《資訊保安技術 資料安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM正式成為國標對外發布，並已正式實施。美創科技將以DSMM資料安全治理思路為依託，針對各過程域，基於充分定義級視角（3級），提供資料安全建設實踐建議，形成系列文章。本文作為資料安全能力成熟度模型系列第十篇文章，將介紹資料處理階段的資料脫敏過程域（PA10）。

 

01 定義

資料脫敏，DSMM官方描述定義為根據相關法律法規、標準的要求以及業務需求，給出敏感資料的脫敏需求和規則，對敏感資料進行脫敏處理,保證資料可用性和安全性的平衡。

DSMM標準在充分定義級對資料脫敏要求如下：

1.        組織建設

①      美創科技專家建議組織應設立統一的資料安全崗位和人員，負責制定資料脫敏的原則和方法，並提供相關技術能力；

②      在資料許可權的申請階段，有相關人員應評估使用真實資料的必要性,以及確定該場景下適用的資料脫敏規則及方法。

 

2.        制度流程

①      應明確組織的資料脫敏規範，明確資料脫敏的規則、脫敏方法利使用限制等；

②      應明確需要脫敏處理的應用場景、脫敏處理流程、涉及部門及人員的職責分工。

 

3.        技術工具

①      組織應提供統一的資料脫敏工具，實現資料脫敏工具與資料許可權管理系統的聯動，以及資料使用前的靜態脫敏；

②      應提供面向不同資料型別的脫敏方案，可基於場景需求自定義脫敏規則；

③      資料脫敏後應保留原始資料格式和特定屬性,滿足開發與測試需求；

④      應對資料脫敏處理過程相應的操作進行記錄,以滿足資料脫敏處理安全審計要求。

 

4.        人員能力

①      應熟悉常規的資料脫敏技術，能夠分析資料脫敏過程中存在的安全風險，基於資料脫敏的具體場景保證業務和安全之間的需求平衡；

②      應具備對資料脫敏的技術方案定製化的能力，能夠基於組織內部各級別的資料建立有效的資料脫敏方案；

 

02 實踐指南

1.        組織建設

美創科技專家建議組織機構在條件允許的情況下應該設立資料脫敏部門並招募相關的技術人員和管理人員，負責為公司制定整體的資料脫敏原則和制度，並推動相關要求確實可靠的落地執行。

除此之外，還需要為公司定義不同等級的敏感資料脫敏處理情景、標準操作流程、標準方法，為公司建立統一的安全審計機制，用於記錄和監督資料脫敏各階段的操作行為，方便後續的問題排查和事件溯源等，在申請資料許可權的階段中，還應該提供評估使用真實資料必要性的服務支援，並確定在當前業務場景下應該採用的資料脫敏規則和方法。

 

2.        人員能力

針對資料脫敏部門的管理人員來說，必須具備良好的資料安全風險意識，熟悉國家網路安全法律法規以及組織機構所屬行業的政策和監管要求，在進行資料脫敏管理以及資料脫敏原則制定的時候，嚴格按照《網路安全法》、《資料安全法》等國家相關法律法規和行業規範執行。

同時還需要相關人員具備一定的資料安全管理經驗，擁有良好的資料脫敏專業知識基礎，熟悉主流廠商的資料脫敏解決方案，熟悉常規的資料脫敏技術，能提前分析出資料脫敏過程中可能存在的安全風險，能夠與具體的業務場景結合，保持資料脫敏過程中業務與安全之間的平衡，具備對資料脫敏技術方案進行定製化的能力，能夠基於組織機構內部各級別的資料建立行之有效的資料脫敏解決方案。

針對資料脫敏部門的實施人員來說，必須具備良好的資料安全風險意識，熟悉相關法律法規以及政策要求，熟悉主流廠商的資料脫敏方案、熟悉市面上常用的資料脫敏工具，擁有至少一年以上的資料脫敏實施經驗，熟悉公司內部應用場景、業務場景，能夠快速有效地實施由管理部門輸出的定製化資料脫敏方案，並保障完成質量。同時還應該具備一定的應急響應能力，當在資料脫敏過程中發生了突發事件或意外情況，能夠快速響應進行上報，保障原始資料安全以及脫敏資料的完整性和可用性等。

 

3.        落地執行性確認

針對資料脫敏崗位人員能力的實際落地執行性確認，可透過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實現。

 

4.        制度流程

①       資料脫敏原則

Ø  有效性：要求經過資料脫敏處理後，原始資訊中包含的敏感資訊已被移除，無法透過處理後的資料得到敏感資訊；

Ø  真實性：要求脫敏狗的資料應儘可能的提現原始資料的特徵，且應儘可能多的保留原始資料中的有意義資訊，以減小對使用該資料的系統的影響；

Ø  高效性：應保證資料脫敏的過程可透過程式自動化實現，可重複執行；

Ø  穩定性：資料脫敏時需保證對相同的原始資料，在各輸入條件一致的前提下，無論脫敏多少次，其最終結果資料是相同的；

Ø  可配置性：可透過配置的方式，按照輸入條件不同生成不同的脫敏結果，從而可以方便的按資料使用場景等因素為不同的終端使用者提供不同的脫敏資料。

②       資料脫敏管理安全規範

美創科技專家認為一個完整的資料脫敏流程包括敏感資料識別、確定脫敏方法、制定脫敏策略、執行脫敏操作、審計及溯源等步驟。由資料脫敏管理部門負責資料脫敏整個流程的執行與監督。

