近年来，随着信息技术在商业银行的快速发展，银行业务的接受度在方式和效率上都有了很大的拓展。从传统的网络柜面服务、24小时自助银行，到网上银行、手机银行、支付宝、微信，都依赖于信息化的发展，已经成为人们日常生活中不可或缺的工具和手段。在这个过程中，商业银行积累了大量的客户数据、业务交易数据、内部管理数据、外部数据、系统日志等海量数据信息。这些数据是银行最重要的资产之一，是银行支持精细化管理、实现差异化服务、提升风险分析能力的基础，也是未来打造银行核心竞争力的关键。

但同时也涉及到客户的银行信息安全。一些公司因客户信息泄露而遭受巨大损失，因此信息泄露防范成为商业银行越来越关注的焦点。根据相关监管部门的规定，银行数据中包含的客户信息主要包括客户身份信息、财产信息、账户信息、金融交易信息、身份识别信息、衍生产品信息等。；2009年，中国银行业监督管理委员会发布《商业银行信息技术风险管理指引》，从信息技术治理、信息技术风险管理、信息安全、信息系统开发、测试和维护、信息技术系统运行和业务连续性、外包和内部审计等方面，对商业银行信息技术风险管理提出了全面要求。2017年正式实施的《国家网络安全法》明确规定，网络运营者不得泄露、篡改、破坏收集的个人信息。

大多数企业在处理这个问题时费时费力，数据泄露或损坏往往是技术问题造成的，不仅会造成经济损失，还会给声誉带来负面影响。你也为此烦恼吗？专业人士表示，保护客户隐私、发展业务的前提是数据安全。对于数据，客户的信息必须脱敏，以确保客户敏感信息的安全。敏感数据如何脱敏？结合数据脱敏技术现状和项目实际经验，对中小商业银行数据脱敏建设进行初步梳理。

1.这篇文章适合人们

银行员工、系统分析师、运营经理、应用开发或平台组的同学。

2.这篇文章解决了这个问题

对于新人来说，学习后了解银行数据和数据安全，了解一些数据脱敏的知识，对我们非常有益。同时，也能让你在饭后聊天、参加大咖交流活动时，更加熟悉和从容；对于职场人来说，数据安全将涉及到各个行业和业务的发展。在这里，我们可以复习关于数据脱敏的关键基础知识和一些实践经验，让我们的知识体系更加丰富和健全。

3.本文分为两个部分

一.引入数据脱敏

应用场景

脱敏后的特征

现状调查与分析

二、数据脱敏实施流程的构建思路

建立数据脱敏组织结构

对数据进行分类

制定数据应用使用策略

制定授权批准策略

制定有效的数据脱敏策略

关于脱敏后加载和使用数据

-以下文本

一个

数据脱敏介绍

数据脱敏，又称数据漂白、数据隐私或数据变形，是数据保护的方式之一。根据百度的解释，数据脱敏是指通过脱敏规则对一些敏感信息进行变形，从而实现对敏感隐私数据的可靠保护。这样，脱敏的真实数据集可以安全地用于开发、测试和其他非生产环境和外包环境。"

乍一看，很多人第一次听到数据脱敏，可能还是会觉得奇怪。事实上，我们在日常生活中都有联系。例如，就像我们经常使用米托工具的马赛克功能一样，我们模糊一些敏感数据以避免隐私泄露。在骗子横行的今天，大多数人都非常重视自己的隐私，直接捕捉隐私更是难上加难。然而，俗话说，路比魔高一尺，就像你在收费停车场丢了车一样。如果第三方不能妥善保管你的数据信息，你还是没有办法。当第三方出现问题时，数据脱敏是保护你的最后一道防线。

总而言之，数据脱敏有三大优势。首先，它提高了数据的可管理性。朋友圈的分组标签想必大家都很熟悉。谁想看就看，地下情侣必备神器；其次，数据泄露可以追溯。如果我在朋友圈发一个小秘密，只有你能看到，但是第三个人知道。呵呵，友谊的船会翻的；最后，可以控制数据泄露的风险。电商行业的快递员可以保持手机号码的真实性，部分屏蔽姓名等信息，也可以在一定程度上避免信息泄露。让我们一起来看看。

