關(guān)于國家標準《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)接口安全風險監(jiān)測方法》征求意見稿征求意見的通知

各相關(guān)單位和專家：

經(jīng)標準編制單位的辛勤努力，現(xiàn)已形成國家標準《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)接口安全風險監(jiān)測方法》征求意見稿。為確保標準質(zhì)量，網(wǎng)安標委秘書處面向社會廣泛征求意見。

懇切希望您對該標準提出寶貴意見。并將意見于2024年10月01日前反饋給網(wǎng)安標委秘書處。

聯(lián)系人：王姣   13661025214   wangjiao@cesi.cn

全國網(wǎng)絡安全標準化技術(shù)委員會秘書處

                                            2024年08月02日

數(shù)據(jù)安全技術(shù)　數(shù)據(jù)接口安全風險監(jiān)測方法

1 范圍

本文件給出了數(shù)據(jù)接口安全風險監(jiān)測的方法，包括方式、內(nèi)容、流程等，明確了數(shù)據(jù)接口安全風險監(jiān)測各階段的監(jiān)測要點。

本文件適用于指導各類組織開展的數(shù)據(jù)接口安全風險監(jiān)測活動。

2 規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 25069-2022 信息安全技術(shù)　術(shù)語

GB/T 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范

GB/T 39204-2022 信息安全技術(shù)　關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求

3 術(shù)語和定義

GB/T 25069—2022界定的以及下列術(shù)語和定義適用于本文件。

3.1數(shù)據(jù)接口 data interface

信息系統(tǒng)之間進行數(shù)據(jù)傳輸和交換的一種機制，它描述了一個由接口服務端和客戶端共同遵守的合約，通常會約定數(shù)據(jù)的格式、通信協(xié)議、傳輸結(jié)構(gòu)等。

3.2監(jiān)測需求方 monitoring stakeholders

具有監(jiān)測需求的組織或?qū)嶓w。

3.3風險源 risk ｓｏｕｒｃｅ

可能導致危害數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理合理性等事件的威脅、脆弱性、問題、隱 患等，也稱“風險隱患”。

注:風險隱患，既包括安全威脅利用脆弱性可能導致數(shù)據(jù)安全事件的風險隱患，也包括數(shù)據(jù)處理活動不合理操作可 能造成違法違規(guī)處理事件的風險隱患。

4 縮略語

下列縮略語適用于本文件。

Web API：網(wǎng)絡應用程序接口（World Wide Web Application Programming Interface）

API：應用程序接口（Application Programming Interface）

HTTP：超文本傳輸協(xié)議（Hyper Text Transfer Protocol）

HTTPS：安全超文本傳輸協(xié)議（Hypertext Transfer Protocol over Secure Socket Layer）

JSON：JavaScript對象表示法（JavaScript Object Notation）

SSL：安全套接層協(xié)議（Secure Socket Layer）

TLS：安全傳輸層協(xié)議（Transport Layer Security）

SQL：結(jié)構(gòu)化查詢語句（Structured Query Language）

5 概述

5.1 數(shù)據(jù)接口

本文件所監(jiān)測的數(shù)據(jù)接口是指跨網(wǎng)絡區(qū)域、信息系統(tǒng)等環(huán)境，用于完成包含核心數(shù)據(jù)、重要數(shù)據(jù)及個人信息等數(shù)據(jù)傳輸交換的接口，常見的數(shù)據(jù)接口技術(shù)形態(tài)為Web API、文件下載接口等。關(guān)于數(shù)據(jù)接口常見場景、結(jié)構(gòu)及技術(shù)形態(tài)參見附錄A。

5.2 數(shù)據(jù)接口要素關(guān)系

數(shù)據(jù)接口安全風險監(jiān)測涉及客戶端、服務端、接口、交換數(shù)據(jù)、提供行為、調(diào)用行為等基本要素及其關(guān)系，要素關(guān)系如圖1所示。

