【正文】 目錄1. 概述 4. 編寫目的 4. 數(shù)據(jù)脫敏的定義 4. 電網(wǎng)數(shù)據(jù)脫敏需求 42. 脫敏方案 5. 脫敏算法 5. KAnonymity (K匿名) 5. LDiversity 5. TCloseness 5. 脫敏規(guī)則 53. 電網(wǎng)應(yīng)用場景 6. 云平臺(tái)功能設(shè)計(jì) 7. 大數(shù)據(jù)平臺(tái)功能設(shè)計(jì) 71. 概述. 編寫目的本文檔描述了數(shù)據(jù)脫敏的研究成果和方法論。旨在為具有數(shù)據(jù)脫敏需求的開發(fā)人員和項(xiàng)目提供參考和借鑒。工業(yè)和信息化部編制的《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》明確要求,處理個(gè)人信息應(yīng)當(dāng)具有特定、明確和合理的目的,應(yīng)當(dāng)在個(gè)人信息主體知情的情況下獲得個(gè)人信息主體的同意,應(yīng)當(dāng)在達(dá)成個(gè)人信息使用目的之后刪除個(gè)人信息。對(duì)于個(gè)人一般信息的處理可以建立在默許同意的基礎(chǔ)上,只要個(gè)人信息主體沒有明確表示反對(duì),便可收集和利用。這項(xiàng)標(biāo)準(zhǔn)還正式提出了處理個(gè)人信息時(shí)應(yīng)當(dāng)遵循的八項(xiàng)基本原則，即目的明確、最少夠用、公開告知、個(gè)人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確，劃分了收集、加工、轉(zhuǎn)移、刪除四個(gè)環(huán)節(jié)，并針對(duì)每一個(gè)環(huán)節(jié)提出了落實(shí)八項(xiàng)基本原則的具體要求。百度百科對(duì)數(shù)據(jù)脫敏的定義為：指對(duì)某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù) 的可靠保護(hù)。敏感數(shù)據(jù)，又稱隱私數(shù)據(jù)，常見的敏感數(shù)據(jù)有: 姓名、身份證號(hào)碼、地址、電話號(hào)碼、銀行賬號(hào)、郵箱地址、所屬城市、郵編、密碼類 ( 如賬戶查詢密碼、取款密碼、登錄密碼等 )、組織機(jī)構(gòu)名稱、營業(yè)執(zhí)照號(hào)碼、銀行帳號(hào)、交易日期、交易金額等。個(gè)人信息與個(gè)人行為(比如位置信息、消費(fèi)行為、網(wǎng)絡(luò)訪問行為)等，這些都是人的隱私，也是我們所關(guān)注的一類敏感信息，在大數(shù)據(jù)價(jià)值挖掘的基礎(chǔ)上如 何保護(hù)人的隱私信息，也將是數(shù)據(jù)脫敏必須解決的難題。國家電網(wǎng)數(shù)據(jù)脫敏需求包括：通過數(shù)據(jù)抽取、數(shù)據(jù)漂白、數(shù)據(jù)混淆等處理過程，用來滿足測試、開發(fā)、培訓(xùn)、數(shù)據(jù)共享和數(shù)據(jù)融合場景下的敏感數(shù)據(jù)保護(hù)需求，并使得數(shù)據(jù)處理過程滿足國家電網(wǎng)的敏感數(shù)據(jù)防護(hù)的政策規(guī)定。 防止生產(chǎn)庫中的敏感數(shù)據(jù)泄漏通過對(duì)生產(chǎn)庫中的身份、地址、用戶卡號(hào)、手機(jī)號(hào)等敏感信息進(jìn)行混淆、打亂后再提供給第三方使用，防止生產(chǎn)庫中的敏感數(shù)據(jù)泄漏。 保證測試、開發(fā)、應(yīng)用階段的數(shù)據(jù)關(guān)聯(lián)性 通過脫敏策略和算法，保證脫敏數(shù)據(jù)有效性（保持原有數(shù)據(jù)類型和業(yè)務(wù)格式不變）、完整性（保證長度不變、數(shù)據(jù)含義不丟失）、關(guān)系性（保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系）。216。例如DBA可維護(hù)但無法查看敏感數(shù)據(jù)、業(yè)務(wù)系統(tǒng)可以訪問真實(shí)數(shù)據(jù)、分析系統(tǒng)可以訪問脫敏后的數(shù)據(jù)。 