重慶三峽銀行數(shù)據(jù)脫敏漂白平臺項目需求說明書

1、重慶三峽銀行（數(shù)據(jù)脫敏漂白平臺） 項目需求說明書一總則1.1. 項目背景“系統(tǒng)不宕機，信息不泄露”是監(jiān)管對我行信息科技管理要求的底線，銀監(jiān) 會在信息科技風(fēng)險管理指引、信息科技風(fēng)險現(xiàn)場檢查指南 等文件中對于城 市商業(yè)銀行明確提出“加強數(shù)據(jù)、文檔的安全管理，完善敏感信息存儲和傳輸?shù)?高風(fēng)險環(huán)節(jié)的控制措施，對數(shù)據(jù)、文檔的訪問應(yīng)建立嚴(yán)格的審批機制。 對用于測 試所使用的生產(chǎn)數(shù)據(jù)應(yīng)完善審批并采取相關(guān)限制，進行脫敏、變形處理，防止敏感數(shù)據(jù)泄露?！蔽倚性趯徲嫳O(jiān)管、系統(tǒng)開發(fā)測試，內(nèi)外部培訓(xùn)等各種應(yīng)用場景中均涉及包含 客戶信息和賬戶信息等相關(guān)敏感數(shù)據(jù)的使用。 技術(shù)人員雖采用腳本等方法對敏感 數(shù)據(jù)進行了脫敏。但人

2、工脫敏的數(shù)據(jù)在其安全性，可用性以及系統(tǒng)之間的關(guān)聯(lián)性 等方面難以滿足各種場景數(shù)據(jù)使用的需求， 也無法完全滿足監(jiān)管對敏感信息安全 管理的要求。1.2. 項目建設(shè)目標(biāo)通過構(gòu)建統(tǒng)一的數(shù)據(jù)脫敏漂白平臺，為審計監(jiān)督、系統(tǒng)開發(fā)測試、培訓(xùn)等多 種應(yīng)用場景提供脫敏漂白數(shù)據(jù)，保證數(shù)據(jù)的安全性以及不同系統(tǒng)數(shù)據(jù)之間的關(guān)聯(lián) 性。建立客戶信息安全保護機制，實現(xiàn)敏感隱私數(shù)據(jù)的有效保護。簡化人工干預(yù) 數(shù)據(jù)處理的繁瑣，降低出錯的幾率，滿足我行數(shù)據(jù)管理要求。通過構(gòu)建數(shù)據(jù)脫敏平臺建立信息資產(chǎn)分類分級保護機制。 滿足銀監(jiān)會對商業(yè) 銀行敏感信息數(shù)據(jù)的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀” 的規(guī)定。二、需求說明2.1.

3、數(shù)據(jù)庫兼容范圍在舁 廳P分類項目是否支持1源及目標(biāo) 數(shù)據(jù)庫ORACLE必須2Informix必須3SQL SERVER必須4MySQL必須5DB2必須6Sybase必須2.2. 隱私數(shù)據(jù)識別原則上要為每個需要脫敏的數(shù)據(jù)類型提出算法要求， 系統(tǒng)規(guī)則庫中除內(nèi)置可 供用戶選擇的各種脫敏規(guī)則外，對于一些特殊的算法，應(yīng)可根據(jù)用戶需提出的具 體的實施算法配置。規(guī)則庫應(yīng)包含但不限于以下數(shù)據(jù)類型的通用脫敏規(guī)則：1）中文姓名2）證件號碼含：身份證、軍官證、港澳臺通行證、駕駛證等3）手機電話號碼4）通訊地址郵箱5）營業(yè)執(zhí)照號（工商注冊號）6）組織機構(gòu)代碼7）納稅人識別號8）郵政編碼9）其他同數(shù)據(jù)類型不同內(nèi)容混合證

4、件號碼：對私證件號碼與對公證件代碼混合客戶名稱：對私姓名與對公名稱混合2.3. 脫敏要求有效性要求：相對于原有數(shù)據(jù)，脫敏后數(shù)據(jù)敏感性必須全部去掉且數(shù)據(jù)不能 被反推回原始數(shù)據(jù)。真實性要求：相對于原有數(shù)據(jù)，脫敏后數(shù)據(jù)業(yè)務(wù)邏輯特征要盡可能保留；相 對于原有數(shù)據(jù)，脫敏后數(shù)據(jù)統(tǒng)計分布特征要盡可能保留。高效性要求：1.測試脫敏方法實施的時間開銷情況。實施脫敏的時間及計算 資源占用越少越好。2.測試脫敏方法實施的空間開銷情況。實施脫敏必須的存儲 空間越少越好。穩(wěn)定性要求：由于原始數(shù)據(jù)間存在關(guān)聯(lián)性（如兩張表中都有客戶姓名數(shù)據(jù)， 并且業(yè)務(wù)要求兩張表的客戶姓名必須一致），如果對兩張表分別脫敏后客戶姓名 數(shù)據(jù)不一致

