GB/T 46796-2025 数据安全技术 数据接口安全风险监测方法

　　ICS 35. 030 CCS L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 46796—2025

　　数据安全技术

　　数据接口安全风险监测方法

　　Datasecuritytechnology—Data interfacesecurity risk monitoring methods

　　2025-12-02发布 2026-07-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 46796—2025

　　目 次

　　前言 Ⅲ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 1

　　5 通则 2

　　5. 1 数据接口安全风险监测要素关系 2

　　5. 2 数据接口安全风险监测方式 3

　　5. 3 数据接口安全风险监测流程 3

　　5. 4 数据接口安全风险监测过程控制 4

　　6 监测准备 4

　　6. 1 组建监测团队 4

　　6. 2 确定监测对象 5

　　6. 3 制定监测方案 5

　　7 风险识别 5

　　7. 1 监测信息采集 5

　　7. 2 监测信息处理 6

　　7. 3 风险源识别 6

　　8 分析研判 7

　　8. 1 风险分析 7

　　8. 2 事件研判 7

　　9 预警处置 8

　　9. 1 监测预警 8

　　9. 2 监测处置 8

　　9. 3 编制监测报告 8

　　附录 A (资料性) 典型数据接口结构及技术和业务形态说明 9

　　A. 1 数据接口结构 9

　　A. 2 数据接口技术形态 9

　　A. 3 数据接口业务形态 9

　　附录 B (资料性) 典型数据接口安全风险源类型 11

　　附录 C (资料性) 典型数据接口安全风险源识别策略示例 13

　　附录 D (资料性) 典型数据接口安全风险类型示例 15

　　附录 E (资料性) 数据接口安全风险处置措施示例 16

　　参考文献 18

　　Ⅰ

　　GB/T 46796—2025

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归 口 。

　　本文件起草单位 :全知科技(杭州)有限责任公司 、公安部第三研究所 、中国电子技术标准化研究院 、国家信息中心 、中国信息通信研究院 、中国信息安全测评中心 、中国网络安全审查认证和市场监管大数据中心 、国家信息技术安全研究中心 、云南电网有限责任公司信息中心 、深信服科技股份有限公司 、北京浩瀚深度信息技术股份有限公司 、罗克佳华科技集团股份有限公司 、北京数安行科技有限公司 、深圳市信息安全管理中心 、国网思极网安科技(北京)有限公司 、广东省信息安全测评中心 、中国电信股份有限公司江西分公司 、上海合合信息科技股份有限公司 、阿里云计算有限公司 、北京亚鸿世纪科技发展有限公司 、启明星辰信息技术集团股份有限公司 、江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 、浙江工业大学 、北京天融信网络安全技术有限公司 、奇安信网神信息技术(北京)股份有限公司 、深圳赛西信息技术有限公司 、天翼云科技有限公司 、中国联合网络通信集团有限公司 、中国科学院信息工程研究所 、南方电网数据平台与安全(广东)有限公司 、江西省政务信息中心 、中国移动通信集团有限公司 、敏于行(北京)科技有限公司 、上海文鳐信息科技有限公司 、北京建恒信安科技有限公司 。

　　本文件主要起草人 :方兴 、何延哲 、魏凤玲 、周顿科 、徐克超 、陈妍 、刘蓓 、闫桂勋 、陈湉 、曹京 、宋璟 、肖鹏、都婧、冯晓晓、田宇轩、樊华、王哲麟、刘楠、宋博韬、宫盼盼、李玮、杨高峰、刘玉红、董安波、穆端端、孙磊 、于宁 、郭立 、宋宏宇 、孙勇 、古元 、杨天识 、周瑞群 、张腾标 、宣琦 、晋钢 、路俊杰 、毕思文 、张瑜 、曹咪 、梁瑞刚 、杜浩文 、文剑 、江为强 、张健 、仲凯韬 、钱立佩 。

　　Ⅲ

　　GB/T 46796—2025

　　数据安全技术

　　数据接口安全风险监测方法

　　1 范围

　　本文件描述了数据接口安全风险监测的要素关系 、监测方式 ,给出了数据接口安全风险监测流程各阶段的说明 。

　　本文件适用于指导数据处理者 、第三方机构开展数据接口安全风险监测工作 ,主管(监管)部门实施数据接口安全风险监督管理时参考使用 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件 。

　　GB/T 20986—2023

　　信息安全技术

　　网络安全事件分类分级指南

　　GB/T 43697—2024

　　数据安全技术

　　数据分类分级规则

　　GB/T 45577—2025

　　数据安全技术

　　数据安全风险评估方法

　　3 术语和定义

　　GB/T 43697—2024、GB/T 45577—2025界定的以及下列术语和定义适用于本文件 。 3. 1

　　数据接口 data interface

　　在不同网络区域或信息系统之间 ,调用方和提供方遵循一方或双方约定的数据传输格式 ,并完成数据传输交换服务的接 口 。

　　注 1: 不包括物理硬件接口(如 USB)以及系统内部的逻辑接口和协议接口等 。

　　注 2: 典型数据接口结构及技术和业务形态见附录 A。

　　3.2

　　数据接口安全风险源 data interfacesecurity risk source

　　可能导致危害数据接口承载数据的保密性 、完整性 、可用性和数据处理合理性等事件的威胁 、脆弱性 、问题和隐患等 。

　　注 : 本文件中简称 “风险源 ”,既包括安全威胁利用数据接口脆弱性可能导致数据安全事件的风险源 ,也包括数据处理活动不合理操作可能造成违法违规处理事件的风险源 。

