DB34T4631.2-2023政务数据 第2部分：脱敏技术规范

ICS35.020CCSICS35.020CCSL67安 徽 省 地 方 标 准DB34/T4631.2—2023政务数据第2部分：脱敏技术规范Governmentdata—Part2:Specificationfordesensitizationtechnology20232023100720231107安徽省市场监督管理局发布前 言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由安徽省大数据中心提出。本文件由安徽省数据资源管理局归口。）本文件主要起草人：朱典、杨阳、董超、王理冬、陈先才、闫飞、张锐、王立志、王征、张园园、陶峰、李欣、王俊、戴国建、谢园园、程博、邹莉强、王永红、徐慧子、马宁、黄建、谢江、乐凯明、周绪鹏、方鹏、张禹、章玉龙。政务数据第2部分：脱敏技术规范范围本文件确立了政务数据脱敏技术的基本要求，并规定了数据脱敏流程。本文件适用于指导非涉密政务信息系统中结构化数据的数据脱敏工作。（GB/T37988信息安全技术数据安全能力成熟度模型GB/T39477信息安全技术政务信息共享数据安全技术要求3.1数据脱敏datadesensitization通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。3.1数据脱敏datadesensitization通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。[来源：GB/T37988,定义3.12]3.2敏感数据sensitivedata由权威机构确定的受保护的信息数据。注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。[来源：GB/T39477,定义3.7]3.3静态数据脱敏staticdatadesensitization将数据抽取出生产环境脱敏后进行变形转换处理。3.4动态数据脱敏dynamicdatadesensitization对于外部申请访问的数据进行即时处理并返回脱敏后结果。3.5脱敏策略desensitizationpolicy根据一定的业务场景，选择数据脱敏方法和一系列的数据脱敏技术对敏感数据进行脱敏。4数据脱敏基本要求4.1数据可用性数据脱敏后应具备数据可用性。数据脱敏后应具备有真实性，脱敏后的数据应真实地体现原始数据的特征。数据脱敏的过程应可通过程序自动化实现，可重复执行。数据脱敏后应具有一致性，在脱敏策略不变的前提下，脱敏结果应不受到脱敏次数的影响。数据脱敏工作应具有可配置性，支持配置多种脱敏方式，不同脱敏条件生成不同结果。5数据脱敏流程利用数据标识技术工具对敏感数据的位置和格式信息进行标识。脱敏方案应包括脱敏场景和脱敏技术。数据脱敏技术说明表见附录A。政务数据脱敏操作一览表见表1。5.4审计与改进5.4审计与改进表1政务数据脱敏操作一览表序号数据脱敏场景场景描述脱敏技术描述适用数据类型推荐脱敏方法1数据分析数据导出。2.外部单位使用其他公共服务机构敏感数据进行分析。重排、关系映射、遮盖、偏移取整、随机值替换、泛化跨行随机互换原始敏感与本行其他数据关联关系。通用、日期、时间、数字、收入、日期、时间、数字、收入动态脱敏、静态脱敏2开发测试23数据进行测试。散列、加密对原始数据通过散列算通用动态脱敏、静态脱敏3数据共享理机构之间根据数据的敏感等级进行有条件的数据2导出。截断、泛化、掩码屏蔽数据尾部截断内容通用动态脱敏、静态脱敏4数据开放主要包括政务部门面向公民、法人和其他组织以非排他形式有条件开放部分政务数据内容。匿名、掩码屏蔽据中存在一定量的准标识符上不可区分的记录。通用、字符串静态脱敏、动态脱敏5数据库运维提供数据库运行维护。差分隐私在原数据中加入噪音信数据集能够抵抗任何对隐私数据的分析。数据集动态脱敏6群体信息统计保证数据集的业务属性的前提下，适用于群体信息统计的场景，对数据集进行全体信息的统计。均化针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下，改变数值的原始值。数据集静态脱敏7数据运营数据运营的过程，应该包括数据采集、数据存储、数据提取、数据挖掘、数据分析、数据展现、数据应用七个方面。