银行核心系统之数据脱敏

近年来，随着商业银行信息技术的飞跃发展，银行业务的受理无论在方式和效率上都得到了极大的拓展。从传统网点柜面服务与24小时自助银行，到网上银行、手机银行、支付宝、微信，都依赖于信息化的发展，已经成为人们日常生活中不可或缺的工具和手段。在此过程中，商业银行累计了大量的客户数据、业务交易数据、内部管理数据、外部数据、系统日志等海量数据信息。这些数据是银行最为重要的资产之一，是银行支持精细化管理、实现差异化服务、提升风险分析能力的基础，是构建银行未来核心竞争力的关键。

但同时也涉及客户的银行信息安全问题，有公司因为客户信息泄露损失巨大，因此信息防泄密成为商业银行越来越关注的焦点。有关监管部门规定，银行数据中包含的客户信息主要有客户的身份信息、财产信息、账户信息、金融交易信息、鉴别信息、衍生信息等；2009年银监会发布《商业银行信息科技风险管理指引》，从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技系统的运行和业务的连续性、外包、内部审计等方面，对商业银行信息科技风险管理工作提出了全面要求；2017年正式实施的国家《网络安全法》明确规定，网络运营者不得泄露、篡改或损毁收集的个人信息。

大部分企业处理该问题耗时费力，时常还因技术问题导致数据泄露或损坏，不仅会造成经济上的损失而且会给声誉带来负面影响，你也在为此困扰吗？专业人士表示，保护客户隐私发展业务的前提是数据安全，对于数据可能采用客户的信息必须进行脱敏处理，保障客户敏感信息的安全性。那如何对敏感数据进行脱敏？本文结合目前数据脱敏技术现状，以及项目实战经验，对中小型商业银行数据脱敏建设进行了初步梳理。

1、此文适合人群
银行从业人员，系统分析师，运营管理人员，应用开发或平台组的同学。
2、此文解决问题
对新人来说，学习完后了解银行数据了解数据安全了解一些数据脱敏的知识，都对我们十分有益，同时也能让你在茶余饭后闲谈时，参加大咖的交流活动时，更熟悉和从容；对职场人来说，在各个行业各个业务努力发展的过程中都会涉及数据安全的问题，在此可以回顾一下关于数据脱敏的关键基础知识和一些实际的经验，让自己的知识体系更加丰饶和健全。
3、此文分为两大部分
一、数据脱敏介绍
（1）应用场景
（2）脱敏后特征
（3）现状调研分析
二、数据脱敏实施流程建设思路
（1）建立数据脱敏组织架构
（2）对数据进行分类分级梳理
（3）制定数据申请使用策略
（4）制定授权审批策略
（5）制定数据高效脱敏策略
（6）关于脱敏后数据的装载和使用

欢迎关注WX公众号：小代嘚吧嘚

1 数据脱敏介绍

数据脱敏(Data Masking)，又称数据漂白、数据去隐私化或数据变形，是数据保护方式的一种。根据百度词条的解释，数据脱敏是“指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。”

初步一看，可能很多人第一次听到数据脱敏仍会觉得很陌生，其实在日常生活中我们都有接触的。比如就像我们经常用到美图工具的马赛克功能一样，把一些比较敏感的数据模糊处理避免隐私泄露，在骗子横行的今天，大部分人对自己的隐私都非常重视，想要直接套取隐私可谓难上加难，但正所谓道高一尺魔高一丈，就像你将车存在收费停车场丢了一样，如果第三方不能妥善保存你的数据信息，你依然没有任何办法。而数据脱敏正是第三方出现问题时保护你的最后一道防线。

总而言之，数据脱敏有三大好处，首先增加数据可管理性，朋友圈的分组标签想必大家都不陌生，想谁看到就让谁看到，地下情侣的必备神器；其次是数据泄露可追溯，如果我发了朋友圈小秘密只有你可见，但是第三个人知道了，呵呵友谊的小船说翻就翻；最后是数据泄露风险可控，在电商行业的快递员，保持手机号码的真实性，对姓名等信息进行部分遮蔽，也能从某种程度上避免信息泄露。我们一起来看看。