　　[来源 :GB/T 45577—2025,3. 5,有修改]

　　4 缩略语

　　下列缩略语适用于本文件 。

　　API:应用程序编程接口(Application Programming Interface)

　　1

　　GB/T 46796—2025

　　CSP: 内容安全策略(ContentSecurity Policy)

　　FTP:文件传输协议(File TransferProtocol)

　　HTTP:超文本传输协议(HypertextTransferProtocol)

　　HTTPS:超文本传输安全协议(HypertextTransferProtocolSecure)

　　IP:互联网协议(InternetProtocol)

　　JSON:JavaScript对象表示法(JavaScriptObjectNotation)

　　SFTP:安全文件传输协议(Secure File TransferProtocol)

　　SQL:结构化查询语言(Structured Query Language)

　　SSO:单点登录(Single Sign On)

　　TLCP:传输层密码协议(TransportLayer Cryptography Protocol)

　　TLS:传输层安全性协议(TransportLayer Security)

　　5 通则

　　5. 1 数据接口安全风险监测要素关系

　　数据接口安全风险监测涉及数据 、数据接口 、调用方 、提供方 、风险源 、数据处理者 、业务 、安全措施等要素 ,要素间关系见图 1。

　　标引序号说明 :

　　1— 风险要素 ;

　　2— 监测对象 ;

　　3— 要素关系 ;

　　4— 风险或事件 。

　　图 1 数据接口安全风险监测要素关系

　　开展数据接口安全风险监测应厘清要素间关系 ,各要素关系说明如下 。

　　a) 数据处理者运营业务 ,利用数据接口和数据实现特定的业务目的 。

　　b) 数据接口支撑业务 、承载数据 ,调用方通过调用数据接口提交数据需求 ,形成调用行为 ,提供方响应调用方的 数 据 需 求 , 通 过 数 据 接 口 给 调 用 方 提 供 数 据 , 形 成 提 供 行 为 。 调 用 方 可 为 组织 ,也可为个人 。

　　c) 数据接口与数据为核心要素 ,调用方与提供方因数据接口产生的调用 、提供行为 ,共同组成数

　　2

　　GB/T 46796—2025

　　据接口安全风险监测对象 。

　　d) 风险源客观存在于监测对象中 ,其导致的数据安全风险对监测对象具有潜在危害 , 当数据安全风险引发数据安全事件时 ,对监测对象造成危害 。

　　e) 安全措施旨在保护监测对象 ,通过对数据安全风险和事件进行预警和处置 ,抑制数据安全风险和事件影响 。

　　5.2 数据接口安全风险监测方式

　　5.2. 1 流量解析

　　将不同方式采集的数据接口流量 ,传输至具备数据接口安全风险监测能力的系统 ,通过对流量进行解析 ,获取监测所需信息 ,用于数据接口安全风险监测 ,数据接口流量获取方式如下 。

　　a) 网络设备流量 ,如在数据接口流量经过的网络或安全设备上设置镜像规则 ,将监测所需的流量镜像至安全风险监测相关系统 ;通过串联方式将安全风险监测相关系统部署在网络中 ,直接获取数据接口流量 。

　　b) 调用方流量 ,如在调用方部署流量采集程序 ,采集调用方产生的数据接口交互流量 ,设置规则将流量传输至安全风险监测相关系统 。

　　c) 提供方流量 ,如在提供方部署流量采集程序 ,采集提供方产生的数据接口交互流量 ,设置规则将流量传输至安全风险监测相关系统 ;提供方人工抓取数据接口流量 ,并传输至安全风险监测相关系统 。

　　5.2.2 日志分析

　　对数据接口产生的 日志进行分析 ,获取监测所需信息 ,用于数据接口安全风险监测 ,数据接 口 日志获取方式如下 。

　　a) 日志埋点,如在数据接口开发过程中 ,根据监测信息字段需求 ,在代码中添加 日志埋点,数据接口上线后 , 日志被采集并传输至安全风险监测相关系统 。

　　b) 日志同步 ,如从存储数据接 口 日志的源系统中采集或导出 日志 ,并传输至安全风险监测相关系统 。

　　5.2.3 主动探测

　　采取主动方式识别数据接 口 ,在不影响数据接口正常使用的前提下进行模拟请求测试 , 以主动获取更多数据接口信息 。数据接口信息主动获取方式如下 。

　　a) 人工模拟探测 ,如通过人工模拟调用数据接口的方式 ,生成数据接口相关信息 ,操作过程尽可能覆盖主要或关键的数据接口请求方式 。

　　b) 自动化工具探测 , 如 利 用 自 动 化 探 测 或 扫 描 工 具 ,模 拟 数 据 接 口 调 用 行 为 , 自 动 访 问 数 据 接口 ,从而获得数据接口相关信息 。

　　c) 文档信息采集 ,如主动查阅数据接口相关功能 、配置 、状态等信息的描述文档 ,获取数据接口相关信息 ,这些信息可作为人工模拟探测或 自动化工具探测的输入 ,进一步明确探测范围 及 参数 ,提升主动探测效率和准确性 。数据接口描述文档包括但不限于协议规范 、开发者文档 、配置文档 、状态记录 、清单 。

