ICS35.040

CCSL71DB5120

四川?。ㄙY陽市）地方標準

DB5120/T19.5—2023

數(shù)據(jù)資源體系技術(shù)指南

第5部分：數(shù)據(jù)脫敏工作指南

2023-12-22發(fā)布2023-12-29實施

資陽市市場監(jiān)督管理局發(fā)布

DB5120/T19.5—2023

目??次

前?言.................................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語和定義.....................................................................................................................................................1

4總則.................................................................................................................................................................2

5數(shù)據(jù)脫敏流程.................................................................................................................................................4

6常用脫敏方法.................................................................................................................................................6

參考文獻...............................................................................................................................................................8

I

DB5120/T19.5—2023

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。

本文件由資陽市政務(wù)服務(wù)和大數(shù)據(jù)管理局提出并歸口。

本文件由資陽市市場監(jiān)督管理局批準并發(fā)布。

本文件起草單位：資陽市大數(shù)據(jù)服務(wù)中心、資陽數(shù)智科技有限公司。

本文件主要起草人：劉桄序、戢培全、邵柏華、袁嘉、劉光乾、楊建康、張亞琴、李愛民、劉西北、

鄭雪梅、鄧森林、彭國林、陳杜宇、楊通、李強、夏榮、張潤澤、任良華、冷耀、陳熙。

本文件為首次發(fā)布。

II

DB5120/T19.5—2023

數(shù)據(jù)資源體系技術(shù)指南

第5部分：數(shù)據(jù)脫敏工作指南

1范圍

本文件規(guī)定了資陽市域數(shù)據(jù)脫敏工作相關(guān)術(shù)語和定義、總則、數(shù)據(jù)脫敏流程、常用脫敏方法等工作

規(guī)范。

本文件適用于資陽市域政務(wù)組織、非政務(wù)組織和個人信息資源數(shù)據(jù)的脫敏工作的規(guī)劃、實施和管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T5271.1信息技術(shù)詞匯第1部份：基本術(shù)語

GB/T11457信息技術(shù)軟件工程術(shù)語

GB/T18492信息技術(shù)系統(tǒng)及軟件完整性級別

GB/T20270信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/T22032系統(tǒng)工程系統(tǒng)生存周期過程

GB/T25000系統(tǒng)與軟件工程（所有部分）

GB/T28452信息安全技術(shù)應用軟件系統(tǒng)通用安全技術(shù)要求

GB/T29264信息技術(shù)服務(wù)分類與代碼

GB/T29765信息安全技術(shù)數(shù)據(jù)備份與恢復產(chǎn)品技術(shù)要求與測試評價方法

GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語

GB/T36625.3智慧城市數(shù)據(jù)融合第3部分：數(shù)據(jù)采集規(guī)范

GB/T38667信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南

GB/T40094.2電子商務(wù)數(shù)據(jù)交易第2部分：數(shù)據(jù)描述規(guī)范

GB/T40094.3電子商務(wù)數(shù)據(jù)交易第3部分：數(shù)據(jù)接口規(guī)范行

GB/T42450信息技術(shù)大數(shù)據(jù)數(shù)據(jù)資源規(guī)劃

DB51/T3056政務(wù)數(shù)據(jù)數(shù)據(jù)分類分級指南

3術(shù)語和定義

GB/T5271.1、GB/T11457、GB/T18492、GB/T20270、GB/T20271、GB/T25000、GB/T28452、

GB/T29264、GB/T29765、GB/T35295、GB/T36625.3、GB/T38667、GB/T40094.2、GB/T40094.3、

GB/T42450、DB51/T3056界定的以及下列術(shù)語和定義適用于本文件。

3.1

數(shù)據(jù)脫敏datadesensitization

通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護方法。

1

DB5120/T19.5—2023

4總則

4.1數(shù)據(jù)脫敏原則

4.1.1有效性

數(shù)據(jù)脫敏的最基本原則就是去掉數(shù)據(jù)中的敏感信息，保證數(shù)據(jù)安全。有效性原則要求經(jīng)過數(shù)據(jù)脫敏