5、了，就會影響后期測試。這要求測試數(shù)據(jù)脫敏方法需要保證對相同的 原始數(shù)據(jù)，只要配置參數(shù)一定，無論脫敏多少次，結(jié)果數(shù)據(jù)是相同的。不僅須確 保表與表之間的關(guān)聯(lián)關(guān)系，也必須保證支持跨數(shù)據(jù)源或異構(gòu)數(shù)據(jù)源之間的表與表 之間的關(guān)聯(lián)關(guān)系；支持自動同步關(guān)系型數(shù)數(shù)據(jù)庫內(nèi)部已存在的表外鍵關(guān)系。多樣性要求：測試數(shù)據(jù)脫敏可能根據(jù)需求不同而生成不同脫敏結(jié)果的程度。這是從測試數(shù)據(jù)管理方的角度出發(fā)考慮， 一般情況，有配置參數(shù)的數(shù)據(jù)脫敏方法 都可以按照輸入?yún)?shù)不同而產(chǎn)生不同的測試結(jié)果，從而使得測試數(shù)據(jù)管理方可以方便的按測試場景，測試環(huán)境等因素為不同的測試項目提供不同的脫敏后數(shù)據(jù)環(huán) 境，去除多個測試項目使用數(shù)據(jù)間的關(guān)聯(lián)性，提高多

6、項目數(shù)據(jù)使用的安全性。2.4. 脫敏規(guī)則數(shù)據(jù)脫敏過程必須具備以下特點：可用性、數(shù)據(jù)關(guān)聯(lián)關(guān)系、業(yè)務(wù)規(guī)則關(guān)系、數(shù)據(jù)分布、 易用性和可定制。 從而在針對不同系統(tǒng)進行數(shù)據(jù)脫敏時， 制定良好的脫敏方法， 因此為整個數(shù)據(jù)脫敏關(guān)鍵所在， 故要求常用的實施脫敏方法必須包含且不限于如下幾種方式：1）隨機查表替換：如統(tǒng)一將某字符替換為另一隨機從中間表中找出的字符，對內(nèi)部人員可以完全保持信息完整性。2） 洗牌混淆： 對全部原數(shù)據(jù)進行洗牌， 按照一定的順序進行重排， 類似 “替換”例如序號12345 重排為 54321。3）唯一數(shù)據(jù)映射變換：對卡號，賬號等唯一數(shù)據(jù)列，按其業(yè)務(wù)規(guī)則映射生成4）非唯一數(shù)據(jù)按業(yè)務(wù)規(guī)則隨機生

7、成：對手機，固定電話，地址，郵件等非唯一數(shù)據(jù)列，按其業(yè)務(wù)規(guī)則隨機生成。5）參數(shù)算數(shù)置換：對原數(shù)據(jù)（數(shù)字類型）按某種算數(shù)方法計算，參數(shù)為固定或隨機參數(shù)，例如類似針對身份證號末尾校驗位的計算。6）碼值參數(shù)偏移 : 將原數(shù)據(jù)碼值隨機或按特定偏移算法及參數(shù)置為隨機或特定新值。7）時間老化：對時間數(shù)據(jù)或具備時間屬性的數(shù)據(jù)（身份證）等按固定值進行老化時間特征。8）字符串部分屏蔽：對字符串中部分字符用特定字符屏蔽。9）隨機生成不定長字符串：可針對空字符或原字符串末端隨機生成長度不一的字符串。2.5. 數(shù)據(jù)管理2.5.1. 支持?jǐn)?shù)據(jù)裝載支持將漂白好的偽數(shù)據(jù)直接寫入目標(biāo)數(shù)據(jù)庫，要求包括但不限于：1）支持源環(huán)境和

8、目標(biāo)環(huán)境數(shù)據(jù)庫異構(gòu)。2）支持全量和抽樣裝載。3）支持元數(shù)據(jù)的直接裝載。4）支持?jǐn)?shù)據(jù)源表結(jié)構(gòu)自動備份功能。5）默認(rèn)使用高速批量寫入技術(shù)。2.5.2. 隱私數(shù)據(jù)掃描要求支持對元數(shù)據(jù)進行數(shù)據(jù)采樣， 并對采樣數(shù)據(jù)進行掃描， 并根據(jù)其內(nèi)部算法對掃描的數(shù)據(jù)進行分析， 定位哪些表哪些字段為隱私數(shù)據(jù)， 屬于哪種隱私數(shù)據(jù)，要求具體包括但不限于：1）掃描基于元數(shù)據(jù)內(nèi)容，而非字段名。2）為保證數(shù)據(jù)掃描的準(zhǔn)確性， 采樣數(shù)據(jù)量至少在1000 條以上 （含 1000條） ，超出部分按一定數(shù)量間隔采樣。3）支持對發(fā)現(xiàn)的隱私數(shù)據(jù)進行自動或手動進行分類。4）支持對混合數(shù)據(jù)的發(fā)現(xiàn)和分類（如對私姓名與對公名稱混合，不能自動按臟數(shù)據(jù)

