标准规范下载简介
JR/T 0223-2021 金融数据安全 数据生命周期安全规范.pdf3)因业务确需无法对数据进行脱敏或加密处理的,应明确相应授权审批机制,事前对委托 处理的内容通过专项审批,并采取技术措施防止数据被泄露、误用和滥用。 h)对委托处理的数据进行安全审计,要求如下: 数据通过信息系统与委托方进行传递时,则应在相应的控制节点设置安全审计功能,对 数据的外发与回传进行审计,其中信息系统包括API、摆渡服务器,控制节点包括信息 系统业务功能、API、服务器用户。 2 数据以纸质介质或磁盘等存储介质与委托方进行传递时,则应执行相应的内部授权审批 程序,对传递数据的内容、用途、量级,数据接收方情况、使用时长、数据是否收回或 由对方进行销毁等情况进行说明与审批,有关记录留档备查,其中数据接收方细化至法 人机构数据安全负责人。 应保存委托处理过程记录与有关数据的处理情况,以留档备查
7.4. 11数据共享
据共享是指金融数据在不同部门或机构之间进行分享,包含与行业主管部门的数据分享,各方 亥数据相关权利和义务的过程。数据共享安全要求如下: 数据内部共享是指发生在金融业机构内部,在本部门职能需要之外进行的数据共享,安全要 求如下: 1 应梳理数据共享的各类场景,明确各类场景的安全要求和责任部门,并建立相应的审核 批准机制,对数据使用目的、内容、使用时间、技术防护措施、数据使用后的处置方式 等进行审批,并留存相关记录。 在数据共享前DB65/T 4028-2017 森林生态系统服务功能评估监测指标体系规范.pdf,应开展数据安全影响评估,对共享的数据内容、数据范围、时间周期、 传输方式、用途、安全管控手段等要素进行评估,涉及个人金融信息的不应超出其授权 范围,数据安全保护强度不因数据共享而降低。 3 应对2级以及上的数据共享过程留存日志记录,记录内容包括但不限于共享内容、共享 时间、防护技术措施等。 4 采取以下措施确保3级及以上数据共享的安全性: 一一原则上应对3级及以上数据进行脱敏; 一若因业务确需,无法对数据进行脱敏的,应对共享内容通过专项审批,并对数据进 行加密、选用安全可靠的传输协议或在安全可控的环境中进行共享; 一脱敏方式的选取宜充分结合数据共享场景、业务需要和安全风险评估结果,选择被 猜解或碰撞风险相对较低的脱敏技术; 一脱敏措施的部署应尽可能靠近数据源头,如数据库视图、应用系统底层API接口等, 5) 不应共享4级数据。 6) 利用自动化工具如代码、脚本、接口、算法模型、软件开发工具包等进行数据共享时, 应通过身份认证、数据加密、反爬虫机制、攻击防护和流量监控等手段,有效防范网络 监听、接口滥用等网络攻击,并定期检查和评估自动化工具安全性和可靠性。 7 数据使用部门应根据共享前约定的数据使用期限,对数据进行安全处置,数据共享方应 对处置结果进行确认。 数据外部共享指金融业机构在经营过程中,在本机构职能需要之外与外部机构进行的数据共 享,安全要求如下: 应满足7.4.1a)所述安全要求。 2 应与数据接收方通过合同协议等方式,明确双方在数据安全方面的责任及义务,并约定 共享数据的内容和用途、使用范围等
JR/T 02232021
3)应定期对数据接收方的数据安全保护能力进行评估,确保数据接收方具备足够的数据安 全保护能力,当数据接收方丧失数据安全保护能力时,应启动应急响应程序。 4 应向个人金融信息主体等告知共享数据的目的、数据接收方的类型,并事先征得相应授 权。 5 应帮助个人金融信息主体等了解数据接收方数据的存储、使用等情况。 6 对共享数据,应执行以下安全控制措施: 一共享数据涉及2级、3级数据时,应对数据进行加密处理,并采取数据标记、数据 水印等技术,降低数据被泄露、误用、滥用的风险; 一应定期对共享的数据进行安全审计; 一应配套建立应急响应机制,必要时应及时切断数据共享。 按照国家及行业主管部门有关要求,向行业主管和监管部门等有关机构履行数据报送义 务时,应采取有效措施确保数据接收方的身份真实性、数据的保密性、真实性与完整性,
