JTT 1480-2023 交通运输数据脱敏指南

ＩＣＳ３５．２４０．６０ＣＣＳＲ０７　中华人民共和国交通运输行业标准ＪＴ／Ｔ１４８０—２０２３交通运输数据脱敏指南Ｇｕｉｄｅｌｉｎｅｓｆｏｒｔｒａｎｓｐｏｒｔａｔｉｏｎｄａｔａｍａｓｋｉｎｇ　２０２３⁃１１⁃２４发布２０２４⁃０３⁃０１实施中华人民共和国交通运输部发布目　　次前言Ⅱ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　总则１………………………………………………………………………………………………………５　数据脱敏流程２……………………………………………………………………………………………６　数据脱敏管理措施５………………………………………………………………………………………附录Ａ（资料性）　常用敏感数据脱敏技术６………………………………………………………………附录Ｂ（资料性）　常用敏感数据脱敏方法９………………………………………………………………附录Ｃ（资料性）　常用敏感数据脱敏技术特性１１…………………………………………………………参考文献１２……………………………………………………………………………………………………ⅠＪＴ／Ｔ１４８０—２０２３前　　言本文件按照ＧＢ／Ｔ１．１—２０２０《标准化工作导则　第１部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位：交通运输部科学研究院、山东高速集团有限公司创新研究院、浙江智贝信息科技有限公司、贵州银智科技发展有限公司。本文件主要起草人：郭明多、宋蕊、黄海涛、王涛、王孜健、郭亚茹、王娜、田婷、李慧娟、张涵、刘娜、李洪囤、黄莉莉、曹剑东、喻祖威、周正达、尚华、田仁薪。ⅡＪＴ／Ｔ１４８０—２０２３交通运输数据脱敏指南１　范围本文件提供了交通运输数据脱敏的指导和建议，并给出了交通运输数据脱敏的总则、流程和管理措施。本文件适用于交通运输数据脱敏工作的规划、实施和管理。２　规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ３５２７３　信息安全技术　个人信息安全规范ＧＢ／Ｔ３７９６４　信息安全技术　个人信息去标识化指南３　术语和定义ＧＢ／Ｔ３５２７３、ＧＢ／Ｔ３７９６４界定的以及下列术语和定义适用于本文件。３．１敏感信息　ｓｅｎｓｉｔｉｖｅｉｎｆｏｒｍａｔｉｏｎ一旦泄露、非法提供或滥用就有可能会对个人、单位、企业、行业各部门甚至国家安全产生危害的信息。３．２敏感数据　ｓｅｎｓｉｔｉｖｅｄａｔａ记录了或可能被挖掘出敏感信息的数据。３．３数据脱敏　ｄａｔａｍａｓｋｉｎｇ通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。［来源：ＧＢ／Ｔ３７９８８—２０１９，３．１２，有修改］３．４反脱敏　ｄｅ⁃ｍａｓｋｉｎｇ对脱敏后的数据进行挖掘、比对、分析，重新获取原始敏感数据的一种数据还原方法。４　总则４．１　概述交通运输数据（以下简称“数据”）脱敏是指对交通运输建设、运营、服务及管理等单位在履行各级职责过程中直接或通过第三方依法采集、产生、获取的，以电子或者其他方式记录的各类信息进行脱敏处理。１ＪＴ／Ｔ１４８０—２０２３４．２　数据脱敏目标４．２．１　避免敏感信息泄露数据脱敏宜从数据源头对敏感信息进行处理，避免敏感数据在不可控的网络空间中流转时被泄露。４．２．２　控制反脱敏风险根据数据使用的业务场景，宜选择适当的脱敏技术和规则策略，使脱敏数据的反脱敏风险在可控范围内，且不会随着新数据发布或数据使用方之间潜在的关联关系而增加。４．２．３　保障脱敏数据可用在反脱敏风险可控前提下，宜根据业务场景和数据特性选择合适的脱敏技术和参数，保障脱敏数据仍然满足最终的应用要求。