　　5.3 数据接口安全风险监测流程

　　数据接口安全风险监测流程 ,主要包括监测准备 、风险识别 、分析研判 、预警处置四个阶段 ,如图 2所示 。

　　3

　　GB/T 46796—2025

　　a) 监测准备 :开展数据接口安全风险监测工作前 ,组建监测团队 ,根据监测 目标 ,选定一种或多种监测方式 ,采取人工或自动化方式识别数据接口安全风险监测对象 ,形成监测对象列表 ,并制定数据接口安全风险监测方案 。

　　b) 风险识别 :基于确定的监测对象 ,通过选定的监测方式 ,对监测信息进行采集 、处理后 ,识别数据接口安全风险源 ,形成数据接口安全风险源清单 。

　　c) 分析研判 :在风险识别基础上 ,开展数据安全风险分析与事件研判 ,形成数据接口安全风险清单 、数据接口安全事件清单 。

　　d) 预警处置 :在分析研判基础上 ,对数据安全风险与事件进行预警和处置 , 编制数据接口安全风险监测报告 。

　　图 2 数据接口安全风险监测流程图

　　5.4 数据接口安全风险监测过程控制

　　过程控制贯穿监测流程的全过程 ,监测过程满足安全性与合规性 ,过程控制措施包括 。

　　a) 对监测过程进行审计 ,记录监测运行 、操作日志等 ,审计日志存储时间为六个月以上 。

　　b) 对监测过程产生的数据 ,采取密码技术 、访问控制 、数据脱敏 、数据备份和数据删除等安全措施 ,避免监测数据存在泄露 、丢失 、篡改等风险 。

　　c) 制定数据接口安全风险监测过程的数据安全保护策略 ,策略内容符合数据安全和个人信息保护相关法律法规要求 。

　　6 监测准备

　　6. 1 组建监测团队

　　开展数据接口安全风险监测前 ,组织业务 、安全 、运维 、研发等相关部门参与实施 ,监测组长由数据安全负责人或授权代表担任 。如委托第三方机构实施 ,第三方机构在监测过程中获取的信息 ,只用于监测目的 ,未经授权不应泄露 、出售或者非法向他人提供 。

　　4

　　GB/T 46796—2025

　　6.2 确定监测对象

　　监测团队明确数据接口安全风险监测目标 ,依据 5. 1 对可能造成数据接口安全风险的基本要素进行分析 ,采取人工或自动化方式识别数据接口安全风险监测对象 ,结合监测的必要性 、可行性 、成本等因素 , 明确一种或多种监测方式 ,形成监测对象列表 。

　　6.3 制定监测方案

　　监测团队组织制定数据接口安全风险监测方案 ,监测团队可邀请行业领域相关数据安全 、网络安全专家对监测方案进行评议 ,重点审核监测方案内容 、可操作性 、技术可行性 、风险控制等 ,进一步修订完善监测方案后 ,组织实施数据接口安全风险监测工作 。方案内容包括但不限于如下各方面 。

　　a) 监测概述 :包括监测背景 、目标 、依据和周期等 。

　　b) 监测范围 :包括监测对象基本描述和监测对象列表等 。

　　c) 监测方式 :包括确定监测方式和监测工具部署等 。

　　d) 监测人员 :包括监测团队的组织架构 、负责人 、具体成员和具体分工等 。

　　e) 实施计划 :包括监测各阶段的进度计划 、里程碑和主要成果等 。

　　f) 实施方案 :包括监测工具说明 、监测具体内容(如数据接口安全风险源类型)以及预期的监测成果展示 、监测预警处置机制和风险控制措施等 。

　　7 风险识别

　　7. 1 监测信息采集

　　基于确定的监测对象 ,按照 5. 2采取流量解析 、日志分析及主动探测中的一种或多种监测方式 ,采集监测对象相关的原始信息 。

　　a) 提供方 ,包括 :

　　1) IP地址和端口号 ,如响应的目标 IP地址和端口号 ;

　　2) 响应服务器信息 ,如服务器软件的名称和版本 ;

　　3) 数字证书信息 ,如证书域名 、主机名 、有效期 、颁发者 、公钥算法 、签名算法 ;

　　4) 其他自定义响应头部等 。

　　b) 调用方 ,包括 :

　　1) 基于身份验证的凭证信息 ,如用户名 、令牌 、明文或密文口令 ;

　　2) IP地址和端口号 ,如请求的源 IP地址和端口号 ;

　　3) 调用方代理信息 ,如应用程序或浏览器的类型和版本 、操作系统类型 、设备类型 ;

　　4) 位置信息 ,如移动设备地理位置信息 ;

　　5) 其他自定义请求头部等 。

　　c) 数据接 口 ,包括 :

