DB34 T 4631.2-2023 政务数据 第2部分：脱敏技术规范.pdf

1、 ICS 35.020 CCS L 67 34 安徽省地方标准 DB34/T 4631.22023 政务数据 第 2 部分：脱敏技术规范 Government dataPart2:Specification for desensitization technology 2023-10-07 发布2023-11-07 实施安徽省市场监督管理局发 布 DB34/T 4631.22023 I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由安徽省大数据中心提出。本

2、文件由安徽省数据资源管理局归口。本文件起草单位：安徽省大数据中心、蚌埠市信息中心、安徽省电子产品监督检验所、六安市大数据中心、安徽省数据资源管理局、滁州市大数据中心、淮北市数据资源发展中心、阜阳市大数据产业发展中心、合肥市数据资源管理局、马鞍山市大数据中心、亳州市数据资源管理局、上海观安信息技术股份有限公司、深圳昂楷科技有限公司、闪捷信息科技有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、五色石（杭州）数据技术有限公司。本文件主要起草人：朱典、杨阳、董超、王理冬、陈先才、闫飞、张锐、王立志、王征、张园园、陶峰、李欣、王俊、戴国建、谢园园、程博、邹莉强、王永红、徐慧子、马

3、宁、黄建、谢江、乐凯明、周绪鹏、方鹏、张禹、章玉龙。DB34/T 4631.22023 1 政务数据 第 2 部分：脱敏技术规范 1 范围 本文件确立了政务数据脱敏技术的基本要求，并规定了数据脱敏流程。本文件适用于指导非涉密政务信息系统中结构化数据的数据脱敏工作。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求 3

4、术语和定义 下列术语和定义适用于本文件。3.1 数据脱敏 data desensitization 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。来源：GB/T 37988,定义3.12 3.2 敏感数据 sensitive data 由权威机构确定的受保护的信息数据。注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。来源：GB/T 39477,定义3.7 3.3 静态数据脱敏 static data desensitization 将数据抽取出生产环境脱敏后进行变形转换处理。3.4 动态数据脱敏 dynamic data desensitizat

5、ion 对于外部申请访问的数据进行即时处理并返回脱敏后结果。3.5 脱敏策略 desensitization policy 根据一定的业务场景，选择数据脱敏方法和一系列的数据脱敏技术对敏感数据进行脱敏。4 数据脱敏基本要求 数据可用性 4.1 DB34/T 4631.22023 2 数据脱敏后应具备数据可用性。数据有效性 4.2 数据脱敏后应具备有效性，原始数据脱敏处理后，原始信息中包含的敏感信息应已被消除，无法通过处理后的数据得到敏感信息。数据真实性 4.3 数据脱敏后应具备有真实性，脱敏后的数据应真实地体现原始数据的特征。数据脱敏自动化 4.4 数据脱敏的过程应可通过程序自动化实现，可重复

6、执行。数据一致性 4.5 数据脱敏后应具有一致性，在脱敏策略不变的前提下，脱敏结果应不受到脱敏次数的影响。数据可配置性 4.6 数据脱敏工作应具有可配置性，支持配置多种脱敏方式，不同脱敏条件生成不同结果。5 数据脱敏流程 发现敏感数据 5.1 5.1.1 敏感数据识别 基于组织的数据安全分级策略，数据泄露、篡改、破坏、非法利用后可能损害个人合法权益、组织合法权益、公共利益或国家安全的级别数据均为敏感数据。5.1.2 敏感数据标识 利用数据标识技术工具对敏感数据的位置和格式信息进行标识。制定脱敏方案 5.2 脱敏方案应包括脱敏场景和脱敏技术。数据脱敏技术说明表见附录A。脱敏操作 5.3 政务数据

7、脱敏操作一览表见表1。DB34/T 4631.22023 3 表1 政务数据脱敏操作一览表 序号 数据脱敏场景 场景描述 脱敏技术 描述 适用数据类型 推荐脱敏方法 1 数据分析 主要包括：1.根据需求将数据导出。2.外部单位使用其他公共服务机构敏感数据进行分析。重排、关系映射、遮盖、偏移取整、随机值替换、泛化 跨行随机互换原始敏感数据，打破原始敏感数据与本行其他数据关联关系。通 用、日期、时间、数 字、收入、日期、时 间、数字、收入 动态脱敏、静态脱敏 2 开发测试 主要包括：1.内部常规的系统测试。2.对外提供联调数据。3.使用业务真实数据进行测试。散列、加密 对原始数据通过散列算法计算，

