7A版银行数据脱敏项目实施方案.docx
《7A版银行数据脱敏项目实施方案.docx》由会员分享,可在线阅读,更多相关《7A版银行数据脱敏项目实施方案.docx(19页珍藏版)》请在冰豆网上搜索。
7A版银行数据脱敏项目实施方案
数据脱敏项目实施方案(计划)
——VS-SDM测试数据管理与隐私数据保护平台
2016年×月×日
(北京)科技有限公司
项目背景4
项目概况5
项目目标5
项目需求5
项目范围5
系统范围5
隐私数据类型6
系统架构图7
系统流程说明7
VS-SDM系统配置8
项目人员9
阶段人员配置9
脱敏算法9
基本要求实现9
脱敏规则实现10
客户名称10
客户证件号码10
地址信息10
电话信息10
EMAIL地址信息10
密码信息10
客户编码中身份证号10
账户号11
产品典型配置11
售后服务支持13
基本服务13
软件支持服务13
硬件支持服务14
高级服务15
产品培训服务15
隐私数据定制化服务15
产品功能定制化服务15
现场支持服务15
项目背景
××银行股份有限公司于20GG年3月经中国银监会批准成立,总行位于××市。
20GG年,成功引入国电集团、杭州银行两大战略投资者,资本实力及整体抗风险能力显著增强。
截止2015年3月末,资产总额362亿元,各项存款230.49亿元,各项贷款余额165亿元,已在××市、银川市、中卫市、吴忠市设立分行,分支机构达45家,并相继在宁夏、安徽、山东、重庆等地发起设立了7家村镇银行。
随着××银行业务的快速发展,业务生产系统积累了大量包含客户账户等敏感信息的数据。
而这些数据,在银行的很多工作场景中都会得到使用,例如,业务分析、开发测试、审计监管,甚至是一些外包业务等方面,使用的都是真实的业务数据和信息。
如果这些数据发生泄露、损坏,不仅会给银行带来经济上的损失,更重要的是会大大影响用户对于银行的信任度。
如何保证信息安全已经成为××银行必须面对的一个重要的问题。
面临挑战:
确保敏感信息安全防止敏感数据泄露
银监会发布的《中国银行业十G五信息科技发展规则监管指导意见》文件中明确提出“完善敏感信息存储和传输等高风险环节的控制措施,对数据、文档的访问应建立严格的审批机制。
对用于测试的生产数据要进行脱敏处理,严格防止敏感数据泄露”。
《银监会信息科技风险现场检查指南》中也强调“测试中如需使用生产数据,应对相应数据进行脱敏、变形处理,当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理”。
20GG发布的《第317号》文件中也指出对要保护外包环境的数据安全,严格防止敏感数据泄露。
但随着业务发展,更多新应用已经完全不适合利用这些老旧数据进行测试,同步生产环境中的核心数据迫在眉睫。
××银行希望在将最新的生产数据导入开发测试环境前,能够对敏感信息进行符合安全原则的变形及脱敏。
他们拟引入适合银行现状及未来发展的数据脱敏产品,在保存数据原始特征的同时改变它的数值,使数据依旧可以被用并与业务相关联,在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集,从而避免数据泄露的风险。
解决之道:
采用成熟数据脱敏工具配以完善安全管理流程
项目概况
××银行过去一直使用真实数据进行开发、测试用途。
这样处理的好处是迅速、有效。
但考虑到客户信息的重要性,为了提高对银行客户的服务水平和信息安全保障,××银行决定对开发、测试等非生产环境的数据使用环节进行整改,引入数据脱敏技术对客户信息进行保护。
项目目标
××银行考虑开展数据脱敏项目,在保障客户信息安全的基础上,无论是从项目范围,还是功能、效果上,都将成为一个先进和完善的系统。
脱敏系统必须要求满足在数据上安全合规、技术上的可靠、有效、稳定和先进。
在各环节上都要求能够更多的自动化功能,减少不必要的人机交互过程,大幅降低人力成本投入。
实现整个流程的批量化、自动化、智能化处理。
项目需求
本次项目对脱敏系统产品的基本要求有:
1.在不了解数据库结构设计的情况下,能够自动发现和定位任意系统的客户信息所在的表、字段和相应的类型,以便于该系统在多系统范围内推广;
2.脱敏数据要求能满足跨数据库种类、跨业务系统的数据关联性要求;
3.脱敏效率更为高效;
4.使用更为便捷,利于大范围推广;
5.脱敏数据必须为高仿,能够满足数据原有的编码规则和特征,并能仿造原有数据的数据质量问题,达到高仿测试的要求。
项目范围
系统范围
本次计划实施脱敏的业务系统包括:
●核心系统
●前置系统
●信贷系统
●网银
●手机银行系统
隐私数据类型
考虑到为客户提供最基本的信息安全保障,以及开发、测试中的各种实际应用需求,例如制卡等问题,现将此次项目实施中进行脱敏的隐私数据类型规定如下:
1.客户名称:
a)对私:
姓名
b)对公:
企业单位名称
2.证件号码:
a)对私:
居民身份证号、护照号、港澳通行证、户口簿号、军官证等
b)对公:
组织机构代码、工商注册号、纳税人识别号;
3.电话号码:
a)固定电话
b)移动电话
c)传真
4.EMAIL
5.地址信息
6.密码(仅在需要大量账号进行压力测试时)
7.客户编号(仅在客户编号中包含证件号码时)
系统架构图
系统流程说明
根据架构图所示的流程如下:
1.首先从生产的备份恢复到一台中间数据库服务器上,获得一份完整且真实的数据库镜像,考虑到操作系统的差异和资源的重复利用,这里需要准备两台中间服务器,一台为AIG系统一台为LinuG系统,根据生产数据库的实际情况进行分别使用;
2.脱敏系统对此数据库进行隐私数据发现,进行隐私数据模型梳理工作;
3.从中间数据库服务器上进行数据抽取,这里只需要抽取含有客户信息的表即可;
4.数据在VS-SDM平台上进行数据漂白脱敏;
5.经过脱敏后的数据回写到中间服务器上,这样中间服务器上的数据库即为一套完整的经过脱敏的数据库;
6.将中间服务器上的数据库通过备份或者拷贝等手段送到开发网段;
7.在开发网段将数据库进行恢复即可使用。
方案优势:
将由于本方案采用回写方式,脱敏系统无须抽取完整的数据库数据,只需要抽取含有客户信息的表进行脱敏处理并且回写即可。
此方案只处理含有敏感信息的表,处理量小,速度快。
VS-SDM系统配置
1.隐私数据模型建立;
a)使用VS-SDM的发现作业对备份恢复出来的业务数据库进行自动化、智能化的扫描,并生成报告;
b)人工对每个系统的自动发现报告进行隐私数据梳理工作,建立正式的隐私数据模型;
c)每个业务系统数据库单独建立一个发现作业,共计5个发现作业;
2.对上述建立的环境进行数据抽取
a)仅抽取包含隐私数据的表,在此可以根据需要设置子集抽取;
b)每个业务系统数据库单独建立一个抽取作业,共计5个抽取作业;
3.数据漂白脱敏:
a)对上述抽取的所有表进行脱敏
b)自动配置脱敏规则
c)脱敏作业:
i.每个业务系统数据库单独建立一个脱敏作业,共计5个漂白作业。
所有作业共享同一个漂白种子值以保证跨数据库系统的数据关联性,且种子值每季度更换一次,由管理员保管;
ii.在有条件的情况下,将多个数据库共用一个脱敏作业,种子值由系统自动管理每次更换,一来能够保证所有系统的数据关联性,二来提高算法安全性。
4.数据装载
a)将所有隐私数据表全量装载
b)装载作业回写至上述建立的临时环境或者测试环境数据库,以此用脱敏数据替换原来的真实数据,形成完整的脱敏数据库。
项目人员
阶段人员配置
阶段
参与人员
职责
需求调研
乙方项目经理
就项目的需求和范围与用户进行商讨
甲方安全负责人
从安全角度提出项目脱敏范围
甲方测试开发人员
从数据使用方角度提出脱敏的可行性范围
系统设计
乙方项目经理
根据用户的实际环境,与行方人员进行商讨脱敏系统架构与逻辑流程
甲方安全负责人
参与商讨合理可行的系统架构
甲方数据库管理员
参与商讨合理可行的系统架构
甲方系统管理员
参与商讨合理可行的系统架构
甲方网络管理员
参与商讨合理可行的系统架构
实施准备
甲方安全负责人
负责协调各方资源
甲方数据库管理员
进行中间数据服务器上的数据库恢复工作
甲方系统管理员
提供足够的虚拟化资源
甲方网络管理员
