關于國家標準《數據安全技術 數據接口安全風險監測方法》征求意見稿征求意見的通知
各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《數據安全技術 數據接口安全風險監測方法》征求意見稿。為確保標準質量,網安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2024年10月01日前反饋給網安標委秘書處。
聯系人:王姣 13661025214 wangjiao@cesi.cn
全國網絡安全標準化技術委員會秘書處
2024年08月02日
數據安全技術 數據接口安全風險監測方法
1 范圍
本文件給出了數據接口安全風險監測的方法,包括方式、內容、流程等,明確了數據接口安全風險監測各階段的監測要點。
本文件適用于指導各類組織開展的數據接口安全風險監測活動。
2 規范性引用文件
下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069-2022 信息安全技術 術語
GB/T 35273-2020 信息安全技術 個人信息安全規范
GB/T 39204-2022 信息安全技術 關鍵信息基礎設施安全保護要求
3 術語和定義
GB/T 25069—2022界定的以及下列術語和定義適用于本文件。
3.1數據接口 data interface
信息系統之間進行數據傳輸和交換的一種機制,它描述了一個由接口服務端和客戶端共同遵守的合約,通常會約定數據的格式、通信協議、傳輸結構等。
3.2監測需求方 monitoring stakeholders
具有監測需求的組織或實體。
3.3風險源 risk source
可能導致危害數據的保密性、完整性、可用性和數據處理合理性等事件的威脅、脆弱性、問題、隱 患等,也稱“風險隱患”。
注:風險隱患,既包括安全威脅利用脆弱性可能導致數據安全事件的風險隱患,也包括數據處理活動不合理操作可 能造成違法違規處理事件的風險隱患。
4 縮略語
下列縮略語適用于本文件。
Web API:網絡應用程序接口(World Wide Web Application Programming Interface)
API:應用程序接口(Application Programming Interface)
HTTP:超文本傳輸協議(Hyper Text Transfer Protocol)
HTTPS:安全超文本傳輸協議(Hypertext Transfer Protocol over Secure Socket Layer)
JSON:JavaScript對象表示法(JavaScript Object Notation)
SSL:安全套接層協議(Secure Socket Layer)
TLS:安全傳輸層協議(Transport Layer Security)
SQL:結構化查詢語句(Structured Query Language)
5 概述
5.1 數據接口
本文件所監測的數據接口是指跨網絡區域、信息系統等環境,用于完成包含核心數據、重要數據及個人信息等數據傳輸交換的接口,常見的數據接口技術形態為Web API、文件下載接口等。關于數據接口常見場景、結構及技術形態參見附錄A。
5.2 數據接口要素關系
數據接口安全風險監測涉及客戶端、服務端、接口、交換數據、提供行為、調用行為等基本要素及其關系,要素關系如圖1所示。
圖1 數據接口要素及其關系
開展數據接口安全風險監測應充分考慮要素及其關系,確定要素可能引起的風險,各個要素關系說明如下:
a)接口是核心要素,承載數據,完成服務端和客戶端之間的數據交換;
b)為滿足數據交換的需求,服務端通過提供數據接口的方式對外開展數據服務;
c)為完成數據交換,客戶端觸發調用行為,利用數據接口獲取或提交數據。
5.3 風險監測方法框架
數據接口安全風險監測方法,由監測內容、監測方式和監測流程等部分組成。數據接口安全風險監測方法框架如圖2所示。
圖2 數據接口安全風險監測方法框架
5.4 監測過程控制
應采用適當的手段滿足監測過程的安全性、合規性,包括但不限于:
a)應對監測行為進行審計,記錄監測運行、操作日志,且日志的存儲時間不得低于6個月;
b)應對監測過程產生的數據采取加密、完整性校驗、訪問控制、備份等保護措施,防止數據被非授權訪問、泄露、丟失、篡改。對關鍵信息基礎設施的相關數據接口進行安全風險監測,所產生的數據應按照GB/T 39204中7.10的要求予以保護;