8、使用计算后的散列来代替原始数据。通用 动态脱敏、静态脱敏 3 数据共享 主要包括：1.公共服务管理机构之间根据数据的敏感等级进行有条件的数据共享。2.根据需求将数据导出。截断、泛化、掩码屏蔽 数据尾部截断内容 通用 动态脱敏、静态脱敏 4 数据开放 主要包括政务部门面向公民、法人和其他组织以非排他形式有条件开放部分政务数据内容。匿名、掩码屏蔽 通过对数据内容的处理，保证在数据表发布时，数据中存在一定量的准标识符上不可区分的记录。通用、字符串 静态脱敏、动态脱敏 5 数据库运维 提供数据库运行维护。差分隐私 在原数据中加入噪音信息，使得满足差分隐私的数据集能够抵抗任何对隐私数据的分析。数据集 动

9、态脱敏 6 群体信息统计 保证数据集的业务属性的前提下，适用于群体信息统计的场景，对数据集进行全体信息的统计。均化 针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下，改变数值的原始值。数据集 静态脱敏 7 数据运营 数据运营的过程，应该包括数据采集、数据存储、数据提取、数据挖掘、数据分析、数据展现、数据应用七个方面。重排、关系映射、遮盖、偏移取整、随机值替换、泛化 跨行随机互换原始敏感数据，打破原始敏感数据与本行其他数据关联关系。通 用、日期、时间、数 字、收入、日期、时 间、数字、收入 动态脱敏、静态脱敏 审计与改进 5.4 记录留存所有脱敏操作日志，并由政务部门数

10、据安全负责人定期组织脱敏过程审计。通过收集、整理脱敏过程数据和脱敏后的数据，监控分析脱敏过程的效果、稳定性以及对业务的影响，并对脱敏效果进行持续改进。DB34/T 4631.22023 4 附录A （资料性）数据脱敏技术说明表 见表A.1。表A.1 数据脱敏技术说明表 序号 数 据 脱 敏技术类型 技术类型说明 数据脱敏技术名称 技术说明 1 统计技术 对数据集进行去标识化或提升脱敏技术有效性的常用方法，主要包括数据抽样和数据聚合两种处理方法；数据抽样 数据抽样是通过选取数据集中有代表性的子集来对原始数据集进行分析和评估。2 数据聚合 数据聚合作为一系列统计技术的集合，应用于微数据中的属性时，

11、产生的结果能够代表原始数据集中的所有记录。3 加密技术 对未脱敏数据进行加密处理，使未授权的系统或用户只能看到无意义的加密数据，主要包括确定性加密、保序加密、保留格式加密、同态加密、同态秘密共享等处理方法；确定性 加密 确定性加密是一种非随机加密方法。可以用确定性加密结果替代微数据据中的标识符值。4 保序加密 保序加密是一种非随机加密方法，可以用保序加密值替代微数据中的标识符值。5 保留格式加密 保留格式加密要求密文与明文具有相同的格式，当作为去标识化技术的一部分加以采用时，可用保留格式加密值替代微数据中的标识符值。6 同态加密 同态加密是一种随机加密。对加密数据进行处理，但是处理过程不会泄露

12、任何原始内容。同时，拥有密钥的用户对处理过的数据进行解密后，得到的正好是处理后的结果。同态加密用加密值替代微数据中的标识符值。7 同态秘密共享 同态秘密共享可将一个秘密拆分为“若干份额”，可利用拆分后秘密信息的特定子集来重构原始的秘密，如果对用于重构秘密的所有份额执行相同的数学运算，则其结果等价于在原始秘密上执行相应数据学原酸的结果。同态秘密共享可用信息共享算法得出的两个或以上若干份额替代数据记录中的任何标识符或敏感属性。8 扰乱技术 通过加入噪声的方式对原始数据进行干扰，扰乱后的数据仍保留着原始数据的分布特征，并能通过业务校验，主要包括唯一值映射、排序映射、重排、混洗、固定偏唯一值 映射 将