　　1) 数据接口通信协议类型,如 HTTP、HTTPS、FTP、SFTP;

　　2) 数据接口标识符 ,用于访问或识别数据接口的资源标识符 ;

　　3) 数据接口请求 ,如调用方请求数据类型 、会话标识 、鉴权信息 ;

　　4) 数据接口响应 ,如响应状态码 、响应内容类型 、响应内容长度 、错误信息 。

　　d) 数据 ,如数据类别、数据级别和数量等 ,数据类别、级别符合 GB/T 43697—2024第 5 章和第 6章规定的分类分级规则 。

　　e) 提供行为及调用行为 ,包括 :

　　1) 操作行为类型 ,如创建 、删除 、更新 、读取 ;

　　5

　　GB/T 46796—2025

　　2) 操作时间信息 ,如接口请求发起时间 、服务响应时间 、操作执行时间 。

　　f) 其他 ,包括网络通信统计信息 ,如会话数 、总包数 、丢错包率 、总字节数 、通信延迟 、通信负载 。

　　7.2 监测信息处理

　　7.2. 1 数据清洗

　　通过数据清洗方式处理采集的监测信息 ,如空值 、缺失值 、冗余数据 、错误数据和无效数据等 , 以开展监测策略分析 ,数据清洗方式包括但不限于如下方面 。

　　a) 空值 、缺失值清洗 ,如通过手工填入 、已有数据推导替代进行补齐 。

　　b) 冗余数据清洗 ,如利用唯一性字段或特定规则进行冗余数据过滤 。

　　c) 错误数据清洗 ,如使用统计分析 、规则库和约束条件等方式对错误值进行纠正 。

　　7.2.2 特征信息提取和加工

　　对清洗后的规范化监测信息 ,采取内容解析 、统计聚合 、基于规则特征构造 、机器学习 、自动化工具等方式 ,对关键特征信息进行提取和加工 ,特征信息包括但不限于如下方面 。

　　a) 提供方 ,包括 :

　　1) 域名信息 ,如域名所属业务 、域名所属组织 ;

　　2) IP信息 ,如 IP所属网段 、IP所属部门 、IP所属业务 。

　　b) 调用方 ,包括 :

　　1) 账号信息 ,如账号名称 、所属部门 、账号分布 ;

　　2) IP信息 ,如 IP所属地域 、IP所属网段 。

　　c) 数据接 口 ,包括 :

　　1) 认证和鉴权参数 ,如令牌 、用户名和口令 ;

　　2) 安全响应参数 ,如 CSP。

　　d) 数据 ,包括 :

　　1) 数据量 ,如数据总量 、敏感数据量等 ;

　　2) 数据范围 ,如重要数据范围 、核心数据范围 、个人信息范围 ;

　　3) 数据形态 ,如明文形态 、脱敏形态 、加密形态 。

　　e) 提供行为及调用行为 ,包括 :

　　1) 调用行为统计信息 ,如调用次数 、调用频率 、调用数据量 、调用数据类型 、调用成功或失败次数 ;

　　2) 登录行为统计信息 ,如尝试登录次数 、尝试登录频率 、登录失败次数和频率 、失败的用户名/口令组合 ;

　　3) 响应行为信息 ,如响应码分布 、响应失败次数和频率 、平均响应时间 、平均延迟时间 。

　　7.3 风险源识别

　　7.3. 1 风险源识别策略

　　基于 7. 2监测信息的处理结果 ,采用 自动化或半 自动化的方式 , 明确 数 据 接 口 安 全 风 险 源 识 别 策略 ,识别数据接口安全风险源 ,输出数据接口安全风险源清单 ;如不具备自动化数据接口安全风险源识别能力 ,可通过人工方式识别 。数据接口安全风险源主要为数据接口脆弱性 、数据未授权披露 、数据接口异常调用 、数据接口异常提供等 。

　　注 : 典型数据接口安全风险源类型见附录 B,典型数据接口安全风险源识别策略示例见附录 C。

　　6

　　GB/T 46796—2025

　　7.3.2 风险源分析手段

　　7.3.2. 1 数据接口脆弱性

　　分析数据接口的输入输出参数 、协议规范及身份验证等特征信息 ,采用统计比对 、黑白名单等技术手段 ,识别数据接口可能存在的脆弱性 ,常见的分析手段包括但不限于如下方面 。

　　a) 建立数据接口参数异常特征库 ,如检测和分析数据接口参数 , 以快速识别可能存在的脆弱性 。

　　b) 建立用于模拟数据接口调用的测试用例库 ,分析数据接口构造参数的响应结果 ,基于模拟行为产生的异常结果 ,识别数据接口可能存在的脆弱性 。

　　7.3.2.2 数据未授权披露

　　分析数据类型 、数量等特征信息 ,结合数据接口实际所需的数据处理需求 ,识别数据未授权披露风险源 ,常见的分析手段包括但不限于如下方面 。

　　a) 建立数据接口数据处理规则库 ,用于检测和分析数据接口传输的数据类型 、数量等 ,识别可能存在的数据过度披露或违规传输风险 。

　　b) 设置数据量 、数据类型披露阈值 ,对比已有法律 、行政法规 、标准或业务需求 ,设置数据接口传输的数量 、数据类型披露阈值 ,识别可能存在的数据过度披露或违规风险 。