重排、关系映射、遮盖、偏移取整、随机值替换、泛化跨行随机互换原始敏感与本行其他数据关联关系。通用、日期、时间、数字、收入、日期、时间、数字、收入动态脱敏、静态脱敏附录A（资料性）数据脱敏技术说明表见表A.1。表A.1数据脱敏技术说明表序号数据脱敏技术类型技术类型说明数据脱敏技术名称技术说明1统计技术对数据集进行去标识化或提升脱敏技术有效性的常用方法，主要包括数据抽样和数据聚合两种处理方法；数据抽样数据抽样是通过选取数据集中有代表性的子集来对原始数据集进行分析和评估。2数据聚合数据聚合作为一系列统计技术的集合，应用于微数据中的属性时，产生的结果能够代表原始数据集中的所有记录。3加密技术对未脱敏数据进行加密处理，使未授权的系统或用户只能看到无意义的加密数据，主要包括确定性加密、保序加密、保留格式加密、同态加密、同态秘密共享等处理方法；确定性加密确定性加密是一种非随机加密方法。可以用确定性加密结果替代微数据据中的标识符值。4保序加密保序加密是一种非随机加密方法，可以用保序加密值替代微数据中的标识符值。5保留格式加密保留格式加密要求密文与明文具有相同的格式，当作为去标识化技术的一部分加以采用时，可用保留格式加密值替代微数据中的标识符值。6同态加密代微数据中的标识符值。7同态秘密共享的两个或以上若干份额替代数据记录中的任何标识符或敏感属性。8扰乱技术通过加入噪声的方式对原始数据进行干扰，扰乱后的数据仍保留着原始数据的分布特征，并能通过业务校验，主要包括唯一值映射、排序映射、重排、混洗、固定偏唯一值映射将数据映射成一个唯一值，允许根据映射值找回原始值，支持正确的聚合或者连接操作。9排序映射将数据映射成新值，同时保持数据顺序。10重排将数据库的某一列值进行重排。11混洗主要通过对敏感数据进行跨行随机互换来打破其与本行其他数据的关联关系，从而实现脱敏。12固定偏移将数据值增加1个固定的偏移量，隐藏数值部分特征。13局部混淆保持前面n位不变，混淆其余部分。14乱序对敏感数据进行重新随机分布，混淆原有值和其他字段的联系。15移、局部混淆、乱序、随机值替换、散列、保留随机、均化等处理方法；随机值替换如统一将女性用户名替换为F，对内部人员可以完全保持信息完整性，但易破解，常见的替换方式包括常数替换、查表替换、参数化替换。16散列将输入映射为1个hash值，常用作将不定长数据为固定长度hashMD5SHA-256SHA-1HMAC。17保留随机选中分段保留，其他分段随机。18均化针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下，改变数值的原始值。19抑制技术通过隐藏数据中部分信息的方式来对原始数据的值进行转换，又称为隐藏技术或掩码技术，主要包括遮盖、掩记录抑制等处理方法；遮盖通过设置遮盖符，对原数据全部或部分进行遮盖处理。20掩码屏蔽利用“*”符号遮掩部分信息，并且保证数据长度不变，容易识别出原来的信息格式。21局部抑制局部抑制技术是从所选记录中删除特定属性值，该特定属性值与其他标识符结合使用可能识别出相关个人信息主体。22记录抑制记录抑制是一种从数据集中删除整个记录或一些记录的技术，典型应用场景为删除包含稀有属性（如异常值）组合的记录。23泛化技术在保留原始数据局部特征的前提下使用一般值替代原始数据，泛化后的数据具有不可逆性，主要包括偏移取整、截断、顶层与底层编码、规整、变换等处理方法。偏移取整按照一定粒度对数据如时间进行向上或向下偏移取整，可在保证数据一定分布特征的情况下隐藏原始时间。24规整将数据按照大小规整到预定义的多个档位，例如将客户资产按照替。25变换指对数值和日期类型的源数据，通过随机函数进行可控的调整，以便在保持原始数据相关统计特征的同时，完成对具体数值的伪装。26截断直接舍弃业务不需要的信息，仅保留部分关键信息，例如将手机号断为135。27顶层与底层编码泛化技术为某一属性设定一个可能的最大（或最小）阈值。顶层与底层编码技术使用表示顶层（或底层）的阈值替换高于（或低于）该阈值的值。28随机化技术通过随机修改属性的值，使得随机化处理后的值区别于原来的真实值，主要包括噪声添加、置换、微聚集等处理方法。噪声添加差以及相关性。29置换置换实在不修改属性值的情况下对数据集记