DB3301/T 0363-2022 公共数据脱敏管理规范

ICS35.020

CCSL72

3301

浙江省杭州市地方标准

DB3301/T0363—2022

公共数据脱敏管理规范

Specificationforpublicdatadesensitization

2022-04-30发布2022-05-30实施

杭州市市场监督管理局发布

DB3301/T0363—2022

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4基本原则...........................................................................2

真实性.........................................................................2

有效性.........................................................................2

一致性.........................................................................2

稳定性.........................................................................2

5管理要求...........................................................................2

基本要求.......................................................................2

系统要求.......................................................................3

人员要求.......................................................................5

安全要求.......................................................................5

技术要求.......................................................................6

附录A（规范性）数据脱敏全生命周期工作过程...........................................7

附录B（资料性）公共数据安全承诺书...................................................8

附录C（资料性）常见脱敏算法及使用示例...............................................9

附录D（资料性）复杂数据脱敏场景说明................................................11

附录E（资料性）常见敏感数据类型的适用脱敏算法规则..................................12

参考文献.............................................................................15

I

DB3301/T0363—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由杭州市数据资源管理局提出并归口。

本文件起草单位：杭州市萧山区数据资源管理局、杭州美创科技有限公司。

本文件主要起草人：刘诚征、陈琼、肖国军、孙茂阳、胡江涛、张建林、乔祥耀、冯晨、王纪东。

II

DB3301/T0363—2022

引言

公共数据的共享与开放，为数据深度分析与挖掘提供了使用价值。公共数据因涉及国家安全、商业

秘密和公民隐私等敏感信息，开放共享中需加以保护，完成敏感数据脱敏工作。为指导公共数据脱敏工

作的实施，规范操作流程和管理，降低敏感数据泄露风险，特制订本文件。

III

DB3301/T0363—2022

公共数据脱敏管理规范

1范围

本文件规定了公共数据的基本原则和管理要求。

本文件适用于公共数据脱敏工作的规划、实施和管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20945—2013信息安全技术信息系统安全审计产品技术要求和测试评价方法

DB33/T2350—2021数字化改革术语定义

3术语和定义

DB33/T2350—2021界定的以及下列术语和定义适用于本文件。

公共数据publicdata

国家机关、法律法规规章授权的具有管理公共事务职能的组织，在依法履行职责和提供公共服务过

程中，所获取的数据资源以及法律、法规规定纳入公共数据管理范围的其他数据资源。

[来源：DB33/T2350—2021，3.2.2.1]

