YDT 3806-2020电信大数据平台数据脱敏实施方法.pdf

ICS 35.020 L67 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 电信大数据平台数据脱敏实施方法 Implementation method for data masking of telecom big data platform 中华人民共和国工业和信息化部 发 布 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 同级别、类型脱敏的问题。这种脱敏形式适用于对生产数据共享或时效性很高的数据访问场 景等，实现对生产数据库中敏感数据进行透明、实时脱敏。 动态脱敏可以依据用户名、IP 、客户端类型、访问时间等多重属性进行脱敏规则设置。 4.脱敏原则 4.1 有效性 有效性要求数据经过脱敏处理后，无法识别特定个人且原始数据无法复原。或者需通过 巨大经济代价、时间代价才能复原，使其成本已远远超过数据本身的价值。 4.2 可配置性 提供可配置的方式来执行脱敏处理，对不同的脱敏需求，提供算法配置、算法参数配置 等功能操作路径，以灵活的方式进行脱敏处理。 4.3 一致性 脱敏策略保持血缘数据的一致性，对设置了脱敏策略的表或字段，与其存在继承关系的 派生表或派生数据也进行相应的脱敏设置。 4.4 透明性 动态数据脱敏处理不能改变原始请求业务逻辑，在保证应用请求结果正确性与完整性的 前提下，对其中的敏感字段进行脱敏处理。 5 数据脱敏实施 5.1 功能要求 数据脱敏功能包括以下支持模块： a) 脱敏规则制定 脱敏规则至少包含两个要素：要脱敏的数据对象、脱敏方法。若进一步要求根据用户权 限进行脱敏，则要提前指定具体的角色/用户/权限信息。 在脱敏规则中进行参数化设计，以支持在不变规则的情况下，通过调整参数就能适应新 的需求。 b) 脱敏算法管理 支持脱敏算法的选择，及不同脱敏算法的组合。 能够支持算法包/库的升级，脱敏算法（包括自定义算法）的添加/删除，以便根据新的 业务需求提供适合的脱敏算法。 c) 脱敏策略配置 根据脱敏规则与具体应用数据配置脱敏策略，支持对字段级别的策略配置，支持对不同 脱敏算法的选择及多种算法的组合。支持脱敏算法参数配置。 d) 数据分级管理 可自动发现或手动配置不同数据的敏感类别、级别，或能够对已配置好的敏感类别级别 进行读取，并根据数据不同的敏感类别、级别进行不同的脱敏策略配置。 5.2 脱敏实施流程 步骤2 ：根据数据拥有者的表和字段授权使用情况，检查当前使用者是否有权限使用。 步骤3 ：输出安全控制检查。数据拥有者允许数据某些属性可以做关联查询，对输出字段的 安全进行权限检查。 步骤4 ：依据用户权限、所请求的数据内容和已定的脱敏规则，对查询的结果集进行脱敏处 理。 此架构能够对平台所有正常的访问进行截取，方便进行脱敏权限控制，但需要专门的中 间件进行SQL 分析和脱敏处理，当数据量过大时，可能会有性能瓶颈。 5.2.3.3.2 插件模式 在此模式下，脱敏引擎与组件进行集成，处理步骤如下： 步骤1：由大数据数据库客户端向执行引擎发起数据访问请求，在请求中会携带用户名作为 用户的身份标识； 步骤2 ：大数据数据库执行引擎接收客户端发送的访问请求，对访问请求进行解析，获取请 求信息中携带的客户端的身份标识对应的预设数据脱敏策略，依据预设策略对所请求的数据 执行数据脱敏操作。 步骤3 ：根据脱敏策略中对应的脱敏规则对数据进行脱敏转换，脱敏后的结果数据集返回给 客户端。 数据特征的需求，比如保持数据类型、数据格式、数据间依存关系等，可参照附录-2 选择 合适的脱敏算法进行脱敏；若具体业务场景无明确需求，至少采用不可逆算法对数据进行脱 敏。 A.3 数据从生产环境导出到租户环境 数据从生产环境导出到租户环境时，一般是用于统计分析和数据挖掘。为防止敏感数据 泄漏，在满足租户业务需求的前提下，只提供保持最小化数据特性的脱敏数据。因为脱敏操 作发生在数据批