负责网络配置
系统安装
甲方脱敏负责人
负责协调各方资源与项目跟踪
乙方实施工程师
负责产品安装、调试
系统实施
甲方脱敏负责人
负责协调各方资源与项目跟踪
乙方项目经理
项目跟踪与监控
乙方实施工程师
根据项目实施要求进行各系统的脱敏实施
产品培训
乙方项目经理
项目跟踪与监控
乙方培训讲师
产品培训
甲方学员
产品使用技术学习
项目验收
项目经理
项目实施成果检验
甲方安全负责人
项目实施成果检验
甲方开发测试人员
项目实施成果检验
脱敏算法
基本要求实现
多表关联脱敏,包括同一数据库和不同数据库之间,同样字段的关联变化,VS-SDM产品提供两种技术实现关联脱敏:
1.将所有需要保持关联关系的表,包括不同数据库之间的表,同时加入一个“漂白作业”选择列表中,即可实现关联脱敏;
2.若因故无法将所有需要关联的不同数据库或者表一次性在一个“漂白作业”中进行处理,可以在不同的“漂白作业”中<漂白规则>页面,将“漂白种子值(SEED)”设定为同一个固定值,即可实现多表、多数据库的关联脱敏;
脱敏规则实现
所有隐私数据信息都可以使用固定字符串方式替换或者部分替换进行脱敏,但是为了保证脱敏数据的仿真度和测试开发项目组的使用效果,建议使用专用的脱敏算法。
客户名称
对公客户名:
将企业单位名划分为4部分:
行政区划、商号、行业特征、组织方式,脱敏规则允许独立配置4部分是否需要变化,缺省变换商号,其余3部分不变;
对私客户:
将姓名划分为姓氏和名字两部分,脱敏规则允许独立配置两部分是否需要变化,缺省两部分同时变换。
提供百家姓字库和中国名字字库进行脱敏处理。
客户证件号码
证件号码支持中国居民身份证号、护照号、港澳通行证、户口簿号码、军官证等中国地区所有的证件号码,且能保证脱敏后的证件号码能保持该种证据号码的编码规则和校验规则。
地址信息
地址脱敏使用中国任意地址进行替换,使用内置中国地址库进行处理。
电话信息
对移动电话和固定电话号码均采用同一算法,变换号码右边5位,变换位数可根据实际需求设定修改。
EMAIL地址信息
将EMAIL地址分为地址主体和域名两部分,两部分均可单独配置是否需要脱敏。
地址主体在保证唯一性前提下进行随机变换,域名变换成常用公共域名,缺省情况下域名不变换。
密码信息
密码信息根据实际需求分两种脱敏:
1.在开发或压力测试时需要用到客户的登录密码:
此时可以将密码统一修改成同一个值,例如“888888”,然后将888888的加密值直接替换所有账号的密码;
2.在不需要使用登录密码的其它测试开发场景,为了保密,建议使用随机算法进行脱敏;
客户编码中身份证号
客户编码中的身份证号,这里稍微扩展一下,变成客户编码中的证件号码,脱敏规则为保留客户编码中的前缀和后缀不变,单纯变换当中的证件号码,且算法与证件号码保持一致,保证脱敏后数据关联性。
账户号
账户号脱敏,首先程序自动判断原账户号的末位是否满足LUHN校验算法,如果不满足,直接变化账号右边6位(位数可调整),如果末尾满足LUHN校验算法,则末尾采用LUHN算法生成。
产品典型配置
名称
参数配置
数量
测试数据管理与隐私数据漂白平台VS-SDM-1000
基本要求
★国产自主可控自主知识产权软硬件一体化平台,提供计算机软件著作权相关证明文件
1
系统兼容性
具备良好的兼容性,在运行过程中应对数据库主机的正常运行、数据库服务的正常访问无影响
1
具备良好的容错能力,对于偶然出现的网络中断、主机宕机等异常情况恢复后,测试数据管理与隐私数据漂白平台产品针应能自动恢复正常工作状态,设备及软件本身在发生故障时应不影响数据库服务的正常访问
★支持以下种类的数据库作为源或目标数据源,包括Oracle(9i,10G,11G,12c)、MicrosoftSQLServer(20GG,20GG,20GG)、IBMDB2UDB(9.5,9.7,10.1,10.5)、MySQL(5.G)、InformiG(11.7,12.1,12.5)数据库
产品的部署和实施应对数据库主机操作系统及数据库的配置不造成任何影响
系统功能
★支持元数据发现功能。