13、数据映射成一个唯一值，允许根据映射值找回原始值，支持正确的聚合或者连接操作。9 排序映射 将数据映射成新值，同时保持数据顺序。10 重排 将数据库的某一列值进行重排。11 混洗 主要通过对敏感数据进行跨行随机互换来打破其与本行其他数据的关联关系，从而实现脱敏。12 固定偏移 将数据值增加 1 个固定的偏移量，隐藏数值部分特征。13 局部混淆 保持前面 n 位不变，混淆其余部分。14 乱序 对敏感数据进行重新随机分布，混淆原有值和其他字段的联系。DB34/T 4631.22023 5 15 移、局部混淆、乱序、随机值替换、散列、保留随机、均化等处理方法；随机值 替换 如统一将女性用户名替换为 F

14、，对内部人员可以完全保持信息完整性，但易破解，常见的替换方式包括常数替换、查表替换、参数化替换。16 散列 将输入映射为 1 个 hash 值，常用作将不定长数据为固定长度的字符串，常用的 hash 算法，如 MD5、SHA-256、SHA-1、HMAC。17 保留随机 选中分段保留，其他分段随机。18 均化 针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下，改变数值的原始值。19 抑制技术 通过隐藏数据中部分信息的方式来对原始数据的值进行转换，又称为隐藏技术或掩码技术，主要包括遮盖、掩码屏蔽、局部抑制、记录抑制等处理方法；遮盖 通过设置遮盖符，对原数据全部或部分进行

15、遮盖处理。20 掩码屏蔽 利用“*”符号遮掩部分信息，并且保证数据长度不变，容易识别出原来的信息格式。21 局部抑制 局部抑制技术是从所选记录中删除特定属性值，该特定属性值与其他标识符结合使用可能识别出相关个人信息主体。22 记录抑制 记录抑制是一种从数据集中删除整个记录或一些记录的技术，典型应用场景为删除包含稀有属性（如异常值）组合的记录。23 泛化技术 在保留原始数据局部特征的前提下使用一般值替代原始数据，泛化后的数据具有不可逆性，主 要 包 括 偏 移 取整、截断、顶层与底层编码、规整、变换等处理方法。偏移取整 按照一定粒度对数据如时间进行向上或向下偏移取整，可在保证数据一定分布特征的情

16、况下隐藏原始时间。24 规整 将数据按照大小规整到预定义的多个档位，例如将客户资产按照规模分为高、中、低三个级别，将客户资产数据用这三个级别代替。25 变换 指对数值和日期类型的源数据，通过随机函数进行可控的调整，以便在保持原始数据相关统计特征的同时，完成对具体数值的伪装。26 截断 直接舍弃业务不需要的信息，仅保留部分关键信息，例如将手机号码 13500010001 截断为 135。27 顶层与底层编码 泛化技术为某一属性设定一个可能的最大（或最小）阈值。顶层与底层编码技术使用表示顶层（或底层）的阈值替换高于（或低于）该阈值的值。28 随机化 技术 通过随机修改属性的值，使得随机化处理后的值

17、区别于原来的真实值，主要包括噪声添加、置换、微聚集等处理方法。噪声添加 噪声添加是通过添加随机值、“随机噪声”到所选的连续属性值种来修改数据集，同时保持该属性在数据集种的原始统计特性。该类统计特性包括属性的分布、平均值、方差、标准偏差、协方差以及相关性。29 置换 置换实在不修改属性值的情况下对数据集记录种所选属性的值进行重新排序的一种技术。30 微聚集 微聚集是指用某种算法方式计算出来的平均值代替连续属性所有值的技术。对于每种连续属性，或对于所选的一组连续属性，数据集中的所有记录都进行了分组，具有最近属性值的记录属于同一组，而且每一组种至少有 K 个记录。每一种属性的新值替换为该属性所在组中的平均值。31 有损技术 通过损失部分数据限制返回返回可用数据集合中一定行数的数据。DB34/T 4631.22023 6 的方式来保护整个敏感数据集，主要包 括 限 制 返 回 行数、排序映射等处理方法。行数 32 排序映射 返回可用数据集合中一定列数的数据。