４．３　数据脱敏原则４．３．１　安全性原则４．３．１．１　安全可信所使用的数据脱敏技术工具宜优先采用通过具备资格的机构安全认证合格或者安全检测符合要求（例如计算机信息系统安全专用产品销售许可证）的工具，保证脱敏工具不引入新的安全风险。４．３．１．２　安全可控经过脱敏后的数据仍需控制知悉范围，防止数据外泄，避免因扩散范围过广导致多源关联交叉比对分析的风险增加。宜通过制度建设和组织建设对脱敏各个阶段进行有效管理。４．３．１．３　安全可审计数据脱敏的各个阶段宜通过安全审计机制记录数据处理过程，形成完整数据处理记录，用于后续问题排查分析和安全事件的取证溯源。４．３．２　高效性原则数据脱敏的过程宜通过适当的脱敏算法和脱敏策略自动化实现，提高脱敏效率。４．３．３　稳定性原则数据脱敏时需保证对相同的原始数据，在输入条件一致的前提下，多次脱敏的结果是一致的。４．３．４　可用性原则数据脱敏时宜尽可能保持原始数据特征，保障脱敏后的数据可用，最大限度减少使用脱敏数据对业务的影响。５　数据脱敏流程５．１　一般流程脱敏工作的流程一般包括识别敏感数据、确定脱敏需求、确定脱敏技术和参数、制定脱敏计划、实施２ＪＴ／Ｔ１４８０—２０２３数据脱敏、评估脱敏效果和监控审计，如图１所示。图１　数据脱敏一般流程５．２　识别敏感数据５．２．１　数据脱敏工作宜首先对敏感数据进行识别和定义，明确需要脱敏的数据范围。可能包括敏感信息的数据主要有核心数据、重要数据、个人信息。５．２．２　在敏感数据识别过程中，宜重点关注：ａ）　识别方式：通过但不限于数据表名称、字段名称、数据记录内容、数据表备注、数据文件内容直接匹配或正则表达式匹配等方式进行数据识别；ｂ）　识别工具：尽量利用自动化工具进行数据识别，识别工具能根据业务需要自定义敏感数据的识别方式，降低对业务系统产生的影响；ｃ）　存储类型：支持主流的数据库系统、数据仓库系统、文件系统，同时支持云计算环境下的主流新型存储系统；ｄ）　数据关联关系：明确敏感数据结构化或非结构化的数据表现形态，同时分析和建立完整的数据敏感位置和关系库，充分考虑到数据脱敏后对原数据业务特性的继承，保持原数据间的关联关系。５．２．３　在识别敏感数据后，宜对敏感数据进行标识，包括标识敏感数据的位置、敏感数据的格式等信息，以便后续对敏感数据的访问、传输和处理进行跟踪和监督。在标识敏感数据时，宜重点关注：ａ）　标识时机：在数据采集阶段对敏感数据进行标识，以便于在整个数据生命周期各个阶段对敏感数据进行有效管理；ｂ）　标识类型：支持静态数据的敏感标识及动态流数据的敏感标识；ｃ）　标识特性：敏感数据的标识具有便捷性和安全性，确保标识信息能够随敏感数据一起流动，同时确保敏感数据标识信息不容易被恶意攻击者删除和篡改。５．３　确定脱敏需求５．３．１　评估敏感数据相关业务系统和用户的所需权限，创建相关资源，宜在数据脱敏生产系统中进行连接配置，保持数据源的可用性。５．３．２　对已识别出的敏感数据执行生命周期流程的梳理，明确在生命周期各阶段用户对数据的访问需求和当前的权限设置情况，分析整理出存在敏感数据脱敏需求的业务场景。５．４　确定脱敏技术和参数５．４．１　针对每一个脱敏需求宜确定是进行静态脱敏还是动态脱敏，其中：ａ）　静态脱敏：针对持久化存储数据的脱敏，脱敏后的数据将以文件、库、表等形式存储于磁盘上，一般用于生产环境数据向非生产环境、数据交换方提供时使用；ｂ）　动态脱敏：访问数据过程中的实时脱敏，脱敏后数据一般直接应用于业务系统或数据管理运维，不持久化存储。５．４．２　梳理敏感数据的关联关系，包括主外键信息、父子关系信息、跨系统关联信息等，确定脱敏技术和参数。相关联的敏感数据宜采用统一的脱敏技术和参数，常用敏感数据脱敏技术见附录Ａ。３ＪＴ／Ｔ１４８０—２０２３５．４．