　　7.3.2.3 数据接口异常调用、提供

　　采用人工智能 、机器学习和特征匹配等技术手段 , 自动对特征信息进行分析和归纳推理 ,识别数据接口调用 、提供的正常行为特征 , 发现偏离正常行为特征的情况 , 常见的分析手段包括但不限于 如 下方面 。

　　a) 建立数据接口调 用 特 征 库 或 调 用 行 为 基 线 , 对 数 据 接 口 调 用 方 的 调 用 行 为 进 行 异 常 特 征 比对 ,发现异常数据接口调用行为 。

　　b) 建立数据接口调用方 、提供方白名单 ,对数据接口实际调用方 、提供方的身份比对 ,发现异常的调用方 、提供方 。

　　c) 建立数据接口清单 ,通过对比已授权开放的数据接口信息 ,如数据接口地址 、开放期限 、开放范围等 ,识别过度 、超期开放的数据接 口 。

　　8 分析研判

　　8. 1 风险分析

　　基于 7. 3识别的数据接口安全风险源清单 ,按照 GB/T 45577—2025第 9 章规定的风险分析与评价 ,分析数据接口安 全 风 险 源 可 能 导 致 的 数 据 安 全 风 险 类 型 , 以 及 风 险 危 害 程 度 和 风 险 发 生 的 可 能性 ,评价数据接口安全风险等级 ,形成数据接口安全风险清单 。

　　注 : 典型数据接口安全风险类型示例见附录 D。

　　8.2 事件研判

　　对数据安全风险进一步分析 ,研判数据安全风险是否已引发数据安全事件 ,对数据接口和数据的安全造成危害 ,并对引发的数据安全事件进行评估 ,确认事件基础信息 ,评估事件影响范围 、影响对象 、影响程度 、事件后果等 ,按照 GB/T 20986—2023中 5. 2. 3规定的事件类型 ,对数据安全事件进行归类 ,形成数据接口安全事件清单 。

　　7

　　GB/T 46796—2025

　　9 预警处置

　　9. 1 监测预警

　　建立数据接口安全监 测 预 警 机 制 , 对 分 析 研 判 阶 段 发 现 的 数 据 接 口 安 全 风 险 与 事 件 进 行 预 警 通报 ,并通知相关责任人进行核实及处置 ,监测预警方式包括但不限于如下方面 。

　　a) 形成可视报表进行界面展示 ,如数据接口安全状态 、安全告警信息 , 以及安全风险与事件的关联关系 。

　　b) 主动推送预警信息方式 ,如短信 、邮件 、即时通信 、站内信 、系统间互联接口推送等 。

　　9.2 监测处置

　　根据数据接口安全监测预警信息 , 明确数据接口安全风险及事件处置建议 ,依据相关法律法规 、标准和组织内部安全风险与事件管理机制 ,启动安全风险与事件处置流程 。

　　注 : 数据接口安全风险处置措施示例见附录 E。

　　9.3 编制监测报告

　　根据以上监测情况 ,监测团队编写数据接口安全风险监测报告 ,监测报告准确 、清晰地描述监测活动的主要内容 。监测报告内容包括如下方面 。

　　a) 数据处理者基本信息 、数据安全负责人姓名和联系方式等 。

　　b) 工作概述 ,包括监测背景 、目的及依据 ,监测对象和范围 ,监测方式和监测结论等 。

　　c) 数据接口安全风险识别 ,结合监测工具 ,识别数据接口安全风险源类型及具体风险源描述 , 附必要的监测证据或记录 。

　　d) 监测分析与研判 ,包括数据接口安全风险分析 、数据接口安全事件研判 ,视情况对风险进行等级评价 ,对事件进行分类和等级判定 ,提出风险与事件预警 、处置建议 。

　　e) 监测预警与处置 ,包括数据接口安全风险与事件预警与处置情况 , 附必要的预警与处置记录 。

　　f) 附录内容 ,包括数据接口安全风险源清单 、数据接口安全风险清单 、数据接口安全事件清单等 。

　　8

　　GB/T 46796—2025

　　附 录 A

　　(资料性)

　　典型数据接口结构及技术和业务形态说明

　　A. 1 数据接口结构

　　数据接口结构一般由接口地址 、请求方式 、支持格式 、请求参数 、返回参数等构成 ,数据接口常见结构包括 :

　　a) 接口地址:http://xxx/xxx/.../xxx/xx. do或 https://xxx/xxx/.../xxx/xx. do;

　　b) 请求方式 :GET/POST;

　　c) 支持格式 :JSON;

　　d) 请求参数 :示例见表 A. 1;

