[××银行]数据脱敏项目实施方案

数据脱敏项目实施方案(计划) ——VS-SDM测试数据管理与隐私数据保护平台

2016年×月×日

中安威士（北京）科技有限公司

目录

项目背景 (4)

项目概况 (5)

项目目标 (5)

项目需求 (5)

项目范围 (5)

系统范围 (5)

隐私数据类型 (6)

系统架构图 (7)

系统流程说明 (7)

VS-SDM系统配置 (8)

项目人员 (9)

阶段人员配置 (9)

脱敏算法 (9)

基本要求实现 (9)

脱敏规则实现 (10)

客户名称 (10)

客户证件号码 (10)

地址信息 (10)

电话信息 (10)

EMAIL地址信息 (10)

密码信息 (10)

客户编码中身份证号 (10)

账户号 (11)

中安威士产品典型配置 (11)

售后服务支持 (13)

基本服务 (13)

软件支持服务 (13)

硬件支持服务 (14)

高级服务 (15)

产品培训服务 (15)

隐私数据定制化服务 (15)

产品功能定制化服务 (15)

现场支持服务 (15)

项目背景

××银行股份有限公司于2009年3月经中国银监会批准成立，总行位于××市。2011年，成功引入国电集团、杭州银行两大战略投资者，资本实力及整体抗风险能力显著增强。截止2015年3月末，资产总额362亿元，各项存款230.49亿元，各项贷款余额165亿元，已在××市、银川市、中卫市、吴忠市设立分行，分支机构达45家，并相继在宁夏、安徽、山东、重庆等地发起设立了7家村镇银行。

随着××银行业务的快速发展，业务生产系统积累了大量包含客户账户等敏感信息的数据。而这些数据，在银行的很多工作场景中都会得到使用，例如，业务分析、开发测试、审计监管，甚至是一些外包业务等方面，使用的都是真实的业务数据和信息。如果这些数据发生泄露、损坏，不仅会给银行带来经济上的损失，更重要的是会大大影响用户对于银行的信任度。如何保证信息安全已经成为××银行必须面对的一个重要的问题。

面临挑战：确保敏感信息安全防止敏感数据泄露

银监会发布的《中国银行业十二五信息科技发展规则监管指导意见》文件中明确提出“完善敏感信息存储和传输等高风险环节的控制措施，对数据、文档的访问应建立严格的审批机制。对用于测试的生产数据要进行脱敏处理，严格防止敏感数据泄露”。《银监会信息科技风险现场检查指南》中也强调“测试中如需使用生产数据，应对相应数据进行脱敏、变形处理，当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理”。2014发布的《第317号》文件中也指出对要保护外包环境的数据安全，严格防止敏感数据泄露。

但随着业务发展，更多新应用已经完全不适合利用这些老旧数据进行测试，同步生产环境中的核心数据迫在眉睫。××银行希望在将最新的生产数据导入开发测试环境前，能够对敏感信息进行符合安全原则的变形及脱敏。他们拟引入适合银行现状及未来发展的数据脱敏产品，在保存数据原始特征的同时改变它的数值，使数据依旧可以被用并与业务相关联，在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集，从而避免数据泄露的风险。

解决之道：采用成熟数据脱敏工具配以完善安全管理流程

项目概况

××银行过去一直使用真实数据进行开发、测试用途。这样处理的好处是迅速、有效。但考虑到客户信息的重要性，为了提高对银行客户的服务水平和信息安全保障，××银行决定对开发、测试等非生产环境的数据使用环节进行整改，引入数据脱敏技术对客户信息进行保护。项目目标

××银行考虑开展数据脱敏项目，在保障客户信息安全的基础上，无论是从项目范围，还是功能、效果上，都将成为一个先进和完善的系统。

脱敏系统必须要求满足在数据上安全合规、技术上的可靠、有效、稳定和先进。在各环节上都要求能够更多的自动化功能，减少不必要的人机交互过程，大幅降低人力成本投入。实现整个流程的批量化、自动化、智能化处理。