圖1 數(shù)據(jù)接口要素及其關(guān)系

開展數(shù)據(jù)接口安全風險監(jiān)測應充分考慮要素及其關(guān)系，確定要素可能引起的風險，各個要素關(guān)系說明如下：

a)接口是核心要素，承載數(shù)據(jù)，完成服務端和客戶端之間的數(shù)據(jù)交換；

b)為滿足數(shù)據(jù)交換的需求，服務端通過提供數(shù)據(jù)接口的方式對外開展數(shù)據(jù)服務；

c)為完成數(shù)據(jù)交換，客戶端觸發(fā)調(diào)用行為，利用數(shù)據(jù)接口獲取或提交數(shù)據(jù)。

5.3 風險監(jiān)測方法框架

數(shù)據(jù)接口安全風險監(jiān)測方法，由監(jiān)測內(nèi)容、監(jiān)測方式和監(jiān)測流程等部分組成。數(shù)據(jù)接口安全風險監(jiān)測方法框架如圖2所示。

圖2 數(shù)據(jù)接口安全風險監(jiān)測方法框架

5.4 監(jiān)測過程控制

應采用適當?shù)氖侄螡M足監(jiān)測過程的安全性、合規(guī)性，包括但不限于：

a)應對監(jiān)測行為進行審計，記錄監(jiān)測運行、操作日志，且日志的存儲時間不得低于6個月；

b)應對監(jiān)測過程產(chǎn)生的數(shù)據(jù)采取加密、完整性校驗、訪問控制、備份等保護措施，防止數(shù)據(jù)被非授權(quán)訪問、泄露、丟失、篡改。對關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)數(shù)據(jù)接口進行安全風險監(jiān)測，所產(chǎn)生的數(shù)據(jù)應按照GB/T 39204中7.10的要求予以保護；

c)監(jiān)測中需對網(wǎng)絡流量進行特殊處理如流量解密，監(jiān)測需求方應對監(jiān)測方式是否符合數(shù)據(jù)安全和隱私保護相關(guān)的法律法規(guī)進行評估，并制定要求和策略；

d)監(jiān)測活動結(jié)束后，應對監(jiān)測過程產(chǎn)生的數(shù)據(jù)采取加密、銷毀等安全保護措施。

6 監(jiān)測內(nèi)容

本文件所指監(jiān)測內(nèi)容主要為數(shù)據(jù)接口脆弱性、數(shù)據(jù)違規(guī)透出、數(shù)據(jù)接口異常調(diào)用、數(shù)據(jù)接口異常提供等安全風險源。通過自動化或半自動化的手段發(fā)現(xiàn)上述風險源，并進一步分析可能引發(fā)的數(shù)據(jù)安全風險。關(guān)于常見的數(shù)據(jù)接口安全風險源類型參見附錄B。

7 監(jiān)測方式

7.1 流量鏡像監(jiān)測方式

流量鏡像監(jiān)測是將網(wǎng)絡中的特定流量復制并傳輸?shù)街付康牡匾员阌谶M行監(jiān)測。具體監(jiān)測方式可包括但不限于：

a)網(wǎng)絡設(shè)備流量鏡像，通過在網(wǎng)絡或安全設(shè)備（如交換機、路由器或防火墻）上設(shè)置鏡像規(guī)則，讓選定的流量被復制并重定向到監(jiān)測設(shè)備或系統(tǒng)進行信息監(jiān)測；

b)客戶端流量鏡像，采用模擬請求的方式產(chǎn)生數(shù)據(jù)接口交互流量，并在數(shù)據(jù)接口調(diào)用客戶端部署流量采集程序?qū)⑾嚓P(guān)流量發(fā)送至監(jiān)測設(shè)備或系統(tǒng)；

c)服務端流量鏡像，在數(shù)據(jù)接口服務端部署流量監(jiān)測程序，將數(shù)據(jù)接口產(chǎn)生的流量發(fā)送至監(jiān)測設(shè)備或系統(tǒng)。

