據悉,交通運輸行業標準《交通運輸資料脫敏指南》(JT T 1480-2023)已於2024年11月24日正式發布,並將於2024年3月1日正式實施。
《交通運輸資料脫敏指南》由交通運輸資訊通訊與導航標準化技術委員會提出並集中,由交通運輸科學研究院、山東高速集團創新研究院、浙江智北資訊科技有限公司、貴州銀智科技發展有限公司等起草,該標準為交通運輸提供了指導和建議資料脫敏,並給出了交通資料脫敏的一般原則、流程和管理措施,適用於交通資料脫敏的規劃、實施和管理。
脫敏目標從避免敏感資訊洩露、控制防脫敏風險、保證脫敏資料可用性等維度闡述了資料脫敏的目標。
脫敏原理提出了安全可信、安全可控、安全可審計、效率可用等原則,其中可用性原則明確了在資料脫敏時應盡可能保持原始資料特徵,以保證脫敏資料的可用性,並將使用脫敏資料對業務的影響降到最低。
脫敏過程脫敏過程一般包括七個步驟:識別敏感資料、確定脫敏要求、確定脫敏技術和引數、制定脫敏方案、實施資料脫敏、評估脫敏效果、監測和審核。
識別敏感資料在資料脫敏工作中,建議首先識別和定義敏感資料,明確需要脫敏的資料範圍。 可能包含敏感資訊的資料主要包括核心資料、重要資料和個人資訊。
確定是否需要脫敏評估業務系統和使用者對敏感資料的必要許可權,建立相關資源,並在資料脫敏生產系統中配置連線,以維護資料來源的可用性梳理已識別敏感資料的生命週期流程,明確使用者對資料的訪問需求和生命週期各階段的當前許可權設定,分析梳理需要敏感資料脫敏的業務場景。
確定脫敏技術和引數對於每一種脫敏需求,建議確定是進行靜態脫敏還是動態脫敏,其中靜態脫敏是對持久化儲存資料的脫敏,脫敏後的資料會以檔案、庫、表等形式儲存在磁碟上,一般用於生產環境中的資料提供給非生產環境和資料交換方時動態脫敏是資料訪問過程中的實時脫敏,資料一般直接應用於業務系統或資料管理和運維,不持久化儲存。
制定脫敏計畫根據脫敏要求及相關技術引數,制定脫敏方案。
實施資料脫敏根據既定的脫敏計畫實施資料脫敏,包括但不限於:
a) 配置脫敏任務:根據脫敏計畫,配置脫敏工具和脫敏程式的相應引數,包括但不限於脫敏技術引數、脫敏執行時間、週期等。
b) 實現脫敏任務:通過自動排程工具的執行,手動觸發配置執行,定時排程作業系統,通過自動排程和執行的方式實現資料脫敏,從而執行配置的脫敏任務。在執行過程中,根據實施狀態、錯誤資訊等,按照預定的應急預案,並能動態修改、顯示、停止、繼續執行相關脫敏任務。
c)驗證脫敏結果:脫敏任務實施後,對獲得的脫敏結果資料進行驗證結果,確保資料脫敏結果符合脫敏要求。
評估脫敏效果通過對監測、審計等與資料脫敏實施相關的資料進行收集整理,反饋資料脫敏前期工作,評估脫敏效果,優化相關工藝配置。
監控和審核監控審計要貫穿資料脫敏的全過程,資料脫敏組織要設定相應的專業人員進行安全審計,建立全過程的監測審計機制資料脫敏工具應支援審計報表的配置,根據各業務系統的審計內容和需求,提供指定使用者、指定時間段、指定應用系統的相關操作審計報表,並可支援自定義報表和審計報表。
管理措施主要從制度建設和組織建設兩個維度進行說明。
*:交通部。