数据安全技术数据接口安全风险监测方法 | 全文

Yanfang Li
4天前
讀畢需時 15 分鐘

中华人民共和国国家标准 GB/T 46796-2025

数据安全技术数据接口安全风险监测方法

国家市场监督管理总局

国家标准化管理委员会

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

数据安全技术

数据接口安全风险监测方法

1.范围

本文件描述了数据接口安全风险监测的要素关系,监测方式,给出了数据接口安全风险监测流程各阶段的说明。

本文件适用于指导数据处理者、第三方机构开展数据接口安全风险监测工作,主管(监管)部门实施数据接口安全风险监督管理时参考使用。

2.规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 20986-2023 信息安全技术网络安全事件分类分级指南

GB/T 43697-2024 数据安全技术数据分类分级规则

GB/T 45577-2025 数据安全技术数据安全风险评估方法

3.术语和定义

GB/T 43697-2024、GB/T 45577-2025界定的以及下列术语和定义适用于本文件。

3.1

数据接口 data interface

在不同网络区域或信息系统之间,调用方和提供方遵循一方或双方约定的数据传输格式,并完成数据传输交换服务的接口。

注1:不包括物理硬件接口(如USB)以及系统内部的逻辑接口和协议接口等。

注2:典型数据接口结构及技术和业务形态见附录A。

3.2

数据接口安全风险源 data interface security risk source

可能导致危害数据接口承载数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题和隐患等。

注:本文件中简称“风险源”,既包括安全威胁利用数据接口脆弱性可能导致数据安全事件的风险源,也包括数据处理活动不合理操作可能造成违法违规处理事件的风险源。

4.缩略语

下列缩略语适用于本文件。

API:应用程序编程接口(Application Programming Interface)

CSP:内容安全策略(Content Security Policy)

FTP:文件传输协议(File Transfer Protocol)

HTTP:超文本传输协议(Hypertext Transfer Protocol)

HTTPS:超文本传输安全协议(HypertextTransfer Protocol Secure)

IP:互联网协议(Internet Protocol)

JSON:JavaScript 对象表示法(JavaScript Object Notation)

SFTP:安全文件传输协议(Secure FileTransfer Protocol)

SQL:结构化查询语言(Structured Query Language)

SSO:单点登录(Single Sign On)

TLCP:传输层密码协议(Transport Layer Cryptography Protocol)

TLS:传输层安全性协议(Transport Layer Security)

5.通则

5.1 数据接口安全风险监测要素关系

数据接口安全风险监测涉及数据、数据接口、调用方、提供方、风险源、数据处理者、业务、安全措施等要素,要素间关系见图1.

开展数据接口安全风险监测应厘清要素间关系,各要素关系说明如下。

a) 数据处理者运营业务,利用数据接口和数据实现特定的业务目的。

b) 据接口支撑业务、承载数据,调用方通过调用数据接口提交数据需求,形成调用行为,提供方响应调用方的数据需求,通过数据接口给调用方提供数据,形成提供行为。调用方可为组织，也可为个人。

c) 数据接口与数据为核心要素,调用方与提供方因数据接口产生的调用、提供行为,共同组成数据接口安全风险监测对象。

d) 风险源客观存在于监测对象中,其导致的数据安全风险对监测对象具有潜在危害,当数据安全风险引发数据安全事件时,对监测对象造成危害。

e) 安全措施旨在保护监测对象,通过对数据安全风险和事件进行预警和处置,抑制数据安全风险和事件影响。

5.2 数据接口安全风险监测方式

5.2.1 流量解析

将不同方式采集的数据接口流量,传输至具备数据接口安全风险监测能力的系统,通过对流量进行解析,获取监测所需信息,用于数据接口安全风险监测,数据接口流量获取方式如下。

a) 网络设备流量,如在数据接口流量经过的网络或安全设备上设置镜像规则,将监测所需的流量镜像至安全风险监测相关系统;通过串联方式将安全风险监测相关系统部署在网络中,直接获取数据接口流量。

b) 调用方流量,如在调用方部署流量采集程序,采集调用方产生的数据接口交互流量,设置规则将流量传输至安全风险监测相关系统。

c) 提供方流量,如在提供方部署流量采集程序,采集提供方产生的数据接口交互流量,设置规则将流量传输至安全风险监测相关系统:提供方人工抓取数据接口流量,并传输至安全风险监测相关系统。