数据删除是指在金融产品和服务所涉及的系统及设备中去除数据,使其保持不可被检索、访问的 犬态。金融业机构在执行数据删除工作时,安全要求如下: a 应依据国家及行业主管部门有关规定及与个人金融信息主体约定的时限等,针对不同类型的 数据设定其数据保存期,对于多个不同保存期数据的集合,保存期限选择最长时限为该数据 集合的保存期。 b 超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据,应执行数据 删除操作。 C 应采取技术手段,在金融产品和服务所涉及的系统中去除待删除的数据。 开发测试、数据分析等金融业机构内部数据使用需求执行完毕后,应由数据使用部门依据金 融业机构数据删除有关规定,对其使用的有关数据进行删除,记录处理过程,并将处理结果 及时反馈至内部数据安全管理部门,由其进行数据删除情况确认。 e 3级及以上数据应建立数据删除的有效性复核机制,定期检查能否通过业务前台与管理后台 访问已被删除数据。 f 个人金融信息主体要求删除个人金融信息时,应依据国家及行业主管部门有关规定,以及与 个人金融信息主体的约定予以响应。 g 在停止其提供的金融产品或服务时,应对其在提供该金融产品或服务过程中所收集的个人金 融信息进行删除或匿名化处理,与个人金融信息主体另有约定的除外,国家及行业主管部门 另有规定的按照相关规定执行。 h 金融产品或服务的用户主动提出删除其数据的情形,如账户注销,应对其相应信息进行删除 与个人金融信息主体另有约定的除外,国家及行业主管部门另有规定的按照相关规定执行
数据销毁是指金融业机构在停正业务服务、数据使用以及存储空间释放再分配等场景下,对数据 军、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或者物理销毁的方式确保数据无法 复原的过程。其中,数据擦除是指使用预先定义的无意义、无规律的信息多次反复写入存储介质的存 诸数据区域;物理销毁是指采用消磁设备、粉碎工具等设备以物理方式使存储介质彻底失效。数据销 毁安全要求如下:
a)应制定数据存储介质销毁操作规程,明确数据存储介质销毁场景、销毁技术措施,以及销毁 过程的安全管理要求,并对已共享或者已被机构内部部门使用的数据提出有针对性的数据存 储介质销毁管控规程。 存储数据的介质如不再使用,应采用不可恢复的方式如消磁、焚烧、粉碎等对介质进行销毁 处理。 C 存储介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行数据销毁,应通 过多次覆写等方式安全地擦除数据,确保介质中的数据不可再被恢复或者以其他形式被利 用,具体措施包括但不限于: 1 采用数据擦除方式销毁数据时,明确定义数据填充方式与擦除次数如全零、全一以及随 机零一最少填写7次,并保证数据擦除所填充的字符完全覆盖存储数据区域。 2) 通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查,验证数据销毁结果。 3)针对数据擦除后擦除失败的存储介质,进一步采用物理方式进行销毁。 应明确数据销毁效果评估机制,定期对数据销毁效果进行抽样认定,通过数据恢复工具或数 据发现工具进行数据的尝试恢复及检查,验证数据删除结果。 e 应采取双人制实施数据销毁,分别作为执行人和复核人,并对数据销毁全过程进行记录,定 期对数据销毁记录进行检查和审计。 f 3级及以上数据存储介质不应移作他用,销毁时应采用物理销毁的方式对其进行处理,如消 磁或磁介质、粉碎、融化等。 4级数据存储介质的销毁应参照国家及行业涉密载体管理有关规定,由具备相应资质的服务 机构或数据销毁部门进行专门处理 应岗位人员对其进行全程监督
金融业机构应设立数据安全管理委员会,建立自上而下的覆盖决策、管理、执行、监督四个层面 的数据安全管理体系(见图2),明确组织架构和岗位设置,保障数据生命周期安全防护要求的有效落 实,要求如下:
图2数据安全管理体系
NR/T 0223202
独业机构对数据安全管理相关人员进行管理,具体要求如下: 在人员录用及日常管理方面,应满足以下要求: 1)录用员工前,进行必要的背景调查。 2 对数据安全关键岗位制定统一的保密协议,并与可接触机构3级及以上数据的员工以及 从事数据安全关键岗位的员工签署保密协议 3 识别机构数据安全关键岗位,并与其签署数据安全岗位责任协议,数据安全关键岗位包 括但不限于: 一 数据安全管理岗位、审计岗位; 一业务操作与信息技术操作特权账户所有者; 一一数据各级权限审批岗位; 一一重要数据处理岗位; 一信息系统开发、测试岗位人员: 一一因业务需要,需高频和(或)大批量接触3级及以上数据的岗位人员: 一一外部数据采购岗位; 其他金融业机构识别的数据安全关键岗位。 4 在发生人员调离岗位时,立即完成相关人员数据访问、使用等权限的配置调整,并明确 有关人员后续的数据保护管理权限和保密责任;若有关人员调整后的岗位不涉及数据的 访问与处理的,明确其继续履行有关信息的保密义务要求 5 与员工终止劳动合同时,立即终止并收回其对数据的访问权限,明确并告知其继续履行 有关信息的保密义务要求,并签订保密承诺书。 6 建立外部人员管理制度,对充许被外部人员访问的系统和网络资源建立数据存取控制机 制、认证机制,列明所有外部用户名单及其权限,加强对外部人员的数据安全要求和培 训,必要时签署保密协议。 在人员培训和教育方面,应制定数据安全相关岗位人员的安全专项培训计划,并至少满足以 下要求: 1 按照培训计划定期开展数据安全意识教育与培训,培训内容包括但不限于国家有关法律 法规、行业规章制度、技术标准,以及金融业机构内部数据安全有关制度与管理规程等 内容,并对培训结果进行评价、记录和归档。 2 对密切接触高安全等级数据的人员定期开展数据安全意识教育和培训,培养办公数据定 期删除意识,并定期开展数据删除自查工作。 3 每年至少对数据安全管理专职与关键岗位人员进行1次数据安全专项培训。 4 至少每年1次或在隐私政策发生重大变化时,对数据安全关键岗位上的人员开展专业化 培训和考核,确保人员熟练掌握隐私政策和相关规程。 在数据相关人员管理及关键岗位设置方面,应进一步加强管理,并应对接触高安全等级金融 数据的人员及其岗位进行审批和登记,并定期对这些人员行为进行安全审查。 数据库管理员、操作员及安全审计人员等岗位应设立专人专岗,并实行职责分离;必要时特 权账户所有者、关键数据处理岗位等数据安全关键岗位应设立双人双岗,强化数据安全管理
NR/T 0223202
9.2.1访问控制策略
访问控制策略安全要求如下: a)依据数据的不同类型与安全级别设计不同的访问控制策略: 应依据“业务必需、最小权限、职责分离”的原则,设计数据库系统与文件系统的用户 鉴别和访问控制策略,并对各类系统用户设计其工作必需的最小访问权限。 2) 应依据“业务必需、最小权限、职责分离”的原则,设计业务系统用户对系统业务功能 与相应系统业务数据的访问控制策略,并对各类业务系统用户的访问控制实现方式和具 体授权机制进行明确说明。 3) 访问控制策略应使用白名单机制,明确定义允许的行为。 4)对数据库系统、存储系统、文件管理系统与存储介质管理有关管理员用户,应建立管理 员身份标识与鉴别机制,并对其防控权限与操作规程进行详细说明。 b) 应建立面向数据应用的安全控制机制,包括访问控制时效的管理和验证,以及应用接入数据 存储的合法性和安全性取证机制,宜建立基于用户行为或设备行为的数据存储安全监测与控 制机制。
9. 2. 2物理环境访问控制
JR/I 02232021