處理后，原始信息中包含的敏感信息已被移除，無法通過處理后的數(shù)據(jù)得到敏感信息；或者需通過巨大

經(jīng)濟代價、時間代價才能得到敏感信息，其成本已遠遠超過數(shù)據(jù)本身的價值。此外，在處理敏感信息時，

應注意根據(jù)原始數(shù)據(jù)的特點和應用場景，選擇合適的脫敏方法。

4.1.2真實性

由于脫敏后的數(shù)據(jù)需要在相關(guān)業(yè)務(wù)系統(tǒng)、測試系統(tǒng)等非原始環(huán)境中繼續(xù)使用，因此需保證脫敏后的

數(shù)據(jù)應盡可能的真實體現(xiàn)原始數(shù)據(jù)的特征，且應盡可能多的保留原始數(shù)據(jù)中的有意義信息，以減小對使

用該數(shù)據(jù)的系統(tǒng)的影響。

真實性原則要求脫敏過程需保持用于后續(xù)分析的數(shù)據(jù)真實特征，以實現(xiàn)數(shù)據(jù)相關(guān)業(yè)務(wù)需求，包括但

不限于數(shù)據(jù)結(jié)構(gòu)特征和數(shù)據(jù)統(tǒng)計特征：數(shù)據(jù)結(jié)構(gòu)特征是指數(shù)據(jù)本身的構(gòu)成遵循一定的規(guī)則（例如身份證

號由地區(qū)編碼、生日、順序號和校驗碼組成）；數(shù)據(jù)統(tǒng)計特征是指大量的數(shù)據(jù)記錄所隱含的統(tǒng)計趨勢（例

如開戶人地區(qū)分布、年齡分布等）。

為達到真實性要求，在一般情況下開展數(shù)據(jù)脫敏工作時，應注意：

a）保持原數(shù)據(jù)的格式；

b）保持原數(shù)據(jù)的類型；

c）保持原數(shù)據(jù)之間的依存關(guān)系

d）保持語義完整性；

e）保持引用完整性；

f）保持數(shù)據(jù)的統(tǒng)計、聚合特征；

g）保持頻率分布；

h）保持唯一性。

4.1.3高效性

應保證數(shù)據(jù)脫敏的過程可通過程序自動化實現(xiàn)，可重復執(zhí)行。在不影響有效性的前提下，需注意平

衡脫敏的力度與所花費的代價，將數(shù)據(jù)脫敏的工作控制在一定的時間和經(jīng)濟成本內(nèi)。本質(zhì)上，高效性原

則是成本和安全性相互作用的結(jié)果，在確保一定安全底線的前提下，盡可能減少數(shù)據(jù)脫敏工作所花費的

額外代價。

4.1.4穩(wěn)定性

由于原始數(shù)據(jù)間存在關(guān)聯(lián)性，為保障數(shù)據(jù)使用者可正常使用和分析數(shù)據(jù)，因此數(shù)據(jù)脫敏時需保證對

相同的原始數(shù)據(jù)，在各輸入條件一致的前提下，無論脫敏多少次，其最終結(jié)果數(shù)據(jù)是相同的。如最終結(jié)

果是不穩(wěn)定的，可能導致數(shù)據(jù)使用者無法將本有聯(lián)系的數(shù)據(jù)正確的進行關(guān)聯(lián)，從而造成數(shù)據(jù)的使用出現(xiàn)

問題。例如，某ID有兩條記錄，但是由于脫敏結(jié)果的不穩(wěn)定，得到了兩個不同的脫敏ID1和ID2，則在使

用該數(shù)據(jù)時，就無法得知ID1和ID2其實是同一個ID，從而使得數(shù)據(jù)分析結(jié)果出現(xiàn)錯誤。

4.1.5可配置

同一份原始數(shù)據(jù)，可能被用于不同的數(shù)據(jù)分析場景，由于不同場景下的安全要求不同，數(shù)據(jù)脫敏時

的處理方式和處理字段也不盡相同。因此需通過配置的方式，按照輸入條件不同生成不同的脫敏結(jié)果，

從而可以方便的按數(shù)據(jù)使用場景等因素為不同的最終用戶提供不同的脫敏數(shù)據(jù)。

2

DB5120/T19.5—2023

4.2數(shù)據(jù)脫敏管理

4.2.1組織管理

資陽市政務(wù)服務(wù)和大數(shù)據(jù)管理局應制定完備的數(shù)據(jù)脫敏規(guī)范和流程，并對可能接觸到脫敏數(shù)據(jù)的相

