中華人民共和國交通運輸行業標準JT/T1480—2023交通運輸數據脫敏指南中華人民共和國交通運輸部發布標準分享吧http://www.bzfxbJT/T1480—2023前言 2規范性引用文件 3術語和定義 5數據脫敏流程 6數據脫敏管理措施 附錄A（資料性）常用敏感數據脫敏技術 附錄B（資料性）常用敏感數據脫敏方法 附錄C（資料性）常用敏感數據脫敏技術特性 參考文獻 Ⅰ標準分享吧http://www.bzfxbJT/T1480—2023起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由交通運輸信息通信及導航標準化技術委員會提出并歸口。本文件起草單位：交通運輸部科學研究院、山東高速集團有限公司創新研究院、浙江智貝信息科技有限公司、貴州銀智科技發展有限公司。Ⅱ標準分享吧http://www.bzfxbJT/T1480—2023交通運輸數據脫敏指南本文件提供了交通運輸數據脫敏的指導和建議，并給出了交通運輸數據脫敏的總則、流程和管理措施。本文件適用于交通運輸數據脫敏工作的規劃、實施和管理。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35273信息安全技術個人信息安全規范GB/T37964信息安全技術個人信息去標識化指南3術語和定義GB/T35273、GB/T37964界定的以及下列術語和定義適用于本文件。一旦泄露、非法提供或濫用就有可能會對個人、單位、企業、行業各部門甚至國家安全產生危害的信息。3.2記錄了或可能被挖掘出敏感信息的數據。3.3數據脫敏datamasking通過一系列數據處理方法對原始數據進行處理以屏蔽敏感數據的一種數據保護方法。3.4反脫敏de?masking對脫敏后的數據進行挖掘、比對、分析，重新獲取原始敏感數據的一種數據還原方法。4總則職責過程中直接或通過第三方依法采集、產生、獲取的，以電子或者其他方式記錄的各類信息進行脫敏處理。1標準分享吧http://www.bzfxbJT/T1480—2023數據脫敏宜從數據源頭對敏感信息進行處理，避免敏感數據在不可控的網絡空間中流轉時被泄露。根據數據使用的業務場景，宜選擇適當的脫敏技術和規則策略，使脫敏數據的反脫敏風險在可控范圍內，且不會隨著新數據發布或數據使用方之間潛在的關聯關系而增加。在反脫敏風險可控前提下，宜根據業務場景和數據特性選擇合適的脫敏技術和參數，保障脫敏數據仍然滿足最終的應用要求。所使用的數據脫敏技術工具宜優先采用通過具備資格的機構安全認證合格或者安全檢測符合要求（例如計算機信息系統安全專用產品銷售許可證）的工具，保證脫敏工具不引入新的安全風險。經過脫敏后的數據仍需控制知悉范圍，防止數據外泄，避免因擴散范圍過廣導致多源關聯交叉比對分析的風險增加。宜通過制度建設和組織建設對脫敏各個階段進行有效管理。數據脫敏的各個階段宜通過安全審計機制記錄數據處理過程，形成完整數據處理記錄，用于后續問題排查分析和安全事件的取證溯源。數據脫敏的過程宜通過適當的脫敏算法和脫敏策略自動化實現，提高脫敏效率。數據脫敏時需保證對相同的原始數據，在輸入條件一致的前提下，多次脫敏的結果是一致的。數據脫敏時宜盡可能保持原始數據特征，保障脫敏后的數據可用，最大限度減少使用脫敏數據對業務的影響。5數據脫敏流程脫敏工作的流程一般包括識別敏感數據、確定脫敏需求、確定脫敏技術和參數、制定脫敏2標準分享吧http://www.bzfxb3JT/T1480—2023圖1數據脫敏一般流程5.2.1數據脫敏工作宜首先對敏感數據進行識別和定義，明確需要脫敏的數據范圍。可能包括敏感a)識別方式：通過但不限于數據表名稱、字段接匹配或正則表達式匹配等方式進行數據識別；b)識別工具：盡量利用自動化工具進行數據識別，識別工具能根據業務需要自定義敏感數據的識別方式，降低對業務系統產生的影響；c)存儲類型：支持主流的數據庫系統、數據倉庫系統、文件系統，同時支持云計算環境下的主流新型存儲系統；d)數據關聯關系：明確敏感數據結構化或非結構化的數據表現形態，同時分析和建立完整的數據敏感位置和關系庫，充分考慮到數據脫敏后對原數據業務特性的繼承，保持原數據間的關聯關系。