1、隱私數(shù)據(jù)漂白平臺建設(shè)方案隱私數(shù)據(jù)漂白平臺建設(shè)方案目 錄TOC o 1-3 h u HYPERLINK l _Toc495867960 一、建設(shè)背景 PAGEREF _Toc495867960 h 3 HYPERLINK l _Toc495867961 二、建設(shè)內(nèi)容 PAGEREF _Toc495867961 h 4 HYPERLINK l _Toc495867962 三、建設(shè)目標(biāo) PAGEREF _Toc495867962 h 4 HYPERLINK l _Toc495867963 3.1有效性 PAGEREF _Toc495867963 h 5 HYPERLINK l _Toc4958679

2、64 3.2真實(shí)性 PAGEREF _Toc495867964 h 5 HYPERLINK l _Toc495867965 3.3高效性 PAGEREF _Toc495867965 h 6 HYPERLINK l _Toc495867966 3.4穩(wěn)定性 PAGEREF _Toc495867966 h 6 HYPERLINK l _Toc495867967 3.5多樣性 PAGEREF _Toc495867967 h 6 HYPERLINK l _Toc495867968 四、整體設(shè)計(jì) PAGEREF _Toc495867968 h 6 HYPERLINK l _Toc495867969 4.

3、1 數(shù)據(jù)脫敏功能設(shè)計(jì) PAGEREF _Toc495867969 h 7 HYPERLINK l _Toc495867970 4.2 產(chǎn)品特點(diǎn) PAGEREF _Toc495867970 h 8 HYPERLINK l _Toc495867971 4.3技術(shù)優(yōu)勢 PAGEREF _Toc495867971 h 8 HYPERLINK l _Toc495867972 4.4技術(shù)保障 PAGEREF _Toc495867972 h 11 HYPERLINK l _Toc495867973 五、實(shí)施規(guī)劃及預(yù)算 PAGEREF _Toc495867973 h 11 HYPERLINK l _Toc49

4、5867974 5.1項(xiàng)目進(jìn)度實(shí)施規(guī)劃 PAGEREF _Toc495867974 h 11 HYPERLINK l _Toc495867975 5.2項(xiàng)目建設(shè)預(yù)算 PAGEREF _Toc495867975 h 11一、建設(shè)背景數(shù)據(jù)是公司的重要資產(chǎn)，隨著業(yè)務(wù)的快速發(fā)展，以及IT系統(tǒng)應(yīng)用的越來越普遍，企業(yè)內(nèi)部業(yè)務(wù)生產(chǎn)系統(tǒng)積累了大量的敏感信息和數(shù)據(jù)，如賬號、客戶姓名、交易記錄等，而這些數(shù)據(jù)，在企業(yè)的很多工作場景中都會得到使用，例如，業(yè)務(wù)分析、開發(fā)測試、甚至是一些外包業(yè)務(wù)等方面，使用的都是真實(shí)的業(yè)務(wù)數(shù)據(jù)和信息。這些金融敏感的數(shù)據(jù)，在開發(fā)期間存在嚴(yán)重的風(fēng)險(xiǎn)，一旦發(fā)生泄漏、損壞，不僅會給企業(yè)帶來很大的

5、損失，更重要的是會大大影響用戶對于企業(yè)信息系統(tǒng)的安全性及企業(yè)的信任度。2012年年中，美國金融界爆出有史以來最嚴(yán)重的信息安全案件，約4000萬張信用卡資料外泄，對眾多客戶的直接利益造成了損害。目前，各個(gè)企業(yè)在業(yè)務(wù)分析、開發(fā)測試、審計(jì)監(jiān)管等使用過程中如何保證生產(chǎn)數(shù)據(jù)安全已經(jīng)成為一個(gè)重要的問題。嚴(yán)重的數(shù)據(jù)使用風(fēng)險(xiǎn) 獨(dú)立調(diào)研機(jī)構(gòu)Ponemon Institute曾針對金融機(jī)構(gòu)做過一次調(diào)研，結(jié)果顯示：84%的調(diào)查對象公司在軟件開發(fā)與測試期間使用真實(shí)客戶信息，70%使用消費(fèi)者數(shù)據(jù)，51%使用信貸或其它支付信息。令人驚訝的是，盡管這些數(shù)據(jù)十分敏感，但45%的調(diào)查對象公司沒有對開發(fā)和測試中使用的真實(shí)數(shù)據(jù)予以