　　e) 返回参数 :示例见表 A. 2。

　　表 A. 1 请求参数示例

　　名称

　　类型

　　说明

　　app_id

　　Int

　　商户号 ,支付服务商分配给用户的唯一标识

　　out_trade_no

　　string

　　订单号 ,商户网站生成的唯一订单标识

　　total_amoun

　　float

　　支付金额 ,订单总金额

　　cust_name

　　string

　　用户姓名

　　cust_pho

　　string

　　用户手机号

　　表 A.2 返回参数示例

　　名称

　　类型

　　说明

　　trade_status

　　string

　　支付状态 ,交易状态

　　trade_no

　　string

　　支付流水号 ,支付服务商交易号 ,唯一标识一笔交易

　　out_trade_no

　　string

　　订单号 ,商户网站生成的唯一订单标识

　　total_amount

　　float

　　支付金额 ,实际支付的金额

　　A.2 数据接口技术形态

　　数据接口典型技术形态包括 Web API、文件下载接口等 ,包括 :

　　a) Web API:如 RESTfulAPI、SOAP API和 GraphQL API等 ;

　　b) 文件交换接口:如 HTTP文件下载接口、FTP接口和 SFTP接口等。

　　A.3 数据接口业务形态

　　A.3. 1 数据开放接口

　　用于向外部提供数据访问 、下载的接 口 ,支持第三方系统或用户直接访问 、下载 ,或经过身份验证后访问 、下载 ,如公共服务信息查询 、政府数据开放等 。

　　9

　　GB/T 46796—2025

　　A.3.2 数据共享接口

　　用于组织向其他数据处理者传输 、交换数据 ,遵循约定的协议与第三方系统进行对接 。如向合作伙伴提供履行合同所需数据 、向监管部门上报信息等 。此外 , 因数据共享的目的 、网络环境不同 ,除常规业务合作的数据共享接口以外 ,还包括如数据交易接 口 ,主要用于向数据交易平台提供交易数据或基于数据交易平台向第三方提供数据 ;数据跨境接 口 ,主要指通过数据接口进行数据共享的调用方与提供方不属于同一个国家/地区(数据管辖要求不同) ,如企业内部管理数据跨境同步 、跨境电商业务数据共享等 。

　　A.3.3 数据收集接口

　　主要用于从各类数据源(包括用户主动上传 、调用具有数据采集 、生成功能的软硬件组件 、从其他信息系统同步等) 自动收集或汇聚数据的接 口 ,如用户资料上传 、智能终端传感器采集数据和多行业公共数据汇聚等 。

　　A.3.4 其他数据接口

　　未在上述分类中的其他数据接口类型 ,如特定业务需求下的定制数据接 口 。

　　10

　　GB/T 46796—2025

　　附 录 B

　　(资料性)

　　典型数据接口安全风险源类型

　　表 B. 1 给出了典型数据接口安全风险源类型示例 。

　　表 B. 1 典型数据接口安全风险源类型示例

　　类型名称

　　类型描述

　　典型示例

　　示例说明

　　数据接 口脆弱性

　　由 于 数 据 接 口 鉴 别机制不 完 善 、输 入 参数校验缺失或薄弱以及数据传输安全机制不 足 等 , 导 致 数

　　据 接 口 容 易 遭 受 威胁利用

　　数据接口鉴别缺陷

　　数据接口鉴别存在弱口令 ,如 未 对 访 问 数 据 接 口 的 账 号 口 令强度做校验 ,存在弱口令

　　数 据 接 口 缺 乏 身 份 校 验 机 制 , 如 数 据 接 口 未 通 过 动/静 态 口令 、短信验证码 、公私钥 、数字证书 、令牌等方式对用户身份进行鉴别

　　数据接口可被越权访问和操 作 , 如 可 通 过 修 改 或 遍 历 数 据 接口请求参数实现数据越权访问或操作

　　数据接口注入缺陷

　　数据接口可被 SQL注入 ,如通过在数据接口请求参数中修改指定的 SQL命令或语句 ,执行数据访问 、修改 、导出或删除等操作

　　数据接口可被代码命令注入 , 如 通 过 在 数 据 接 口 的 请 求 参 数中修改指定的操作命令 ,执 行 数 据 访 问 、修 改 、导 出 或 删 除 等操作

　　数据接口传输缺陷

　　数据接口未采用加密传输通 道 , 如 数 据 接 口 未 采 用 加 密 传 输协议进行数据传输

　　数据接口敏感信息未加密传 输 , 如 传 输 过 程 中 对 敏 感 信 息 未进行加密 , 明文传输

　　数据接口采用不 安 全 的 协 议 或 算 法 , 如 数 据 接 口 使 用 RC4、 DES或 MD5等已被 证 实 不 安 全 的 算 法 , 可 能 导 致 数 据 的 保密性和完整性受到威胁

　　数据未授权披露

　　数 据 接 口 返 回 信 息超 出业 务 所 需 或 违反法律 、行 政 法 规 等有关规 定 , 导 致 数 据接口未授权过度披露如口令 、凭证 、错

　　误日志 、敏感数据等

　　数据接口异常暴露

　　数据接口未采用加密传输通 道 , 如 数 据 接 口 未 采 用 加 密 传 输协议进行数据传输 ,可能导致敏感数据过度暴露

　　数据接口返回数据包含未脱 敏 或 脱 敏 不 规 范 的 数 据 , 如 未 采用恰当的数据脱敏方式对敏 感 数 据 进 行 脱 敏 处 理 , 导 致 可 完整或者部分还原脱敏前的敏感信息