c)監測中需對網絡流量進行特殊處理如流量解密,監測需求方應對監測方式是否符合數據安全和隱私保護相關的法律法規進行評估,并制定要求和策略;
d)監測活動結束后,應對監測過程產生的數據采取加密、銷毀等安全保護措施。
6 監測內容
本文件所指監測內容主要為數據接口脆弱性、數據違規透出、數據接口異常調用、數據接口異常提供等安全風險源。通過自動化或半自動化的手段發現上述風險源,并進一步分析可能引發的數據安全風險。關于常見的數據接口安全風險源類型參見附錄B。
7 監測方式
7.1 流量鏡像監測方式
流量鏡像監測是將網絡中的特定流量復制并傳輸到指定目的地以便于進行監測。具體監測方式可包括但不限于:
a)網絡設備流量鏡像,通過在網絡或安全設備(如交換機、路由器或防火墻)上設置鏡像規則,讓選定的流量被復制并重定向到監測設備或系統進行信息監測;
b)客戶端流量鏡像,采用模擬請求的方式產生數據接口交互流量,并在數據接口調用客戶端部署流量采集程序將相關流量發送至監測設備或系統;
c)服務端流量鏡像,在數據接口服務端部署流量監測程序,將數據接口產生的流量發送至監測設備或系統。
7.2 日志監測方式
通過采集數據接口產生的日志信息進行分析,實現對數據接口安全風險的監測。具體監測方式可包括但不限于:
a)日志埋點:按照監測信息字段需求,在數據接口的開發過程中設置特定程序或代碼,在數據接口使用過程中可將相應日志發送到監測設備或系統;
b)日志同步:通過跟保存有數據接口產生日志的相關設備、系統對接,將日志同步至監測設備或系統。
7.3 主動探測方式
通過主動掃描的方式發現數據接口清單,獲取數據接口的請求和返回信息,該方式還需在不影響接口安全使用的前提下盡可能觸發數據接口各種事件,以便獲取更多有效的監測信息。具體監測方式可包括但不限于:
a)人工模擬探測:通過人工模擬調用數據接口的方式,生成數據接口相關信息,操作過程需覆蓋所有數據接口的請求方式;
b)機器爬蟲探測:基于機器爬蟲,通過模擬真實的數據接口調用行為,自動訪問數據接口的功能,從而獲得數據接口的信息;
c)訪問接口文檔:通過讀取、訪問描述數據接口相關功能、配置、狀態等的文檔獲取監測信息,接口文檔包括但不限于協議規范、開發者文檔、配置文檔、狀態記錄等。
8 監測流程
1.1 數據采集
數據采集主要指通過不同的監測方式,采集數據接口要素相關的基礎信息。
a)服務端相關信息,包括但不限于:
1)IP地址和端口號,如響應的目標IP地址和端口號;
2)響應服務器信息,如服務器軟件的名稱和版本;
3)TLS證書信息,如證書域名、主機名、有效期;
4)其他自定義響應頭部或數據。
b)客戶端相關信息,包括但不限于:
1)基于身份驗證的憑證信息,如客戶端用戶名、令牌、口令;
2)IP地址和端口號,如請求的源IP地址和端口號;
3)客戶端代理信息,如應用程序或瀏覽器的類型和版本、操作系統信息、設備類型;
4)位置信息,移動設備地理位置信息;
5)其他自定義頭部或數據字段。
c)接口相關信息,包括但不限于:
1)接口通信協議類型,如HTTP、HTTPS、FTP、SFTP;
2)接口標識符,用于訪問或識別數據接口的資源標識符;
3)接口請求參數,如客戶端接受類型、會話標識、請求數據類型、響應內容長度;
4)接口響應參數,如響應狀態碼、響應內容類型、響應內容長度、錯誤信息。
d)交換數據信息,包括但不限于:
1)重要數據,一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據;
2)核心數據,關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據;
3)個人信息,如個人基本資料、個人身份信息、個人生物識別信息。
e)調用行為信息,包括但不限于:
1)操作行為類型,如創建、刪除、更新、讀取;
2)操作時間信息,如接口請求發起時間、服務響應時間、操作執行時間。
f)其他數據,指未包含在上述的數據,包括但不限于:
1)網絡通信統計信息,如會話數、總包數、丟錯包率、總字節數、通信延遲、通信負載;
2)網絡通信信息,如源IP、源端口、目的IP、目的端口。
8.1 數據處理
8.1.1 數據清洗
通過數據清洗解決收集的日志數據存在的空值、缺失值,數據大量冗余,錯誤數據,無效數據等問題,以便開展策略分析,包括但不限于:
a)空值、缺失值清洗:通過手工填入、已有數據推導替代進行補齊;
b)消除冗余數據:利用唯一性的字段或者特定的規則進行過濾消除;
c)錯誤值檢測處理:使用統計分析、規則庫、約束條件等方式對錯誤值進行糾正。
8.1.2 關鍵信息提取和加工
對經過清洗規范化的基礎信息進行多層次、多維度的演繹分析,逐層轉化為關鍵信息,關鍵信息包括但不限于:
a)服務端關鍵信息,包括但不限于:
1)域名信息,如域名所屬業務、域名所屬組織;
2)IP信息,如IP所屬網段、IP所屬部門、IP所屬業務。
b)客戶端關鍵信息,包括但不限于:
1)賬號信息,如賬號名稱、所屬部門、賬號分布;
2)IP信息,如IP所屬地域、IP所屬網段。
c)接口數據關鍵信息,包括但不限于:
1)認證和鑒權參數,如密鑰、令牌、用戶名和口令;
2)安全響應參數,如CSP、XSS-Protection。
d)交換數據關鍵信息,包括但不限于:
1)數據量,如數據條數、敏感數據條數等;
2)數據范圍,如重要數據范圍、核心數據范圍、個人信息范圍;
3)數據形態,如明文形態、脫敏形態、加密形態。
e)調用行為關鍵信息,包括但不限于:
1)調用行為統計關鍵字段,如調用次數、調用頻率、調用數據量、調用數據類型、調用成功或失敗次數;
2)登陸行為統計關鍵字段,如嘗試登錄次數、嘗試登錄頻率、登錄失敗次數和頻率、失敗的用戶名/口令組合;
3)響應行為關鍵字段,如響應碼分布、響應失敗次數和頻率、平均響應時間、平均延遲時間。
1.2 風險識別
1.2.1 概述
根據8.3.2、8.3.3、8.3.4給出的識別策略進行風險識別,并形成安全風險源清單,無法通過自動化手段識別的,應通過人工方式進行輔助判斷或再次確認,關于數據接口常見風險源識別策略參見附錄C。通過安全風險源清單,進一步分析可能引發的數據安全風險,常見的數據安全風險類型可參照附錄D。
1.2.2 數據接口脆弱性
分析數據接口的輸入輸出參數、協議規范以及身份驗證等基礎信息和關鍵信息,利用統計比對、黑白名單等技術手段,發現脆弱性,常見的分析手段包括但不限于:
a)建立接口參數異常特征庫,對比接口參數數據進行檢測和分析,以快速發現可能存在的安全隱患;
b)建立接口透出數據集合清單,用于檢測和分析傳輸內容數據,發現可能存在的過度或違規的數據傳輸;
c)建立用于模擬接口調用的測試案例集,分析接口處理構造參數的響應結果,通過識別模擬行為產生的異常結果,發現接口存在的脆弱性。
1.2.3 數據違規透出
分析交換數據類型、數量等基礎信息和關鍵信息,并結合實際的數據交換需求,發現數據違規透出,常見的分析手段包括但不限于:
a)建立數據透出負面清單,發現所屬清單內數據的違規透出;
b)建立數據數量、類型透出閾值,監測數據過度透出。
1.2.4 數據接口異常調用、提供利用人工智能、機器學習、模式學習和統計學等方法,圍繞基礎信息、關鍵信息進行自動化分析后歸納推理,形成正常行為特征,計算發現偏離正常行為特征的事件,識別異常調用、異常提供,常見的異常行為事件分析手段包括但不限于:
a)建立接口調用特征庫或調用行為基線,可通過對調用身份、接口行為等進行監測分析,發現異常的接口調用行為;
b)建立客戶端、服務端身份特征庫,可通過對實際調用身份、提供身份等進行比對分析,發現異常的身份;
c)建立接口列表清單集合,可通過對比授權開放接口清單,核查過度開放、超期開放接口。
8.2 監測預警
將風險識別結果進行展示,根據風險的影響對象、發生的可能性、影響程度等因素判斷告警級別觸發告警信息。告警具體內容包括但不限于:
a)按照告警的觸發原因進行分類,包括但不限于數據接口的認證缺陷、鑒權缺陷、違規透出、超期開放、違規開放;
b)對告警形成可視報表進行展示,包括但不限于數據接口的狀態、告警信息以及風險事件間的關聯關系等;
c)參照GB/T 20986-2023中5.2要求,確定相應風險的告警級別;
d)告警方式包括但不限于短信、郵件、即時通信、站內信、系統間互聯接口推送等。
8.3 通報處置
根據不同告警級別給出告警處置的建議,并啟動相應的風險處置流程,數據接口安全風險處置措施參考示例見附錄E。在監測過程中發現網絡安全和數據安全事件的,應及時向監測需求方報告安全事件情況,并根據《國家網絡安全事件應急預案》及相關規定處置。
浙公網安備 33010502006954號 