（1）应用场景

据独立调研机构Ponemon Institute调查显示：84%的公司在软件开发与测试期间使用真实客户信息，70%使用消费者数据，51%使用信贷或其他支付支付信息。而且其中45%的公司没有对开发和测试中使用的真实数据予以保护。这意味着：商业银行内部办公人员、第三方外包公司或合作单位及运维人员在数据的使用过程中，存在严重的风险，都有可能造成数据泄露。比如很多企业内部权限管理不规范，人员安全意识不均衡，访问者的权限模糊加上内部监管存在漏洞，从而导致敏感数据被任意传递等。

从数据泄露的方式来看，办公PC、个人电脑、邮箱、网盘、移动办公设备或移动存储设备都会成为用户存储和企业数据传播的途径。不少银行为了防止内部数据外泄，将所有办公终端U口全部禁用、网络封锁、行政约束或采用虚拟桌面等物理隔绝，其实并无法全面保障机密。比如办公业务应用通常由内外网互通的功能，允许用户上传数据。为了便于日常文件传输，很多用户将大量的数据上传到此平台。结果，应用服务器被攻击，上面存储的大量敏感数据被下载。

 

以上现象都说明我国商业银行已经认识到数据安全的重要性，但防范敏感数据的能力较低，且在敏感数据防范的手段即数据脱敏管理上，还存在着较大空白。下面将具体说说数据使用的典型场景，便于我们建立一套较为完整且通用的数据脱敏方案。

1. 权限控制：
业务人员根据业务办理需要，在业务应用系统中按权限访问和使用客户数据。比如，客户征信信息查询、营销过程中个人目标客户筛选和客户活动名单查询、信用卡风险管理及反洗钱过程中的客户信息查询/账户信息查询等。

2. 数据传播：
银行业务部门将部分客户数据通过系统对接或人工方式提供给合作机构业务外包或其他业务合作等。典型场景包括银行卡、个人金融等业务部门提供相关客户信息给合作机构，以便开展相关的业务营销；此外，还包括银企对账、信用卡违约透支合作催收、与合作方开展的积分兑换活动等。

3. 流程管理：
在日常生产运维中，根据业务部门申请，信息科技部门在生产环境中查询及提取部分客户信息并反馈给业务部门；或者为解决相关生产问题，需要使用生产数据进行分析研究的场景等。

4. 数据使用：
为了满足应用系统研发测试系统存量数据的需要，银行信息科技部门获取脱敏后的生产数据，进行相关的研发、测试工作等。当然，为保证业务连续性测试（如检查密码等），部分数据不能脱敏，通常由测试组和业务组提供白名单数据范围。

（2）脱敏后特征

数据脱敏不仅要执行数据漂白，屏蔽业务数据中的敏感信息，同时也需要保持原有的数据特征、业务规则和数据关联性，保证生产数据在非生产环境中（开发、测试、培训等环境）的安全使用，敏感信息泄露。另外，还应当保留原始数据的格式和属性，已确保应用程序在使用脱敏数据的开发与测试过程中正常运行。

1. 保持原有数据特征：
数据脱敏前后必须保证数据特征的保持，例如：身份证号码由十七位数字本体码和一位校验码组成，分别为区域地址码（6 位）、出生日期（8 位）、顺序码（3 位）和校验码（1 位）。那么身份证号码的脱敏规就需要保证脱敏后依旧保持这些特征信息，并且还要确保身份证号码符合校验规则，不影响测试。

2. 保持数据之间的一致性：
在不同业务中，数据和数据之间具有一定的关联性。例如：出生年月或年龄和出生日期之间的关系。同样，身份证信息脱敏后仍需要保证出生年月字段和身份证中包含的出生日期之间的一致性，以及各外围系统数据与核心保持一致，如ECIF、ODS、CRM等。

3. 保持业务规则的关联性：
保持数据业务规则的关联性是指数据脱敏时数据关联性以及业务语义等保持不变，其中数据关联性包括：主、外键关联性、关联字段的业务语义关联性等。例如：身份证信息脱敏之后，要同步刷新核心及外围的账号、证件号对账表，便于通过证件信息唯一识别和索引一个自然人。因此需要特别注意保证所有相关主体信息的关联性。

4. 多次脱敏之间的数据一致性：
相同的数据进行多次脱敏，或者在不同的测试系统进行脱敏，需要确保每次脱敏的数据始终保持一致性，只有这样才能保障业务系统数据变更的持续一致性以及广义业务的持续一致性。

（3）现状调研分析

从总体来看，我国中小城市商业银行的精细化管理程度不足，对数据的分类、分级和敏感信息的定义比较模糊。例如：与外包商共享测试数据，放大了敏感数据的泄露风险；管理人员数据风险管控能力弱，甚至不相信或不确定数据是否丢失或被盗；无专人进行敏感数据管理等。那模糊到什么程度呢？请看数据：

