重慶三峽銀行數(shù)據(jù)脫敏漂白平臺(tái)項(xiàng)目需求說(shuō)明書(shū)

1、重慶三峽銀行（數(shù)據(jù)脫敏漂白平臺(tái)） 項(xiàng)目需求說(shuō)明書(shū)一總則1.1. 項(xiàng)目背景“系統(tǒng)不宕機(jī)，信息不泄露”是監(jiān)管對(duì)我行信息科技管理要求的底線，銀監(jiān) 會(huì)在信息科技風(fēng)險(xiǎn)管理指引、信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南 等文件中對(duì)于城 市商業(yè)銀行明確提出“加強(qiáng)數(shù)據(jù)、文檔的安全管理，完善敏感信息存儲(chǔ)和傳輸?shù)?高風(fēng)險(xiǎn)環(huán)節(jié)的控制措施，對(duì)數(shù)據(jù)、文檔的訪問(wèn)應(yīng)建立嚴(yán)格的審批機(jī)制。 對(duì)用于測(cè) 試所使用的生產(chǎn)數(shù)據(jù)應(yīng)完善審批并采取相關(guān)限制，進(jìn)行脫敏、變形處理，防止敏感數(shù)據(jù)泄露?！蔽倚性趯徲?jì)監(jiān)管、系統(tǒng)開(kāi)發(fā)測(cè)試，內(nèi)外部培訓(xùn)等各種應(yīng)用場(chǎng)景中均涉及包含 客戶信息和賬戶信息等相關(guān)敏感數(shù)據(jù)的使用。 技術(shù)人員雖采用腳本等方法對(duì)敏感 數(shù)據(jù)進(jìn)行了脫敏。但人

2、工脫敏的數(shù)據(jù)在其安全性，可用性以及系統(tǒng)之間的關(guān)聯(lián)性 等方面難以滿足各種場(chǎng)景數(shù)據(jù)使用的需求， 也無(wú)法完全滿足監(jiān)管對(duì)敏感信息安全 管理的要求。1.2. 項(xiàng)目建設(shè)目標(biāo)通過(guò)構(gòu)建統(tǒng)一的數(shù)據(jù)脫敏漂白平臺(tái)，為審計(jì)監(jiān)督、系統(tǒng)開(kāi)發(fā)測(cè)試、培訓(xùn)等多 種應(yīng)用場(chǎng)景提供脫敏漂白數(shù)據(jù)，保證數(shù)據(jù)的安全性以及不同系統(tǒng)數(shù)據(jù)之間的關(guān)聯(lián) 性。建立客戶信息安全保護(hù)機(jī)制，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的有效保護(hù)。簡(jiǎn)化人工干預(yù) 數(shù)據(jù)處理的繁瑣，降低出錯(cuò)的幾率，滿足我行數(shù)據(jù)管理要求。通過(guò)構(gòu)建數(shù)據(jù)脫敏平臺(tái)建立信息資產(chǎn)分類分級(jí)保護(hù)機(jī)制。 滿足銀監(jiān)會(huì)對(duì)商業(yè) 銀行敏感信息數(shù)據(jù)的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀” 的規(guī)定。二、需求說(shuō)明2.1.

3、數(shù)據(jù)庫(kù)兼容范圍在舁 廳P分類項(xiàng)目是否支持1源及目標(biāo) 數(shù)據(jù)庫(kù)ORACLE必須2Informix必須3SQL SERVER必須4MySQL必須5DB2必須6Sybase必須2.2. 隱私數(shù)據(jù)識(shí)別原則上要為每個(gè)需要脫敏的數(shù)據(jù)類型提出算法要求， 系統(tǒng)規(guī)則庫(kù)中除內(nèi)置可 供用戶選擇的各種脫敏規(guī)則外，對(duì)于一些特殊的算法，應(yīng)可根據(jù)用戶需提出的具 體的實(shí)施算法配置。規(guī)則庫(kù)應(yīng)包含但不限于以下數(shù)據(jù)類型的通用脫敏規(guī)則：1）中文姓名2）證件號(hào)碼含：身份證、軍官證、港澳臺(tái)通行證、駕駛證等3）手機(jī)電話號(hào)碼4）通訊地址郵箱5）營(yíng)業(yè)執(zhí)照號(hào)（工商注冊(cè)號(hào)）6）組織機(jī)構(gòu)代碼7）納稅人識(shí)別號(hào)8）郵政編碼9）其他同數(shù)據(jù)類型不同內(nèi)容混合證