5.2.3在識別敏感數據后，宜對敏感數據進行標識，包括標識敏感數據的位置、敏感數據的格式等信息，以便后續對敏感數據的訪問、傳輸和處理進行跟蹤和監督。在標識敏感數據時，宜重點關注：a)標識時機：在數據采集階段對敏感數據進行標識，以便于在整個數據生命周期各個階段對敏感數據進行有效管理；b)標識類型：支持靜態數據的敏感標識及動態流數據的敏感標識；c)標識特性：敏感數據的標識具有便捷性和安全性，確保標識信息能夠隨敏感數據一起流動，同時確保敏感數據標識信息不容易被惡意攻擊者刪除和篡改。5.3.1評估敏感數據相關業務系統和用戶的所需權限，創建相關資源，宜在數據脫敏生產系統中進行連接配置，保持數據源的可用性。5.3.2對已識別出的敏感數據執行生命周期流程的梳理，明確在生命周期各階段用戶對數據的訪問需求和當前的權限設置情況，分析整理出存在敏感數據脫敏需求的業務場景。5.4確定脫敏技術和參數5.4.1針對每一個脫敏需求宜確定是進行靜態脫敏還是動態脫敏，其中：a)靜態脫敏：針對持久化存儲數據的脫敏，脫敏后的數據將以文件、庫、表等形式存儲于磁盤上，一般用于生產環境數據向非生產環境、數據交換方提供時使用；b)動態脫敏：訪問數據過程中的實時脫敏，脫敏后數據一般直接應用于業務系統或數據管理運和參數。相關聯的敏感數據宜采用統一的脫敏技術和參數，常用敏感數據脫敏技術見附錄A。4JT/T1480—2023敏函數分級、脫敏函數配置、脫敏函數規則指定、脫敏流程控制等相關信息進行配置。a)選擇已內置固化常用敏感數據脫敏方法的數據脫敏工具，避免數據脫敏實施過程中重復定義數據脫敏方法；注：常用敏感數據脫敏方法見附錄B,常用敏感數據脫敏技術特性見附錄C。b)選擇提供擴展機制的數據脫敏工具，根據需求自定義脫敏方法；c)選擇提供脫敏方法詳細說明的脫敏工具，說明內容包括但不限于各類脫敏方法的實現原理、數據引用完整性影響、數據語義完整性影響、數據分布頻率影響、約束限制等。根據脫敏需求和相關技術參數，制定脫敏計劃。針對每一個脫敏需求，脫敏計劃內容宜包括但不a)責任人員：指定參與脫敏工作的所有人員，人員角色定義和工作責任宜參考6.2;b)脫敏技術參數：記錄待使用的脫敏技術和參數、相關配置信息、技術工具等，相關人員按照記c)脫敏執行時間和周期：確定脫敏執行開始時間和執行頻率；d)脫敏結果校驗方案：預估待脫敏的數據總量、增量和預期脫敏結果，確定脫敏結果正確性、完整性校驗方法及校驗工具；e)脫敏應急方案：明確脫敏過程中可能產生的問題、原因、解決方案和響應根據已制定的脫敏計劃實施數據脫敏，宜包括但不限于：a)配置脫敏任務：根據脫敏計劃，對脫敏工具、脫敏程序等進行相應參數配置，包括但不限于脫敏技術參數、脫敏執行時間和周期等。b)實施脫敏任務：通過工具自動調度執行、手工觸發配置執行、操作系統定時調度任務等方式執行已配置好的脫敏任務，實現數據脫敏。在執行過程中，根據執行狀況、錯誤信息等，按照預c)驗證脫敏結果：脫敏任務實施后，對獲得的脫敏結果數據開展結果校驗，保障數據脫敏結果滿足脫敏需求。宜通過收集、整理數據脫敏工作執行相關監控、審計等數據，對數據脫敏的前期工作開展情況進行反饋，評估脫敏效果和優化相關流程配置等。監控審計宜貫穿于數據脫敏全過程。數據脫敏組織機構宜設置相應專業人員（如審計管理員）進行安全審計，建立全流程監控審計機制。數據脫敏工具宜支持配置審計報告，根據各業務系統的審計內容與需求，提供對指定用戶、指定時間段、指定應用系統進行相關操作的審計報告，同時能支持定制報告以及審計報告的下載等。5JT/T1480—20236數據脫敏管理措施數據管理機構在制定數據脫敏制度時，宜注意下列要點：a)明確敏感數據管理和使用部門，并明確各自的安全責任和義務。