应用场景

根据独立研究机构Ponemon Institute的数据，84%的公司在软件开发和测试期间使用真实的客户信息，70%的公司使用消费者数据，51%的公司使用信用或其他支付信息。其中45%没有保护开发和测试中使用的真实数据。这意味着商业银行内部办公人员、第三方外包公司或合作单位以及运维人员在使用数据过程中存在严重风险，可能造成数据泄露。比如很多企业内部权限管理不规范，人员安全意识不平衡，访客权限模糊，内部监管存在漏洞，导致敏感数据随意传输。

从数据泄露的方式来看，办公PC、个人电脑、邮箱、网盘、移动办公设备或移动存储设备都将成为用户存储和企业数据传播的方式。为了防止内部数据泄露，很多银行禁用办公终端的所有U端口，封锁网络，实施管理限制或使用虚拟桌面对其进行物理隔离。事实上，他们不能完全保证保密性。例如，办公业务应用程序通常通过内部和外部网络互连，允许用户上传数据。为了方便日常文件传输，很多用户将大量数据上传到这个平台。结果，应用服务器受到攻击，存储在其上的大量敏感数据被下载。

以上种种现象表明，我国商业银行已经意识到数据安全的重要性，但防范敏感数据的能力较低，在数据脱敏管理方面还存在较大的空差距。下面将详细描述数据使用的典型场景，这样我们就可以建立一个完整的、通用的数据脱敏方案。

1.权限控制:

业务人员根据业务需求，在业务应用系统中按照权限访问和使用客户数据。比如客户信用信息查询、营销过程中的个人目标客户筛选和客户活动清单查询、反洗钱过程中的信用卡风险管理和客户信息查询/账户信息查询等。

2.数据传播:

银行部将通过系统对接或人工方式向合作机构提供部分客户数据进行外包或其他业务合作。典型场景包括银行卡、个人金融等业务部门向合作机构提供相关客户信息，以便开展相关业务营销；此外，还包括银企对帐、合作催收信用卡违约透支、与合作伙伴的积分兑换活动等。

3.流程管理:

日常生产运维中，信息技术部根据业务部门的申请，查询提取生产环境中的部分客户信息，反馈给业务部门；或者为了解决相关的生产问题，需要利用生产数据进行分析研究。

4.数据使用:

为满足应用系统R&D和测试系统库存数据的需求，我行信息技术部获取脱敏生产数据并开展相关R&D和测试工作。当然，为了保证业务连续性测试，有些数据是不能脱敏的，测试组和业务组通常会提供白名单数据范围。

脱敏后的特征

数据脱敏不仅需要对业务数据中的敏感信息进行数据漂白和屏蔽，还需要保持原有的数据特征、业务规则和数据相关性，以保证非生产环境下生产数据的安全使用和敏感信息的泄露。此外，应该保留原始数据的格式和属性，这保证了应用程序在使用脱敏数据的开发和测试过程中的正常运行。

1.保持原始数据特征:

数据脱敏前后，必须保持数据特征。比如身份证号码由17位本体码和1位校验码组成，分别是地区地址码、出生日期、顺序码和校验码。那么，身份证号的脱敏规则需要保证脱敏后这些特征信息仍然保持，并保证身份证号符合验证规则且不影响测试。

2.保持数据之间的一致性:

在不同的服务中，数据和数据之间有一定的相关性。比如出生日期或者年龄和出生日期的关系。同样，身份证信息脱敏后，仍需保证出生日期字段与身份证所含出生日期的一致性，以及外围系统数据与核心的一致性，如ECIF、ODS、CRM等。

3.保持业务规则的相关性:

维护数据业务规则的相关性意味着当数据脱敏时，数据相关性和业务语义保持不变，其中数据相关性包括主键和外键的相关性以及关联字段的业务语义。比如身份证信息脱敏后，需要同步刷新核心和外围账号、证件号码对帐表，通过证件信息唯一识别和索引自然人。因此，应特别注意确保所有相关主题信息的相关性。

4.多重脱敏之间的数据一致性:

如果同一数据多次脱敏或在不同的测试系统中脱敏，需要保证脱敏后的数据始终一致。只有这样，才能保证业务系统中数据变化的持续一致性和广义业务的持续一致性。

现状调查与分析

总体而言，我国中小城市商业银行精细化管理程度不足，数据分类分级、敏感信息定义模糊。比如，与外包商共享测试数据，加大了敏感数据泄露的风险；管理者数据风险管控能力较弱，甚至不相信或不确定数据是否丢失或被盗；没有专人管理敏感数据。这有多模糊？看看数据:

只有44%的中小城市商业银行建立了数据脱敏管理制度，25%的中小城市商业银行建立了敏感数据分类分级制度，12%的中小城市商业银行有明确的数据脱敏操作规程，32%的中小城市商业银行开发了数据脱敏的应用场景。

能够实现脱敏流程化、自动化，脱敏过程可监控、可审计的中小城市商业银行仅占总调查的8%。有脱敏数据的中小城市商业银行占调查总数的52%。可见，由于中小城市商业银行脱敏流程不规范，数据脱敏过程存在安全隐患。

目前中小城市商业银行大多采用人工脱敏完成数据脱敏，占调查总量的76%，人工数据脱敏占调查总量的16%，专业脱敏工具仅占调查总量的8%。

因此，本文的主要内容是如何结合中小城市商业银行的IT环境，建立一套完整、通用的数据脱敏方案或建设思路。

2

构建数据脱敏实施流程的思考

建立数据脱敏组织结构

数据脱敏涉及商业银行业务技术部门和外包或第三方的大部分员工。因此，为了规范实施流程，保证质量，专门建立了完整的组织架构。一般分为决策组织、管理组织、执行组织和审计组织。组织之间的关系如下:

决策机构的职责主要是根据银行的业务发展战略和企业信息安全政策提出要求，授权管理机构开展数据脱敏工作，指导并定期检查管理机构的工作；监督、问责和解决审计机构反馈的问题。

管理机构的主要职责是跟进数据脱敏建设的需求；并定期向决策机构汇报数据脱敏工作；检查和指导执行机构的脱敏工作；配合审计机构的监督检查。

执行机构负责具体数据保护技术工作的实施和执行；并定期向管理机构报告，接受并配合审计机构的监督检查。

审计机构的主要职责是监督检查管理机构和执行机构的日常数据脱敏工作，并将检查结果反馈给决策机构，跟踪审计问题的解决。

对数据进行分类

敏感数据要分类分级，合理保护数据，防止矫枉过正、保护过度、保护资源浪费、给员工日常办公带来不便。按数据类别可分为业务数据、系统运行支持数据、网络配置和管理数据等。；根据数据等级，可分为机密级、内部级和公开级。

常见的敏感数据对象包括:客户名称、公司名称、组织名称等名称数据；身份证号、生日、组织机构代码、电话号码、手机号码、家庭住址、电子邮件地址、企业注册地等地址数据；客户号、卡号、存款账号、贷款账号、密码等。涉及全行业务数据。此外，还可能涉及到表结构信息的梳理，如表列、表大小、索引等。

让我们以客户信息为例:

1.个人客户:

客户的中英文姓名、客户身份证号、其他身份证号、个人联系方式、其他联系方式、密码等。；

2.对于企业客户:

客户名称、企业负责人信息、企业管理部门信息、联系方式、证件号码信息、密码等。；

3.用户信息:

股东信息、在线用户身份信息、档案、成本相关信息、财务信息、OA系统等。

制定数据应用使用策略

数据应用和使用策略是指生产数据的需求方根据实际业务需求向银行生产中心申请使用生产数据的过程。数据应用应该有一个标准化的过程，并在相关规范中规定。一般开发人员申请数据使用，通常包括使用的系统名称、数据时间点、整个数据库或部分表，是否完全是生产数据，并列出哪些敏感信息是客户信息和业务信息，哪些系统有这样的敏感信息。

制定授权批准策略

授权和批准策略是指数据提供者或管理者根据数据提出者和实际数据应用的数据使用要求、相关规范或制度，评估所应用的数据是否需要脱敏，并最终予以确认。

通常项目QC人员召集审核员参加数据脱敏的审核会议；审核会上，数据需求方负责人介绍被审核使用数据的内容，并回答审核人提出的审核意见和问题；在审计过程中，审计人员根据审计准则发表意见；被审核的问题由数据需求方负责人跟进，直至审核人员确认关闭。