项目需求

本次项目对脱敏系统产品的基本要求有：

1.在不了解数据库结构设计的情况下，能够自动发现和定位任意系统的客户信息所在的

表、字段和相应的类型，以便于该系统在多系统范围内推广；

2.脱敏数据要求能满足跨数据库种类、跨业务系统的数据关联性要求；

3.脱敏效率更为高效；

4.使用更为便捷，利于大范围推广；

5.脱敏数据必须为高仿，能够满足数据原有的编码规则和特征，并能仿造原有数据的数

据质量问题，达到高仿测试的要求。

项目范围

系统范围

本次计划实施脱敏的业务系统包括：

●核心系统

●前置系统

●信贷系统

●网银

●手机银行系统

隐私数据类型

考虑到为客户提供最基本的信息安全保障，以及开发、测试中的各种实际应用需求，例如制卡等问题，现将此次项目实施中进行脱敏的隐私数据类型规定如下：

1.客户名称：

a)对私：姓名

b)对公：企业单位名称

2.证件号码：

a)对私：居民身份证号、护照号、港澳通行证、户口簿号、军官证等

b)对公：组织机构代码、工商注册号、纳税人识别号；

3.电话号码：

a)固定电话

b)移动电话

c)传真

4.EMAIL

5.地址信息

6.密码（仅在需要大量账号进行压力测试时）

7.客户编号（仅在客户编号中包含证件号码时）

系统架构图

系统流程说明

根据架构图所示的流程如下：

1.首先从生产的备份恢复到一台中间数据库服务器上，获得一份完整且真实的数据库镜

像，考虑到操作系统的差异和资源的重复利用，这里需要准备两台中间服务器，一台为AIX系统一台为Linux系统，根据生产数据库的实际情况进行分别使用；

2.脱敏系统对此数据库进行隐私数据发现，进行隐私数据模型梳理工作；

3.从中间数据库服务器上进行数据抽取，这里只需要抽取含有客户信息的表即可；

4.数据在VS-SDM平台上进行数据漂白脱敏；

5.经过脱敏后的数据回写到中间服务器上，这样中间服务器上的数据库即为一套完整的

经过脱敏的数据库；

6.将中间服务器上的数据库通过备份或者拷贝等手段送到开发网段；

7.在开发网段将数据库进行恢复即可使用。

方案优势：将由于本方案采用回写方式，脱敏系统无须抽取完整的数据库数据，只需要抽

取含有客户信息的表进行脱敏处理并且回写即可。此方案只处理含有敏感信息的表，处理量小，速度快。

VS-SDM系统配置

1.隐私数据模型建立；

a)使用VS-SDM的发现作业对备份恢复出来的业务数据库进行自动化、智能化的扫

描，并生成报告；

b)人工对每个系统的自动发现报告进行隐私数据梳理工作，建立正式的隐私数据模

型；

c)每个业务系统数据库单独建立一个发现作业，共计5个发现作业；

2.对上述建立的环境进行数据抽取

a)仅抽取包含隐私数据的表，在此可以根据需要设置子集抽取；

b)每个业务系统数据库单独建立一个抽取作业，共计5个抽取作业；

3.数据漂白脱敏：

a)对上述抽取的所有表进行脱敏

b)自动配置脱敏规则

c)脱敏作业：

i.每个业务系统数据库单独建立一个脱敏作业，共计5个漂白作业。所有作业