關(guān)方進行數(shù)據(jù)脫敏規(guī)程的推廣培訓，并定期評估和維護數(shù)據(jù)脫敏規(guī)程內(nèi)容，以保證數(shù)據(jù)脫敏工作執(zhí)行的

規(guī)范性和有效性。

在制定數(shù)據(jù)脫敏規(guī)范時，應關(guān)注以下事項：

a）應明確指定敏感數(shù)據(jù)管理部門，并明確其安全責任和義務(wù)；

b）應根據(jù)安全合規(guī)需求，建立敏感數(shù)據(jù)的分類分級制度、數(shù)據(jù)脫敏的工作流程、脫敏工具的運維

管理制度，并定期對相關(guān)流程制度進行評審和修訂；

c）建立敏感數(shù)據(jù)分類制度時，可從個人隱私數(shù)據(jù)、業(yè)務(wù)運營數(shù)據(jù)等方面對敏感數(shù)據(jù)分類，并根據(jù)

敏感數(shù)據(jù)的重要性程度定義敏感數(shù)據(jù)的安全級別，同時明確對各類、各級別數(shù)據(jù)相應的安全管控機制；

d）在數(shù)據(jù)脫敏工具的運維管理制度中，可納入對數(shù)據(jù)脫敏工具的系統(tǒng)安全檢測，以保證數(shù)據(jù)脫敏

工具自身的安全性；

e）數(shù)據(jù)脫敏制度建立完畢后，應定期對數(shù)據(jù)脫敏工作的相關(guān)方，如數(shù)據(jù)管理方、數(shù)據(jù)使用方、脫

敏工具運維方，開展針對相關(guān)制度的培訓工作，以提升規(guī)范化意識。

4.2.2敏感信息識別

在進行數(shù)據(jù)脫敏前，首先應完整的梳理待處理數(shù)據(jù)中包含的所有信息分類（包括單條記錄中每一個

項目的內(nèi)容/格式、多條記錄聯(lián)合后包含的統(tǒng)計特征等），然后明確其中哪些信息分類屬于敏感信息，

并標注出其敏感程度、泄露后可能造成的后果、應急預案等。

需要注意的是，有些信息本身可能并不直接是敏感信息，但是可通過與其他一些信息結(jié)合后推斷出

敏感信息，此時也應將此類信息納入數(shù)據(jù)脫敏的范圍。

4.2.3數(shù)據(jù)安全可控

經(jīng)過數(shù)據(jù)脫敏處理后，已知的敏感信息已經(jīng)被隱藏和處理，但脫敏后的數(shù)據(jù)由于保持了原始數(shù)據(jù)的