6、保護(hù)。這意味著：金融機(jī)構(gòu)在數(shù)據(jù)的使用過程中，存在著嚴(yán)重的風(fēng)險(xiǎn)。實(shí)際上，這種風(fēng)險(xiǎn)不僅存在于金融機(jī)構(gòu)中，包括醫(yī)療機(jī)構(gòu)、政府部門、一些企業(yè)等，都有類似的風(fēng)險(xiǎn)存在。而這種風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)，所帶來的損害顯然是無法估量的。數(shù)據(jù)脫敏的定義數(shù)據(jù)脫敏，正如它的叫法那樣，在保存數(shù)據(jù)原始特征的同時(shí)改變它的數(shù)值，從而保護(hù)敏感數(shù)據(jù)免于未經(jīng)授權(quán)的訪問，同時(shí)又可以進(jìn)行相關(guān)的數(shù)據(jù)處理。您可以在保留數(shù)據(jù)意義和有效性的同時(shí)保持?jǐn)?shù)據(jù)的安全性并遵從數(shù)據(jù)隱私規(guī)范。借助數(shù)據(jù)脫敏，信息依舊可以被使用并與業(yè)務(wù)相關(guān)聯(lián)，不會違反相關(guān)規(guī)定，而且也避免了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。法規(guī)要求國際知名法規(guī)：塞班斯法案、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）、金融

7、現(xiàn)代化法案（GLBA）、BASEL II、歐盟個(gè)人數(shù)據(jù)保護(hù)指令、HIPAA以及其他隱私保護(hù)法規(guī)均是為了應(yīng)對同一個(gè)不斷增長的問題而制定的：針對敏感信息及個(gè)人信息的暴露和盜竊。這些法規(guī)要求組織基于其用戶的業(yè)務(wù)職能限制數(shù)據(jù)訪問權(quán)限。國內(nèi)，中國銀監(jiān)會發(fā)布的中國銀行業(yè)“十二五”信息科技發(fā)展規(guī)則監(jiān)管指導(dǎo)意見（征求意見稿）文件中對于城市商業(yè)銀行明確提出“加強(qiáng)數(shù)據(jù)、文檔的安全管理，逐步建立信息資產(chǎn)分類分級保護(hù)機(jī)制。完善敏感信息存儲和傳輸?shù)雀唢L(fēng)險(xiǎn)環(huán)節(jié)的控制措施，對數(shù)據(jù)、文檔的訪問應(yīng)建立嚴(yán)格的審批機(jī)制。對用于測試的生產(chǎn)數(shù)據(jù)要進(jìn)行脫敏處理，嚴(yán)格防止敏感數(shù)據(jù)泄露?！便y監(jiān)會信息科技風(fēng)險(xiǎn)管理指引中也提出“商業(yè)銀行應(yīng)制定明

8、確的制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀”。銀監(jiān)會信息科技風(fēng)險(xiǎn)現(xiàn)場檢查指南中則明確要求“測試中如需使用生產(chǎn)數(shù)據(jù)，應(yīng)對相應(yīng)數(shù)據(jù)進(jìn)行脫敏、變形處理，當(dāng)使用生產(chǎn)數(shù)據(jù)測試時(shí)是否得到高級管理層的審批并采取相關(guān)限制及進(jìn)行脫敏處理”。在這種情況下，數(shù)據(jù)脫敏技術(shù)應(yīng)運(yùn)而生。并且在最近兩年，開始被越來越多的企業(yè)用戶所采用。銀行是在省委、省政府主導(dǎo)下，在合并重組省內(nèi)原5家城商行和城信社的基礎(chǔ)上，引入11家優(yōu)勢戰(zhàn)略投資者，經(jīng)中國銀監(jiān)會批準(zhǔn)，以新設(shè)合并方式組建的法人股份制商業(yè)銀行。注冊資本金40.7億元，總部設(shè)在市，2009年7月31日開業(yè)。現(xiàn)下轄9個(gè)分行、9個(gè)直屬支行，開