测试数据管理与隐私数据漂白平台产品必须能够访问和获取所兼容的数据库系统当中的数据库定义、方案定义、表定义、字段定义、索引定义、约束定义和数据库统计信息
★支持特定隐私数据类型的自动发现功能。
产品能够根据数据本身的特征,包括类型、长度、数据本身的编码特征、校验算法特征、语义特征等等进行数据分析、分类判断,能够分辨包含但不限于以下种类的隐私数据类型,数据类型发现和分类的准确率必须达到99%以上:
●中文姓名
●身份证号码
●电话号码
●中文地址
●电子邮件
●邮政编码
●企业名称
●工商注册号
●组织机构代码
●纳税人识别号
●银行卡号
支持用户自定义隐私数据类型的自动发现功能和手工配置隐私数据类型
支持用户针对隐私数据自动发现的结果进行修正的功能。
对于隐私数据发现功能的运行结果,要求产品拥有专用的功能和界面供用户进行查看、检验和修正
支持数据抽取功能。
能够对兼容的数据库系统进行数据的抽取工作,并支持自动并行抽取功能以提高抽取效率
★数据抽取作业能够支持工作时间暂停和继续功能,并且在定义的工作时间结束后抽取作业能够在暂停点继续运行,以减少对生产系统的影响,支持系统定义和用户自定义的工作日和假日定义
支持增量数据抽取功能,用户能够自定义增量的规则进行抽取数据
★支持中国地区特定隐私数据自动漂白功能。
产品能够根据自动发现的结果,自动分配漂白算法和规则,无需手工配置,产品支持的内置隐私数据类型包含但不限于:
●中文姓名
●身份证号码
●电话号码
●中文地址
●电子邮件
●邮政编码
●企业名称
●工商注册号
●组织机构代码
●纳税人识别号
●银行卡号
★内置的隐私数据漂白算法要求能够支持漂白规则的客户化。
每种内置的中国特有的隐私数据漂白算法和规则,要求能够根据客户的自身情况进行调整,以适应用户要求
★支持真实数据与隐私数据比对功能。
在客户有需要的情况下,能够对比查看漂白前与漂白后的数据
支持数据装载功能。
能够将数据写入到所兼容的数据库系统中
★支持元数据的数据装载。
在数据装载的过程中能够生成目标数据库的DDL语句创建数据表、索引、约束等对象
★支持自动异构数据库平台的元数据转换和数据迁移功能。
在原生产数据库和目标测试数据库为异种数据库平台时,无需使用者进行任何额外的配置操作,能够完全自动化将元数据进行映射和转换,生成适应新的目标测试数据库系统的DDL语句,并且无缝地将数据进行转换和写入到目标异种数据库系统中
支持子集装载功能,能够选择装载原数据量的特定比例,也能够根据指定的规则进行子集装载
★支持数据压缩功能以提高数据存储能力。
数据压缩功能启用以后对用户来说应为完全后台自动化进行,在任何使用、操作和数据访问时都不应该让用户有额外的实施或者配置压缩或者解压缩的过程
支持自身系统性能监控,能够针对CPU、内存、磁盘I/O、网络I/O等生成实时图形报表
支持权限管理功能。
能够对用户门户的账号进行管理,对模块和数据访问权限进行授权管理
系统性能
★单台设备的漂白速度不低于16000个数据/秒。
在系统缺省配置下每秒钟处理的每行每列的数据个数应大于该指标。
售后服务支持
基本服务
软件支持服务
软件支持服务为服务期内的客户提供:
1.电话和在线服务:
客户可以通过拨打服务热线或者发送电子邮件的方式对遇到的问题提供技术上咨询和指导,服务时间为每周7×8小时;
2.具有新增功能的升级软件产品:
服务期内客户可以拨打服务热线到客户服务部申请新版本产品。
3.主要维护版本的升级软件产品:
服务期内客户可以得到升级软件产品的维护版本。
4.软件修补包及替代方法:
服务期内客户可以通过技术支持热线或电子服务得到产品的修补包或替代方法。
硬件支持服务
硬件支持服务为服务期内的客户提供:
1.电话和在线服务:
客户可以通过拨打服务支持热线或发送电子邮件,服务工程师将对您遇到的问题或故障提供技术上的咨询和指导。
在电话中请提供:
1)机器的主机序列号(参见保修卡或机器上序列号条码);
2)单位公司名称以及购买时间
3)详细故障描述和信息提示,包括银幕上显示出的提示信息等。