部分統(tǒng)計特征和結(jié)構(gòu)特征等信息，仍可能存在一定的敏感信息泄漏風險。因此，仍然需要采取合適的方

式控制知悉范圍，通過恰當?shù)陌踩芾硎侄?，防止?shù)據(jù)外泄。

4.2.4過程安全審計

在數(shù)據(jù)脫敏的過程中嚴格、詳細記錄數(shù)據(jù)處理過程中的相關(guān)信息，形成完整數(shù)據(jù)處理記錄，用于后

續(xù)問題排查與數(shù)據(jù)追蹤分析，一旦發(fā)生泄密事件可追溯到是在哪個數(shù)據(jù)處理環(huán)節(jié)發(fā)生的。

4.2.5脫敏應用場景

數(shù)據(jù)脫敏應用的場景很多，有針對個人、法人和其他客體的：

a）針對個人的脫敏應用場景，例如：

1）匿名敏感信息，包含個人敏感信息的數(shù)據(jù)，但不能識別到具體個人身份，如：某市個人家

庭財產(chǎn)超過1000萬元的人數(shù)有1000人。此類脫敏數(shù)據(jù)可用于社會科學研究需要，可用于相關(guān)部門發(fā)布分

析報告需要，及其他一些機構(gòu)或個人需要。

2）非匿名敏感信息，包含個人敏感信息的數(shù)據(jù)，可以通過一定技術(shù)手段識別到個人。此類場

景需要先識別訪問數(shù)據(jù)的用戶身份，例如：個人可以查詢自己名下的存款、金融資產(chǎn)和不動產(chǎn)；夫妻可

以查詢對方薪酬、對方名下的家庭資產(chǎn)；債權(quán)人可以在授權(quán)的情況下查看債務(wù)人的資產(chǎn)情況，等等。

b）針對法人的脫敏應用場景，例如：

1）僅限本組織的人員可以獲取訪問的組織內(nèi)部信息，包括但不限于：組織規(guī)范、日常管理和

運營的制度、工作手冊、工作流程圖、信息系統(tǒng)等。

3

DB5120/T19.5—2023

2）僅限本組織相關(guān)部門人員可以獲取訪問的部門內(nèi)的經(jīng)營數(shù)據(jù)、繳納稅務(wù)、社保、公積金等

數(shù)據(jù)。

3）僅限本組織高層人員才可以獲取訪問的財務(wù)報表、經(jīng)營機密信息等。

c）針對其他客體的脫敏應用場景，例如：

1）針對需要管理部門授權(quán)才能訪問的重要公共基礎(chǔ)設(shè)施詳細數(shù)據(jù)，例如：橋梁、鐵路、自來

水、電力等數(shù)據(jù)。

2）各行業(yè)監(jiān)管部門掌握的本行業(yè)高風險數(shù)據(jù)，例如：傳染病、礦產(chǎn)、水文、海洋、軍事設(shè)施、

高精度測繪地理信息等數(shù)據(jù)。

5數(shù)據(jù)脫敏流程

5.1流程結(jié)構(gòu)

一個完整的數(shù)據(jù)脫敏工作流程應包括：發(fā)現(xiàn)敏感數(shù)據(jù)、標識敏感數(shù)據(jù)、確定脫敏方法、定義脫敏規(guī)

則、執(zhí)行脫敏操作和評估脫敏效果等步驟。

5.2發(fā)現(xiàn)敏感數(shù)據(jù)

為了有效開展數(shù)據(jù)脫敏工作，必須對組織所擁有的數(shù)據(jù)進行梳理和分類，建議將數(shù)據(jù)分為高度敏感

數(shù)據(jù)、中度敏感數(shù)據(jù)和非敏感數(shù)據(jù)；同時，組織需首先分析建立完整的敏感數(shù)據(jù)位置和關(guān)系庫，確保數(shù)

據(jù)脫敏工作能夠充分考慮到必須的業(yè)務(wù)范圍、脫敏后數(shù)據(jù)對原數(shù)據(jù)業(yè)務(wù)特性的繼承（如保持原數(shù)據(jù)間的

依賴關(guān)系）。

基于敏感數(shù)據(jù)分類分級制度，一方面建立有效的數(shù)據(jù)發(fā)現(xiàn)手段，在組織完整的數(shù)據(jù)范圍內(nèi)查找并發(fā)

現(xiàn)敏感數(shù)據(jù)；另一方面明確敏感數(shù)據(jù)結(jié)構(gòu)化或非結(jié)構(gòu)化的數(shù)據(jù)表現(xiàn)形態(tài)，如敏感數(shù)據(jù)固定的字段格式。

在該過程中，可關(guān)注以下事項：

a）定義數(shù)據(jù)脫敏工作執(zhí)行的范圍，在該范圍內(nèi)執(zhí)行敏感數(shù)據(jù)的發(fā)現(xiàn)工作。

b）通過數(shù)據(jù)表名稱、字段名稱、數(shù)據(jù)記錄內(nèi)容、數(shù)據(jù)表備注、數(shù)據(jù)文件內(nèi)容等直接匹配或正則表