7.2 日志監(jiān)測方式

通過采集數(shù)據(jù)接口產(chǎn)生的日志信息進行分析，實現(xiàn)對數(shù)據(jù)接口安全風險的監(jiān)測。具體監(jiān)測方式可包括但不限于：

a)日志埋點：按照監(jiān)測信息字段需求，在數(shù)據(jù)接口的開發(fā)過程中設(shè)置特定程序或代碼，在數(shù)據(jù)接口使用過程中可將相應日志發(fā)送到監(jiān)測設(shè)備或系統(tǒng)；

b)日志同步：通過跟保存有數(shù)據(jù)接口產(chǎn)生日志的相關(guān)設(shè)備、系統(tǒng)對接，將日志同步至監(jiān)測設(shè)備或系統(tǒng)。

7.3 主動探測方式

通過主動掃描的方式發(fā)現(xiàn)數(shù)據(jù)接口清單，獲取數(shù)據(jù)接口的請求和返回信息，該方式還需在不影響接口安全使用的前提下盡可能觸發(fā)數(shù)據(jù)接口各種事件，以便獲取更多有效的監(jiān)測信息。具體監(jiān)測方式可包括但不限于：

a)人工模擬探測：通過人工模擬調(diào)用數(shù)據(jù)接口的方式，生成數(shù)據(jù)接口相關(guān)信息，操作過程需覆蓋所有數(shù)據(jù)接口的請求方式；

b)機器爬蟲探測：基于機器爬蟲，通過模擬真實的數(shù)據(jù)接口調(diào)用行為，自動訪問數(shù)據(jù)接口的功能，從而獲得數(shù)據(jù)接口的信息；

c)訪問接口文檔：通過讀取、訪問描述數(shù)據(jù)接口相關(guān)功能、配置、狀態(tài)等的文檔獲取監(jiān)測信息，接口文檔包括但不限于協(xié)議規(guī)范、開發(fā)者文檔、配置文檔、狀態(tài)記錄等。

