据悉,交通运输行业标准《交通运输数据脱敏指南》(JT T 1480-2023)已于2024年11月24日正式发布,并将于2024年3月1日正式实施。
《交通运输数据脱敏指南》由交通运输信息通信与导航标准化技术委员会提出并集中,由交通运输科学研究院、山东高速集团创新研究院、浙江智北信息技术有限公司、贵州银智科技发展有限公司等起草,该标准为交通运输提供了指导和建议数据脱敏,并给出了交通数据脱敏的一般原则、流程和管理措施,适用于交通数据脱敏的规划、实施和管理。
脱敏目标从避免敏感信息泄露、控制防脱敏风险、保证脱敏数据可用性等维度阐述了数据脱敏的目标。
脱敏原理提出了安全可信、安全可控、安全可审计、效率可用等原则,其中可用性原则明确了在数据脱敏时应尽可能保持原始数据特征,以保证脱敏数据的可用性,并将使用脱敏数据对业务的影响降到最低。
脱敏过程脱敏过程一般包括七个步骤:识别敏感数据、确定脱敏要求、确定脱敏技术和参数、制定脱敏方案、实施数据脱敏、评估脱敏效果、监测和审核。
识别敏感数据在数据脱敏工作中,建议首先识别和定义敏感数据,明确需要脱敏的数据范围。 可能包含敏感信息的数据主要包括核心数据、重要数据和个人信息。
确定是否需要脱敏评估业务系统和用户对敏感数据的必要权限,创建相关资源,并在数据脱敏生产系统中配置连接,以维护数据源的可用性梳理已识别敏感数据的生命周期流程,明确用户对数据的访问需求和生命周期各阶段的当前权限设置,分析梳理需要敏感数据脱敏的业务场景。
确定脱敏技术和参数对于每一种脱敏需求,建议确定是进行静态脱敏还是动态脱敏,其中静态脱敏是对持久化存储数据的脱敏,脱敏后的数据会以文件、库、表等形式存储在磁盘上,一般用于生产环境中的数据提供给非生产环境和数据交换方时动态脱敏是数据访问过程中的实时脱敏,数据一般直接应用于业务系统或数据管理和运维,不持久化存储。
制定脱敏计划根据脱敏要求及相关技术参数,制定脱敏方案。
实施数据脱敏根据既定的脱敏计划实施数据脱敏,包括但不限于:
a) 配置脱敏任务:根据脱敏计划,配置脱敏工具和脱敏程序的相应参数,包括但不限于脱敏技术参数、脱敏执行时间、周期等。
b) 实现脱敏任务:通过自动调度工具的执行,手动触发配置执行,定时调度操作系统,通过自动调度和执行的方式实现数据脱敏,从而执行配置的脱敏任务。在执行过程中,根据实施状态、错误信息等,按照预定的应急预案,并能动态修改、显示、停止、继续执行相关脱敏任务。
c)验证脱敏结果:脱敏任务实施后,对获得的脱敏结果数据进行验证结果,确保数据脱敏结果符合脱敏要求。
评估脱敏效果通过对监测、审计等与数据脱敏实施相关的数据进行收集整理,反馈数据脱敏前期工作,评估脱敏效果,优化相关工艺配置。
监控和审核监控审计要贯穿数据脱敏的全过程,数据脱敏组织要设置相应的专业人员进行安全审计,建立全过程的监测审计机制数据脱敏工具应支持审计报表的配置,根据各业务系统的审计内容和需求,提供指定用户、指定时间段、指定应用系统的相关操作审计报表,并可支持自定义报表和审计报表。
管理措施主要从制度建设和组织建设两个维度进行说明。
*:交通部。