5.2.2日志分析

对数据接口产生的日志进行分析,获取监测所需信息,用于数据接口安全风险监测,数据接口日志获取方式如下。

a) 日志埋点,如在数据接口开发过程中,根据监测信息字段需求,在代码中添加目志埋点,数据接口上线后,日志被采集并传输至安全风险监测相关系统。

b) 目志同步,如从存储数据接口日志的源系统中采集或导出日志,并传输至安全风险监测相关系统。

5.2.3主动探测

采取主动方式识别数据接口,在不影响数据接口正常使用的前提下进行模拟请求测试,以主动获取更多数据接口信息。数据接口信息主动获取方式如下。

a) 人工模拟探测,如通过人工模拟调用数据接口的方式,生成数据接口相关信息,操作过程尽可能覆盖主要或关键的数据接口请求方式。

b) 自动化工具探测,如利用自动化探测或扫描工具,模拟数据接口调用行为,自动访问数据接口,从而获得数据接口相关信息。

c) 文档信息采集,如主动查阅数据接口相关功能、配置、状态等信息的描述文档,获取数据接口相关信息,这些信息可作为人工模拟探测或自动化工具探测的输人,进一步明确探测范围及参数,提升主动探测效率和准确性。数据接口描述文档包括但不限于协议规范、开发者文档、配置文档、状态记录、清单。

5.3数据接口安全风险监测流程

数据接口安全风险监测流程,主要包括监测准备、风险识别、分析研判、预警处置四个阶段，如图二所示。

a) 监测准备:开展数据接口安全风险监测工作前,组建监测团队,根据监测目标,选定一种或多种监测方式,采取人工或自动化方式识别数据接口安全风险监测对象,形成监测对象列表,并制定数据接口安全风险监测方案。

b) 风险识别:基于确定的监测对象,通过选定的监测方式,对监测信息进行采集、处理后,识别数据接口安全风险源,形成数据接口安全风险源清单。

c) 分析研判:在风险识别基础上,开展数据安全风险分析与事件研判,形成数据接口安全风险清单、数据接口安全事件清单。

d) 预警处置:在分析研判基础上,对数据安全风险与事件进行预警和处置,编制数据接口安全风险监测报告。

5.4数据接口安全风险监测过程控制

过程控制贯穿监测流程的全过程,监测过程满足安全性与合规性,过程控制措施包括。

a) 对监测过程进行审计,记录监测运行、操作日志等,审计日志存储时间为六个月以上。

b) 对监测过程产生的数据,采取密码技术、访问控制、数据脱敏、数据备份和数据删除等安全措施,避免监测数据存在泄露、丢失、篡改等风险。

c) 制定数据接口安全风险监测过程的数据安全保护策略,策略内容符合数据安全和个人信息保护相关法律法规要求。

6 监测准备

6.1组建监测团队

开展数据接口安全风险监测前,组织业务、安全、运维,研发等相关部门参与实施,监测组长由数据安全负责人或授权代表担任。如委托第三方机构实施,第三方机构在监测过程中获取的信息,只用手监测目的,未经授权不应泄露、出售或者非法向他人提供。

6.2确定监测对象

监测团队明确数据接口安全风险监测目标,依据5.1对可能造成数据接口安全风险的基本要素进行分析,采取人工或自动化方式识别数据接口安全风险监测对象,结合监测的必要性、可行性、成本等因素,明确一种或多种监测方式,形成监测对象列表。