4、件號(hào)碼：對(duì)私證件號(hào)碼與對(duì)公證件代碼混合客戶名稱：對(duì)私姓名與對(duì)公名稱混合2.3. 脫敏要求有效性要求：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)敏感性必須全部去掉且數(shù)據(jù)不能 被反推回原始數(shù)據(jù)。真實(shí)性要求：相對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)業(yè)務(wù)邏輯特征要盡可能保留；相 對(duì)于原有數(shù)據(jù)，脫敏后數(shù)據(jù)統(tǒng)計(jì)分布特征要盡可能保留。高效性要求：1.測(cè)試脫敏方法實(shí)施的時(shí)間開(kāi)銷情況。實(shí)施脫敏的時(shí)間及計(jì)算 資源占用越少越好。2.測(cè)試脫敏方法實(shí)施的空間開(kāi)銷情況。實(shí)施脫敏必須的存儲(chǔ) 空間越少越好。穩(wěn)定性要求：由于原始數(shù)據(jù)間存在關(guān)聯(lián)性（如兩張表中都有客戶姓名數(shù)據(jù)， 并且業(yè)務(wù)要求兩張表的客戶姓名必須一致），如果對(duì)兩張表分別脫敏后客戶姓名 數(shù)據(jù)不一致

5、了，就會(huì)影響后期測(cè)試。這要求測(cè)試數(shù)據(jù)脫敏方法需要保證對(duì)相同的 原始數(shù)據(jù)，只要配置參數(shù)一定，無(wú)論脫敏多少次，結(jié)果數(shù)據(jù)是相同的。不僅須確 保表與表之間的關(guān)聯(lián)關(guān)系，也必須保證支持跨數(shù)據(jù)源或異構(gòu)數(shù)據(jù)源之間的表與表 之間的關(guān)聯(lián)關(guān)系；支持自動(dòng)同步關(guān)系型數(shù)數(shù)據(jù)庫(kù)內(nèi)部已存在的表外鍵關(guān)系。多樣性要求：測(cè)試數(shù)據(jù)脫敏可能根據(jù)需求不同而生成不同脫敏結(jié)果的程度。這是從測(cè)試數(shù)據(jù)管理方的角度出發(fā)考慮， 一般情況，有配置參數(shù)的數(shù)據(jù)脫敏方法 都可以按照輸入?yún)?shù)不同而產(chǎn)生不同的測(cè)試結(jié)果，從而使得測(cè)試數(shù)據(jù)管理方可以方便的按測(cè)試場(chǎng)景，測(cè)試環(huán)境等因素為不同的測(cè)試項(xiàng)目提供不同的脫敏后數(shù)據(jù)環(huán) 境，去除多個(gè)測(cè)試項(xiàng)目使用數(shù)據(jù)間的關(guān)聯(lián)性，提高多

6、項(xiàng)目數(shù)據(jù)使用的安全性。2.4. 脫敏規(guī)則數(shù)據(jù)脫敏過(guò)程必須具備以下特點(diǎn)：可用性、數(shù)據(jù)關(guān)聯(lián)關(guān)系、業(yè)務(wù)規(guī)則關(guān)系、數(shù)據(jù)分布、 易用性和可定制。 從而在針對(duì)不同系統(tǒng)進(jìn)行數(shù)據(jù)脫敏時(shí)， 制定良好的脫敏方法， 因此為整個(gè)數(shù)據(jù)脫敏關(guān)鍵所在， 故要求常用的實(shí)施脫敏方法必須包含且不限于如下幾種方式：1）隨機(jī)查表替換：如統(tǒng)一將某字符替換為另一隨機(jī)從中間表中找出的字符，對(duì)內(nèi)部人員可以完全保持信息完整性。2） 洗牌混淆： 對(duì)全部原數(shù)據(jù)進(jìn)行洗牌， 按照一定的順序進(jìn)行重排， 類似 “替換”例如序號(hào)12345 重排為 54321。3）唯一數(shù)據(jù)映射變換：對(duì)卡號(hào)，賬號(hào)等唯一數(shù)據(jù)列，按其業(yè)務(wù)規(guī)則映射生成4）非唯一數(shù)據(jù)按業(yè)務(wù)規(guī)則隨機(jī)生