　　数据接口返回数据时未遵循 最 小 化 原 则 , 如 返 回 数 据 超 出 业务需求 、服务协议或法律法 规 、行 政 法 规 等 有 关 规 定 , 导 致 数据接口调用方超范围获取大量数据

　　11

　　GB/T 46796—2025

　　表 B. 1 典型数据接口安全风险源类型示例 (续)

　　类型名称

　　类型描述

　　典型示例

　　示例说明

　　数据接 口异常调用

　　调 用 方 对 数 据 接 口非法使 用 、异 常 使 用或滥用

　　数据接口异常调用

　　数据接口调用方滥用接 口 ,如 调 用 方 未 按 照 合 同 约 定 的 情 形异常调用数据接 口 ,或私自缓存 、转发数据

　　数据接 口异常提供

　　数 据 接 口 提 供 方 违反法律 、行政法规 、业务需 求 等 , 异 常 开放数据接口的行为

　　数据接口异常提供

　　数据接口超期开放 ,如数据 接 口 在 超 出 服 务 周 期 后 未 及 时 关闭 ,数据接口调用方仍可继续调用数据

　　违规开放特权后门 ,如开发 人 员 私 自 保 留 数 据 接 口 的 特 权 调用方式 ,可能越权对数据进行访问和操作

　　数据接口未经审核开放 ,如 未 经 内 部 审 核 或 安 全 配 置 不 当 导致内部的数据接口对外开放

　　12

　　GB/T 46796—2025

　　附 录 C

　　(资料性)

　　典型数据接口安全风险源识别策略示例

　　表 C. 1 给出了数据接口可能引发的典型安全风险源识别策略示例 。

　　表 C. 1 典型数据接口安全风险源识别策略示例

　　类型名称

　　典型风险源

　　风险源识别策略说明

　　数据接 口脆弱性

　　数据接口鉴别缺陷

　　针对数据接 口 缺 乏 身 份 校 验 机 制 的 识 别 策 略 : 分 析 数 据 接 口 的 身 份 鉴 别 机制 ,如 未 识 别 到 动/静 态 口 令 登 录 、访 问 凭 证 等 身 份 鉴 别 机 制 ,则 生 成 鉴 别 机 制缺失的数据接口安全风险告警

　　针对数据接口存在弱口令 的 识 别 策 略 : 数 据 接 口 采 用 口 令 登 录 认 证 , 可 对 口 令强度进行监测 , 如 存 在 连 续 数 字 、字 母 、简 单 的 英 文 单 词 、用 户 名 等 容 易 被 猜测 , 口令不符合预设的复 杂 性 要 求(如 最 小 长 度 、包 含 大 小 写 字 母 、数 字 和 特 殊字符等) ,账号可被暴力破解等 ,则生成数据接口存在弱口令的安全风险告警

　　针对数据接口可被未经授 权 访 问 的 识 别 策 略 : 结 合 数 据 接 口 的 鉴 别 脆 弱 性 ,从登录频次 、登录失败次数 、登录账号数 量 、登 录 IP等 维 度 ,对 数 据 接 口 的 身 份 鉴别方式进行持续的监测 和 分 析 , 如 登 录 频 次 、登 录 失 败 次 数 、登 录 账 号 数 量 、登录 IP等信息与预设或常规状态不一致 ,则生成数据接口鉴别风险相关的威胁行为安全风险告警

　　数据接口注入缺陷

　　针对数据接口可被 SQL注入的识别策 略 :分 析 数 据 接 口 的 请 求 返 回 内 容 ,如 请求中包含特定的 SQL代码 、特殊的 SQL字符或返回内容中包含 SQL语法错误的错误消息等特征 ,则生成关于数据接口存在 SQL注入的安全风险告警

　　针对数据接口可被代码注 入 的 识 别 策 略 : 分 析 数 据 接 口 的 请 求 返 回 内 容 , 如 请求中包含特殊的命令字符 、异 常 的 系 统 命 令 或 外 部 命 令 , 返 回 包 异 常 响 应 时 长等特征 ,则生成关于数据接口存在代码注入的安全风险告警

　　数据接口传输缺陷

　　针对数据接口采用不安全的协议或算法的识别策略 :通过 分 析 数 据 接 口 的 请 求内容和返回内容 ,如数据接口的安全协议或算法与预期的 足 够 强 度 和 安 全 性 保护效果不一致 ,则生成数 据 接 口 未 采 用 敏 感 数 据 加 密 传 输 、未 采 用 安 全 加 密 协议或算法的安全风险告警

　　针对数据接口重放攻击的 识 别 策 略 : 对 数 据 接 口 的 请 求 进 行 匹 配 分 析 , 如 监 测数据接口的访问 日志或者 对 数 据 接 口 进 行 抓 包 分 析 , 检 查 存 在 重 复 的 、大 量 相同的请求或者请求包 ,则生成发现数据接口的重放攻击行为的安全风险告警