b)根據安全合規需求，建立敏感數據的分類分級規范，并明確各級各類數據的安全管控方式。c)建立數據脫敏的工作流程、脫敏工具的運維管理制度，并定期對相關流程制度進行評審和修訂。d)數據脫敏制度建立后，定期對數據脫敏工作的相關方，包括但不限于數據管理方、數據使用方、脫敏工具運維方等開展針對相關制度的培訓工作。對脫敏工具運維服務機構開展機構及人員背景調查，簽署保密服務協議，加強第三方合作服務行為監督，定期評估運維服務機構安全保密、技術防護和應急處置能力，避免因第三方服務或人員引發的安全風險。e)制定完備的敏感數據使用審批流程。數據管理機構宜設置數據脫敏管理小組，包括專門的脫敏操作員、安全管理員和審計管理員，主要工作如下：a)脫敏操作員：具體執行整個數據脫敏工作；定期向安全管理員和審計管理員匯報數據脫敏執行情況。b)安全管理員：制定脫敏系統的安全策略，進行日常安全檢查和權限管理；制定并部署脫敏系統賬戶密碼安全規則，以及數據庫和敏感數據的脫敏控制策略；制定數據脫敏工作的范圍和日程；管理具體的脫敏過程；負責脫敏系統內部的規則配置，但無法看到具體的審計信息；為相關人員提供脫敏培訓。c)審計管理員：對脫敏操作員、安全管理員的操作行為進行審計、跟成安全審計報告，對審計信息進行報表歸總和分析，及時發現違規行為和異常行為；進行數據庫日志和脫敏系統日志分析、安全事件的分析和取證；對數據庫安全策略、賬戶權限以及關鍵參數設置等進行審核和監督，定期檢查操作記錄；分析審計結果，提出對數據脫敏管理工作的改進意見，并向主管領導匯報審計結果及建議。6JT/T1480—2023附錄A常用敏感數據脫敏技術常用敏感數據脫敏技術包括但不限于：假名化技術、抑制技術、泛化技術、擾亂技術、加密技術等。脫敏技術需考慮下列兩個條件：a)不影響當前開發、測試環境的正常使用，即滿足脫敏數據的可用性和一致性校驗；b)脫敏技術宜避免數據被反脫敏。A.2假名化技術固定映射是指對一串數據設置映射規則，在映射規則不變的情況下，相同原數據脫敏后結果相同。映射規則宜設置為同類數據之間的映射，從而保留原始業務特征。示例：哈希映射是指將任意長度的二進制值通過規則映射為固定長度的二進制串。固定長度的二進制字全哈希算法一般要求不能通過哈希值反向推導出原始數據，哈希沖突概率小。哈希沖突是指不同原始數據，通過哈希算法映射到同一哈希值。符串也稱為哈希值，映射規則稱為哈希算法。常用的安全哈希算法有SM全哈希算法一般要求不能通過哈希值反向推導出原始數據，哈希沖突概率小。哈希沖突是指不同原始數據，通過哈希算法映射到同一哈希值。A.3抑制技術抑制技術的典型手段是屏蔽。屏蔽是指通過設置屏蔽符，對原數據全部或部分進行屏蔽處理。示例：通過設定屏蔽符?,對原數過屏蔽算法脫敏后脫敏結果為135????5678。A.4泛化技術截取是指保留數據從起始位置至結束位置的內容。示例：截斷是指保留數據除起始位置至結束位置以外的內容。示例：取整是指對屬性值進行向上或向下取整，至最接近取整基數的倍數。向上或向下取整取決于屬性7JT/T1480—2023值與取整基數倍數之間的接近程度，可在保持屬性具有一定分布特征的情況下隱藏原始屬性。規整是指將數據按照大小規整到預定義的多個檔位。將客戶資產按照規模分為高、中、低三個級別，將客戶資產數據用這三個級別代替。重排是指將原始數據按照特定的規則進行重新排列。示例：均化是指針對數值性的敏感數據，在保證脫敏后數據集總值或平均值與原數據集相同的情況下，改變數值的原始值。散列是指對原始數據取散列值，使用散列值來代替原始數據。隨機映射是指采用了一定程度的隨機性作為其邏輯的一部分，對數值、字符或字符串進行隨機，并保留原業務特征。示例：將生日19841222通過隨機映射脫敏為19900211,脫敏后依然保留了生日的數據特征。范圍內隨機是指在一個指定的范圍內進行隨機映射，并保留原業務特征，主要使用在對日期或金額類數據脫敏。