关于国家标准《数据安全技术 数据接口安全风险监测方法》征求意见稿征求意见的通知
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《数据安全技术 数据接口安全风险监测方法》征求意见稿。为确保标准质量,网安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2024年10月01日前反馈给网安标委秘书处。
联系人:王姣 13661025214 wangjiao@cesi.cn
全国网络安全标准化技术委员会秘书处
2024年08月02日
数据安全技术 数据接口安全风险监测方法
1 范围
本文件给出了数据接口安全风险监测的方法,包括方式、内容、流程等,明确了数据接口安全风险监测各阶段的监测要点。
本文件适用于指导各类组织开展的数据接口安全风险监测活动。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求
3 术语和定义
GB/T 25069—2022界定的以及下列术语和定义适用于本文件。
3.1数据接口 data interface
信息系统之间进行数据传输和交换的一种机制,它描述了一个由接口服务端和客户端共同遵守的合约,通常会约定数据的格式、通信协议、传输结构等。
3.2监测需求方 monitoring stakeholders
具有监测需求的组织或实体。
3.3风险源 risk source
可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐 患等,也称“风险隐患”。
注:风险隐患,既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患,也包括数据处理活动不合理操作可 能造成违法违规处理事件的风险隐患。
4 缩略语
下列缩略语适用于本文件。
Web API:网络应用程序接口(World Wide Web Application Programming Interface)
API:应用程序接口(Application Programming Interface)
HTTP:超文本传输协议(Hyper Text Transfer Protocol)
HTTPS:安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer)
JSON:JavaScript对象表示法(JavaScript Object Notation)
SSL:安全套接层协议(Secure Socket Layer)
TLS:安全传输层协议(Transport Layer Security)
SQL:结构化查询语句(Structured Query Language)
5 概述
5.1 数据接口
本文件所监测的数据接口是指跨网络区域、信息系统等环境,用于完成包含核心数据、重要数据及个人信息等数据传输交换的接口,常见的数据接口技术形态为Web API、文件下载接口等。关于数据接口常见场景、结构及技术形态参见附录A。
5.2 数据接口要素关系
数据接口安全风险监测涉及客户端、服务端、接口、交换数据、提供行为、调用行为等基本要素及其关系,要素关系如图1所示。
图1 数据接口要素及其关系
开展数据接口安全风险监测应充分考虑要素及其关系,确定要素可能引起的风险,各个要素关系说明如下:
a)接口是核心要素,承载数据,完成服务端和客户端之间的数据交换;
b)为满足数据交换的需求,服务端通过提供数据接口的方式对外开展数据服务;
c)为完成数据交换,客户端触发调用行为,利用数据接口获取或提交数据。
5.3 风险监测方法框架
数据接口安全风险监测方法,由监测内容、监测方式和监测流程等部分组成。数据接口安全风险监测方法框架如图2所示。
图2 数据接口安全风险监测方法框架
5.4 监测过程控制
应采用适当的手段满足监测过程的安全性、合规性,包括但不限于:
a)应对监测行为进行审计,记录监测运行、操作日志,且日志的存储时间不得低于6个月;
b)应对监测过程产生的数据采取加密、完整性校验、访问控制、备份等保护措施,防止数据被非授权访问、泄露、丢失、篡改。对关键信息基础设施的相关数据接口进行安全风险监测,所产生的数据应按照GB/T 39204中7.10的要求予以保护;