Ø  敏感資料識別

在資料脫敏之前，應結合資料分級分類表對敏感資料進行識別和定義，明確需要脫敏的資料資訊，一般包括個人資訊資料、組織敏感資訊、國家重要資料等。需要注意的是，有些資訊本身可能並不是直接敏感資訊，但是可用過與其他一些資訊結合後推斷出敏感資訊，此時也應將此類資訊納入資料敏感的範圍。

Ø  確定脫敏方法

根據應用場景和時間機制，資料脫敏方法可分為靜態資料脫敏和動態資料脫敏。不同的資料脫敏方案對資料來源的影響不同，脫敏時效性也不一樣。組織機構應根據識別出的敏感資料的具體情況，確定合適的脫敏方法。

Ø  制定脫敏策略

組織機構應根據實際業務場景，結合行業法規的要求，制定相應的資料脫敏策略。

Ø  執行脫敏操作

根據已定義的資料脫敏策略、以及資料脫敏工作的流程和資料脫敏工具的運維管理制度，在實際業務運營過程中執行資料脫敏。

Ø  審計及溯源

在資料脫敏的各個階段需加入安全審計機制，嚴格、詳細記錄資料處理過程中的相關資訊，形成完整的資料處理記錄，用於後續問題排查分析和安全事件取證溯源。同時，設定專人定期對脫敏相關的日誌記錄進行安全審計，釋出審計報告，並跟進審計中發現的異常。

5.        技術工具簡述

一個有效的資料脫敏工具應該包含兩部分，一部分是可靠的資料脫敏技術，另一部分是合理的脫敏規則，這兩部分是資料脫敏工具正常進行基本資料脫敏作業的基礎。除此之外，資料脫敏工具需要有良好的適配性，能夠應用在不同的環境下，如生產環境、開發環境、測試環境、外包環境等。同時還需要能夠支援豐富的資料型別，針對不同的應用場景的的不同型別的資料，脫敏後不能破壞原有的型別和資料組成結構。

①       技術工具的方法和原理

資料脫敏技術工具可以分為兩種，一種是靜態脫敏，另一種是動態脫敏。靜態脫敏和動態脫敏最大的一個區別標誌就是在使用時是否是與原資料來源進行連線。靜態脫敏是將原資料來源按照脫敏規則生成一個脫敏後的資料來源，使用的時候是從脫敏後的資料來源獲取資料，靜態脫敏一般用於開發、測試、分析等需要完整資料的場景。動態脫敏則是在使用時直接與原資料來源進行連線，在使用資料的中間過程中進行實時的動態脫敏。動態脫敏一般用來解決在生產環境需要根據不同情況對同一敏感資料讀取時進行不同級別脫敏的場景。

靜態脫敏是利用截斷、偏移、規整、替換、重寫、加密等演算法，對原資料進行脫敏，並將脫敏後的資料匯出到脫敏後資料來源。一般靜態脫敏工具都支援檔案到檔案脫敏、檔案到資料庫脫敏、資料庫到檔案脫敏、原庫脫敏、異庫脫敏等脫敏方式。

靜態脫敏

 

動態脫敏技術在工作時並不會對原資料進行改變，而是透過解析業務SQL語句匹配出脫敏規則對應的條件和資料。當匹配到對應的資料和條件時，透過對業務SQL語句進行改寫，改寫後的SQL語句在查詢生產資料來源輸出後的資料即為脫敏後的資料。

動態脫敏

 

②       資料脫敏安全

相對來說，動態脫敏在自身資料安全性上是高於靜態脫敏的。這是由於在脫敏作業中，動態脫敏不會涉及到對原資料的處理，動態脫敏改變的只是SQL語句。而靜態脫敏則會對原資料進行處理，在處理過程中會存在比動態脫敏更多的風險點。

靜態脫敏在資料安全保護上一個重點是首先要確認在脫敏系統中會不會落地。資料落地需要脫敏系統也具有資料來源同樣大小的儲存空間，對脫敏系統的儲存要求較高，同時進行多業務資料來源脫敏的情況下，還需要對接儲存系統，不僅硬體成本高，還存在安全風險。

資料脫敏從資訊保安的職責分離的要求下出發，脫敏系統的管理者為安全管理員，將DBA接觸敏感資料場景剝離出來，同時安全管理員不具有DBA許可權也無法檢視全部的敏感資料。但在資料落地的情況下，安全管理員可以從資料脫敏系統內獲得全部敏感資料，這就違背了職責分離的初衷。

一般來說，使用ETL技術，或者針對不同資料庫開發介面的靜態脫敏系統都不會採用資料落地的方式。

③       技術工具工作流程和目標

資料脫敏技術工具應能實現如下的目標：

Ø  敏感資料自動發現：資料脫敏系統在獲取到資料來源中的資料後，應能夠利用特徵匹配、機器學習等技術，自動發現資料來源中的敏感資料。

Ø  不同場景脫敏規則：資料脫敏系統應當擁有豐富的脫敏規則，能夠涵蓋組織中的全部資料使用場景。

Ø  脫敏規則自動配置：針對自動發現的敏感資料，資料脫敏系統可以自動配置最合適的脫敏策略。

Ø  無損同構脫敏作業：資料脫敏系統在進行脫敏作業時，不能夠對資料造成損壞、丟失，同時脫敏後的資料結構應與原資料一致。

Ø  脫敏全流程審計：對於脫敏全流程，從配置脫敏源、敏感資料自動發現、脫敏規則配置、脫敏作業發起、脫敏作業結束等，所有的操作都應該被審計記錄。

 

美創科技對於資料處理階段的資料脫敏過程域的實踐指南就展開至此，《資料安全能力成熟度模型》實踐指南系列持續更新中，歡迎持續關注。