数字化转型和数据安全合规的双重背景下，数据脱敏作为数据安全保障措施之一，普遍应用在数据使用的过程中。本文围绕数据脱敏技术，首先对其背景进行了概述，其次分析数据脱敏技术的需求、方式、技术、策略以及关键能力，最后对数据脱敏技术的趋势进行了展望。

1.背景与需求

　　图1 政策与风险

　　1.1实施数据安全治理，落地合规文化

　　随着《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》的实施，聚焦到各行业的数据运营者，如何有效应对数据安全合规要求，降低业务场景下的数据安全风险，是当前所面临的核心任务之一。

　　合规文化的提法最早来自于2005年4月，国际巴塞尔银行监管委员会发布的《合规与银行内部合规部门》，同年10月，我国国家银监会主席刘明康在上海银行同业公会举办的首届台规年会上再次阐述了合规的理念。经过多年发展，我国多数行业成立了数据安全管理部门，构建数据安全合规体系，“依法经营、稳健发展”的数据安全合规文化逐步形成。

　　在数据安全合规治理实施的同时，企业还面临数据应用和共享开放过程中的数据泄露风险，目前最为直接、有效的保护措施之一就是数据脱敏。

　　1.2数据脱敏技术需求

　　数据只有在不断的开发、共享、应用、交换等过程中才能创造更高的价值，为保障数据合规有序的分析、学习、查询等，满足数据使用需求和合规监管要求，数据脱敏技术需要满足以下关键需求：

　　1.精确识别匹配重要数据、核心数据及个人信息、敏感个人信息等敏感数据；

　　结合数据分类分级策略，建立重要数据、核心数据及个人信息、敏感个人信息特征库模型，通过正则、机器学习等方式对重要数据、核心数据及个人信息、敏感个人信息在脱敏过程进行精确识别。

　　2.数据脱敏策略可动态的随业务场景需求调整；

　　具备数据脱敏规则库，可基于业务场景、数据特性动态调整数据脱敏策略。随着分析、学习、查询等业务场景的不同需求自动匹配脱敏策略快速执行数据脱敏。

　　3.数据脱敏性能能够满足大数据平台脱敏需求；

　　具备内置机器学习引擎，以数据库表为颗粒度进行脱敏，建立多任务并行处理的方式，整体提升数据处理速度。同时支持集群化部署模式，满足大数据场景下数据大量且快速脱敏的需求。

　　4.对脱敏结果进行可视化审计，有序管理脱敏结果；

　　包括前期的保密性审计，如原始字段、开展业务所需字段的敏感内容审计，中期的可用性审计，如脱敏字段与业务需求匹配度，以及后期的准确性审计。

2.技术与策略能力

　　2.1数据脱敏方式

　　根据不同数据应用场景对数据脱敏时机的要求不同，可将数据脱敏划分为静态数据脱敏（SDM）及动态数据脱敏（DDM）两种方式。

　　基于静态数据脱敏（SDM）的开发测试场景

　　开发测试场景属于非生产环境，采用静态数据脱敏的方式将所需的敏感数据从生产环境中抽取并脱敏。过程中数据整体须保证脱敏前后的一致性，保持数据间的逻辑关系，如脱敏前后主外键一致、业务关联一致、有依赖字段的敏感信息脱敏一致、多次脱敏结果一致等。同时可根据业务实际需求提供脱敏数据，并结合数据子集、黑名单、白名单等方式控制数据脱敏的内容和范围。

　　图2 开发测试场景下静态数据脱敏

　　基于动态数据脱敏（DDM）的业务系统前台脱敏场景

　　系统前台数据展示场景一般是在业务开展过程中的生产环境中，在业务系统前台页面中存在敏感数据，业务人员登录系统并访问敏感页面时，存在敏感数据泄露风险，需要根据最小授权原则，识别不同系统用户的数据权限，对敏感页面中的敏感数据进行实时动态的脱敏处理。

　　图3 业务系统前台场景下动态数据脱敏

　　2.2数据脱敏技术

　　围绕不同场景下的数据内容保护目标，常见的技术有数据脱敏（Data Masking）以及匿名化（Anonymization）、去标识化（de-identification）技术。

　　数据脱敏（Data Masking）

　　数据脱敏指对敏感数据通过变形、转换等手段降低数据的敏感程度，从而在数据全生命周期各阶段实现保护敏感数据的目的。[GB/T 29246-2017 定义 2.10]

　　图4 数据脱敏示例

　　匿名技术（Anonymization）

　　通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程（个人信息经匿名化处理后所得的信息不属于个人信息）。[GB/T35273-2020 定义 3.14]

　　图5 匿名化处理示例

　　去标识化（de-identification）

　　通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。[GB/T35273-2020 定义 3.15]