仅有44%的中小城市商业银行建立了数据脱敏管理制度，25%的中小城市商业银行建立了敏感数据的分类、分级制度，12%的中小城市商业银行有清晰的数据脱敏操作流程，32%的中小城市商业银行制定了数据脱敏的应用场景。

可实现脱敏过程流程化、自动化，脱敏过程可监控、可审计的中小城市商业银行，仅占调查总数的8%。脱敏过程数据落地的中小城市商业银行占调查总数的52%。由此可看出，由于中小城市商业银行脱敏流程不规范，数据在脱敏过程中存在安全隐患。
当前中小城市商业银行大部分采取手工脱敏的方式来完成数据脱敏，利用手工脱敏方式进行数据脱敏，占调查总数的76%，手工造数据的方式进行数据脱敏，占调查总数的16%，使用专业脱敏工具，仅占调查总数的8% 。

因此，如何结合中小城市商业银行的IT环境，建立一套较为完整且通用的数据脱敏方案或建设思路，是本文研究的主要内容。

 

  2数据脱敏实施流程建设思路

（1）建立数据脱敏组织架构

数据脱敏工作涉及到商业银行业务&技术部门及外包或第三方的大部分工作人员，因此，为了规范实施流程、确保质量，特建立完备的组织架构。一般分为决策组织，管理组织，执行组织和审计组织。各组织间的关系如下图：

决策组织职责主要有根据行内业务发展战略，结合企业信息安全策略方针提出需求，并授权指派管理组织开展数据脱敏工作，对管理组织的工作进行指导和定期检查；对审计组织反馈的问题进行督导问责和解决。

管理组织职责主要有跟进数据脱敏建设需求；并向决策组织定期汇报数据脱敏的工作情况；对执行组织脱敏工作进行检查和指导；配合审计组织的监督和检查。

执行组织负责具体的数据保护技术工作的实施和执行；并定期向管理组织汇报，接受和配合审计组织监督和检查。

审计组织职责主要是对管理组织和执行组织日常数据脱敏工作进行监督和检查，并将检查结果反馈给决策组织，跟踪审计问题的解决情况等。

（2）对数据进行分类分级梳理

敏感数据应该分类别、分等级，便于对数据进行合理的保护，防止矫枉过正，防护过度，造成防护资源的浪费以及给员工日常办公带来不便。按数据类别可分为：业务数据、系统运行支撑数据、网络配置与管理数据等；按数据等级可分为：机密、内部、公开。

常见的敏感数据对象有：客户名、公司名、组织机构名称等名称类数据；证件号、生日、组织机构代码、电话号码、手机号、家庭住址、邮箱、企业注册地等地址类数据；客户号、卡号、存款账号、贷款账号、密码等涉及全行经营业务类数据。另外，可能也会涉及表结构信息的梳理，如表列、表大小、索引情况等。

我们以客户信息举例：
1. 个人客户：
客户中英文名、客户证件号码、其他证件号码、个人联系信息、其他联系信息、密码等；
2. 对公客户：
客户名称、企业负责人信息、企业管理部门信息、联系人信息、证件号码信息、密码等；
3. 用户信息：
股东信息、行内用户身份信息、档案、费用相关信息、财务信息、OA系统等。

（3）制定数据申请使用策略

数据申请使用策略是指生产数据的需求方根据实际业务需要，向银行的生产中心申请使用生产数据的过程。数据申请应有规范的流程，并在相关规范中予以明确。一般是开发人员提出数据使用申请，通常包括使用系统的名称、数据时间点、全库还是部分表、是否完全是生产数据，同时列出哪个系客户信息和业务信息时敏感信息，哪些系统中存在这些敏感信息。

（4）制定授权审批策略

授权审批策略是指数据相关提供或管理人员，针对数据提出方的数据使用需求、相关规范或制度，以及根据应用实际的数据情况，评估申请的数据是否需要进行脱敏，并进行最终的确认。

通常是由项目QC人员召集审核人员参与数据脱敏的审核会议；在审核会议上，由数据需求方的负责人介绍被审核的使用数据内容，并对评审人员提出的审核意见及问题进行回答；在审核过程中，审核人员依据审核标准给出意见；对审核的问题，由数据需求方的负责人跟进直至由审核人员确认关闭。