放置数据存储系统与存储介质的物理环境,访问控制机制安全要求如下: a 数据存储系统应部署在高安全等级区域,存储系统服务器与带库等设备机房出入口应部署电 子门禁、视频监控等措施控制、鉴别和记录进入的人员。 第三方机构人员访问存储系统服务器与带库区域应执行严格的授权审批程序,使用明显标识 标志其访客身份,由金融业机构人员全程陪同,记录出入时间,并限制和监控其活动范围。 应对包括备份介质在内的存储介质出入库采取措施进行出入库控制,并由金融业机构内部指 定岗位人员完成,未经金融业机构授权,任何存储介质不应带离磁带库房。
9. 2.3信息系统与介质访问控制
访问金融数据的业务应用系统访问控制机制安全要求如下: a)用户角色的定义和权限设计应遵循以下原则: 1)参考业务职能,确定系统中需设置的各类用户角色如经办人员、操作人员、管理人员、 审计人员等权限。 2 用户角色定义和权限设计能够体现职责分离的安全制约原则,如经办人员和审计人员权 限分离。 3) 严格限制系统中缺省用户的权限。 b)用户角色的访问范围和方式应满足以下要求: 1 控制用户对业务功能的访问范围,如功能菜单、业务文件、数据库表、表中的业务数据 字段和其他资源。 2)控制用户对业务数据的访问方式,如读、写、删除、创建等。 C 系统应具备登录失败处理功能,可采取结束会话、限制非法登录次数、设置抑制时间和网络 登录连接超时自动退出等措施。 d 对于承载4级及以上数据的信息系统,业务系统以及所承载的基础设施的访问,应结合访问 者身份及系统安全状态进行访问授权和控制
9.2.4数据存储系统的访问控制
9. 3. 2 流量分析
金融业机构业务流量分析安全要求如下: a)宜采取流量分析技术对数据采集、传输、处理、分析等关键节点进行监测。 应部署以数据为中心的数据流量分析系统,识别并分析高安全等级数据流动情况,包括流动 类型、流动范围、数据载体、日均量级、数据账号访问情况、数据流向等信息,并对异常流 量、行为等进行告警 C 应对比分析流量中数据流动异常情况如不安全的采集设备与采集内容、非授权时段访问高安 全等级数据、未授权访问、频繁访问、超量数据传输、多次尝试、批量下载等,及时发现风 险问题并进行处置。 d 宜对比分析数据流量变化和规律,构建数据流动流量基线和高安全等级数据流动基线,及时 形成总结报告,并对安全防护措施进行针对性调整。 应对互联网出口流量进行实时检测,发现数据流量异常、数据流向未经授权等行为并及时处 置。
9.3.3异常行为监测
JR/I02232021
JR/I02232021
金融业机构宜具备有效感知内部数据安全风险并准确定位响应的能力,态势感知安全要求如下: a)宜在内部各个关键节点,通过安全设备、探针等检测相关信息,包括但不限于设备指纹、上 网行为日志、管理平台的审批日志、业务操作日志、数据库日志、流量日志。 b 宜对账号、IP、数据接口、数据系统、数据设备进行画像,通过算法模型检测内部潜在的账 户盗用、数据滥用、数据外发、数据篡改、数据窃取、数据爬取等安全风险和威胁,并进行 可视化展示各类风险和数据流动态势。 c 宜结合实时安全漏洞资讯、错报等信息对态势感知平台的底层规则进行及时更新
NR/T 0223202
机构评估等。 数据安全检查宜采取多种形式,如自查、内部检查和外部检查等,执行管理和技术并重的检 查原则,并通过技术工具对相关管理检查内容进行验证和确认。 针对检查评估过程中发现的问题,应指定责任部门,制定适宜的整改计划,并跟踪落实。 应妥善留存有关安全评估报告,确保可供相关方查阅,并以适宜的形式对外公开。 应采取技术措施确保检查评估记录和检查报告的安全留存
附录A (资料性) 数据采集模式 金融数据采集流程实现对数据的采集与提取、数据转换与标准化、信息交换与上传,并提供内置安 全审计与监管等辅助工具。按照采集模式,可分为从外部机构和从个人金融信息主体处采集数据,见下 图
金融数据采集流程实现对数据的采集与提取、数据转换与标准化、信息交换与上传,并提 全审计与监管等辅助工具。按照采集模式,可分为从外部机构和从个人金融信息主体处采集数 文
金融数据采集流程可涉及