9、業(yè)網(wǎng)點(diǎn)120家，遍布省內(nèi)10個(gè)設(shè)區(qū)市和示范區(qū)。二、建設(shè)內(nèi)容部署專業(yè)的數(shù)據(jù)脫敏漂白系統(tǒng)設(shè)備，構(gòu)建安全可靠的數(shù)據(jù)安全防護(hù)系統(tǒng)，確保本行的企業(yè)、個(gè)人等隱私數(shù)據(jù)能有效的進(jìn)行漂白處理，保障用戶隱私數(shù)據(jù)的泄露風(fēng)險(xiǎn)。要求數(shù)據(jù)脫敏系統(tǒng)包含豐富的脫敏算法來處理測試環(huán)境中的敏感信息，同時(shí)確保個(gè)人敏感信息的有效性。要求數(shù)據(jù)脫敏系統(tǒng)能夠依據(jù)客戶的敏感信息類別規(guī)則能自動(dòng)發(fā)現(xiàn)各個(gè)數(shù)據(jù)表格內(nèi)的類別項(xiàng)（如：姓名、出生年月日、地址、身份證信息、電話號碼、銀行卡號等）中的敏感信息，保障客戶生產(chǎn)數(shù)據(jù)在非生產(chǎn)環(huán)境中安全使用，防止敏感信息泄露，滿足審計(jì)及監(jiān)管部門要求等功能。三、建設(shè)目標(biāo)數(shù)據(jù)脫敏工作涉及數(shù)據(jù)使用方及數(shù)據(jù)管理方兩個(gè)角色，測

10、試數(shù)據(jù)脫敏不僅要確保數(shù)據(jù)敏感性被去除，還要盡可能滿足測試使用方的測試需求，同時(shí)還要確保其技術(shù)方案是可行且易于管理的。綜合兩方面角色考慮，從高效性、有效性、真實(shí)性、穩(wěn)定性及多樣性五個(gè)方面提出了一種全面的測試數(shù)據(jù)脫敏評價(jià)指標(biāo)體系。3.1有效性數(shù)據(jù)脫敏的最基本原則就是要去掉數(shù)據(jù)的敏感性，保障數(shù)據(jù)安全，這是對數(shù)據(jù)脫敏最基本的要求，即有效性。有效性主要從以下兩個(gè)方面進(jìn)行評價(jià)。(1)相對于原有數(shù)據(jù)，脫敏后數(shù)據(jù)敏感性的去除程度。例如，對客戶姓名采用置為常數(shù)的方法進(jìn)行脫敏，脫敏后所有敏感的姓名數(shù)據(jù)都被置為某個(gè)沒有敏感性的字符串，即數(shù)據(jù)敏感性完全去除；對客戶姓名采用屏蔽若干位字符的方法(如“張三”置為“張木，)

11、進(jìn)行脫敏，則脫敏后數(shù)據(jù)仍然保留了具有敏感性的姓信息，即數(shù)據(jù)敏感性部分去除。(2)脫敏后數(shù)據(jù)可能被反推回具有敏感性原始數(shù)據(jù)的程度。采用的脫敏方法不一樣，其破壞脫敏軌跡的程度也不一樣，從而最終導(dǎo)致脫敏后數(shù)據(jù)被反推回脫敏前數(shù)據(jù)的程度也不一樣。例如，對客戶姓名采用置為常數(shù)的方法進(jìn)行脫敏，脫敏結(jié)果不可能被反推回原始數(shù)據(jù)；對客戶姓名采用按偏移值查姓名表的方法(按配置的固定偏移值選取表中假的姓名)進(jìn)行脫敏，如果姓名表及配置偏移值泄露，脫敏結(jié)果是可能被反推出原始數(shù)據(jù)的。3.2真實(shí)性測試數(shù)據(jù)最終是需要在測試中使用，越能真實(shí)體現(xiàn)原始數(shù)據(jù)特征的脫敏后數(shù)據(jù)，越能更好地滿足測試工作的需求。這是從數(shù)據(jù)使用方的角度來看對測

