DSMM-012 数据接口安全管理规范V1.0
第一章 总则
第一条 为保证北京思度咨询科技有限公司外部数据接口安全,明确数据接口的安全限制和安全控制措施,制定本规范。
第二条 本规范适用于指导北京思度咨询科技有限公司接口安全管理工作。
第二章 职责权限
第三条 数据安全领导小组办公室
(一)负责制定数据服务接口安全规范和安全控制策略,明确接口中的安全要求;
(二)负责审批和批准数据共享接口申请;
(三)负责审批和批准数据服务接口安全控制策略。
第四条 技术中心-数据接口安全岗,主要履行的职责包括但不限于:
(一)协助制定和验证应用系统的数据接口安全标准,明确接口中的安全要求;
(二)负责接口安全评估,评估接口的安全问题;
(三)定期审计数据接口的安全能力;
(四)负责组织处置接口中的安全事件以及应急处置。
第五条 数据与网络安全部-数据安全审计岗,主要履行的职责包括但不限于:
(一)负责监控接口安全审计日志,分析日志中存在的日常事件;
(二)协助技术中心-数据接口安全岗位人员进行接口安全事件应急处置。
第三章 接口开发规范
第八条 技术中心-数据接口安全岗人员应在系统开发前明确数据接口的安全策略,名确使用数据接口的安全限制和安全控制措施以及接口安全要求,形成《接口开发规范》。以下内容为例,确保《接口开发规范》包括但不限于身份鉴别、访问控制、签名、时间戳、安全协议、接口名称和接口参数等内容:
(一)URL编码规则
签名验证时,要求对字符串中除了"-"、"_"、"."之外的所有非字母数字字符都替换成百分号(%)后跟两位十六进制数,十六进制数中字母必须为大写。
(二)接口参数
1)系统级参数
以下参数由API平台系统定义,各系统需支持这些参数以便接入该平台提供开放接口。API平台系统应采用应用授权认证接口方式,申请接入过程中,它为第三方系统应用分配accessid和密钥accesskey。
参数名称
类型
是否必填
描述
accessed
string
是
注册应用时分配到的应用唯一标识,由系统自动生成。
sign
string
是
参数签名,对sign外所有参数传的签名,包括应用级的参数。
timestamp
string
是
当前时间戳;同个应用的不同API请求的time值应是递增的,用于防replay攻击。
2)应用参数
各业务系统应遵守API平台系统规范中应用级通用参数的约定。
3)参数签名算法
发送方将参数进行HMAC算法计算,将得到的哈希值(即签名值)与请求的参数一桶提交至接收方,然后接收方再将参数等值进行HMAC算法计算,将得到的哈希值与传递过来的哈希值进行核对验证,若一样,说明请求正确、验证通过,进行下一步工作,若不一样,将返回错误。
第四章 接口应用规范
第九条 接口应用说明
对外提供接口系统平台提供的API服务原则上需基于https协议,采用xml和json作为数据传输格式的通用接口,授权用户对特定的数据和数据场景进行获取。根据https传输协议的约束,服务在调用和传输过程中,需要满足个个场景下的要求。
第十条 接口请求数据格式
支持https协议的接口服务,具备post、get、put、restfull等调用类型;服务提供方需保障服务的有效性、可连接性,提供数据访问和调用案例;详细描述接口名称和场景,对接口的调用和参数进行详细说明,接口调用和联调需要保障各类文档的有效性并及时更新。
第十一条 接口返回数据格式规范
对https服务请求的结果,需要进行描述和说明;返回参数需要说明调用状态、调用结果实体,明确表示数据返回结果和数据类型,提供数据调用、返回的案例,标识数据返回的结构类型。
第五章 接口安全管理规范
第十二条 数据接口开发人员应建立统一的接口开发技术规范,健全数据接口设计、开发、测试等环节标准规范和管理制度,技术规范建立后应经技术中心进行审批。
第十三条 负责接口安全岗位人员应针对现有的数据接口进行实时管理,了解数据接口的使用目的、负责人、数据内容、请求参数以及返回参数等,组织定期对接口信息表中接口进行验证,确保其状态与记录信息一致。