達式匹配的方式發(fā)現(xiàn)敏感數(shù)據(jù)；

c）考慮數(shù)據(jù)引用的完整性，如保證數(shù)據(jù)庫的引用完整性約束；

d）數(shù)據(jù)發(fā)現(xiàn)手段應支持主流的數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)倉庫系統(tǒng)、文件系統(tǒng)，同時應支持云環(huán)境下的主

流新型存儲系統(tǒng)；

e）盡量利用自動化工具執(zhí)行數(shù)據(jù)發(fā)現(xiàn)工作，并降低該過程對生產(chǎn)系統(tǒng)的影響；

f）數(shù)據(jù)發(fā)現(xiàn)工具具有擴展機制，可根據(jù)業(yè)務(wù)需要自定義敏感數(shù)據(jù)的發(fā)現(xiàn)邏輯；

g）固化常用的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，例如身份證號、手機號等敏感數(shù)據(jù)的發(fā)現(xiàn)規(guī)則，避免重復定義

數(shù)據(jù)發(fā)現(xiàn)規(guī)則。

5.3標識敏感數(shù)據(jù)

在通過業(yè)務(wù)梳理發(fā)現(xiàn)了敏感數(shù)據(jù)之后，需要對敏感數(shù)據(jù)進行標識，包括標識敏感數(shù)據(jù)的位置、敏感

數(shù)據(jù)的格式等信息，以便后續(xù)對敏感數(shù)據(jù)的訪問、傳輸和處理進行跟蹤和監(jiān)督。

敏感數(shù)據(jù)的標識方法應該確保敏感數(shù)據(jù)標識信息能夠隨敏感數(shù)據(jù)一起流動，并不易于刪除和篡改，

從而可以對敏感數(shù)據(jù)進行有效跟蹤，以確保敏感數(shù)據(jù)的安全合規(guī)性。

在標識敏感數(shù)據(jù)時，可關(guān)注以下事項：

a）應該盡早在數(shù)據(jù)的收集階段就對敏感數(shù)據(jù)進行識別和標識，這樣便于在數(shù)據(jù)的整個生命周期階

段對敏感數(shù)據(jù)進行有效管理；

b）敏感數(shù)據(jù)的標識方法必須考慮到便捷性和安全性，使得標識后的數(shù)據(jù)很容易被識別，同時要確

保敏感數(shù)據(jù)標識信息不容易被惡意攻擊者刪除和篡改；

4

DB5120/T19.5—2023

c）敏感數(shù)據(jù)的標識方法應支持靜態(tài)數(shù)據(jù)的敏感標識以及動態(tài)流數(shù)據(jù)的敏感標識。

5.4確定脫敏場景

在標識敏感數(shù)據(jù)基礎(chǔ)上，確定脫敏場景，脫敏場景包括但不限于：

a）靜態(tài)脫敏：對原始數(shù)據(jù)進行一次脫敏后，脫敏后的結(jié)果數(shù)據(jù)可以多次使用；

b）動態(tài)脫敏：針對不同用戶需求，對數(shù)據(jù)進行屏蔽處理的數(shù)據(jù)脫敏方式，要求系統(tǒng)有安全措施確

保用戶不能夠繞過數(shù)據(jù)脫敏層次直接接觸敏感數(shù)據(jù)。

5.5選擇脫敏方法

在對標識后的敏感數(shù)據(jù)進行脫敏前，應首先確定脫敏方法，可選的數(shù)據(jù)脫敏方案包括靜態(tài)數(shù)據(jù)脫敏

和動態(tài)數(shù)據(jù)脫敏。不同的數(shù)據(jù)脫敏方案對數(shù)據(jù)源的影響不同，脫敏的時效性也不一樣。脫敏方案確定后，

就可以選擇對應的數(shù)據(jù)脫敏工具。

在確定數(shù)據(jù)脫敏方案時，可關(guān)注以下事項：

a）靜態(tài)數(shù)據(jù)脫敏方法是對原始數(shù)據(jù)進行一次脫敏后，脫敏后的結(jié)果數(shù)據(jù)可以多次使用，非常適合

使用場景比較單一的場合；

b）動態(tài)數(shù)據(jù)脫敏方法是在敏感數(shù)據(jù)顯示時，針對不同用戶需求，對顯示數(shù)據(jù)進行屏蔽處理的數(shù)據(jù)