8 監(jiān)測流程

1.1 數(shù)據(jù)采集

數(shù)據(jù)采集主要指通過不同的監(jiān)測方式，采集數(shù)據(jù)接口要素相關(guān)的基礎(chǔ)信息。

a)服務端相關(guān)信息，包括但不限于：

1）IP地址和端口號，如響應的目標IP地址和端口號；

2）響應服務器信息，如服務器軟件的名稱和版本；

3）TLS證書信息，如證書域名、主機名、有效期；

4）其他自定義響應頭部或數(shù)據(jù)。

b)客戶端相關(guān)信息，包括但不限于：

1）基于身份驗證的憑證信息，如客戶端用戶名、令牌、口令；

2）IP地址和端口號，如請求的源IP地址和端口號；

3）客戶端代理信息，如應用程序或瀏覽器的類型和版本、操作系統(tǒng)信息、設(shè)備類型；

4）位置信息，移動設(shè)備地理位置信息；

5）其他自定義頭部或數(shù)據(jù)字段。

c)接口相關(guān)信息，包括但不限于：

1）接口通信協(xié)議類型，如HTTP、HTTPS、FTP、SFTP；

2）接口標識符，用于訪問或識別數(shù)據(jù)接口的資源標識符；

3）接口請求參數(shù)，如客戶端接受類型、會話標識、請求數(shù)據(jù)類型、響應內(nèi)容長度；

4）接口響應參數(shù)，如響應狀態(tài)碼、響應內(nèi)容類型、響應內(nèi)容長度、錯誤信息。

d)交換數(shù)據(jù)信息，包括但不限于：

1）重要數(shù)據(jù)，一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)；

2）核心數(shù)據(jù)，關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)；

3）個人信息，如個人基本資料、個人身份信息、個人生物識別信息。

e)調(diào)用行為信息，包括但不限于：

1）操作行為類型，如創(chuàng)建、刪除、更新、讀?。?/span>

2）操作時間信息，如接口請求發(fā)起時間、服務響應時間、操作執(zhí)行時間。

f)其他數(shù)據(jù)，指未包含在上述的數(shù)據(jù)，包括但不限于：

1）網(wǎng)絡通信統(tǒng)計信息，如會話數(shù)、總包數(shù)、丟錯包率、總字節(jié)數(shù)、通信延遲、通信負載；

2）網(wǎng)絡通信信息，如源IP、源端口、目的IP、目的端口。

8.1 數(shù)據(jù)處理

8.1.1 數(shù)據(jù)清洗

通過數(shù)據(jù)清洗解決收集的日志數(shù)據(jù)存在的空值、缺失值，數(shù)據(jù)大量冗余，錯誤數(shù)據(jù)，無效數(shù)據(jù)等問題，以便開展策略分析，包括但不限于：

a)空值、缺失值清洗：通過手工填入、已有數(shù)據(jù)推導替代進行補齊；

b)消除冗余數(shù)據(jù)：利用唯一性的字段或者特定的規(guī)則進行過濾消除；

c)錯誤值檢測處理：使用統(tǒng)計分析、規(guī)則庫、約束條件等方式對錯誤值進行糾正。

8.1.2 關(guān)鍵信息提取和加工

對經(jīng)過清洗規(guī)范化的基礎(chǔ)信息進行多層次、多維度的演繹分析，逐層轉(zhuǎn)化為關(guān)鍵信息，關(guān)鍵信息包括但不限于：

a)服務端關(guān)鍵信息，包括但不限于：

1）域名信息，如域名所屬業(yè)務、域名所屬組織；

2）IP信息，如IP所屬網(wǎng)段、IP所屬部門、IP所屬業(yè)務。

b)客戶端關(guān)鍵信息，包括但不限于：

1）賬號信息，如賬號名稱、所屬部門、賬號分布；

2）IP信息，如IP所屬地域、IP所屬網(wǎng)段。

c)接口數(shù)據(jù)關(guān)鍵信息，包括但不限于：

1）認證和鑒權(quán)參數(shù)，如密鑰、令牌、用戶名和口令；

2）安全響應參數(shù)，如CSP、XSS-Protection。

d)交換數(shù)據(jù)關(guān)鍵信息，包括但不限于：

1）數(shù)據(jù)量，如數(shù)據(jù)條數(shù)、敏感數(shù)據(jù)條數(shù)等；

2）數(shù)據(jù)范圍，如重要數(shù)據(jù)范圍、核心數(shù)據(jù)范圍、個人信息范圍；

3）數(shù)據(jù)形態(tài)，如明文形態(tài)、脫敏形態(tài)、加密形態(tài)。

e)調(diào)用行為關(guān)鍵信息，包括但不限于：

1）調(diào)用行為統(tǒng)計關(guān)鍵字段，如調(diào)用次數(shù)、調(diào)用頻率、調(diào)用數(shù)據(jù)量、調(diào)用數(shù)據(jù)類型、調(diào)用成功或失敗次數(shù)；

2）登陸行為統(tǒng)計關(guān)鍵字段，如嘗試登錄次數(shù)、嘗試登錄頻率、登錄失敗次數(shù)和頻率、失敗的用戶名/口令組合；

3）響應行為關(guān)鍵字段，如響應碼分布、響應失敗次數(shù)和頻率、平均響應時間、平均延遲時間。

1.2 風險識別

1.2.1 概述

根據(jù)8.3.2、8.3.3、8.3.4給出的識別策略進行風險識別，并形成安全風險源清單，無法通過自動化手段識別的，應通過人工方式進行輔助判斷或再次確認，關(guān)于數(shù)據(jù)接口常見風險源識別策略參見附錄C。通過安全風險源清單，進一步分析可能引發(fā)的數(shù)據(jù)安全風險，常見的數(shù)據(jù)安全風險類型可參照附錄D。