敏感数据sensitivedata

能具备一定的安全性要求，一旦泄露会对人、单位、企业、甚至国家产生某种风险的数据。

数据脱敏datadesensitization

对某些敏感信息按照一定规则进行数据变形，实现敏感信息隐私数据的可靠保护。

动态脱敏dynamicdesensitization

针对敏感数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏技术，主要对查询生产库返回的

数据进行实时脱敏处理，确保返回数据可用而安全。

静态脱敏staticdesensitization

针对敏感数据从生产环境脱敏完毕之后，在非原生产环境使用，一般用于解决测试、开发、共享、

数据分析等场景下需要生产库的数据量与数据间的关联，以排查问题或进行数据分析等，但又不能将敏

感数据存储于非生产环境的问题。

脱敏算法desensitizationalgorithm

1

DB3301/T0363—2022

对原始数据进行变形，去隐私化处理的算法。

脱敏系统desensitizationsystem

采用各种脱敏算法，通过自动化工具实现敏感数据发现、脱敏操作执行和脱敏全流程管理的应用系

统。

4基本原则

真实性

脱敏过程需保持用于后续分析的数据真实特征，以助于实现数据相关业务需求。真实性特征包括但

不限于数据结构特征和数据统计特征。

有效性

经过数据脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息。

一致性

数据脱敏后，保留主外键关联一致性，保留业务数据关联业务一致性，保留原数据间隐含包含及关

联关系。

稳定性

由于原始数据间存在关联性，为保障数据使用者可正常使用和分析数据，因此数据脱敏时需保证对

相同的原始数据，在各输入条件一致的前提下，无论脱敏多少次，其最终结果数据是相同的。

5管理要求

基本要求

5.1.1流程管理

应制定数据脱敏流程规范，并符合下列要求：

a)确敏感数据管理和使用部门，并明确参与数据脱敏工作各方的业务和安全责任边界；

b)根据安全合规要求，参照敏感数据分类分级规范，明确各类数据的安全管控方式；

c)建立完备的脱敏审批机制，确保数据脱敏工作安全合规；

d)建立数据脱敏全生命周期工作过程体系，确保数据脱敏执行工作合规，数据脱敏全生命周期工

作过程按照附录A执行；

e)建立数据脱敏系统操作和运维管理制度，并定期评审和修订；

f)数据脱敏流程规范建立后，定期对数据管理、数据使用、脱敏系统运维等相关各方开展培训，

提升主体责任和规范化意识。

5.1.2组织管理

应成立专门的数据脱敏管理小组，并设置专门的脱敏操作员、安全管理员和审计管理员，分工协作，

实现“三权分离”。

5.1.3评价管理

2

DB3301/T0363—2022

应按照系统、人员、安全、技术以及数据脱敏工作过程等多方面规范要求，每年开展至少1次及以

上数据脱敏评价工作，评价其真实性、有效性、稳定性。评价工作宜在数据脱敏工作验收结束后1个月

内完成。

系统要求

5.2.1脱敏系统安全

脱敏系统应采用经国家有关部门认证的产品。系统上线前应进行源代码审查，并通过信息系统安全

等级保护三级以上测评。系统运行过程中应定期进行安全扫描，接受网络信息安全和数据安全风险评估，

确保安全可靠，无漏洞后门。

5.2.2权限分配

应满足数据脱敏权限分配，对不同的用户分配不同数据脱敏权限。

5.2.3系统账号口令

脱敏系统账户的口令应为无意义的字符组，长度至少为十位，并包含大写字符、小写字符、数字和

特殊符号，脱敏系统账户口令应定期修改，最长使用时间不超过3个月。

5.2.4数据源

应适用数据库、文件、大数据平台、动态数据流等不同类型的数据源。

5.2.5数据脱敏任务

5.2.5.1静态数据脱敏产品应制定数据脱敏任务。任务宜包括：

a)设置原始数据存储源；

b)设置抽取范围；

c)设置脱敏内容；

d)选择脱敏规则；

e)设置目标数据存储源。

5.2.5.2动态数据脱敏产品应制定数据脱敏任务。任务宜包括：

a)根据动态数据源的范围，设置数据脱敏任务；

b)配置数据源的参数信息；

c)设置动态数据的脱敏范围；

d)设置脱敏内容；

e)设置数据脱敏的起止时间；

f)选择脱敏规则。

5.2.6敏感数据自动扫描和检测

产品应能够根据预定义的策略对敏感数据进行自动扫描和检测：

a)静态数据脱敏产品应能对整个数据库或文件中敏感数据进行自动扫描和检测；

b)动态数据脱敏产品应能对数据流中敏感数据进行自动扫描和检测。

5.2.7数据脱敏子集抽取

静态数据脱敏的产品应能够创建子集抽取规则。产品宜包括下列功能：

3

DB3301/T0363—2022

a)根据用户的要求创建相比原始数据较小的子集(基本级)；

b)应具有抽取多表间关联子集的功能，在数据脱敏后，保持数据表之间的关联关系（增强级）。

5.2.8任务监控

脱敏产品应能够对数据脱敏任务进行监控。产品宜包括下列功能：

a)数据脱敏任务应定时调度(静态脱敏)；

b)能够启动、暂停、继续和停止数据脱敏任务(静态脱敏)；

c)提供对数据脱敏任务的状态监测，以图形化方式展现每个任务的处理进度，以日志方式展现任

务处理明细及任务告警(静态脱敏)；

d)实时展现脱敏情况(动态脱敏)；

e)展现历史记录，一定时间段的脱敏情况(静态脱敏、动态脱敏)。

5.2.9审计记录

5.2.9.1审计记录生成，产品应对下列可审计事件生成记录：

a)数据脱敏操作日志，包括数据脱敏审批流程和数据脱敏任务的执行等；

b)鉴别机制的使用，包括系统用户的登录和注销日志；

c)管理操作日志，包括安全策略变更、对用户及角色进行增加、删除和修改等。

5.2.9.2对于每一个审计记录，产品记录应包括事件发生的日期和时间，事件类型，主体身份和成功

或失败事件，且数据脱敏操作应详细记录原始数据、脱敏范围、目标位置等信息

5.2.9.3审计记录查阅，产品应包含下列审计记录查询与访问功能：

a)只允许授权管理员访问审计记录；

b)满足按条件对审计记录进行组合查询。

5.2.9.4审计记录存储，产品应根据GB/T20945-2013标准中说明的基本级、增强级等级划分，提供

下列安全功能要求：

a)存储于掉电非易失性存储介质中（基本级）；

b)审计记录导出，并能够异地存储（增强级）；

c)审计记录应至少保存6个月及以上时间，其中涉及关键性日志建议保留1年以上或永久保存。

5.2.10接口管理

开发者应提供一个接口规范。接口规范宜满足下列要求：

a)使用非形式化风格来描述产品安全功能及其外部接口；

b)是内在一致的；

c)描述所有外部接口的用途与使用方法，适当提供效果、例外情况和错误消息的细节；

d)标识安全功能子系统的所有接口；

e)标识安全功能子系统的哪些接口是外部可见的；

f)完备地表示产品安全功能。

5.2.11环境要求

高层次设计中涉及的环境宜满足下列要求：

a)内存容量应满足脱敏工作的性能要求；

b)脱敏源为大型高性能主机，网络环境要求千兆以上，万兆最佳；

c)脱敏主机配置SSD脱敏应用运行；

d)描述每个安全功能子系统所提供的安全功能性；

4