ICS 35.020 CCS L 67 34 安徽省地方 标准 DB34/T 4631.2—2023 政务数据 第2部分：脱敏技术规范 Government data —Part2: Specification for desensitization technology 2023 - 10 - 07发布 2023 - 11 - 07实施 安徽省市场监督管理局 发布 DB34/T 4631.2 —2023 I 前言 本文件按照GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任 。 本文件由安徽省大数据中心提出。 本文件由安徽省 数据资源管理局 归口。 本文件起草单位：安徽省大数据中心、 蚌埠市信息中心、安徽省电子产品监督检验所、六安市大数 据中心、 安徽省数据资源管理局、 滁州市大数据中心、 淮北市数据资源发展中心 、阜阳市大数据产业发 展中心、 合肥市数据资源管理局、马鞍山市大数据中心、亳州市数据资源管理局、上海观安信息技术股 份有限公司、深圳昂楷科技有限公司、闪捷信息科技有限公司、北京天融信网络安全技术有限公司、杭 州安恒信息技术股份有限公司、五色石（杭州）数据技术有限公司。 本文件主要起草人：朱典、杨阳、董超、王理冬、陈先才、闫飞、 张锐、王立志、王征、张园园、 陶峰、李欣、王俊、戴国建、谢园园、程博、邹莉强、王永红、徐慧子、马宁、黄建、谢江、乐凯明、 周绪鹏、方鹏、张禹、章玉龙。 DB34/T 4631.2 —2023 1 政务数据 第2部分：脱敏技术规范 1 范围 本文件确立了政务数据脱敏技术的基本要求，并规定了数据脱敏流程。 本文件适用于指导非涉密政务信息系统中结构化数据的数据脱敏工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 数据脱敏 data desensitization 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。 [来源：GB/T 37988, 定义3.12] 3.2 敏感数据 sensitive data 由权威机构确定的受保护的信息数据。 注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。 [来源：GB/T 39477, 定义3.7] 3.3 静态数据脱敏 static data desensitization 将数据抽取出生产环境脱敏后进行变形转换处理。 3.4 动态数据脱敏 dynamic data desensitization 对于外部申请访问的数据进行即时处理并返回脱敏后结果。 3.5 脱敏策略 d esensitization policy 根据一定的业务场景，选择数据脱敏方法和一系列的数据脱敏技术对敏感数据进行脱敏。 4 数据脱敏基本要求 数据可用性 4.1 DB34/T 4631.2 —2023 2 数据脱敏后应具备数据可用性。 数据有效性 4.2 数据脱敏后应具备有效性，原始数据脱敏处理后，原始信息中包含的敏感信息应已被消除，无法通 过处理后的数据得到敏感信息。 数据真实性 4.3 数据脱敏后应具备有真实性，脱敏后的数据应真实地体现原始数据的特征。 数据脱敏自动化 4.4 数据脱敏的过程应可通过程序自动化实现，可重复执行。 数据一致性 4.5 数据脱敏后应具有一致性，在脱敏策略不变的前提下，脱敏结果应不受到脱敏次数的影响。 数据可配置性 4.6 数据脱敏工作应具有可配置性，支持配置多种脱敏方式，不同脱敏条件生成不同结果。 5 数据脱敏流程 发现敏感数据 5.1 5.1.1 敏感数据识别 基于组织的数据 安全分级策略，数据泄露、篡改、破坏、非法利用后可能损害个人合法权益、组织 合法权益、公共利益或国家安全的级别数据均为敏感数据。 5.1.2 敏感数据标识 利用数据标识技术工具对敏感数据的位置和格式信息进行标识。 制定脱敏方案 5.2 脱敏方案应包括脱敏场景 和脱敏技术。数据脱敏技术说明表见附录 A。 脱敏操作 5.3 政务数据脱敏操作一览表见表1 。 