2.服务时间为每周7×8小时,响应时间为自确认有保修义务时起,2个工作小时内回应,4个工作小时内给出解决方案。
注:
特殊情况下,上门服务人员会主动与您商议确定到达现场的时间。
特殊情况包括:
不可抗力的原因、交通原因、或其它特殊原因等。
3.标准服务:
自机器售出之日起,提供三年有效期的上门服务,在有服务网点的地区提供下一个工作日的服务响应;如有特殊情况可与客服部门协商解决。
4.送修服务
1)送修服务范围:
购买时间超过三年以上、或免费上门服务地区以外的客户所购买的机器。
2)维修时客户自行或通过货运公司将故障机(或故障部件)送到我司客服部门,修复后客户自行取回或由客服部门代发货运,货运风险和费用由客户自行承担。
3)保修期内能简单安装的部件(包括热拔插硬盘、热拔插电源、显示器、键盘、鼠标、终结器等),我司提供选择发货更换的方式维修,并提供相应的电话安装指导。
特别提示:
用户应对其专有的机密信息和数据的安全自行负责。
请您及时对您认为重要的数据做好备份,以防止丢失或改动文件、数据或程序,客服人员不负责备份或保留机器上的数据,不负责赔偿任何因数据丢失所导致的损失。
机器部件保修说明
部件类别
配件名称
保修说明
一类
主板、CPU、内存、硬盘、阵列卡、电源、显卡
三年保修
二类
IDE\SATA扩展卡、声卡、非板载网卡、热插拔背板、光驱、软驱、CPU风扇、机箱风扇
三年保修
三类
机箱及其附件、IDE/SCSI数据线、随机附件(包装材料、随机驱动光、软盘、电源线等)
不在保修范围内
四类
维修更换的部件
按原机器(部件)剩余保修期限计算
五类
保修期外收费更换的部件
保修一年
六类
其他未列出部件
咨询客服部门
1.此承诺只针对在保修期内正常使用时出现硬件故障的情况。
2.机器部件自购买之日起,如正常使用发生故障,我司将更换故障部件或提供备用件。
更换的备用件可能是同型号品,也可能是性能上等同于或不低于原型号的部件,如有特殊情况与客户协商解决。
免除保修义务
请留意以下内容,对于因下列原因导致的机器故障,我公司将不承担保修义务:
1.经确认为非我司产品;
2.本产品整机或部件已经超出保修期;
3.因运输造成的损坏(请与保险公司或物流公司联系解决);
4.任何擅自拆机,使用非我公司指定的配件,以及非正常操作所造成机器的任何损坏;
5.由于火灾、洪水、雷电、地震或其它不可抗力事件引起的机器故障或部件损坏;
6.机器在非产品规定的工作环境下(温度、湿度、电压、电流、机器内部清洁度)使用,引起的机器故障或部件损坏、烧环等;
7.由于保养不当(如病毒感染、进水、挤压等)造成的机器故障;
高级服务
产品培训服务
对已购买该服务的客户提供产品的专业化培训,我方的培训讲师将根据用户选取的内容提供培训讲义和教材,在协商的时间和地点对用户进行培训,参与培训的人数不限。
该服务根据人天计价。
注,用户需要自行准备培训场地和所需培训环境。
隐私数据定制化服务
对于产品自身模块以外的部分,该服务可根据用户的需求,定制化新的隐私数据类型,并整合到产品中,其中包括新的隐私数据类型的漂白脱敏和隐私数据发现的功能代码。
该服务根据人天计价。
客户需要提供:
1.所述新的隐私数据类型的格式、编码规则或者算法等详细数据特征;
2.针对所述隐私数据类型的隐私数据发现和数据漂白的算法和规则;
3.在数据发现和漂白过程中可能需要用到的数据特征库、样例或者数据字典;
注,在购买该服务之前需要进行协商和调研,以确认需求是可实现的。
产品功能定制化服务
对于产品自身功能和特性以外的部分,该服务可根据用户的需求,在不改变产品内核与架构的前提下对产品的功能进行定制化,并与产品原有的功能进行无缝整合。
客户需要提供详细的功能需求文档或者说明。
注:
在购买该服务之前需要进行协商和调研,以确认需求是可实现的。
现场支持服务
该服务会响应客户的服务请求,上门提供技术支持,包括咨询、数据梳理、故障处理、安装修正包、产品更新等。
注,若服务内容涉及更换维保范围以外的备件,需要额外收取备件材料费。
备件材料费:
指更换备件、器件、维修耗材等物料费用。
升级会员 