　　图6 去标识化示例

　　目前数据脱敏（Data Masking），应用于各领域业务系统中的敏感数据保护，其方法及策略实现方式较广泛，广泛用于业务场景下及非业务场景下，同时满足数据脱敏后保密性以及数据可用性。而匿名技术（Anonymization）及去标识化（de-identification）多用于对大数据中个人信息的保护，通过数据K-匿名、差分隐私、散列、限制返回、空值插入、模糊化等技术达到数据脱敏后的不可逆，不利于研发及分析过程中使用，较适合在数据展示过程中应用。

表1：数据脱敏技术对比

　　2.3数据脱敏策略

　　在海量数据中识别敏感数据，同时结合数据分类分级管控要求对数据进行降级以符合数据使用要求，根据业务场景需要生成具体的数据脱敏策略。如某金融业务在开发、应用、交换、运维等场景下，对个人姓名、用户名、身份证号、地址信息、车牌信息等，分别执行替换、局部混淆、掩码屏蔽、限制列数、数据截断等脱敏技术策略以满足不同场景下的数据保护和使用需求。

表2：数据脱敏策略表

　　2.4脱敏工具关键能力

　　图7：基于人工智能的数据脱敏架构

　　随着数据量的快速增长，为满足巨量数据和多样化使用场景下的数据脱敏需求，数据脱敏工具应具备：

　　1、数据管理能力：能够对不同领域的数据进行分类分级管理，根据不同的分类分级策略识别数据环境中的敏感数据，形成数据分类分级清单；

　　2、业务识别能力：能够基于大数据业务以及数据使用场景，自动识别数据开发、测试、交易以及共享等场景。

　　3、策略匹配能力：能够基于数据自身安全特性，自动判别数据影响程度、影响范围、影响对象，结合数据使用场景,匹配合适的数据脱敏策略，同时提供策略的人工审核能力；

　　4、规则匹配能力：对所采用脱敏规则进行匹配，结合在开发、分享、研究、应用、交换、运维场景下的数据使用需求，保障数据的保密性和可用性。

　　5、场景识别能力：基于业务需求，自动匹配脱敏策略和脱敏场景。对批量数据脱敏一次性脱敏（开发、测试）采用静态脱敏方式，对及时性业务,采用动态脱敏的方式满足不同业务场景下的脱敏需求。

　　通过统一的脱敏服务平台，将脱敏能力赋能于各业务应用场景中，既保证数据正常使用，同时又能够保障数据安全。

3.数据脱敏技术趋势

　　数据脱敏的主要目标是按照脱敏规则通过变形、转换等方式降低数据敏感程度，在数据的采集、传输、使用等环节最小化敏感数据的暴露面。在降低数据敏感程度的基础上，数据脱敏技术会最大限度地保持脱敏后数据的可用性。近几年，数据脱敏技术历经了静态数据脱敏(SDM)到动态数据脱敏(DDM)的场景演进，覆盖面从非生产系统延伸到生产系统。随着数字化经济战略发展，以及国家对数据安全的持续高度关注，非结构化数据（如文本、图片及生物特征识别信息等）将成为未来脱敏技术的重要研究对象。利用最新的机器学习技术，如树算法、神经网络、深度学习等，进行敏感数据的智能探测、智能分析与统计和智能处理，将成为重要的技术发展方向之一。结合目前各领域数据脱敏需求，未来脱敏技术的发展趋势有以下几方面：

　　趋势一 重要数据及敏感数据的智能化识别：

　　基于数据分类分级策略，以及已经形成的数据分类分级清单，应用机器学习、自然语言处理和文本聚合分类等技术，对数据进行基于内容的实时精确识别，特别是对文档、音视频等非结构化数据的智能识别。

　　趋势二 基于业务需求及场景进行差异化保护

　　基于数据使用需求，对数据进行合理有效的降级，如一个四级数据，首先判定其发生泄漏后的影响对象、范围、以及影响程度，之后根据业务流程、保护能力、数据使用场景对数据敏感度进行降级，基于业务流程进行动态的数据保护策略管理，对同一数据在不同业务场景下的差异化保护。

　　趋势三 高性能、自动化脱敏

　　一方面具备高效的脱敏能力，能够处理巨量的数据，整体性能大幅度提升。另一方面通过机器学习自动匹配不同策略和对应场景，建立组织特有的数据脱敏模型，自动生成数据脱敏策略。脱敏过程应该是自动化、可重复、可关联的，避免人为失误，提高工作效率，做到“即脱即用”。

　　作者简介：

　　陈林，现任天融信战略咨询中心数据安全咨询顾问，长期从事数据安全方面的技术研究和数据安全治理方法论研究。曾先后参与各行业重大数据安全治理项目的建设规划与方案设计，具备丰富的数据安全治理项目经验；参与了多项国家、地方、行业标准和白皮书的编制，在数据脱敏领域具有深厚的研究；熟悉各行业的数据安全保障需求，具备丰富的行业领域知识；了解数据安全技术发展趋势，能准确为新技术研发提供预判和指导。

　　朴鸿国，硕士，毕业于悉尼科技大学，现任信通院安全所数据安全研究员，长期从事数据安全咨询服务、技术研究、标准制定等工作。