a)确定采集的原始数据源及内容:通过分析业务所需的数据,明确数据采集标准范围及属性。 1)从外部机构采集的数据源包括但不限于:数据库、XML、CSV、Excel、结构化文本、非结 构化文件等。 2) 从金融客户采集的数据源包括但不限于:账户信息、鉴别信息、金融交易信息、个人身份 信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。 b 确定数据采集方式:通过分析数据源类型,根据可操作性、成本导向等原则选定采集的方式技 术。 1 从外部机构采集数据的方式包括但不限于:与外部机构合作,通过使用特定系统接口等方 式。 2 从金融客户采集数据的方式包括但不限于:通过金融业机构柜面、信息系统、自助设备、 受理终端、客户端软件等方式。 数据采集及预处理:确定采集方式后,采集的数据经过清洗和标准化转换,存储到数据库中。 数据采集安全监控:对数据采集过程、结果、明细、性能、异常进行实时动态监控,帮助及时 厂解运转情况
金融数据传输涉及与金融业机构相关联的全通信网络架构。按照传输模式,可分为金融业机构内部 数据传输、金融业机构与外部机构或金融客户的数据传输两种,不同传输模式和不同传输对象间所采用 的数据传输技术也不同,见下图。 金融业机构内部数据传输包括本机构同一数据中心节点内部或其同一分、子机构内部数据传输,本 机构与分、子机构数据传输,以及本机构内部不同数据中心之间数据传输。其中,同一数据中心节点内 部数据传输,以及同一分、子机构内部数据传输,通常采用本地局域网方式;本机构与其分、子机构数 居传输,以及分、子机构之间数据传输,通常采用VPN或基于专线技术的机构内骨干网方式;本机构内 部不同数据中心的数据传输,通常采用VPN、城域网或基于专线技术的机构内骨干网方式。 金融业机构外部数据数据传输包括金融业机构与外部机构数据传输,以及金融业机构与金融客户数 居传输。其中,与外部机构数据传输通常采用专线或VPN的方式;与金融客户数据传输通常采用有线互 联网、移动互联网、第三方互联网应用、无线互联网等方式,
图金融业机构数据传输模式
JR/I02232021
附录( (资料性) 数据脱敏
金融业机构在开展金融数据安全防护工作过利 敏感信息的保护是具中无为重要的环节。金融 业机构类型众多且数量庞大,随着我国信息化与数字化建设进程的不断加快,金融产品与服务的形式和 内容也愈加多样。金融业机构在业务开展和日常运营过程中,积累了大量的数据,这些数据大多直接关 联金融消费者的财产和数据安全,甚至关乎国家经济建设与社会稳定,具有较强的敏感性。因此,对敏 感信息的保护已成为金融数据安全应用过程中需首要解决的问题。金融敏感信息通常包括国家规定的敏 感信息、业务数据的敏感信息,以及个人金融信息的敏感信息等,在实际应用过程中,需要根据实际业 务场景、数据安全级别等因素,选择适当的数据脱敏方式防止敏感信息泄露。
数据脱敏是指从原始环境间目标环境进行敏感数据交换时,通过一定的方法消除原始环境中数据的 致感性,并保留目标环境业务所需的数据特性或内容的数 据处理过程,常用数据脱敏方法技术见表C.1。 本附录中数据脱敏主要针对金融行业中的个人金融信息和金融重要数据,其中个人金融信息的脱敏是金 融领域隐私保护的一种常见的方式,金融业机构借助数据脱敏技术,消除个人金融信息敏感性,有效保
■常用数据脱敏方法技才
JR/I 02232021
数据脱敏要确保消除数据的敏感性,尽可能平衡数据脱敏花费的代价、使用方的业务需求等多个因 素。所以,为了确保数据脱敏的过程及代价可控,得到的结果正确且满足业务需要,在实施数据脱敏时, 遵循以下原则: a)有效性:指数据脱敏过程的有效性,原始数据经脱敏处理后,原始信息中包含的敏感信息已被 消除,无法通过处理后的数据得到敏感信息,防止使用非敏感数据进行推断、重建、还原敏感 原始数据。 b 高效性:指数据脱敏过程的高效性,通过借助计算机程序实现脱敏自动化,并可重复执行,在 不影响有效性的前提下,平衡脱敏的力度和代价,将数据脱敏工作控制在一定的时间和经济成 本内。 