12、試數(shù)據(jù)脫敏的基本要求，即真實(shí)性。真實(shí)性主要從以下兩個(gè)方面進(jìn)行評價(jià)。(1)相對于原有數(shù)據(jù)，脫敏后數(shù)據(jù)業(yè)務(wù)邏輯特征的保留程度。任何數(shù)據(jù)都是具備一定業(yè)務(wù)邏輯特征的，例如客戶姓名、身份證號、交易金額等數(shù)據(jù)都有明顯的特征。對客戶姓名采用置為常數(shù)的方法進(jìn)行脫敏，脫敏后數(shù)據(jù)完全保留了客戶姓名的特征；對客戶姓名采用每個(gè)姓名字符的碼值偏移固定值的方法進(jìn)行脫敏，則脫敏后數(shù)據(jù)為亂碼，完全喪失了客戶姓名的特征。(2)相對于原有數(shù)據(jù)，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征的保留程度。任何數(shù)據(jù)都是具備一定統(tǒng)計(jì)分布特征的，例如客戶姓名數(shù)據(jù)中，有單姓多，復(fù)姓少，大姓多，小姓少，一些字符高頻出現(xiàn)，一些字符根本不會出現(xiàn)等。對客戶姓名采用置為常數(shù)

13、的方法進(jìn)行脫敏，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征完全被破壞；對客戶姓名采用按偏移值查姓名表的方法(按配置的固定偏移值選取表中假的姓名)進(jìn)行脫敏，由于姓名表的數(shù)量遠(yuǎn)小于真實(shí)情況，故脫敏數(shù)據(jù)部分保留了統(tǒng)計(jì)分布特征；對客戶姓名采用每個(gè)姓名字符的碼值偏移固定值的方法進(jìn)行脫敏，則完全保留了客戶姓名的特征。3.3高效性不同的測試數(shù)據(jù)脫敏方法，其實(shí)施難度是不一樣的，是否能高效地完成數(shù)據(jù)脫敏，是從數(shù)據(jù)管理方的角度來看對測試數(shù)據(jù)脫敏的重要要求，即高效性。高效性主要從以下兩個(gè)方面進(jìn)行評價(jià)。測試脫敏方法實(shí)施的時(shí)間開銷情況。實(shí)施脫敏的時(shí)間及計(jì)算資源占用越少越好。測試脫敏方法實(shí)施的空間開銷情況。實(shí)施脫敏必須的存儲空間越少越好。3

14、.4穩(wěn)定性由于原始數(shù)據(jù)問存在關(guān)聯(lián)性(如兩張表中都有客戶姓名數(shù)據(jù)，并且業(yè)務(wù)要求兩張表的客戶姓名必須一致)，如果對兩張表分別脫敏后客戶姓名數(shù)據(jù)不一致，就會影響后期測試。這要求測試數(shù)據(jù)脫敏方法需要確保對相同的原始數(shù)據(jù)，只要配置參數(shù)一定，無論脫敏多少次，結(jié)果數(shù)據(jù)都是相同的，即穩(wěn)定性。3.5多樣性多樣性即測試數(shù)據(jù)脫敏可能根據(jù)需求不同而生成不同脫敏結(jié)果的程度。這是從測試數(shù)據(jù)管理方的角度出發(fā)對測試數(shù)據(jù)脫敏的高級要求。一般情況下，有配置參數(shù)的數(shù)據(jù)脫敏方法都可以按照輸入?yún)?shù)不同而產(chǎn)生不同的測試結(jié)果，從而使得測試數(shù)據(jù)管理方可以方便地按測試場景、測試環(huán)境等因素為不同的測試項(xiàng)目提供不同的脫敏后數(shù)據(jù)環(huán)境，去除多個(gè)測試項(xiàng)

15、目使用數(shù)據(jù)間的關(guān)聯(lián)性，提高多項(xiàng)目數(shù)據(jù)使用的安全性。四、整體設(shè)計(jì)考慮目前行業(yè)的各個(gè)業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫系統(tǒng)比較龐雜（有ORACLE、DB2、Informix等），業(yè)務(wù)維護(hù)人員的工作壓力較大，需要此次建設(shè)的數(shù)據(jù)脫敏系統(tǒng)能全面支持現(xiàn)有的數(shù)據(jù)庫系統(tǒng)，并且能夠?qū)崿F(xiàn)集成一體化要求，即通過部署一臺一體化業(yè)務(wù)系統(tǒng)，來滿足以上的要求。4.1 數(shù)據(jù)脫敏功能設(shè)計(jì)自動(dòng)發(fā)現(xiàn)首先用戶需要為應(yīng)用系統(tǒng)確定隱私數(shù)據(jù)的定義，并以此為依據(jù)針對數(shù)據(jù)庫梳理出一套完整的隱私數(shù)據(jù)的模型和關(guān)系。發(fā)現(xiàn)功能會從生產(chǎn)數(shù)據(jù)源進(jìn)行數(shù)據(jù)采樣，然后對采樣數(shù)據(jù)進(jìn)行掃描，并根據(jù)InfoMask內(nèi)置的眾多隱私數(shù)據(jù)特征算法進(jìn)行分析，定位哪些表哪些字段為隱私數(shù)據(jù)，屬于哪