审批通过后，审批流程结束，审核机构根据申请要求收集数据，交付数据使用部门脱敏。

制定有效的数据脱敏策略

高效的数据脱敏策略是指当数据提供者或管理者评估所应用的数据包含敏感信息时，根据相关流程，采用数据脱敏方法或工具对生产数据进行脱敏。对于需要脱敏的数据，由执行机构安排数据脱敏操作，脱敏后的数据经批准后提供给数据需求方；对于不需要脱敏的数据，执行机构直接将数据提供给数据需求方。

接下来，我们来谈谈常见的数据脱敏方法。首先，数据脱敏是为了保证非生产环境下使用生产数据的安全性，但与纯加密不同。数据加密后，数据字段会变成无意义的字符。第二，脱敏是通过一定的算法把数据变成另一种样式，这种样式没有密文也是可读的。

常见的脱敏方法:

1.替换

属于手动脱敏，比如用“x”代替字符，用“0”代替数字，用“ha”代替汉字。这种方法更像是“盲眼法”，对于内部人员来说可以完全保持信息完整性，但是容易破解。

2.重新整理

属于手动脱敏，比如序列号01234重新排列为43210，按照一定的顺序进行加扰，很像“替换”，在需要的时候可以方便的恢复信息，但是也很容易破解。

3.加密

属于人工脱敏，加密方式一般根据实际情况确定。至于安全程度，就看采用哪种加密算法了。个人没有遇到过，那么会用到哪些场景呢？欢迎读者朋友指点。

4.截断

属于手动脱敏，比如13612011011被截断为136，是比较常见的脱敏方法。它丢弃必要的信息以保证数据的模糊性，缺点是对用户不友好。所以个人还是希望脱敏后的实际数据长度与原始数据一致。

5.面具

属于手动脱敏，比如012345改为0****5，既保留了部分信息，又保证了脱敏后实际数据长度不变，信息持有者更容易分辨，比如京东快递上的身份信息。

6.制造数字

它属于手动数据创建的脱敏型，即按照一定的算法手工编写一个数据创建程序，程序随机生成业务数据并插入到相关的业务数据库中。就像上面提到的身份证号一样，通常情况下，如果客户的身份证类型是身份证，那么身份证号是通过造号的方式随机生成的，保证身份证号符合验证规则，不影响测试。

另外，如果证件类型是港澳身份证，需要注意的是，香港身份证和澳门身份证是无法区分的，所以系统会先跟进香港身份证的验证，如果验证失败，会根据澳门身份证进行验证，确认是香港还是澳门身份证。

一般来说，这种方法有两个缺点:

◎随机生成的数据已经与相关业务逻辑分离，业务之间的依赖关系系统无法保证；

◎每次脱敏前都要编写或修改测试相关程序，工作量大，脱敏进度和质量无法保证。

7.日期偏移舍入

属于手动脱敏，比如从20190429 23:10:05改成20190429 23:00:00，主要是抛弃准确性来保证原始数据的安全性，从而保护数据的时间分布密码，然后问读者朋友会用到哪些场景？

通用转换程序使用数据字典搜索所有表列表，实现数据脱敏，因此对于新增加的表或字段不需要修改脱敏程序，只需要对需要脱敏的新增加的数据字典进行修改即可。其次，也有类似ODS的外围系统表或历史数据应该脱敏。另外，对于数据表中包含交易输入数据的大字段，读者有哪些好的解决方案？欢迎讨论。

关于脱敏后加载和使用数据

脱敏数据的加载和使用是指脱敏数据的加载过程和脱敏后数据提供者或管理者以一定方式提供的数据的后续使用过程。有些银行对数据的使用寿命有要求，如果对使用寿命到期的数据没有延迟要求，那么测试环境中的数据就会被按规定销毁。

摘要

通过调查研究，分析了我国中小城市商业银行敏感信息数据的管理和使用情况，并通过查阅文献等方法，分析了银行敏感信息的泄露场景和银行数据脱敏的重要性。结合个人在以往项目中的经验，总结出一套初步的数据脱敏流程和方案，为中小城市商业银行的数据脱敏提供参考。这个暂时先说一下，以后继续探讨~