C 可重现:即相同原始数据在配置相同算法和参数的情况下,脱敏后的数据具有一致性,随机类 的算法除外。 d 关联性:对于结构化和半结构化数据,在同一数据表中某字段与另外字段有对应关系,如果脱 敏算法破坏了这种关系,该字段的使用价值将不复存在,通常在进行数据统计需要参考量的情 况下,数据的关联性较高。 e 可配置性:指数据脱敏过程的可配置性,由于不同场景下的安全需求不同,数据脱敏的处理方 式和处理字段也不尽相同,因此需通过配置的方式,按照输入条件不同,生成不同的脱敏结果, 从而可按数据使用场景等因素为不同的需求提供不同的脱敏数据。
C.4数据脱敏方法技术
泛化是指在保留原始数据局部特征的前提下使用一般值替代原始数据,具体的技术方法包括但不限 a 截断:直接舍弃业务不需要的信息,仅保留部分关键信息,数据截断后的结果往往无法较好地 保持原有业务属性,因此在对数据截断时,根据数据特点酌情选择截断位数。 示例:1)将手机号码12300010001截断为1230001。 2)把身份证号码123184198501184115截断为198501184115 b) 偏移取整:按照一定粒度对数据进行向上或向下偏移取整,可在保证数据一定分布特征的情况 下隐藏数据原始属性,偏移取整的方法主要通过舍弃一定的精度来保证原始数据的安全性,可 一定程度上保持数据业务特性上的分布密度,适用于粗略统计分析的场景。 示例:1)将时间2020032218:08:19按照10秒钟粒度向下取整得到2020032218:08:10。 2)将金额5123.62元按照百位粒度向上取证得到5100元。 C 规整:将数据按照大小规整到预定义的多个档位,规整的方法尽管保持了一定的业务含义,但 是很大程度上会丧失数据原有的精度,可根据实际的业务需要选择泛化技术的实现方法。 示例:1)将客户资产按照规模分为高、中、低三个级别,将客户资产数据用这三个级别代替。 2)客户产生的业务费用按照金额多少分为高、中、低三个级别,将客户业务费用用这三个级别代替。
印制是指通过隐藏数据中部分信息的方式来对原始数据的值进行转换,文称为隐藏技术。 掩码屏蔽:指保留部分信息,对敏感数据的部分内容用通用字符(如“X、*”等)进行统 换,从而使得敏感数据保持部分内容公开,但对信息持有者来说易于辨别。
NR/T 0223202
2)把身份证号码123184198501184115经过掩码得到为123184000000004115。 b 个人金融信息在通过计算机屏幕、客户端应用软件等界面展示过程中,采取信息掩码屏蔽或截 词等技术措施对数据实施脱敏,从而降低数据泄露的风险。
扰乱是指通过加入噪声的方式对原始数据进行干扰,以实现对原始数据的扭曲、改变,扰乱后的数 保留看原始数据的分布特征,具体的技术方法包括但不限于: 重排:将原始数据按照特定的规则进行重新排列,对于跨行数据,采用随机互换来打破其与本 行其他数据的关联关系,从而实现脱敏。 1)采用按照一定顺序打乱数据位序等方式进行重排。 2) 重排可在相当大范围内保证部分业务数据信息,如有效数据范围、数据统计特征等,使脱 敏后数据看起来跟原始数据更一致,与此同时也栖牲了一定的安全性,一般重排方法用于 大数据集合且需要保留待脱敏数据特定特征的场景。对于小数据集,重排形成的目标数据 有可能通过其他信息被还原,在使用的时候需要特别慎重。 加密:对脱敏数据进行对称加密算法、非对称加密算法等常规加密算法处理,使外部用户只能 看到无意义的加密后的数据,同时在特定场景下,可提供解密能力,使具有密钥的相关方可获 得原始数据, 1)采用对称或非对称加密算法对数据进行加密存储。 2) 加密其安全程度取决于采用哪种加密算法,一般根据实际情况而定,这种方法的缺点是: 加密本身需要一定的计算能力,对于大数据集来源会产生很大资源开销。一般加密后数据 与原始数据格式差异较大,“真实性”较差 替换:按照特定规则对原始数据进行替换,常见的替换方式包括常数替换、查表替换、参数化 替换。 