审批通过之后，审批流程结束，审计组织根据申请要求采集数据并交付数据使用部门进行脱敏处理。

（5）制定数据高效脱敏策略

数据高效脱敏策略是指当数据提供或管理人员评估认为申请的数据含有敏感信息时，应根据相关流程，使用数据脱敏方法或工具对生产数据执行脱敏处理。对于需要脱敏的数据，由执行组织安排进行数据脱敏操作，脱敏后的数据经审批通过后提供给数据的需求方；对于不需要脱敏的数据，由执行组织直接将数据提供给数据的需求方。

接下来我们具体聊聊常见的数据脱敏方法，首先数据脱敏是为了确保在非生产环境下使用生产数据更加安全，但是又有纯粹的加密不同，数据加密后会将数据字段转变成无意义的字符，二脱敏是将数据通过一定的算法变成另一种样式，而这种样式非密文是可读的。

常见的脱敏方法：
1.替换
属于手工脱敏，如统一将字符代替为“X”，数字代替为“0”，中文字替换为“哈”，这种方法更像“障眼法”，对内部人员可以完全保持信息完整性，但易破解。

2.重排
属于手工脱敏，如序号01234重排为43210，按照一定的顺序进行打乱，很像“替换”，可以在需要时方便还原信息，但同样易破解。

3.加密
属于手工脱敏，加密的方法一般根据实际情况而定，至于安全程度取决于采用哪种加密算法，个人表示还没遇到过，啥场景会用到呢？欢迎读者朋友指点。

4.截断
属于手工脱敏，如13612011011截断为136，是相对常用的脱敏方法，舍弃必要信息来保证数据的模糊性，缺点是对用户来说不够友好。所以，个人还是希望脱敏后实际数据长度与原数据实际长度保持一致。

5.掩码
属于手工脱敏，如012345转为0****5 ，即保留了部分信息，也保证了脱敏后实际数据长度不变，对信息持有者来说更易辨别，如京东快递上的身份信息。

6.造数
属于手工造数脱敏类型，是人工按一定算法编写造数程序，由程序随机生成业务数据后，插入到相关的业务数据库中。就如我们前文提到的身份证号码，通常对于客户的证件类型为身份证的，采用造数的方法随机生成身份证号码，并确保身份证号符合校验规则，不影响测试。

另外，若证件类型为港澳身份证时，需要注意因无法区分是香港身份证还是澳门身份证，所以系统先跟进香港身份证校验，如果验证不通过再根据澳门身份证进行验证，确认是香港还是澳门身份证。

总体来说，该方法存在两点弊端：
◎随机生成的数据已脱离相关业务逻辑，业务之间的依赖关系系统无法保证；
◎每次脱敏前均要编写或修改测试相关程序，工作量大，脱敏进度、质量无法保证。

7.日期偏移取整
属于手工脱敏，如20190429 23:10:05转为20190429 23:00:00，主要是为了保证原始数据的安全性而舍弃精度，便于保护数据的时间分布密码，再问读者朋友，啥场景会用到呢？

一般转换程序是采用数据字典搜索所有表清单来实现数据脱敏，所以新增表或字段不用修改脱敏程序，只有新增了需要脱敏的数据字典才需要修改脱敏程序。其次，还有外围系统表或同ODS类似的历史数据也要进行脱敏处理。另外，对于数据表中的大字段，其中包含了交易的输入数据，读者朋友有什么好的方案？欢迎探讨。

（6）关于脱敏后数据的装载和使用

脱敏后数据的装载和使用是指数据脱敏完成后，有数据提供或管理人员按照一定的方式提供脱敏后的数据装载过程，以及数据后续的使用过程。有的行对数据使用期限有要求，对于使用周期到期的数据如无延期要求，会按规定对测试环境中的数据进行销毁

 

参考文献及注释：
1.《中小城市商业银行数据脱敏研究》
2.《数据脱敏的处理方法及查询》
3.《4招实现数据脱敏》
4.《银行数据治理》

总结

        本文通过调查研究分析我国中小城市商业银行敏感信息数据管理和使用情况，通过查阅文献资料等方法分析银行敏感信息泄露的场景及银行数据脱敏的重要性。并结合个人以往项目的实践，小结了一份初步的数据脱敏流程和方案，为中小城市商业银行数据脱敏工作提供参考。暂时先聊到这里，留待以后继续探索~

 

END
欢迎关注Wx公众号：小代嘚吧嘚