PA09数据备份和恢复

过程域设定背景和目标

备份与恢复是为了提高信息系统的高可用性和灾难可恢复性，在数据库系统崩溃的时候，没有数据库 备份就没法找到数据。保证数据可用性是数据安全的基础。

过程域具体标准要求解读

制度流程：
——数据服务可靠性和可用性安全保护目标
——数据存储冗余策略和设计指导；
——数据复制、备份与恢复的操作规程，如数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等
——数据复制、数据备份与恢复的定期检查和更新工作要求，如数据副本更新频率、保存期限等，确保数据副本或备份数据的有效性等。

技术工具：

——数据备份和恢复的技术工具要统一，并做到自动化执行。
——对已备份的数据要有安全管理技术手段，包括但不限于对备份数据的访问控制、压缩或加密管理、完整性和可用性管理。

过程域充分定义级实施指南

制度流程参考：

案例 1：《 XXX公司电子数据备份和恢复管理规程》关键内容：

• 术语定义：备份/恢复/存档
• 备份整体要求和原则
• 独立数据文件：全量和增量
• 稳健性数据库备份
• 关系型数据库备份
• 备份周期
• 备份完整性检查
• 备份数据的存储介质要求及其标识
• 恢复场景
• 备份日志
• 相关表格模板：备份记录、检查记录

案例 2：《 XXX公司数据备份和恢复管理规范》关键内容：

• 总则：备份和恢复管理范围、关键信息系统定义、管理团队等；
• 数据备份、归档和恢复原则；
• 存储、备份设备及相关设备管理；
• 备份和恢复相关人员职责
• 运维管理流程
• 惩罚措施

技术工具参考：

业界很成熟的技术，这里不赘述。

标准参考：
——GB∕T 31500-2015《信息安全技术 存储介质数据恢复服务要求》
——GBT 22239-2008《信息安全技术 信息系统安全等级保护基本要求》

数据处理安全

PA10数据脱敏

过程域设定背景和目标

数据作为一种重要的生产资料，充分分析与挖掘数据的内在价值成为了现代企业创新成长的必经之路， 但同时敏感数据的泄露风险也与日俱增。严格意义上来讲，任何有权限访问数据的人员，均有可能导致敏 感数据的泄露。另一方面，没有数据访问权限的人员，也可能有对该数据进行分析挖掘的需求，数据的访 问约束大大限制了充分挖掘数据价值的范围。数据脱敏技术通过将敏感数据进行数据的变形，为用户提供 虚假数据而非真实数据，实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及 外包环境中安全地使用脱敏后的真实数据集，既保护了组织的敏感信息不泄露，又达到了挖掘数据价值的 目标。本过程域的设定，即要求组织通过建立脱敏机制，来防止组织敏感数据的泄露。

过程域具体标准要求解读

本过程域要求组织根据相关法律法规、标准的要求，以及组织自身业务的需求，明确需要脱敏的业务 场景、规范要求及使用的脱敏工具。

制度流程：
——要求组织建立统一的数据脱敏制度规范和流程，明确数据脱敏的业务场景，以及在不同业务应用场景下数据脱敏的规则和方法，这里重点强调的是组织需要统一策略，统一规范。
——脱敏应跟使用者的业务权限和数据的使用场景来动态调整，用户申请对敏感数据的访问处理时，应根据使用者的岗位职责、业务范围等，来评估其使用真实数据的必要性，并根据其业 务职责来选择不同的数据脱敏规则及方法。

技术工具：
——要求组织具备统一的数据脱敏工具，数据脱敏工具应具备静态脱敏和动态脱敏的功能。
——脱敏工具应与组织的数据权限管理平台实现联动，可以根据使用者的职责权限或者业务处理 活动动态化的调整脱敏的规则，职责权限一般用来决定他可以访问哪些敏感数据，业务处理 活动则主要决定采用哪些脱敏方式，例如用户展现的敏感数据则可以通过部分数据遮蔽等方式实现，用户开发测试的数据则通过同义替换的方式实现。
——脱敏工具对数据的脱敏操作过程都应该留存日志记录，以审核违规使用和恶意行为，防止意外的敏感数据泄露。

