敏处理管理规范和制度，企业业务和业务支撑系统在数据权限和资源的申请阶段，是否由该数据的数据安全管理负责人员评估使用真实数据的必要性，以及确定该场景下适用的数据脱敏规则及方法。

查验数据脱敏处理管理规范和制度，是否建立数据脱敏处理技术应用安全评估机制，对脱敏后的数据可恢复性进行安全评估，是否对于可恢复形成原始数据的脱敏方法（含算法）进行安全加强。演示企业业务测试系统数据库，企业是否使用未脱敏的数据用于业务系统的开发测试。查验演示企业数据脱敏工具，是否能对数据脱敏处理过程相应的操作进行记录，提供数据脱敏处理安全审计能力。

数据脱敏技术定义及实施过程解析

01

数据脱敏的定义

数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。

02

数据脱敏发展历程：

▼人工脱敏阶段：多为SQL脚本方式，在ETL处理过程中进行脱敏，该方式工作量大、数据处理效率低，同时存在数据质量差、无法保证数据结构的完整性、数据间的关联性。

▼平台脱敏阶段：融合了敏感数据自动发现、系统流程化脱敏、支持丰富数据源、脱敏算法库充足、敏感类型丰富等功能，从而减轻人工成本的同时提升效率，保证数据脱敏的基本诉求。

▼自动脱敏阶段：通过应用机器学习等技术，结合各类数据分类分级规则及已实际使用的数据脱敏策略及规则，实现自动化实时敏感数据发现、自动化脱敏规则匹配等智能化数据脱敏的结果。同时，具备分布式等多种部署支持，智能性能分析，自动化调优等能力。

03

数据脱敏关键技术能力：

1、高仿真能力：

▼保持数据原始业务特征

▼保持数据之间的关联性

▼保持数据之间逻辑一致性

▼业务依赖数据对象同步

2、丰富数据源支持

▼关系型数据库支持

▼大数据平台支持

▼特殊文件类型支持

▼消息列队支持

3、内置丰富脱敏规则

▼支持多种数据脱敏算法

▼支持组合脱敏、自定义分段规则

▼具备细粒度数据处理能力

4、高处理效率

▼单台设备性能最大化

▼具备增量脱敏能力

▼支持分布式部署

04

数据脱敏分类：

如上图所示：动态脱敏会对数据进行多次脱敏，更多应用于直接连接生产数据的场景，在用户访问生产环境敏感数据时，通过匹配用户IP或MAC地址等脱敏条件，根据用户权限采用改写查询SQL语句等方式返回脱敏后的数据。例如运维人员在运维工作中直连生产数据库，业务人员需要通过生产环境查询客户信息等

05

脱敏算法推荐形态

06

数据脱敏常用算法与实例

其它脱敏算法：

07

数据脱敏策略

在设定具体场景下数据脱敏策略时应充分考虑数据脱敏后数据自身可用性及数据保密性寻求两者间的平衡。数据脱敏策略的选择如下显示。数据脱敏的目标包括：

▼避免攻击者识别出原始个人信息主体；

▼控制重标识的风险，确保重标识风险不会增加；

▼在控制重标识风险的前提下，确保脱敏后的数据集尽量满足其预期目的；

▼选择合适的数据处理方式保证信息攻击成本不足以支撑攻击动机。

08

数据脱敏实施流程：

1、敏感数据识别，对生产系统中敏感数据的识别，主要包括：

▼存储位置：明确敏感数据所在的数据库、表、字段（列）；

▼数据分类、分级：明确敏感数据所属类别及敏感级别。

2、策略选择、算法配置，脱敏算法配置主要包括：数据脱敏后保持原始特征的分析、数据脱敏算法的选择和数据脱敏算法参数配置。

▼保持原始数据的格式、类型；

▼保持原有数据之间的依存关系；

▼保持引用完整性、统计特性、频率分布、唯一性、稳定性。配置需要脱敏的目标（数据库名/表名/字段名）以及适当的脱敏算法参数，根据业务需求完成其他算法的参数配置。

3、数据脱敏任务执行阶段，按照不同需求选择，动态脱敏处理步骤和静态脱敏处理步骤：

动态脱敏处理步骤：

▼协议解析：解析用户、应用访问大数据组件网络流量；

▼语法解析：对访问大数据组件的语句进行语法分析；
脱敏规则匹配：根据用户身份信息及要访问的数据；

▼下发脱敏任务：由脱敏引擎调度脱敏任务；
脱敏结果输出：将脱敏后的数据输出，保证原始数据的不可见。

静态脱敏处理步骤：

▼数据选择/策略配置：选择待脱敏的数据库及表，配置脱敏策略及脱敏算法，生成脱敏任务；

▼执行脱敏处理：对不同类型数据进行处理，将数据中的敏感信息进行删除或隐藏；

▼将脱敏后的数据按用户需求，装载至不同环境中，包括文件至文件，文件至数据库，数据库至数据库，数据库至文件等多种装载方式。

审核编辑：刘清