1.2.2 數(shù)據(jù)接口脆弱性

分析數(shù)據(jù)接口的輸入輸出參數(shù)、協(xié)議規(guī)范以及身份驗證等基礎(chǔ)信息和關(guān)鍵信息，利用統(tǒng)計比對、黑白名單等技術(shù)手段，發(fā)現(xiàn)脆弱性，常見的分析手段包括但不限于：

a)建立接口參數(shù)異常特征庫，對比接口參數(shù)數(shù)據(jù)進行檢測和分析，以快速發(fā)現(xiàn)可能存在的安全隱患；

b)建立接口透出數(shù)據(jù)集合清單，用于檢測和分析傳輸內(nèi)容數(shù)據(jù)，發(fā)現(xiàn)可能存在的過度或違規(guī)的數(shù)據(jù)傳輸；

c)建立用于模擬接口調(diào)用的測試案例集，分析接口處理構(gòu)造參數(shù)的響應結(jié)果，通過識別模擬行為產(chǎn)生的異常結(jié)果，發(fā)現(xiàn)接口存在的脆弱性。

1.2.3 數(shù)據(jù)違規(guī)透出

分析交換數(shù)據(jù)類型、數(shù)量等基礎(chǔ)信息和關(guān)鍵信息，并結(jié)合實際的數(shù)據(jù)交換需求，發(fā)現(xiàn)數(shù)據(jù)違規(guī)透出，常見的分析手段包括但不限于：

a)建立數(shù)據(jù)透出負面清單，發(fā)現(xiàn)所屬清單內(nèi)數(shù)據(jù)的違規(guī)透出；

b)建立數(shù)據(jù)數(shù)量、類型透出閾值，監(jiān)測數(shù)據(jù)過度透出。

1.2.4 數(shù)據(jù)接口異常調(diào)用、提供利用人工智能、機器學習、模式學習和統(tǒng)計學等方法，圍繞基礎(chǔ)信息、關(guān)鍵信息進行自動化分析后歸納推理，形成正常行為特征，計算發(fā)現(xiàn)偏離正常行為特征的事件，識別異常調(diào)用、異常提供，常見的異常行為事件分析手段包括但不限于：

a)建立接口調(diào)用特征庫或調(diào)用行為基線，可通過對調(diào)用身份、接口行為等進行監(jiān)測分析，發(fā)現(xiàn)異常的接口調(diào)用行為；

b)建立客戶端、服務端身份特征庫，可通過對實際調(diào)用身份、提供身份等進行比對分析，發(fā)現(xiàn)異常的身份；

c)建立接口列表清單集合，可通過對比授權(quán)開放接口清單，核查過度開放、超期開放接口。

8.2 監(jiān)測預警

將風險識別結(jié)果進行展示，根據(jù)風險的影響對象、發(fā)生的可能性、影響程度等因素判斷告警級別觸發(fā)告警信息。告警具體內(nèi)容包括但不限于：

a)按照告警的觸發(fā)原因進行分類，包括但不限于數(shù)據(jù)接口的認證缺陷、鑒權(quán)缺陷、違規(guī)透出、超期開放、違規(guī)開放;

b)對告警形成可視報表進行展示，包括但不限于數(shù)據(jù)接口的狀態(tài)、告警信息以及風險事件間的關(guān)聯(lián)關(guān)系等;

c)參照GB/T 20986-2023中5.2要求，確定相應風險的告警級別;

d)告警方式包括但不限于短信、郵件、即時通信、站內(nèi)信、系統(tǒng)間互聯(lián)接口推送等。

8.3 通報處置

根據(jù)不同告警級別給出告警處置的建議，并啟動相應的風險處置流程，數(shù)據(jù)接口安全風險處置措施參考示例見附錄E。在監(jiān)測過程中發(fā)現(xiàn)網(wǎng)絡安全和數(shù)據(jù)安全事件的，應及時向監(jiān)測需求方報告安全事件情況，并根據(jù)《國家網(wǎng)絡安全事件應急預案》及相關(guān)規(guī)定處置。