脫敏方式，它要求系統(tǒng)有安全措施確保用戶不能夠繞過數(shù)據(jù)脫敏層次直接接觸敏感數(shù)據(jù)。動態(tài)數(shù)據(jù)脫敏

比較適合用戶需求不確定、使用場景復雜的情形。

5.6定義脫敏規(guī)則

針對已識別和標識出的敏感數(shù)據(jù)，資陽市政務(wù)服務(wù)和大數(shù)據(jù)管理局需建立敏感數(shù)據(jù)在相關(guān)業(yè)務(wù)場景

下的脫敏規(guī)則。在敏感數(shù)據(jù)生命周期識別的基礎(chǔ)上，明確存在數(shù)據(jù)脫敏需求的業(yè)務(wù)場景，并結(jié)合行業(yè)法

規(guī)的要求和業(yè)務(wù)場景的需求，制定相應業(yè)務(wù)場景下有效的數(shù)據(jù)脫敏規(guī)則。

在該過程中，可關(guān)注以下事項：

a）識別組織在業(yè)務(wù)開展過程中應遵循的個人隱私保護、數(shù)據(jù)安全保護等關(guān)鍵領(lǐng)域國內(nèi)外法規(guī)、行

業(yè)監(jiān)管規(guī)范或標準，以此作為數(shù)據(jù)脫敏規(guī)則必須遵循的原則；

b）對已識別出的敏感數(shù)據(jù)執(zhí)行生命周期（產(chǎn)生、采集、使用、交換、銷毀）流程的梳理，明確在

生命周期各階段，用戶對數(shù)據(jù)的訪問需求和當前的權(quán)限設(shè)置情況，分析整理出存在數(shù)據(jù)脫敏需求的業(yè)務(wù)

場景。例如，在梳理過程中，會發(fā)現(xiàn)存在對敏感數(shù)據(jù)的訪問需求和訪問權(quán)限不匹配的情況（用戶僅需獲

取敏感數(shù)據(jù)中部分內(nèi)容即可，但卻擁有對敏感數(shù)據(jù)內(nèi)容全部的訪權(quán)限），因此該業(yè)務(wù)場景存在敏感數(shù)據(jù)

的脫敏需求；

c）進一步分析存在數(shù)據(jù)脫敏需求的業(yè)務(wù)場景，在“最小夠用”的原則下明確待脫敏的數(shù)據(jù)內(nèi)容、

符合業(yè)務(wù)需求的脫敏方式，以及該業(yè)務(wù)的服務(wù)水平方面的要求，以便于脫敏規(guī)則的制定。其中，脫敏的

方式可參考“常用數(shù)據(jù)脫敏方法”；

d）數(shù)據(jù)脫敏工具應提供擴展機制，從而讓用戶可根據(jù)需求自定義脫敏的方法；

e）通過數(shù)據(jù)脫敏工具選擇數(shù)據(jù)脫敏方法時，脫敏工具中應對各類方法的使用進行詳細的說明，說

明應包括但不限于規(guī)則的實現(xiàn)原理、數(shù)據(jù)引用完整性影響、數(shù)據(jù)語義完整性影響、數(shù)據(jù)分布頻率影響、

約束和限制等，以支撐脫敏工具的使用者在選擇脫敏方式時做出正確的選擇；

f）應固化常用的敏感數(shù)據(jù)脫敏規(guī)則，例如身份證號、手機號等的常用脫敏規(guī)則，避免數(shù)據(jù)脫敏項

目實施過程中重復定義數(shù)據(jù)脫敏規(guī)則。

5.7執(zhí)行脫敏操作

根據(jù)已定義的數(shù)據(jù)脫敏規(guī)則、數(shù)據(jù)脫敏工作的流程和數(shù)據(jù)脫敏工具的運維管理制度，在實際業(yè)務(wù)運