7、成：對(duì)手機(jī)，固定電話，地址，郵件等非唯一數(shù)據(jù)列，按其業(yè)務(wù)規(guī)則隨機(jī)生成。5）參數(shù)算數(shù)置換：對(duì)原數(shù)據(jù)（數(shù)字類型）按某種算數(shù)方法計(jì)算，參數(shù)為固定或隨機(jī)參數(shù)，例如類似針對(duì)身份證號(hào)末尾校驗(yàn)位的計(jì)算。6）碼值參數(shù)偏移 : 將原數(shù)據(jù)碼值隨機(jī)或按特定偏移算法及參數(shù)置為隨機(jī)或特定新值。7）時(shí)間老化：對(duì)時(shí)間數(shù)據(jù)或具備時(shí)間屬性的數(shù)據(jù)（身份證）等按固定值進(jìn)行老化時(shí)間特征。8）字符串部分屏蔽：對(duì)字符串中部分字符用特定字符屏蔽。9）隨機(jī)生成不定長(zhǎng)字符串：可針對(duì)空字符或原字符串末端隨機(jī)生成長(zhǎng)度不一的字符串。2.5. 數(shù)據(jù)管理2.5.1. 支持?jǐn)?shù)據(jù)裝載支持將漂白好的偽數(shù)據(jù)直接寫入目標(biāo)數(shù)據(jù)庫(kù)，要求包括但不限于：1）支持源環(huán)境和

8、目標(biāo)環(huán)境數(shù)據(jù)庫(kù)異構(gòu)。2）支持全量和抽樣裝載。3）支持元數(shù)據(jù)的直接裝載。4）支持?jǐn)?shù)據(jù)源表結(jié)構(gòu)自動(dòng)備份功能。5）默認(rèn)使用高速批量寫入技術(shù)。2.5.2. 隱私數(shù)據(jù)掃描要求支持對(duì)元數(shù)據(jù)進(jìn)行數(shù)據(jù)采樣， 并對(duì)采樣數(shù)據(jù)進(jìn)行掃描， 并根據(jù)其內(nèi)部算法對(duì)掃描的數(shù)據(jù)進(jìn)行分析， 定位哪些表哪些字段為隱私數(shù)據(jù)， 屬于哪種隱私數(shù)據(jù)，要求具體包括但不限于：1）掃描基于元數(shù)據(jù)內(nèi)容，而非字段名。2）為保證數(shù)據(jù)掃描的準(zhǔn)確性， 采樣數(shù)據(jù)量至少在1000 條以上 （含 1000條） ，超出部分按一定數(shù)量間隔采樣。3）支持對(duì)發(fā)現(xiàn)的隱私數(shù)據(jù)進(jìn)行自動(dòng)或手動(dòng)進(jìn)行分類。4）支持對(duì)混合數(shù)據(jù)的發(fā)現(xiàn)和分類（如對(duì)私姓名與對(duì)公名稱混合，不能自動(dòng)按臟數(shù)據(jù)

9、處理） 。2.5.3. 任務(wù)批次管理批次管理用于生成不同任務(wù)類型的批次號(hào) （區(qū)別于上述用于表示版本號(hào)的數(shù)據(jù)批次號(hào)） ，通過(guò)建立任務(wù)批次號(hào)，一方面保證在沒(méi)有修改脫敏規(guī)則的前提下，同一批次下脫敏出的數(shù)據(jù)結(jié)果保持不變，即保證了各數(shù)據(jù)表的一致性和關(guān)聯(lián)關(guān)系； 而另一方面， 使脫敏工作中各階段任務(wù)通過(guò)任務(wù)批次號(hào)完全獨(dú)立開(kāi)來(lái)， 互不 影響，從而縮減時(shí)間成本，使作業(yè)進(jìn)度更加靈活可控。例如： 在單一需求申請(qǐng)下， 抽取任務(wù)進(jìn)行的同時(shí)， 也可建立后續(xù)脫敏任務(wù)的任務(wù)批次號(hào)并設(shè)置好相關(guān)參數(shù)，這樣在前一任務(wù)完成后系統(tǒng)將根據(jù)任務(wù)批次的順序自動(dòng)進(jìn)入后續(xù)任務(wù)的實(shí)施中；而在多個(gè)需求申請(qǐng)下，在實(shí)施項(xiàng)目 A 的數(shù)據(jù)漂白任務(wù)時(shí)， 可同