9、處理） 。2.5.3. 任務(wù)批次管理批次管理用于生成不同任務(wù)類型的批次號 （區(qū)別于上述用于表示版本號的數(shù)據(jù)批次號） ，通過建立任務(wù)批次號，一方面保證在沒有修改脫敏規(guī)則的前提下，同一批次下脫敏出的數(shù)據(jù)結(jié)果保持不變，即保證了各數(shù)據(jù)表的一致性和關(guān)聯(lián)關(guān)系； 而另一方面， 使脫敏工作中各階段任務(wù)通過任務(wù)批次號完全獨立開來， 互不 影響，從而縮減時間成本，使作業(yè)進度更加靈活可控。例如： 在單一需求申請下， 抽取任務(wù)進行的同時， 也可建立后續(xù)脫敏任務(wù)的任務(wù)批次號并設(shè)置好相關(guān)參數(shù)，這樣在前一任務(wù)完成后系統(tǒng)將根據(jù)任務(wù)批次的順序自動進入后續(xù)任務(wù)的實施中；而在多個需求申請下，在實施項目 A 的數(shù)據(jù)漂白任務(wù)時， 可同

10、時配置實施項目 B 的數(shù)據(jù)抽取任務(wù)， 并根據(jù)實際需要設(shè)置順序作業(yè)或并行作業(yè)，從而真正達(dá)到資源的最大化利用。2.5.4. 多用戶與權(quán)限管理要求平臺須擁有完善的訪問管理機制， 其中包括了用戶管理、 各功能模塊的使用和數(shù)據(jù)的訪問權(quán)限。 系統(tǒng)默認(rèn)通過角色對用戶的權(quán)限進行控制， 缺省角色包括了系統(tǒng)管理員、審計用戶、操作用戶、數(shù)據(jù)審批用戶、普通用戶等。以此即可完成對各種用戶角色的使用和訪問控制。針對多用戶多項目情況，具體涉及的主要需求為：1） 由普通用戶提出測試數(shù)據(jù)使用的申請及具體脫敏漂白需求， 該角色一般 由各項目開發(fā)或測試項目經(jīng)理擔(dān)任。2） 數(shù)據(jù)審批用戶對普通用戶提出的測試數(shù)據(jù)使用申請進行審核， 該用

11、戶一 般由各普通用戶直屬上一級領(lǐng)導(dǎo)擔(dān)任。3） 操作用戶對數(shù)據(jù)審批用戶審核通過的數(shù)據(jù)使用申請進行再校驗， 并根據(jù) 需求配置脫敏規(guī)則、源數(shù)據(jù)庫、目標(biāo)數(shù)據(jù)庫。并在脫敏完成后，審核脫敏數(shù)據(jù)是 否符合要求并授權(quán)給數(shù)據(jù)申請者使用。4）系統(tǒng)管理員負(fù)責(zé)對用戶權(quán)限分配5）審計用戶負(fù)責(zé)對前臺操作日志進行查閱。具體流程如下圖2.5.5. 安全相關(guān)1 .必須提供完備的用戶認(rèn)證，授權(quán)加密等安全能力。2 .針對一體機類產(chǎn)品，杜絕外部設(shè)備對本地數(shù)據(jù)的直接訪問和拷貝。3 .審計（前臺對所有操作日志可查）4 .對涉及到的業(yè)務(wù)數(shù)據(jù)具有完備的保護機制，保證信息屏蔽有效，具備生產(chǎn)數(shù)據(jù)從抽取到銷毀的完整流程，并明確各角色在流程中的安全責(zé)任， 最大化防范數(shù)據(jù)信息盜取和安全泄密事件的發(fā)生。三、非功能性需求1. 業(yè)務(wù)恢復(fù)時間目標(biāo)（業(yè)務(wù)RTOA72小時、業(yè)務(wù)恢復(fù)點目標(biāo)（業(yè)務(wù)RPO/72小 時；2. 漂白數(shù)據(jù)處理速率不低于 3000條/ 秒。3. 一體機設(shè)備數(shù)據(jù)存儲容量不低于500G。4. 系統(tǒng)使用范圍和用戶數(shù)指標(biāo)： 系統(tǒng)為基礎(chǔ)支撐類平臺且僅局限信息科技部內(nèi)部使用。未來三年至五年的用戶增長壓力可忽略。其他4.1. 其他功能1）簡單易用：要求基于圖形用戶界面，具備簡潔明快，向?qū)降氖褂蔑L(fēng)格，內(nèi)置大量的規(guī)則、算法和默認(rèn)配置，讓用戶能根據(jù)指引“傻