16、種隱私數(shù)據(jù)。數(shù)據(jù)抽取然后通過數(shù)據(jù)脫敏平臺內(nèi)部保存的生產(chǎn)數(shù)據(jù)的定義，從生產(chǎn)數(shù)據(jù)庫或具有真實(shí)數(shù)據(jù)庫快照等數(shù)據(jù)源當(dāng)中周期性地抽取真實(shí)數(shù)據(jù)到數(shù)據(jù)脫敏平臺設(shè)備上。數(shù)據(jù)源種類支持各種主流的數(shù)據(jù)庫系統(tǒng)。漂白脫敏根據(jù)定義好的隱私數(shù)據(jù)模型，將已經(jīng)獲取的真實(shí)數(shù)據(jù)使用特定的漂白規(guī)則進(jìn)行脫敏，生成偽造數(shù)據(jù)。這樣一套完整的偽造數(shù)據(jù)就存放在數(shù)據(jù)脫敏平臺設(shè)備上待用。由于設(shè)備是封閉系統(tǒng)，整個(gè)過程能夠很好地方志數(shù)據(jù)泄漏。生成的偽數(shù)據(jù)具備以下特征：1.高度仿真2.保持?jǐn)?shù)據(jù)關(guān)聯(lián)性3.隱私算法不可逆4.保持?jǐn)?shù)據(jù)的唯一性數(shù)據(jù)裝載需要測試數(shù)據(jù)的時(shí)候，用戶使用受限權(quán)限的帳號登錄數(shù)據(jù)脫敏平臺平臺，數(shù)據(jù)脫敏平臺平臺作為客戶端連接到非生產(chǎn)環(huán)境的

17、數(shù)據(jù)庫，將已經(jīng)漂白好的偽數(shù)據(jù)寫入到目標(biāo)數(shù)據(jù)庫。1.支持生產(chǎn)系統(tǒng)和測試環(huán)境數(shù)據(jù)庫異構(gòu)2.支持元數(shù)據(jù)的裝載3.支持全量和抽樣裝載4.支持?jǐn)?shù)據(jù)子集裝載5.默認(rèn)使用高速的批量寫入技術(shù)4.2 產(chǎn)品特點(diǎn)開箱即用，產(chǎn)品以軟硬一體化設(shè)備交付，所有功能組件出廠時(shí)均已完成整合；內(nèi)置大量發(fā)現(xiàn)和漂白模型與算法，極大降低了實(shí)施成本；界面設(shè)計(jì)功能強(qiáng)大且簡單易用，大幅降低用戶的技能要求。4.3技術(shù)優(yōu)勢隱私數(shù)據(jù)發(fā)現(xiàn)技術(shù)能夠自動(dòng)掃描并發(fā)現(xiàn)用戶數(shù)據(jù)庫中的隱私數(shù)據(jù)。表一A001A002A003周綺3325221987050400116228480868302626371陳家洛2106021987112605136228480283

18、741736482袁承志4101831993072100156228480868392397826李莫愁3310811986012100146228480838273728463表二B001B002B003B004B005001001023325221987050400112015-02-0210:12:12DEPOSIT30000.00001001032106021987112605132015-02-0210:12:12WITHDRAW2500.00001001044101831993072100152015-02-0210:12:12PAY299.00001001053310811986012100142015-02-0210:12:13DEPOSIT10000.00表三C001C002C003周綺332522198705040011136209343678605726959771陳家洛210602198711260513159015202258602083329284袁承志4101831993072100151393386120886031186104218李莫愁331081198601210014180199616608602227215603經(jīng)過數(shù)據(jù)脫敏平臺一體化設(shè)備主動(dòng)抽取發(fā)現(xiàn)的功能，會根據(jù)內(nèi)置的多種數(shù)據(jù)特征算法，分