共享同一个漂白种子值以保证跨数据库系统的数据关联性，且种子值每季度

更换一次，由管理员保管；

ii.在有条件的情况下，将多个数据库共用一个脱敏作业，种子值由系统自动管理每次更换，一来能够保证所有系统的数据关联性，二来提高算法安全性。

4.数据装载

a)将所有隐私数据表全量装载

b)装载作业回写至上述建立的临时环境或者测试环境数据库，以此用脱敏数据替换

原来的真实数据，形成完整的脱敏数据库。

项目人员

阶段人员配置

脱敏算法

基本要求实现

多表关联脱敏，包括同一数据库和不同数据库之间，同样字段的关联变化，VS-SDM产品提供两种技术实现关联脱敏：

1.将所有需要保持关联关系的表，包括不同数据库之间的表，同时加入一个“漂白作业”选择列

表中，即可实现关联脱敏；

2.若因故无法将所有需要关联的不同数据库或者表一次性在一个“漂白作业”中进行处理，可以

在不同的“漂白作业”中<漂白规则>页面，将“漂白种子值（SEED）”设定为同一个固定值，即可实现多表、多数据库的关联脱敏；

脱敏规则实现

所有隐私数据信息都可以使用固定字符串方式替换或者部分替换进行脱敏，但是为了保证脱敏数据的仿真度和测试开发项目组的使用效果，建议使用专用的脱敏算法。

客户名称

对公客户名：将企业单位名划分为4部分：行政区划、商号、行业特征、组织方式，脱敏规则允许独立配置4部分是否需要变化，缺省变换商号，其余3部分不变；

对私客户：将姓名划分为姓氏和名字两部分，脱敏规则允许独立配置两部分是否需要变化，缺省两部分同时变换。提供百家姓字库和中国名字字库进行脱敏处理。

客户证件号码

证件号码支持中国居民身份证号、护照号、港澳通行证、户口簿号码、军官证等中国地区所有的证件号码，且能保证脱敏后的证件号码能保持该种证据号码的编码规则和校验规则。

地址信息

地址脱敏使用中国任意地址进行替换，使用内置中国地址库进行处理。

电话信息

对移动电话和固定电话号码均采用同一算法，变换号码右边5位，变换位数可根据实际需求设定修改。

EMAIL地址信息

将EMAIL地址分为地址主体和域名两部分，两部分均可单独配置是否需要脱敏。地址主体在保证唯一性前提下进行随机变换，域名变换成常用公共域名，缺省情况下域名不变换。

密码信息

密码信息根据实际需求分两种脱敏：

1.在开发或压力测试时需要用到客户的登录密码：此时可以将密码统一修改成同一个值，例

如“888888”，然后将888888的加密值直接替换所有账号的密码；

2.在不需要使用登录密码的其它测试开发场景，为了保密，建议使用随机算法进行脱敏；客户编码中身份证号

客户编码中的身份证号，这里稍微扩展一下，变成客户编码中的证件号码，脱敏规则为保留客户编码中的前缀和后缀不变，单纯变换当中的证件号码，且算法与证件号码保持一致，保证脱敏后数据关联性。

账户号

账户号脱敏，首先程序自动判断原账户号的末位是否满足LUHN校验算法，如果不满足，直接变化账号右边6位（位数可调整），如果末尾满足LUHN校验算法，则末尾采用LUHN算法生成。中安威士产品典型配置

