交通運輸行業標準《交通運輸數據脫敏指南》解讀
交通運輸部于2023年11月24日批準發布了推薦性行業標準《交通運輸數據脫敏指南》(JT/T 1480-2023),自2024年3月1日起實施。
一、制定背景
交通運輸部印發《推進綜合交通運輸大數據發展行動綱要(2020-2025年)》,明確要求研究制定綜合交通運輸信息資源分類分級、脫敏、溯源、標識等標準規范。數據脫敏技術是數據安全保障技術的重要組成部分,因其主張在不泄露敏感信息的前提下,對數據進行盡可能少的操作,降低攻擊者獲取敏感信息的概率同時盡可能地保證數據的可用性,適用于當前以發揮數據價值為核心的數據應用場景中的敏感數據保護。目前因數據脫敏技術繁雜,對脫敏技術工具能力、數據脫敏過程缺乏規范化定義和管理,導致數據脫敏實施后效果和安全性有所欠缺。為積極落實響應綜合交通運輸大數據發展行動工作,指導行業數據脫敏實施,提升行業數據安全管理能力,交通運輸部組織相關單位開展了行業標準《交通運輸數據脫敏指南》的制定工作。
二、標準的定位和作用
本標準提供了交通運輸數據脫敏的指導和建議,并給出了交通運輸數據脫敏的總則、流程和管理措施,適用于交通運輸數據脫敏工作的規劃、實施和管理。
本標準的制定和實施將為交通運輸行業數據安全保護體系規劃、設計、建設和運維過程中希望通過數據脫敏技術進行數據保護的一系列活動提供參考,包括但不限于脫敏工具選型、脫敏技術參數選擇、脫敏效果評估、脫敏流程控制、脫敏安全管理等,從而有效規范行業數據脫敏過程,保障數據脫敏防護效果,提升行業數據安全治理能力。
三、標準主要內容
(一)總則
對交通運輸數據脫敏進行明確定義,確立了數據脫敏目標和數據脫敏原則?;趪覍祿撁舢a品相關要求和數據脫敏的實際應用需求,標準提出了避免敏感信息泄露、控制反脫敏風險和保障脫敏數據可用共3項數據脫敏目標;提出了安全性原則、高效性原則、穩定性原則和可用性原則共4項數據脫敏原則。
(二)數據脫敏流程
確立了數據脫敏工作的一般流程,包括識別敏感數據、確定脫敏需求、確定脫敏技術和參數、制定脫敏計劃、實施數據脫敏、評估脫敏效果和監控審計共7項流程,并提出了每項流程的具體工作內容、詳細實施步驟、實施建議以及需重點關注的內容。
(三)數據脫敏管理措施
針對實施數據脫敏工作過程,提出了通過制度建設、組織建設建立數據脫敏管理措施。制度建設包括安全責任和義務、安全合規管控、脫敏工作流程和運維管理制度、人員培訓與人員管理等要點。組織建設主要定義了脫敏操作員、安全管理員和審計管理員角色并提出了各角色涉及的脫敏工作內容。
(四)常用敏感數據脫敏技術
對常用的數據脫敏技術的原理進行說明,同時給出相應的示例展現數據脫敏后的效果。將常見數據脫敏技術劃分為假名化技術、抑制技術、泛化技術、擾亂技術和加密技術5類。其中假名化技術包括固定映射、哈希映射;抑制技術包括屏蔽;泛化技術包括截取、截斷、取整、規整;擾亂技術包括重排、均化、散列、隨機映射、范圍內隨機、浮動、置空;加密技術包括保格式加密、保序加密、同態加密。
(五)常用敏感數據脫敏方法
對交通運輸行業常用敏感數據類型給出了具體適用的脫敏算法和相應的脫敏效果示例,包括個人信息、道路運輸信息、水運管理信息和海事管理信息等共35類。
(六)常用敏感數據脫敏技術特性
從脫敏后數據是否保持原數據的格式、類型、數據之間的關聯性、語義完整性、數據的統計和聚合特征、唯一性等維度,對假名化技術、抑制技術、泛化技術、擾亂技術和加密技術的技術特性進行評估。
文稿編纂:交通運輸部科學研究院 宋蕊
文稿審核:交通運輸信息通信及導航標準化技術委員會 田士海