營過程中執(zhí)行數(shù)據(jù)脫敏，可包括條數(shù)據(jù)脫敏和塊數(shù)據(jù)脫敏。條數(shù)據(jù)脫敏是對單條數(shù)據(jù)根據(jù)脫敏規(guī)則實施

5

DB5120/T19.5—2023

脫敏，塊數(shù)據(jù)脫敏是對聚合數(shù)據(jù)實施脫敏。在日常的脫敏工作中，監(jiān)控分析數(shù)據(jù)脫敏過程的穩(wěn)定性、以

及對業(yè)務(wù)的影響性，同時對脫敏工作開展定期的安全審計，已發(fā)現(xiàn)脫敏工作中存在的安全風險。

在該過程中，可關(guān)注以下事項：

a）支持從數(shù)據(jù)源克隆數(shù)據(jù)到新環(huán)境（例如從生產(chǎn)環(huán)境、備份庫克隆數(shù)據(jù)到新環(huán)境），并在新環(huán)境

中進行脫敏過程的執(zhí)行；也支持在數(shù)據(jù)源端直接進行脫敏；

b）對脫敏任務(wù)的管理，可考慮采用自動化管理的方式提升任務(wù)管理效率，例如定時、條件設(shè)置的

方式觸發(fā)脫敏任務(wù)的執(zhí)行；

c）執(zhí)行對脫敏任務(wù)的運行監(jiān)控，關(guān)注任務(wù)執(zhí)行的穩(wěn)定性、以及脫敏任務(wù)對業(yè)務(wù)的影響；

d）設(shè)置專人定期對數(shù)據(jù)脫敏的相關(guān)日志記錄進行安全審計，審計應重點關(guān)注高權(quán)限賬號的操作日

志和脫敏工作的記錄日志；發(fā)布審計報告，并跟進審計中發(fā)現(xiàn)的例外和異常。

5.8評估脫敏效果

通過收集、整理數(shù)據(jù)脫敏工作執(zhí)行的數(shù)據(jù)，例如相關(guān)監(jiān)控數(shù)據(jù)、審計數(shù)據(jù)，對數(shù)據(jù)脫敏的前期工作

開展情況進行反饋，從而優(yōu)化相關(guān)規(guī)程、明確數(shù)據(jù)脫敏過程中應關(guān)注的事項。

在該過程中，可關(guān)注以下事項：

a）評估脫敏后數(shù)據(jù)對應用系統(tǒng)的功能、性能的影響，從而明確對整體業(yè)務(wù)服務(wù)水平的影響；測試

負載應盡量保證與生產(chǎn)環(huán)境一致，應盡量提供從生產(chǎn)環(huán)境克隆數(shù)據(jù)訪問負載到脫敏系統(tǒng)進行回放測試的

功能；

b）根據(jù)組織業(yè)務(wù)發(fā)展的情況和脫敏工作執(zhí)行的反饋，優(yōu)化數(shù)據(jù)脫敏工作開展的規(guī)程，旨在全組織

機構(gòu)范圍內(nèi)增強數(shù)據(jù)安全能力并滿足合規(guī)要求。

6常用脫敏方法

6.1泛化

泛化是指在保留原始數(shù)據(jù)局部特征的前提下使用一般值替代原始數(shù)據(jù)，泛化后的數(shù)據(jù)具有不可逆

性，具體的技術(shù)方法包括但不限于：

a）數(shù)據(jù)截斷：直接舍棄業(yè)務(wù)不需要的信息，僅保留部分關(guān)鍵信息，例如將手機號/p>

截斷為135。

b）日期偏移取整：按照一定粒度對時間進行向上或向下偏移取整，可在保證時間數(shù)據(jù)一定分布特

征的情況下隱藏原始時間，例如將時間2015010101:01:09按照5秒鐘粒度向下取整得到20150101

01:01:05；

c）規(guī)整