保證隱私數(shù)據(jù)管理的政策合規(guī)性 數(shù)據(jù)的脫敏和數(shù)據(jù)處理必須在國家電網(wǎng)的相關(guān)政策規(guī)定允許的情況下進(jìn)行，脫敏規(guī)則符合國家電網(wǎng)的數(shù)據(jù)管理要求。. 敏感數(shù)據(jù)發(fā)現(xiàn)敏感數(shù)據(jù)的發(fā)現(xiàn)分為人工發(fā)現(xiàn)和自動(dòng)發(fā)現(xiàn)兩種。比如：單位代碼、戶號(hào)、戶名、用電地址等標(biāo)識(shí)列，針對(duì)這些數(shù)據(jù)可以通過人工指定脫敏規(guī)則和不同的數(shù)據(jù)訪問策略，保證敏感信息不被泄漏。一般采用自動(dòng)發(fā)現(xiàn)為主，結(jié)合人工發(fā)現(xiàn)和審核，來完成敏感數(shù)據(jù)的發(fā)現(xiàn)和定義，最終形成完善的敏感數(shù)據(jù)字典。通過屏蔽、變形、替換、隨機(jī)、格式保留加密、強(qiáng)加密等數(shù)據(jù)脫敏算法，針對(duì)不同的數(shù)據(jù)類型進(jìn)行數(shù)據(jù)掩碼擾亂。脫敏方案的制定主要依靠脫敏策略和脫敏算法的復(fù)用來實(shí)現(xiàn)，通過配置和擴(kuò)展脫密算法以制定最優(yōu)方案。. 脫敏算法. 脫敏算法特征通常根據(jù)不同數(shù)據(jù)特征選擇不同的脫敏算法，對(duì)常見數(shù)據(jù)如姓名、證件號(hào)、銀行賬戶、金額、日期、住址、電話號(hào)碼、Email 地址、車牌號(hào)、車架號(hào)、企業(yè)名稱、工商注冊(cè)號(hào)、組織機(jī)構(gòu)代碼、納稅人識(shí)別號(hào)等敏感數(shù)據(jù)進(jìn)行脫敏，脫敏算法通常包括屏蔽、變形、替換、隨機(jī)、格式保留加密（FPE）和強(qiáng)加密算法（如AES ）。 同義替換使用相同含義的數(shù)據(jù)替換原有的敏感數(shù)據(jù)，如姓名脫敏后仍然為有意義的姓名，住址脫敏后仍然為住址。 部分?jǐn)?shù)據(jù)遮蔽將原數(shù)據(jù)中部分或全部內(nèi)容，用“*”或“ ”等字符進(jìn)行替換，遮蓋部分或全部原文。 混合屏蔽將相關(guān)的列作為一個(gè)組進(jìn)行屏蔽，以保證這些相關(guān)列中被屏蔽的數(shù)據(jù)保持同樣的關(guān)系，例如，城市、省、郵編在屏蔽后保持一致。 確定性屏蔽確保在運(yùn)行屏蔽后生成可重復(fù)的屏蔽值。216。. KAnonymity (K匿名)算法描述： 要求對(duì)于任意一行記錄，其所屬的相等集內(nèi)記錄數(shù)量不小于k，即至少有k1條記錄半標(biāo)識(shí)列屬性值與該條記錄相同。算法步驟：216。 泛化半標(biāo)識(shí)列算法優(yōu)缺點(diǎn)：216。216。對(duì)于 KAnonymity 的數(shù)據(jù)集，攻擊者可能通過 同質(zhì)屬性攻擊 與 背景知識(shí)攻擊 兩種方式攻擊用戶的屬性信息。. LDiversity算法描述：216。如果數(shù)據(jù)集中所有相等集都滿足 LDeversity , 則稱該數(shù)據(jù)集滿足 LDeversity。 相對(duì)于KAnonymity 標(biāo)準(zhǔn)，符合LDeversity 標(biāo)準(zhǔn)的數(shù)據(jù)集顯著降低了屬性數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。216。在KAnonymity的基礎(chǔ)上，每個(gè)數(shù)據(jù)集中，其敏感信息列有 L 個(gè)不同的值，攻擊者只有 1/L 的幾率獲得正確的敏感信息。TCloseness 約束則期望減少B1 和 B2 之間的信息量差距，減少攻擊者從敏感數(shù)據(jù)的全局分布信息和相等集分布信息之間得到更多的個(gè)人隱私信息。如果數(shù)據(jù)集中的所有相等類都滿足 TCloseness，則稱該數(shù)據(jù)集滿足TClosenes