6.3 制定监测方案

监测团队组织制定数据接口安全风险监测方案,监测团队可邀请行业领域相关数据安全、网络安全专家对监测方案进行评议,重点审核监测方案内容、可操作性、技术可行性、风险控制等,进一步修订完善监测方案后,组织实施数据接口安全风险监测工作。方案内容包括但不限于如下各方面。

a) 监测概述:包括监测背景、目标、依据和周期等。

b) 监测范围:包括监测对象基本描述和监测对象列表等。

c) 监测方式:包括确定监测方式和监测工具部署等。

d) 监测人员:包括监测团队的组织架构、负责人、具体成员和具体分工等。

e) 实施计划:包括监测各阶段的进度计划、里程碑和主要成果等。

f) 实施方案:包括监测工具说明、监测具体内容(如数据接口安全风险源类型)以及预期的监测成果展示、监测预警处置机制和风险控制措施等。

风险识别

7.1 监测信息采集

基于确定的监测对象,按照5.2采取流量解析、日志分析及主动探测中的一种或多种监测方式,采集监测对象相关的原始信息。

a) 提供方,包括:

（1）IP地址和端口号,如响应的目标IP地址和端口号;

（2）响应服务器信息,如服务器软件的名称和版本;

（3）数字证书信息,如证书域名、主机名、有效期、颁发者、公钥算法、签名算法;

（4）其他自定义响应头部等。

b) 调用方,包括:

（1）基于身份验证的凭证信息,如用户名、令牌、明文或密文口令;

（2）IP地址和端口号,如请求的源P地址和端口号:

（3）调用方代理信息,如应用程序或浏览器的类型和版本、操作系统类型、设备类型;

（4）位置信息,如移动设备地理位置信息;

（5）其他自定义请求头部等。

c) 数据接口,包括:

（1）数据接口通信协议类型,如HTTP、HTTPS、FTP、SFTP;

（2）数据接口标识符,用于访问或识别数据接口的资源标识符:

（3）数据接口请求,如调用方请求数据类型、会话标识、鉴权信息;

（4）数据接口响应,如响应状态码、响应内容类型、响应内容长度、错误信息。

d) 数据,如数据类别、数据级别和数量等,数据类别、级别符合GB/T43697-2024第5章和第6章规定的分类分级规则。

e) 提供行为及调用行为,包括:

（1）操作行为类型,如创建、删除、更新、读取;

（2）操作时间信息,如接口请求发起时间、服务响应时间、操作执行时间。

f) 其他,包括网络通信统计信息,如会话数、总包数、丢错包率、总字节数、通信延迟、通信负载。

7.2监测信息处理

7.2.1 数据清洗

通过数据清洗方式处理采集的监测信息,如空值,缺失值,冗余数据,错误数据和无效数据等,以开展监测策略分析,数据洁洗方式包括但不限于如下方面。

a) 空值、缺失值清洗,如通过手工填入、已有数据推导替代进行补齐。

b) 冗余数据清洗,如利用唯一性字段或特定规则进行几余数据过滤。

c) 错误数据清洗,如使用统计分析、规则库和约束条件等方式对错误值进行纠正。

7.2.2 特征信息提取和加工

对清洗后的规范化监测信息,采取内容解析、统计聚合、基于规则特征构造、机器学习、自动化工具等方式,对关键特征信息进行提取和加工,特征信息包括但不限于如下方面。

a) 提供方，包括:

（1）域名信息,如名所属业务、域名所属组织;

（2）IP信息,如IP所属网段、IP所属部门、IP所属业务。

b) 调用方,包括:

（1）账号信息,如账号名称、所属部门、账号分布;

（2）账号信息,如账号名称、所属部门、账号分布。

c) 数据接口,包括:

（1）认证和鉴权参数,如令牌、用户名和口令;