示例：浮動是指對日期或金額類型數據，設置上浮或下降固定值或百分比，并保留原業務特征。示例：8JT/T1480—2023對字符串類型，使用置空算法后脫敏結果為NULL。保格式加密是指使用加密算法對原始數據進行加密后，密文與明文格式相同。示例：編號12345加密后結果為76548,保留了數據原有長度和數據類型。保序加密是指用保序加密值替代目標脫敏數據，密文的排序與明文的排序相同。同態加密是指采用同態加密用加密值替代目標脫敏字段。該技術支持對加密數據進行處理，但是處理過程不會泄露任何原始內容。同時，擁有密鑰的用戶對處理過的數據進行解密后，得到的正好是處理前的結果。９—常用敏感數據脫敏方法常用敏感數據脫敏方法見表。表常用敏感數據脫敏方法敏感數據參考脫敏算法脫敏效果示例姓名兩個字或三個字的至少１個字用?代替，大于三個字的至少２個字用?代替，保留姓氏。例如，張三脫敏后為張?，李二寶脫敏后為李??，歐陽正華脫敏后為歐陽??公民身份號碼脫敏后為????????駕駛證號脫敏后為????????電話號碼脫敏后為?????護照號末４位用?代替。例如脫敏后為????軍官證編號保留最后３位，其余用?代替。例如空字第脫敏后為空字第?????永久居住證地址使用截取，僅返回一部分可用數據。例如重慶市萬州區雨航街１幢室脫敏后為重慶市萬州區銀行卡號脫敏后為????????????行蹤軌跡直接刪除或將其置為值精準定位信息直接刪除或將其置為值未公開的違法犯罪記錄直接刪除或將其置為值婚史直接刪除或將其置為值電子郵箱３位，其余用?代替。例如脫敏后為??脫敏后為????????網絡賬號全部用?代替。例如脫敏后為????網絡密碼或口令全部用?代替。例如脫敏后為????????網絡安全管理策略加密處理項目合同金額全部用?代替。例如金額萬脫敏后為金額：??萬JT/T1480—2023敏感數據參考脫敏算法脫敏效果示例車牌號保留地區編碼和流水號最后2位，其余用?代替。例如川AN87577脫敏后為川AN???77車輛識別碼(VIN)保留最后6位，其余用?代替。例如LYAFR7103BC722222脫敏后為???????????722222道路運輸證號第7~10位用?代替。例如371526324639脫敏后為371526????39船舶識別號保留前3位和后4位，其余用?代替。例如CN20091622307脫敏后為CN2??????2307水上移動通信業務識別碼(MMSI)保留前3位和后3位，其余用?代替。例如413526810,脫敏后為413???810船舶編號保留前2位和后2位，其余用?代替。例如B9306160,脫敏后為B9????60國際海事組織(IMO)編號保留前2位和后2位，其余用?代替。例如9306160,脫敏后為93???60船舶呼號保留第1位和最后1位，其余用?代替。例如A8KM8,脫敏后為A???8名稱使用限制返回，僅返回一部分可用數據。例如香港阿聯酋船務（中國）有限公司，脫敏后為香港??????有限公司水路運輸服務許可證號保留前4位和后3位，其余用?代替。例如蘇水CG0700016脫敏后為蘇水CG????016港口經營許可證號括號中的數字編碼保留后兩位，其余用?代替。例如（蘇泰興）港經證(02047)號脫敏后為（蘇泰興）港經證(???水路運輸許可證號保留前4位和后3位，其余用?代替。例如蘇水SJ0100069脫敏后為蘇水SJ????069證書流水號保留前2位和后2位，其余用?代替。例如ZKL03171脫敏后為ZK????71行政處罰案件案號保留前4位和后5位，其余用?代替。例如蘇海事罰字?????060?1?12018060703000060?1?1脫敏后為蘇海事罰字2018?????060?1?1客票售票票價脫敏后為中船舶預計進/離港時間按照一定粒度對時間進行偏移取整。例如2017/8/2517:船舶載客人數按照一定規律對數據進行均化，保證數據集總值與原來相同。例如載客312人與載客288人，均化后都為載客300人船舶貨物數量按照一定規律