售后服务支持

基本服务

软件支持服务

软件支持服务为服务期内的客户提供：

1.电话和在线服务：客户可以通过拨打服务热线或者发送电子邮件的方式对遇到的问题提供

技术上咨询和指导，服务时间为每周7×8小时；

2.具有新增功能的升级软件产品：服务期内客户可以拨打服务热线到客户服务部申请新版本

产品。

3.主要维护版本的升级软件产品：服务期内客户可以得到升级软件产品的维护版本。

4.软件修补包及替代方法：服务期内客户可以通过技术支持热线或电子服务得到产品的修补

包或替代方法。

硬件支持服务

硬件支持服务为服务期内的客户提供：

1.电话和在线服务：客户可以通过拨打服务支持热线或发送电子邮件，服务工程师将对您遇

到的问题或故障提供技术上的咨询和指导。在电话中请提供：

1)机器的主机序列号（参见保修卡或机器上序列号条码）；

2)单位公司名称以及购买时间

3)详细故障描述和信息提示，包括银幕上显示出的提示信息等。

2.服务时间为每周7×8小时，响应时间为自确认有保修义务时起，2 个工作小时内回应，4

个工作小时内给出解决方案。注：特殊情况下，上门服务人员会主动与您商议确定到达现场的时间。特殊情况包括：不可抗力的原因、交通原因、或其它特殊原因等。

3.标准服务：自机器售出之日起，提供三年有效期的上门服务，在有服务网点的地区提供下

一个工作日的服务响应；如有特殊情况可与客服部门协商解决。

4.送修服务

1)送修服务范围：购买时间超过三年以上、或免费上门服务地区以外的客户所购买的机

器。

2)维修时客户自行或通过货运公司将故障机（或故障部件）送到我司客服部门，修复后

客户自行取回或由客服部门代发货运，货运风险和费用由客户自行承担。

3)保修期内能简单安装的部件（包括热拔插硬盘、热拔插电源、显示器、键盘、鼠标、

终结器等），我司提供选择发货更换的方式维修，并提供相应的电话安装指导。

特别提示:

用户应对其专有的机密信息和数据的安全自行负责。请您及时对您认为重要的数据做好备份，以防止丢失或改动文件、数据或程序，客服人员不负责备份或保留机器上的数据，不负责赔偿任何因数据丢失所导致的损失。

1.此承诺只针对在保修期内正常使用时出现硬件故障的情况。

2.机器部件自购买之日起，如正常使用发生故障，我司将更换故障部件或提供备用件。更换

的备用件可能是同型号品，也可能是性能上等同于或不低于原型号的部件，如有特殊情况与客户协商解决。

免除保修义务

请留意以下内容，对于因下列原因导致的机器故障，我公司将不承担保修义务：

1.经确认为非我司产品；

2.本产品整机或部件已经超出保修期；

3.因运输造成的损坏（请与保险公司或物流公司联系解决）；

4.任何擅自拆机，使用非我公司指定的配件，以及非正常操作所造成机器的任何损坏；

5.由于火灾、洪水、雷电、地震或其它不可抗力事件引起的机器故障或部件损坏；

6.机器在非产品规定的工作环境下（温度、湿度、电压、电流、机器内部清洁度）使用，引

起的机器故障或部件损坏、烧环等；

7.由于保养不当（如病毒感染、进水、挤压等）造成的机器故障；

高级服务

产品培训服务

对已购买该服务的客户提供产品的专业化培训，我方的培训讲师将根据用户选取的内容提供培训讲义和教材，在协商的时间和地点对用户进行培训，参与培训的人数不限。该服务根据人天计价。注，用户需要自行准备培训场地和所需培训环境。

隐私数据定制化服务

对于产品自身模块以外的部分，该服务可根据用户的需求，定制化新的隐私数据类型，并整合到产品中，其中包括新的隐私数据类型的漂白脱敏和隐私数据发现的功能代码。该服务根据人天计价。客户需要提供：

1.所述新的隐私数据类型的格式、编码规则或者算法等详细数据特征；

2.针对所述隐私数据类型的隐私数据发现和数据漂白的算法和规则；

3.在数据发现和漂白过程中可能需要用到的数据特征库、样例或者数据字典；

注，在购买该服务之前需要进行协商和调研，以确认需求是可实现的。

产品功能定制化服务

对于产品自身功能和特性以外的部分，该服务可根据用户的需求，在不改变产品内核与架构的前提下对产品的功能进行定制化，并与产品原有的功能进行无缝整合。客户需要提供详细的功能需求文档或者说明。

注:在购买该服务之前需要进行协商和调研，以确认需求是可实现的。

现场支持服务

该服务会响应客户的服务请求，上门提供技术支持，包括咨询、数据梳理、故障处理、安装修正包、产品更新等。

注，若服务内容涉及更换维保范围以外的备件，需要额外收取备件材料费。备件材料费：指更换备件、器件、维修耗材等物料费用。