1)常数替换:所有敏感数据都替换为唯一的常数值,具有不可逆性。 2)查表替换:从中间表中随机或按照特定算法选择数据进行替代。 3)参数化替换:以敏感数据作为输入,通过特定函数形成新的替换数据。 散列:即对原始数据取散列值,使用散列值来代替原始数据。 1 使用散列函数对客户密码等信息进行计算得到散列值,以此替换原始数据。 2) 为了保证散列的安全性,避免采用弱安全性散列函数如MD5、SHA1,对于原文空间有限的 散列,实际的应用场景中通常采用加入随机因子的方法提高安全性,散列函数常用于密码 等敏感信息存储的场景。 重写:参考原数据的特征,重新生成数据,重写与整体替换较为类似,但替换后的数据与原始 数据通常存在特定规则的映射关系,而重写生成的数据与原始数据则一般不具有映射关系。 固定偏移:将数据值增加n个固定的偏移量,隐藏数值部分特征。 局部混淆:保持前面n位不变,混其余部分。 唯一值映射:将数据映射成一个唯一值,允许根据映射值找回原始值,支持正确的聚合或者连 接操作。 均化:针对数值性的敏感数据,在保证脱敏后数据集总值或平均值与原数据集相同的情况下, 改变数值的原始值,这种方法通常用于成本表、工资表等场合。
有损是指通过损失部分数据的方式来保护整个敏感数据集,适用于数据集的全部数据汇总后才构成 致感信息的场景,金融后台系统不具备开放式查询能力,根据业务场景需要采用合适的有损技术可达到 限制批量查询的效果。具体的有损技术方法包括但不限于: a) 限制行数:仅仅返回可用数据集合中一定行数的数据,多应用于不具备开放式查询能力的后台 系统、严格限制批量查询等场景。 b 限制列数:仅仅返回可用数据集合中一定列数的数据,可应用于人员基本信息查询时,限制或 禁止返回的数据集中包含某些敏感列
C.5数据脱敏应用分类
效据脱敏根据数据脱敏的实时性和应用场景的不同,分为动态数据脱敏和静态数据脱敏。静态数 般用在非生产环境,将敏感数据从生产环境抽取并脱敏后用于培训、分析、测试、开发等非生 动态数据脱敏一般用在生产环境,将敏感数据实时进行脱敏后用于应用访问等生产环境。
C.5.2静态数据脱敏
静态数据脱敏旨在通过类似ETL技术的处理方式,按照脱敏规则一次性完成大批量数据的变形转换 处理,静态脱敏示意图见图C.1。静态脱敏通常会在将生产环境中的敏感数据交付至开发、测试或者外 发环境时使用,在降低数据敏感程度的同时,能够最大程度上保留原始数据集所具备的数据内在关联性 等可挖掘价值。 静态数据脱敏主要特点: a)适应性,即可为任意格式的敏感数据脱敏。 b)一致性,即数据脱敏后保留原始数据字段格式和属性。 C复用性,即可重复使用数据脱敏规则和标准,
C.5.3动态数据脱每
图C.1静态脱敏示意图
时处理并返回脱敏后结果,动态脱敏示意图见图C.2。动态脱敏通常会在数据对外提供查询服务的场景 中使用,在降低数据敏感程度的同时,最大程度上降低了需求方获取脱敏后数据的延迟,请求实时产生 的数据也能即时得到脱敏后结果。动态数据脱敏主要特点如下: a)实时性,即能够实时地对用户访问的敏感数据进行动态脱敏、加密和提醒。 b)多平台,即通过定义好的数据脱敏策略实现平台间、不同应用程序或应用环境间的访问限制。 )可用性,即能够保证脱敏数据的完整,满足业务系统的数据需要。
图C.2动态脱敏示意图
数据脱敏的应用场景主要分为技术场景和业务场景,技术场景主要包括开发测试、数据分析、 学研究、生产、数据交换、运维等场景,业务场景包括但不限于信贷风险评估、骗保识别、精准 费信贷等场景,常用数据脱敏应用场景见表C.2。
专家公寓外架施工方案表C.2常用数据脱敏应用场景
JR/I 02232021
.7隐私数据脱敏方法参表
7.1联系人姓名的脱敏
联系人姓名的脱敏方法示例见表C.3。
表C.3联系人姓名的脱敏方法示例
C.7.2企业户名的脱敏
企业户名的脱敏方法示例见表C.4
某住宅小区水电施工组织设计表C.4企业户名的脱敏方法示例