第十四条 接口安全岗位人员组织专人定期对接口可用性、安全性进行核验,确保接口的正常使用,组织专人对数据接口进行管理,建立《数据接口清单》,包括接口创建时间、数据内容、创建墓地、调用者以及责任人等,并在接口信息变更时进行更新。
第十五条 接口安全岗位人员对数据接口的上线、变更以及下线过程必须组织相关人员进行监控:
(一)在新数据接口上线前由接口安全岗位人员进行接口安全评估,发现问题是,暂停上线并及时调整,确保上线接口安全性;
(二)上线后应对其运行情况进行实时监控,发现接口运行异常、恶意调用等情况及时采取防护措施,修复相应问题;
(三)当接口不再使用,若北京思度咨询科技有限公司为接口提供方,则下发工单至对应接口开发人员;若北京思度咨询科技有限公司为接口调用方,下发工单至对应技术人员停止接口的调用服务,并记录结果,内容包含停用的接口名称、时间以及接口调用等信息。
第十六条 所有数据交换接口必须具具有身份验证机制,通过参数签名、身份令牌、时间戳等方法对接口调用者身份进行鉴别。身份令牌(token)必须每日更新;参数签名的构成应包括固定字符串以及可变字符串;timestamp的具体值结合数据量以及链路网速来共同决定,无特殊情况设置为3分钟。接口共享数据等级不超过二级时可采用单因素认证;数据共享等级超过二级时必须采用双因素认证。
第十七条 在对接口分配权限时,严格遵循最小必要权限原则,除接口开发人员外,接口管理员以及接口调用方仅仅只有接口的调用权。
第十八条 数据共享时,必须与各个接口调用方签署合作协议,明确数据的使用目的、供应方式、保密约定、数据安全责任等信息。对涉及敏感信息、重要数据的数据接口,必须加强接入方资质和数据安全防护能力的审核,规范合作要求,避免因接入方原因导致数据安全事件。
第十九条 在定期开展的安全培训中必须加大对接口安全保护的宣传力度,缩小各部门之间对接口安全重视程度差异,提高员工的安全意识,特别是开发运维人员。
第二十条 数据与网络安全部-数据安全审计岗人员应对数据接口的调用行为进行监控和分析,发现违规行为应及时上报至技术中心-数据接口安全岗人员,技术中心-数据接口安全岗人员对结果进行复核并对接口调用方相关账号操作进行限制、阻断,避免安全事件的发生或扩大。预警行为主要包含以下两个方面:
(一)对于不同IP登录、连续认证失败等敏感操作,可能涉及到账号共享、暴力破解、账号借用、兼任等违规行为;
(二)短时间内大量获取敏感数据、访问频次异常、非工作时间获取敏感数据、敏感数据外发等可能涉及到用户身份冒用以及用户账号泄露等行为。
第二十一条 按照数据分类分级结果,数据定级为三级以上的数据在经数据接口共享时应进行数据脱敏或加密操作,按照数据安全脱敏策略进行敏感数据脱敏处理,杜绝敏感数据明文传输行为。
第二十二条 接口安全审计管理
数据与网络安全部-数据安全审计岗人员对数据接口访问、接口调用等操作进行完整的日志记录,并定期开展日志安全审计。根据安全审计结果编制审计报告,跟踪审计意见的后续落实,所有的涉及接口安全的日志信息至少需要保存90天,特殊情况可延长日志保存时间。
第二十三条 接口安全事件管理
数据接口出现数据泄露、异常行为预警等安全事件时,数据与网络安全部-数据安全审计岗在监测到事件发生后应立即对数据接口进行停用并通知技术中心-数据接口安全岗人员对接口调用IP、账号进行限制。同时,应与账号所属调用方进行沟通,对产生安全事件的原因进行核查。
第二十四条 安全事件发生后,应遵循线索溯源和主体溯源机制,以泄露数据内容为线索,安全事件应急响应人员对比数据接口清单找到对应的可能出现数据泄露的接口,提取数据接口日志中的相关记录进行分析,从而确定责任人和泄露路径,对相关责任人进行处罚。
第二十五条 对于接口名称、接口参数以及其他接口安全要求,参照各业务系统《接口开发规范》执行。
第六章 附则
第二十六条 本规范由数据安全领导小组办公室负责制定、解释和修改。
第二十七条 对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。
第二十八条 本规范自发布之日起执行。