（2）安全响应参数,如CSP。

d) 数据,包括:

（1）数据量,如数据总量、敏感数据量等;

（2）数据范围,如重要数据范围、核心数据范围、个人信息范围;

（3）数据形态,如明文形态、脱敏形态、加密形态。

e) 提供行为及调用行为，包括:

（1）调用行为统计信息,如调用次数、调用频率、调用数据量、调用数据类型、调用成功或失败次数;

（2）登录行为统计信息,如尝试登录次数、尝试登录频率、登录失败次数和频率、失败的用户名/口令组合;

（3）响应行为信息,如响应码分布、响应失败次数和频率、平均响应时间、平均延迟时间。

7.3 风险源识别

7.3.1 风险源识别策略

基于7.2监测信息的处理结果,采用自动化或半自动化的方式,明确数据接口安全风险源识别策略,识别数据接口安全风险源,输出数据接口安全风险源清单;如不具备自动化数据接口安全风险源识别能力,可通过人工方式识别。数据接口安全风险源主要为数据接口脆弱性、数据未授权披露、数据接口异常调用、数据接口异常提供等。

注:典型数据接口安全风险源类型见附录B,典型数据接口安全风险源识别策略示例见附录C。

7.3.2 风险源分析手段

7.3.2.1 数据接口脆弱性

分析数据接口的输人输出参数、协议规范及身份验证等特征信息,采用统计比对、黑白名单等技术手段,识别数据接口可能存在的脆弱性,常见的分析手段包括但不限于如下方面。

a) 建立数据接口参数异常特征库,如检测和分析数据接口参数,以快速识别可能存在的脆弱性。

b) 建立用于模拟数据接口调用的测试用例库,分析数据接口构造参数的响应结果,基于模拟行为产生的异常结果,识别数据接口可能存在的脆弱性。

7.3.2.2数据未授权披露

分析数据类型、数量等特征信息,结合数据接口实际所需的数据处理需求,识别数据未授权披露风险源,常见的分析手段包括但不限于如下方面。

a) 建立数据接口数据处理规则库,用于检测和分析数据接口传输的数据类型、数量等,识别可能

存在的数据过度披露或违规传输风险。

b) 设置数据量、数据类型披露阈值,对比已有法律、行政法规、标准或业务需求,设置数据接口传输的数量、数据类型披露阈值,识别可能存在的数据过度披露或违规风险。

7.3.2.3 数据接口异常调用、提供

采用人工智能、机器学习和特征匹配等技术手段,自动对特征信息进行分析和归纳推理,识别数据接口调用、提供的正常行为特征,发现偏离正常行为特征的情况,常见的分析手段包括但不限于如下方面。

a) 建立数据接口调用特征库或调用行为基线,对数据接口调用方的调用行为进行异常特征比对,发现异常数据接口调用行为。

b) 建立数据接口调用方、提供方白名单,对数据接口实际调用方、提供方的身份比对,发现异常的调用方、提供方。

c) 建立数据接口清单,通过对比已授权开放的数据接口信息,如数据接口地址、开放期限、开放范围等,识别过度、超期开放的数据接口。

8.分析研判

8.1风险分析

基于7.3识别的数据接口安全风险源清单,按照GB/T 45577-2025第9章规定的风险分析与评价,分析数据接口安全风险源可能导致的数据安全风险类型,以及风险危害程度和风险发生的可能性,评价数据接口安全风险等级,形成数据接口安全风险清单。

注:典型数据接口安全风险类型示例见附录D。

8.2事件研判

对数据安全风险进一步分析,研判数据安全风险是否已引发数据安全事件,对数据接口和数据的安全造成危害,并对引发的数据安全事件进行评估,确认事件基础信息,评估事件影响范围、影响对象、影响程度、事件后果等,按照GB/T 20986-2023中5.2.3规定的事件类型,对数据安全事件进行归类,形成数据接口安全事件清单。

