DB34_T 4631.2-2023 政务数据 第2部分：脱敏技术规范.docx

ICS35.020CCSL67

34

安徽省地方标准

DB34/T4631.2—2023

政务数据第2部分：脱敏技术规范

Governmentdata—Part2:Specificationfordesensitizationtechnology

2023-10-07发布2023-11-07实施

安徽省市场监督管理局发布

DB34/T4631.2—2023

I

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省大数据中心提出。

本文件由安徽省数据资源管理局归口。

本文件起草单位：安徽省大数据中心、蚌埠市信息中心、安徽省电子产品监督检验所、六安市大数据中心、安徽省数据资源管理局、滁州市大数据中心、淮北市数据资源发展中心、阜阳市大数据产业发展中心、合肥市数据资源管理局、马鞍山市大数据中心、亳州市数据资源管理局、上海观安信息技术股份有限公司、深圳昂楷科技有限公司、闪捷信息科技有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、五色石（杭州）数据技术有限公司。

本文件主要起草人：朱典、杨阳、董超、王理冬、陈先才、闫飞、张锐、王立志、王征、张园园、陶峰、李欣、王俊、戴国建、谢园园、程博、邹莉强、王永红、徐慧子、马宁、黄建、谢江、乐凯明、周绪鹏、方鹏、张禹、章玉龙。

DB34/T4631.2—2023

1

政务数据第2部分：脱敏技术规范

1范围

本文件确立了政务数据脱敏技术的基本要求，并规定了数据脱敏流程。

本文件适用于指导非涉密政务信息系统中结构化数据的数据脱敏工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T37988信息安全技术数据安全能力成熟度模型

GB/T39477信息安全技术政务信息共享数据安全技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1

数据脱敏datadesensitization

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

[来源：GB/T37988,定义3.12]3.2

敏感数据sensitivedata

由权威机构确定的受保护的信息数据。

注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。

[来源：GB/T39477,定义3.7]3.3

静态数据脱敏staticdatadesensitization

将数据抽取出生产环境脱敏后进行变形转换处理。

3.4

动态数据脱敏dynamicdatadesensitization

对于外部申请访问的数据进行即时处理并返回脱敏后结果。

3.5

脱敏策略desensitizationpolicy

根据一定的业务场景，选择数据脱敏方法和一系列的数据脱敏技术对敏感数据进行脱敏。

4数据脱敏基本要求

4.1数据可用性

DB34/T4631.2—2023

2

数据脱敏后应具备数据可用性。

4.2数据有效性

数据脱敏后应具备有效性，原始数据脱敏处理后，原始信息中包含的敏感信息应已被消除，无法通过处理后的数据得到敏感信息。

4.3数据真实性

数据脱敏后应具备有真实性，脱敏后的数据应真实地体现原始数据的特征。

4.4数据脱敏自动化

数据脱敏的过程应可通过程序自动化实现，可重复执行。

4.5数据一致性

数据脱敏后应具有一致性，在脱敏策略不变的前提下，脱敏结果应不受到脱敏次数的影响。

4.6数据可配置性

数据脱敏工作应具有可配置性，支持配置多种脱敏方式，不同脱敏条件生成不同结果。

5数据脱敏流程

5.1发现敏感数据

5.1.1敏感数据识别

基于组织的数据安全分级策略，数据泄露、篡改、破坏、非法利用后可能损害个人合法权益、组织合法权益、公共利益或国家安全的级别数据均为敏感数据。

5.1.2敏感数据标识

利用数据标识技术工具对敏感数据的位置和格式信息进行标识。

5.2制定脱敏方案

脱敏方案应包括脱敏场景和脱敏技术。数据脱敏技术说明表见附录A。

5.3脱敏操作

政务数据脱敏操作一览表见表1。

DB34/T4631.2—2023

3

表1政务数据脱敏操作一览表