c)监测中需对网络流量进行特殊处理如流量解密,监测需求方应对监测方式是否符合数据安全和隐私保护相关的法律法规进行评估,并制定要求和策略;
d)监测活动结束后,应对监测过程产生的数据采取加密、销毁等安全保护措施。
6 监测内容
本文件所指监测内容主要为数据接口脆弱性、数据违规透出、数据接口异常调用、数据接口异常提供等安全风险源。通过自动化或半自动化的手段发现上述风险源,并进一步分析可能引发的数据安全风险。关于常见的数据接口安全风险源类型参见附录B。
7 监测方式
7.1 流量镜像监测方式
流量镜像监测是将网络中的特定流量复制并传输到指定目的地以便于进行监测。具体监测方式可包括但不限于:
a)网络设备流量镜像,通过在网络或安全设备(如交换机、路由器或防火墙)上设置镜像规则,让选定的流量被复制并重定向到监测设备或系统进行信息监测;
b)客户端流量镜像,采用模拟请求的方式产生数据接口交互流量,并在数据接口调用客户端部署流量采集程序将相关流量发送至监测设备或系统;
c)服务端流量镜像,在数据接口服务端部署流量监测程序,将数据接口产生的流量发送至监测设备或系统。
7.2 日志监测方式
通过采集数据接口产生的日志信息进行分析,实现对数据接口安全风险的监测。具体监测方式可包括但不限于:
a)日志埋点:按照监测信息字段需求,在数据接口的开发过程中设置特定程序或代码,在数据接口使用过程中可将相应日志发送到监测设备或系统;
b)日志同步:通过跟保存有数据接口产生日志的相关设备、系统对接,将日志同步至监测设备或系统。
7.3 主动探测方式
通过主动扫描的方式发现数据接口清单,获取数据接口的请求和返回信息,该方式还需在不影响接口安全使用的前提下尽可能触发数据接口各种事件,以便获取更多有效的监测信息。具体监测方式可包括但不限于:
a)人工模拟探测:通过人工模拟调用数据接口的方式,生成数据接口相关信息,操作过程需覆盖所有数据接口的请求方式;
b)机器爬虫探测:基于机器爬虫,通过模拟真实的数据接口调用行为,自动访问数据接口的功能,从而获得数据接口的信息;
c)访问接口文档:通过读取、访问描述数据接口相关功能、配置、状态等的文档获取监测信息,接口文档包括但不限于协议规范、开发者文档、配置文档、状态记录等。
8 监测流程
1.1 数据采集
数据采集主要指通过不同的监测方式,采集数据接口要素相关的基础信息。
a)服务端相关信息,包括但不限于:
1)IP地址和端口号,如响应的目标IP地址和端口号;
2)响应服务器信息,如服务器软件的名称和版本;
3)TLS证书信息,如证书域名、主机名、有效期;
4)其他自定义响应头部或数据。
b)客户端相关信息,包括但不限于:
1)基于身份验证的凭证信息,如客户端用户名、令牌、口令;
2)IP地址和端口号,如请求的源IP地址和端口号;
3)客户端代理信息,如应用程序或浏览器的类型和版本、操作系统信息、设备类型;
4)位置信息,移动设备地理位置信息;
5)其他自定义头部或数据字段。
c)接口相关信息,包括但不限于:
1)接口通信协议类型,如HTTP、HTTPS、FTP、SFTP;
2)接口标识符,用于访问或识别数据接口的资源标识符;
3)接口请求参数,如客户端接受类型、会话标识、请求数据类型、响应内容长度;
4)接口响应参数,如响应状态码、响应内容类型、响应内容长度、错误信息。
d)交换数据信息,包括但不限于:
1)重要数据,一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据;
2)核心数据,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据;
3)个人信息,如个人基本资料、个人身份信息、个人生物识别信息。
e)调用行为信息,包括但不限于:
1)操作行为类型,如创建、删除、更新、读取;
2)操作时间信息,如接口请求发起时间、服务响应时间、操作执行时间。
f)其他数据,指未包含在上述的数据,包括但不限于:
1)网络通信统计信息,如会话数、总包数、丢错包率、总字节数、通信延迟、通信负载;
2)网络通信信息,如源IP、源端口、目的IP、目的端口。
8.1 数据处理
8.1.1 数据清洗
通过数据清洗解决收集的日志数据存在的空值、缺失值,数据大量冗余,错误数据,无效数据等问题,以便开展策略分析,包括但不限于:
a)空值、缺失值清洗:通过手工填入、已有数据推导替代进行补齐;
b)消除冗余数据:利用唯一性的字段或者特定的规则进行过滤消除;
c)错误值检测处理:使用统计分析、规则库、约束条件等方式对错误值进行纠正。
8.1.2 关键信息提取和加工
对经过清洗规范化的基础信息进行多层次、多维度的演绎分析,逐层转化为关键信息,关键信息包括但不限于:
a)服务端关键信息,包括但不限于:
1)域名信息,如域名所属业务、域名所属组织;
2)IP信息,如IP所属网段、IP所属部门、IP所属业务。
b)客户端关键信息,包括但不限于:
1)账号信息,如账号名称、所属部门、账号分布;
2)IP信息,如IP所属地域、IP所属网段。
c)接口数据关键信息,包括但不限于:
1)认证和鉴权参数,如密钥、令牌、用户名和口令;
2)安全响应参数,如CSP、XSS-Protection。
d)交换数据关键信息,包括但不限于:
1)数据量,如数据条数、敏感数据条数等;
2)数据范围,如重要数据范围、核心数据范围、个人信息范围;
3)数据形态,如明文形态、脱敏形态、加密形态。
e)调用行为关键信息,包括但不限于:
1)调用行为统计关键字段,如调用次数、调用频率、调用数据量、调用数据类型、调用成功或失败次数;
2)登陆行为统计关键字段,如尝试登录次数、尝试登录频率、登录失败次数和频率、失败的用户名/口令组合;
3)响应行为关键字段,如响应码分布、响应失败次数和频率、平均响应时间、平均延迟时间。
1.2 风险识别
1.2.1 概述
根据8.3.2、8.3.3、8.3.4给出的识别策略进行风险识别,并形成安全风险源清单,无法通过自动化手段识别的,应通过人工方式进行辅助判断或再次确认,关于数据接口常见风险源识别策略参见附录C。通过安全风险源清单,进一步分析可能引发的数据安全风险,常见的数据安全风险类型可参照附录D。
1.2.2 数据接口脆弱性
分析数据接口的输入输出参数、协议规范以及身份验证等基础信息和关键信息,利用统计比对、黑白名单等技术手段,发现脆弱性,常见的分析手段包括但不限于:
a)建立接口参数异常特征库,对比接口参数数据进行检测和分析,以快速发现可能存在的安全隐患;
b)建立接口透出数据集合清单,用于检测和分析传输内容数据,发现可能存在的过度或违规的数据传输;
c)建立用于模拟接口调用的测试案例集,分析接口处理构造参数的响应结果,通过识别模拟行为产生的异常结果,发现接口存在的脆弱性。
1.2.3 数据违规透出
分析交换数据类型、数量等基础信息和关键信息,并结合实际的数据交换需求,发现数据违规透出,常见的分析手段包括但不限于:
a)建立数据透出负面清单,发现所属清单内数据的违规透出;
b)建立数据数量、类型透出阈值,监测数据过度透出。
1.2.4 数据接口异常调用、提供利用人工智能、机器学习、模式学习和统计学等方法,围绕基础信息、关键信息进行自动化分析后归纳推理,形成正常行为特征,计算发现偏离正常行为特征的事件,识别异常调用、异常提供,常见的异常行为事件分析手段包括但不限于:
a)建立接口调用特征库或调用行为基线,可通过对调用身份、接口行为等进行监测分析,发现异常的接口调用行为;
b)建立客户端、服务端身份特征库,可通过对实际调用身份、提供身份等进行比对分析,发现异常的身份;
c)建立接口列表清单集合,可通过对比授权开放接口清单,核查过度开放、超期开放接口。
8.2 监测预警
将风险识别结果进行展示,根据风险的影响对象、发生的可能性、影响程度等因素判断告警级别触发告警信息。告警具体内容包括但不限于:
a)按照告警的触发原因进行分类,包括但不限于数据接口的认证缺陷、鉴权缺陷、违规透出、超期开放、违规开放;
b)对告警形成可视报表进行展示,包括但不限于数据接口的状态、告警信息以及风险事件间的关联关系等;
c)参照GB/T 20986-2023中5.2要求,确定相应风险的告警级别;
d)告警方式包括但不限于短信、邮件、即时通信、站内信、系统间互联接口推送等。
8.3 通报处置
根据不同告警级别给出告警处置的建议,并启动相应的风险处置流程,数据接口安全风险处置措施参考示例见附录E。在监测过程中发现网络安全和数据安全事件的,应及时向监测需求方报告安全事件情况,并根据《国家网络安全事件应急预案》及相关规定处置。