10、時(shí)配置實(shí)施項(xiàng)目 B 的數(shù)據(jù)抽取任務(wù)， 并根據(jù)實(shí)際需要設(shè)置順序作業(yè)或并行作業(yè)，從而真正達(dá)到資源的最大化利用。2.5.4. 多用戶與權(quán)限管理要求平臺(tái)須擁有完善的訪問(wèn)管理機(jī)制， 其中包括了用戶管理、 各功能模塊的使用和數(shù)據(jù)的訪問(wèn)權(quán)限。 系統(tǒng)默認(rèn)通過(guò)角色對(duì)用戶的權(quán)限進(jìn)行控制， 缺省角色包括了系統(tǒng)管理員、審計(jì)用戶、操作用戶、數(shù)據(jù)審批用戶、普通用戶等。以此即可完成對(duì)各種用戶角色的使用和訪問(wèn)控制。針對(duì)多用戶多項(xiàng)目情況，具體涉及的主要需求為：1） 由普通用戶提出測(cè)試數(shù)據(jù)使用的申請(qǐng)及具體脫敏漂白需求， 該角色一般 由各項(xiàng)目開(kāi)發(fā)或測(cè)試項(xiàng)目經(jīng)理?yè)?dān)任。2） 數(shù)據(jù)審批用戶對(duì)普通用戶提出的測(cè)試數(shù)據(jù)使用申請(qǐng)進(jìn)行審核， 該用

11、戶一 般由各普通用戶直屬上一級(jí)領(lǐng)導(dǎo)擔(dān)任。3） 操作用戶對(duì)數(shù)據(jù)審批用戶審核通過(guò)的數(shù)據(jù)使用申請(qǐng)進(jìn)行再校驗(yàn)， 并根據(jù) 需求配置脫敏規(guī)則、源數(shù)據(jù)庫(kù)、目標(biāo)數(shù)據(jù)庫(kù)。并在脫敏完成后，審核脫敏數(shù)據(jù)是 否符合要求并授權(quán)給數(shù)據(jù)申請(qǐng)者使用。4）系統(tǒng)管理員負(fù)責(zé)對(duì)用戶權(quán)限分配5）審計(jì)用戶負(fù)責(zé)對(duì)前臺(tái)操作日志進(jìn)行查閱。具體流程如下圖2.5.5. 安全相關(guān)1 .必須提供完備的用戶認(rèn)證，授權(quán)加密等安全能力。2 .針對(duì)一體機(jī)類產(chǎn)品，杜絕外部設(shè)備對(duì)本地?cái)?shù)據(jù)的直接訪問(wèn)和拷貝。3 .審計(jì)（前臺(tái)對(duì)所有操作日志可查）4 .對(duì)涉及到的業(yè)務(wù)數(shù)據(jù)具有完備的保護(hù)機(jī)制，保證信息屏蔽有效，具備生產(chǎn)數(shù)據(jù)從抽取到銷毀的完整流程，并明確各角色在流程中的安全責(zé)任， 最大化防范數(shù)據(jù)信息盜取和安全泄密事件的發(fā)生。三、非功能性需求1. 業(yè)務(wù)恢復(fù)時(shí)間目標(biāo)（業(yè)務(wù)RTOA72小時(shí)、業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)（業(yè)務(wù)RPO/72小 時(shí)；2. 漂白數(shù)據(jù)處理速率不低于 3000條/ 秒。3. 一體機(jī)設(shè)備數(shù)據(jù)存儲(chǔ)容量不低于500G。4. 系統(tǒng)使用范圍和用戶數(shù)指標(biāo)： 系統(tǒng)為基礎(chǔ)支撐類平臺(tái)且僅局限信息科技部?jī)?nèi)部使用。未來(lái)三年至五年的用戶增長(zhǎng)壓力可忽略。其他4.1. 其他功能1）簡(jiǎn)單易用：要求基于圖形用戶界面，具備簡(jiǎn)潔明快，向?qū)降氖褂蔑L(fēng)格，內(nèi)置大量的規(guī)則、算法和默認(rèn)配置，讓用戶能根據(jù)指引“傻