DB34/T 4631.2 —2023 3 表1 政务数据脱敏操作一览表 序号 数据脱敏场景 场景描述 脱敏技术 描述 适用数据 类型 推荐脱敏 方法 1 数据分析 主要包括： 1. 根据需求将 数据导出。 2.外部单位使 用其他公共服务机构敏感 数据进行分析。 重排、关 系映射、 遮盖、偏 移取整、 随机值替 换、泛化 跨行随机互换原始敏感 数据，打破原始敏感数据 与本行其他数据关联关 系。 通用、日 期、时间、 数字、收 入、日期、 时间、数 字、收入 动态脱敏、 静态脱敏 2 开发测试 主要包括： 1. 内部常规的 系统测试。 2. 对外提供联 调数据。3. 使用业务真实 数据进行测试。 散列、加 密 对原始数据通过散列算 法计算，使用计算后的散 列来代替原始数据。 通用 动态脱敏、 静态脱敏 3 数据共享 主要包括： 1. 公共服务管 理机构之间根据数据的敏 感等级进行有条件的数据 共享。2. 根据需求将数据 导出。 截断、泛 化、掩码 屏蔽 数据尾部截断内容 通用 动态脱敏、 静态脱敏 4 数据开放 主要包括政务部门面向公 民、法人和其他组织以非 排他形式有条件开放部分 政务数据内容。 匿名、掩 码屏蔽 通过对数据内容的处理， 保证在数据表发布时，数 据中存在一定量的准标 识符上不可区分的记录。 通用、 字符 串 静态脱敏、 动态脱敏 5 数据库运维 提供数据库运行维护。 差分隐私 在原数据中加入噪音信 息，使得满足差分隐私的 数据集能够抵抗任何对 隐私数据的分析。 数据集 动态脱敏 6 群体信息统计 保证数据集的业务属性的 前提下，适用于群体信息 统计的场景，对数据集进 行全体信息的统计。 均化 针对数值性的敏感数据， 在保证脱敏后数据集总 值或平均值与原数据集 相同的情况下，改变数值 的原始值。 数据集 静态脱敏 7 数据运营 数据运营的过程，应该包 括数据采集、数据存储、 数据提取、数据挖掘、数 据分析、数据展现、数据 应用七个方面。 重排、关 系映射、 遮盖、偏 移取整、 随机值替 换、泛化 跨行随机互换原始敏感 数据，打破原始敏感数据 与本行其他数据关联关 系。 通用、日 期、时间、 数字、收 入、日期、 时间、数 字、收入 动态脱敏、 静态脱敏 审计与改进 5.4 记录留存所有脱敏操作日志，并由政务部门数据安全负责人定期组织脱敏过程审计。通过收集、整 理脱敏过程数据和脱敏后的数据，监控分析脱敏过程的效果、稳定性以及对业务的影响，并对脱敏效果 进行持续改进。 DB34/T 4631.2 —2023 4 附录 A （资料性） 数据脱敏技术说明表 见表A.1。 表A.1 数据脱敏技术说明表 序号 数据脱敏 技术类型 技术类型说明 数据脱敏 技术名称 技术说明 1 统计技术 对数据集进行去标 识化或提升脱敏技 术有效性的常用方 法，主要包括数据 抽样和数据聚合两 种处理方法； 数据抽样 数据抽样是通过选取数据集中有代表性的子集来对原始数据集 进行分析和评估。 2 数据聚合 数据聚合作为一系列统计技术的集合，应用于微数据中的属性 时，产生的结果能够代表原始数据集中的所有记录。 3 加密技术 对未脱敏数据进行 加密处理，使未授 权的系统或用户只 能看到无意义的加 密数据，主要包括 确定性加密、保序 加密、保留格式加 密、同态加密、同 态秘密共享等处理 方法； 确定性 加密 确定性加密是一种非随机加密方法。 可以用确定性加密结果替代 微数据据中的标识符值。 4 保序加密 保序加密是一种非随机加密方法， 可以用保序加密值替代微数据 中的标识符值。 5 保留格式 加密 保留格式加密要求密文与明文具有相同的格式， 当作为去标识化 技术的一部分加以采用时， 可用保留格式加密值替代微数据中的 标识符值。 6 同态加密 同态加密是一种随机加密。对加密数据进行处理，但是处理过程 不会泄露任何原始内容。同时，拥有密钥的用户对处理过的数据 进行解密后，得到的正好是处理后的结果。同态加密用加密值替 代微数据中的标识符值。 7 同态秘密 共享 同态秘密共享可将一个秘密拆分为 “若干份额” ，可利用拆分后 秘密信息的特定子集来重构原始的秘密， 如果对用于重构秘密的 所有份额执行相同的数学运算， 则其结果等价于在原始秘密上执 行相应数据学原酸的结果。 同态秘密共享可用信息共享算法得出 的两个或以上