３　配置脱敏规则时，宜对用户权限信息、系统属性信息、系统连接信息、脱敏表、表关系、表列、脱敏函数分级、脱敏函数配置、脱敏函数规则指定、脱敏流程控制等相关信息进行配置。５．４．４　选择数据脱敏工具时，宜重点关注：ａ）　选择已内置固化常用敏感数据脱敏方法的数据脱敏工具，避免数据脱敏实施过程中重复定义数据脱敏方法；注：常用敏感数据脱敏方法见附录Ｂ，常用敏感数据脱敏技术特性见附录Ｃ。ｂ）　选择提供扩展机制的数据脱敏工具，根据需求自定义脱敏方法；ｃ）　选择提供脱敏方法详细说明的脱敏工具，说明内容包括但不限于各类脱敏方法的实现原理、数据引用完整性影响、数据语义完整性影响、数据分布频率影响、约束限制等。５．５　制定脱敏计划根据脱敏需求和相关技术参数，制定脱敏计划。针对每一个脱敏需求，脱敏计划内容宜包括但不限于：ａ）　责任人员：指定参与脱敏工作的所有人员，人员角色定义和工作责任宜参考６．２；ｂ）　脱敏技术参数：记录待使用的脱敏技术和参数、相关配置信息、技术工具等，相关人员按照记录内容逐条配置、确认、操作和审计；ｃ）　脱敏执行时间和周期：确定脱敏执行开始时间和执行频率；ｄ）　脱敏结果校验方案：预估待脱敏的数据总量、增量和预期脱敏结果，确定脱敏结果正确性、完整性校验方法及校验工具；ｅ）　脱敏应急方案：明确脱敏过程中可能产生的问题、原因、解决方案和响应流程。５．６　实施数据脱敏根据已制定的脱敏计划实施数据脱敏，宜包括但不限于：ａ）　配置脱敏任务：根据脱敏计划，对脱敏工具、脱敏程序等进行相应参数配置，包括但不限于脱敏技术参数、脱敏执行时间和周期等。ｂ）　实施脱敏任务：通过工具自动调度执行、手工触发配置执行、操作系统定时调度任务等方式执行已配置好的脱敏任务，实现数据脱敏。在执行过程中，根据执行状况、错误信息等，按照预先确定的应急方案进行处置，并能动态修改、展示、停止、继续执行相关脱敏任务。ｃ）　验证脱敏结果：脱敏任务实施后，对获得的脱敏结果数据开展结果校验，保障数据脱敏结果满足脱敏需求。５．７　评估脱敏效果宜通过收集、整理数据脱敏工作执行相关监控、审计等数据，对数据脱敏的前期工作开展情况进行反馈，评估脱敏效果和优化相关流程配置等。５．８　监控审计监控审计宜贯穿于数据脱敏全过程。数据脱敏组织机构宜设置相应专业人员（如审计管理员）进行安全审计，建立全流程监控审计机制。数据脱敏工具宜支持配置审计报告，根据各业务系统的审计内容与需求，提供对指定用户、指定时间段、指定应用系统进行相关操作的审计报告，同时能支持定制报告以及审计报告的下载等。４ＪＴ／Ｔ１４８０—２０２３６　数据脱敏管理措施６．１　制度建设数据管理机构在制定数据脱敏制度时，宜注意下列要点：ａ）　明确敏感数据管理和使用部门，并明确各自的安全责任和义务。ｂ）　根据安全合规需求，建立敏感数据的分类分级规范，并明确各级各类数据的安全管控方式。ｃ）　建立数据脱敏的工作流程、脱敏工具的运维管理制度，并定期对相关流程制度进行评审和修订。ｄ）　数据脱敏制度建立后，定期对数据脱敏工作的相关方，包括但不限于数据管理方、数据使用方、脱敏工具运维方等开展针对相关制度的培训工作。对脱敏工具运维服务机构开展机构及人员背景调查，签署保密服务协议，加强第三方合作服务行为监督，定期评估运维服务机构安全保密、技术防护和应急处置能力，避免因第三方服务或人员引发的安全风险。ｅ）　制定完备的敏感数据使用审批流程。６．２　组织建设数据管理机构宜设置数据脱敏管理小组，包括专门的脱敏操作员、安全管理员和审计管理员，主要工作如下：ａ）　脱敏操作员：具体执行整个数据脱敏工作；定期向安全管理员和审计管理员汇报数据脱敏执行情况。ｂ）　安全管理员：制定脱敏系统的安全策略，进行日常安全检查和权限管理；制定并部署脱敏系统账户密码安全规则，以及数据库和敏感数据的脱敏控制策略；制定数据脱敏工作的范围和日程；管理具体的脱敏过程；负责脱敏系统内部的规