过程域充分定义级实施指南

制度流程参考：

以下数据在使用时应进行脱敏处理。 ——个人信息：能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况 的各种信息。包括个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、 个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息等。具体可参考 GB/T35273 《信息安全技术 个 人信息安全规范》 ——组织敏感信息：涉及到组织的商业秘密、经营状况、核心技术的重要信息，包括但不限于客 户信息、供应商信息、产品开发信息、关键人事信息、财务信息等。 ——国家重要数据：国家重要数据是指组织在境内收集、产生、控制的不涉及国家秘密，但与国 家安全、经济发展、社会稳定，以及企业和公共利益密切相关的数据，包括这些数据的原始数据和衍生数据。

技术工具参考：

脱敏在技术实现上，主要有以下几种技术方式：

1. 泛化 技术 。 在保留原始数据局部特征的前提下使用一般值替代原始数据，泛化后的数据具有不 可逆性，具体的技术方法包括但不限于：

2. 数据截断：直接舍弃业务不需要的信息，仅保留部分关键信息，例如将手机号码13500010001 截断为135；

3. 日期偏移取整：按照一定粒度对时间进行向上或向下偏移取整，可在保证时间数据一定分布 特 征的情况下隐藏原始时间，例如将时间20150101 01:01:09按照5秒钟粒度向下取整得到 20150101 01:01:05；

4. 规整：将数据按照大小规整到预定义的多个档位，例如将客户资产按照规模分为高、中、低 三 个级别，将客户资产数据用这三个级别代替。

5. 抑制技术。 通过隐藏数据中部分信息的方式来对原始数据的值进行转换，又称为隐藏技术，具 体的技术方法，具体的技术方法包括但不限于：

6. 掩码：用通用字符替换原始数据中的部分信息，例如将手机号码13500010001经过掩码得到 135****0001，掩码后的数据长度与原始数据一样。

7. 扰乱技术。 通过加入噪声的方式对原始数据进行干扰，以实现对原始数据的扭曲、改变，扰乱 后的数据仍保留着原始数据的分布特征，具体的技术方法包括但不限于：

   1. 加密：使用加密算法对原始数据进行加密，例如将编号12345加密为abcde；
   2. 重排：将原始数据按照特定的规则进行重新排列，例如将序号12345重排为54321；
   3. 替换：按照特定规则对原始数据进行替换，如统一将女性性别替换为F；
   4. 重写：参考原数据的特征，重新生成数据。重写与整体替换较为类似，但替换后的数据与原 始 数据通常存在特定规则的映射关系，而重写生成的数据与原始数据则一般不具有映射关 系。例如对雇员工资，可使用在一定范围内随机生成的方式重新构造数据；
   5. 均化：针对数值性的敏感数据，在保证脱敏后数据集总值或平均值与原数据集相同的情况下， 改变数值的原始值；
   6. 散列: 即对原始数据取散列值，使用散列值来代替原始数据。

8. 有损 技术。 通过损失部分数据的方式来保护整个敏感数据集，适用于数据集的全部数据汇总后 才构成敏感信息的场景，具体的技术方法包括但不限于：

9. 限制返回行数：仅仅返回可用数据集合中一定行数的数据，例如商品配方数据，只有在拿到 所有配方数据后才具有意义，可在脱敏时仅返回一行数据；

10. 限制返回列数：仅仅返回可用数据集合中一定列数的数据，例如在查询人员基本信息时，对 于某些敏感列，不包含在返回的数据集中。

数据脱敏的核心是实现数据可用性和安全性之间的平衡，既要考虑系统开销，满足业务系统的需求， 又要兼顾最小可用原则，最大限度的敏感信息泄露。因此在实施过程中，也应该围绕这两个点进行规范。 即首先需要对敏感数据进行识别和定义，其次基于使用者的职责以及业务范围判断他是否需要使用这些敏 感数据，他用这些数据来做哪些事，然后基于这些判断来选择数据脱敏的方法和技术措施。例如开发人员 需要用这些数据进行测试的，应满足能够保留数据属性特征，可以采用扰乱等脱敏方式。如果是要投到大 屏做展示用的，则可以选择掩码方式隐藏部分敏感内容。企业应结合自身业务开展的情况，分类分析数据 需要脱敏的场景，规范每种场景下数据脱敏的规则和流程。组织在确定好数据脱敏的场景和脱敏的规则并 形成制度文件后，就可以选择配置相关的数据脱敏工具，统一在业务系统中部署，配合制度文件的落实。

l 标准参考：
——ISO&IEC 27038_2014《数字脱敏规范》
——DB52/T 1126-2016《政府数据 数据脱敏工作指南》

参考资料

[数据安全能力建设实施指南 V1.0(征求意见稿)](http://github5.com/view/1836?f=