9.预警处置

9.1监测预警

建立数据接口安全监测预警机制,对分析研判阶段发现的数据接口安全风险与事件进行预警通报,并通知相关责任人进行核实及处置,监测预警方式包括但不限于如下方面。

a) 形成可视报表进行界面展示,如数据接口安全状态、安全告警信息,以及安全风险与事件的关联关系。

b) 主动推送预警信息方式,如短信、邮件、即时通信、站内信、系统间互联接口推送等。

9.2监测处置

根据数据接口安全监测预警信息,明确数据接口安全风险及事件处置建议,依据相关法律法规、标准和组织内部安全风险与事件管理机制,启动安全风险与事件处置流程。

注:数据接口安全风险处置措施示例见附录E。

9.3编制监测报告

根据以上监测情况,监测团队编写数据接口安全风险监测报告,监测报告准确、清晰地描述监测活动的主要内容。监测报告内容包括如下方面。

a) 数据处理者基本信息、数据安全负责人姓名和联系方式等。

b) 工作概述,包括监测背景、目的及依据,监测对象和范围,监测方式和监测结论等。

c) 数据接口安全风险识别,结合监测工具,识别数据接口安全风险源类型及具体风险源描述,附必要的监测证据或记录。

d) 监测分析与研判,包括数据接口安全风险分析、数据接口安全事件研判,视情况对风险进行等级评价,对事件进行分类和等级判定,提出风险与事件预警、处置建议。

e) 监测预警与处置,包括数据接口安全风险与事件预警与处置情况,附必要的预警与处置记录。

f) 附录内容,包括数据接口安全风险源清单、数据接口安全风险清单、数据接口安全事件清单等。

附录A

(资料性)

典型数据接口结构及技术和业务形态说明

A.1 数据接口结构

数据接口结构一般由接口地址、请求方式,支持格式,请求参数,返回参数等构成,数据接口常见结构包括:

a) 接口地址:http://xxx/xxx/.../xxx/xx.do或https://xxx/xxx/../xxx/xx.do;

b) 请求方式:GET/POST:

c) 支持格式:JSON;

d) 请求参数:示例见表A.1;

e) 返回参数:示例见表A.2.

A.2 数据接口技术形态

数据接口典型技术形态包括WebAPI、文件下载接口等,包括:

a) Web API:如RESTfuIAPI、SOAP API和GraphQL API等;

b) 文件交换接口;如HTTP文件下载接1、FTP接H和SFTP接日等。

A.3 数据接口业务形态

A.3.1数据开放接口

用于向外部提供数据访问、下载的接口,支持第三方系统或用户直接访问:下载,或经过身份验证后访问、下载,如公共服务信息查询、政府数据开放等。

A.3.2 数据共享接口

用于组织向其他数据处理者传输、交换数据,遵循约定的协议与第三方系统进行对接。如向合作伙伴提供履行合同所需数据、向监管部门上报信息等。此外,因数据共享的目的、网络环境不同,除常规业务合作的数据共享接口以外,还包括如数据交易接口,主要用于向数据交易平台提供交易数据或基于数据交易平台向第三方提供数据;数据跨境接口,主要指通过数据接口进行数据共享的调用方与提供方不属于同一个国家/地区(数据管辖要求不同),如企业内部管理数据跨境同步,跨境电商业务数据共享等。

A.3.3数据收集接口

主要用于从各类数据源(包括用户主动上传、调用具有数据采集、生成功能的软硬件组件、从其他信息系统同步等)自动收集或汇聚数据的接口,如用户资料上传,智能终端传感器采集数据和多行业公共数据汇聚等。

A.3.4其他数据接口

未在上述分类中的其他数据接口类型,如特定业务需求下的定制数据接口。

附录B

(资料性)

典型数据接口安全风险源类型

表B1给出了典型数据接口安全风险源类型示例。

表 B. 1 典型数据接口安全风险源类型示例