交通运输行业标准《交通运输数据脱敏指南》解读
交通运输部于2023年11月24日批准发布了推荐性行业标准《交通运输数据脱敏指南》(JT/T 1480-2023),自2024年3月1日起实施。
一、制定背景
交通运输部印发《推进综合交通运输大数据发展行动纲要(2020-2025年)》,明确要求研究制定综合交通运输信息资源分类分级、脱敏、溯源、标识等标准规范。数据脱敏技术是数据安全保障技术的重要组成部分,因其主张在不泄露敏感信息的前提下,对数据进行尽可能少的操作,降低攻击者获取敏感信息的概率同时尽可能地保证数据的可用性,适用于当前以发挥数据价值为核心的数据应用场景中的敏感数据保护。目前因数据脱敏技术繁杂,对脱敏技术工具能力、数据脱敏过程缺乏规范化定义和管理,导致数据脱敏实施后效果和安全性有所欠缺。为积极落实响应综合交通运输大数据发展行动工作,指导行业数据脱敏实施,提升行业数据安全管理能力,交通运输部组织相关单位开展了行业标准《交通运输数据脱敏指南》的制定工作。
二、标准的定位和作用
本标准提供了交通运输数据脱敏的指导和建议,并给出了交通运输数据脱敏的总则、流程和管理措施,适用于交通运输数据脱敏工作的规划、实施和管理。
本标准的制定和实施将为交通运输行业数据安全保护体系规划、设计、建设和运维过程中希望通过数据脱敏技术进行数据保护的一系列活动提供参考,包括但不限于脱敏工具选型、脱敏技术参数选择、脱敏效果评估、脱敏流程控制、脱敏安全管理等,从而有效规范行业数据脱敏过程,保障数据脱敏防护效果,提升行业数据安全治理能力。
三、标准主要内容
(一)总则
对交通运输数据脱敏进行明确定义,确立了数据脱敏目标和数据脱敏原则。基于国家对数据脱敏产品相关要求和数据脱敏的实际应用需求,标准提出了避免敏感信息泄露、控制反脱敏风险和保障脱敏数据可用共3项数据脱敏目标;提出了安全性原则、高效性原则、稳定性原则和可用性原则共4项数据脱敏原则。
(二)数据脱敏流程
确立了数据脱敏工作的一般流程,包括识别敏感数据、确定脱敏需求、确定脱敏技术和参数、制定脱敏计划、实施数据脱敏、评估脱敏效果和监控审计共7项流程,并提出了每项流程的具体工作内容、详细实施步骤、实施建议以及需重点关注的内容。
(三)数据脱敏管理措施
针对实施数据脱敏工作过程,提出了通过制度建设、组织建设建立数据脱敏管理措施。制度建设包括安全责任和义务、安全合规管控、脱敏工作流程和运维管理制度、人员培训与人员管理等要点。组织建设主要定义了脱敏操作员、安全管理员和审计管理员角色并提出了各角色涉及的脱敏工作内容。
(四)常用敏感数据脱敏技术
对常用的数据脱敏技术的原理进行说明,同时给出相应的示例展现数据脱敏后的效果。将常见数据脱敏技术划分为假名化技术、抑制技术、泛化技术、扰乱技术和加密技术5类。其中假名化技术包括固定映射、哈希映射;抑制技术包括屏蔽;泛化技术包括截取、截断、取整、规整;扰乱技术包括重排、均化、散列、随机映射、范围内随机、浮动、置空;加密技术包括保格式加密、保序加密、同态加密。
(五)常用敏感数据脱敏方法
对交通运输行业常用敏感数据类型给出了具体适用的脱敏算法和相应的脱敏效果示例,包括个人信息、道路运输信息、水运管理信息和海事管理信息等共35类。
(六)常用敏感数据脱敏技术特性
从脱敏后数据是否保持原数据的格式、类型、数据之间的关联性、语义完整性、数据的统计和聚合特征、唯一性等维度,对假名化技术、抑制技术、泛化技术、扰乱技术和加密技术的技术特性进行评估。
文稿编纂:交通运输部科学研究院 宋蕊
文稿审核:交通运输信息通信及导航标准化技术委员会 田士海