　　数据未授权披露

　　数据接口异常暴露

　　针对数据接口返回内容存在敏感数据的识别策略 :分析数 据 接 口 返 回 的 敏 感 数据类型 、范围等内容 ,如返回内容与业务所需的内容 不 一 致 ,则 生 成 敏 感 数 据 被暴露的安全风险告警

　　13

　　GB/T 46796—2025

　　表 C. 1 典型数据接口安全风险源识别策略示例 (续)

　　类型名称

　　典型风险源

　　风险源识别策略说明

　　数据未授权披露

　　数据接口异常暴露

　　针对数据接口返回数据包含脱敏及未脱敏数据的识别策 略 :分 析 数 据 接 口 返 回的数据明文和密文的状态等内容 ,如数据接口返回脱敏数 据 与 预 设 的 脱 敏 效 果不匹配 ,则生成脱敏内容可还原敏感信息的安全风险告警

　　针对数据接口返回数据时未遵循最小化原则的识别策略 :分 析 数 据 接 口 返 回 的数据类型 、数量等内容 ,设 置 数 据 量 、类 型 披 露 阈 值 , 建 立 数 据 接 口 数 据 处 理 规则库等 ,如返回数据的类型和数量与约定的 、预设的 或 者 已 有 法 律 法 规 、行 政 法规所规定的不一致 ,如《数 据 出 境 安 全 评 估 办 法》, 则 生 成 数 据 接 口 存 在 未 授 权披露的安全风险告警

　　数据接 口异常调用

　　数据接口异常调用

　　针对数据接口调用方滥用 数 据 接 口 的 识 别 策 略 : 以 调 用 方 为 维 度 , 对 数 据 接 口的调用频次 、时间 、数量等行为进行监测分析 ,如数据 接 口 的 使 用 情 况 与 正 常 的业务调用行为不匹配 ,则生成异常数据接口调用行为的安全风险告警

　　针对机器爬虫遍 历 数 据 接 口 的 识 别 策 略 : 对 数 据 接 口 的 调 用 行 为 进 行 监 测 分析 ,如请求频率 、响应速度 、请求时间 、大 量 请 求 来 自 同 一 IP地 址 或 者 同 一 时 间段内有大量频繁的 、规律性的数据接口访问行为等 , 与 正 常 用 户 的 访 问 行 为 、使用习惯进行对比不一致 ,则生成数据接口被机器爬虫遍历的安全风险告警

　　数据接 口异常提供

　　数据接口异常提供

　　针对异常开放特权接口或违规留存后门接 口 的识别策略 :对 数 据 接 口 的 请 求 方式 、鉴权参数 、返回内容等进行分析 ,如存在某些接口 具 有 特 殊 权 限 功 能 且 未 经授权或未经审批对外开放 ,则生成存在特权接口或者后门接口的安全风险告警

　　针对违规开放数据接口的识别策略 :如监测发现梳理的数 据 接 口 清 单 和 组 织 备案的数据接口清单进行对比发现不一致 ,则生成未经审核 开 放 数 据 接 口 的 安 全风险告警

　　针对数据接口超期开放的识别策略 :如监测发现梳理的数 据 接 口 清 单 存 在 沉 默接 口 ,或与组织备案的有 效 期 内 的 数 据 接 口 清 单 进 行 对 比 发 现 不 一 致 , 则 生 成数据接口超期开放的安全风险告警

　　14

　　GB/T 46796—2025

　　附 录 D

　　(资料性)

　　典型数据接口安全风险类型示例

　　表 D. 1 给出了数据接口可能引发的典型数据安全风险类型示例 。

　　表 D. 1 典型数据安全风险类型示例

　　序号

　　风险类型

　　类型说明

　　1

　　数据泄露风险

　　由于数据接口可能面临被爬取 、攻击 、人员不合理操作等威胁行为 ,且 数 据 接 口 本 身 存在弱口令 、身份校验鉴别机制缺 陷 、数 据 明 文 传 输 、安 全 控 制 措 施 缺 失 等 脆 弱 性 , 可 能存在数据泄露 、恶意窃取等安全风险 ,影响数据保密性

　　2

　　数据篡改风险

　　由于数据接口可能面临被 SQL注入 、代码命令 注 入 等 缺 陷 或 者 缺 乏 安 全 控 制 措 施 、人员不合理操作等威胁行为 ,可能导致接口数据被篡改 ,影响数据完整性

　　3

　　数据滥用风险

　　由于数据接口缺乏授权访问控 制 、权 限 管 控 等 有 效 的 安 全 管 控 措 施 、人 员 不 合 理 操 作等 ,导致数据接口被未授权或超出授权范围使用的风险 ,影响数据保密性

　　4

　　数据伪造风险

　　由于攻击者可能通过伪造数据接口的请求或参数来欺骗数据接 口 ,或面 临 缺 乏 安 全 控制措施 、人员不合理操作等 ,影响数据完整性

　　5

　　数据破坏风险

　　由于数据接口可能面临被嵌入 恶 意 代 码 等 安 全 威 胁 , 或 缺 乏 安 全 控 制 措 施 、人 员 不 合理操作等 ,导致数据接口被破坏 、毁损等 ,影响数据可用性

　　6

　　数据丢失风险

　　由于数据接口可能面临传输链路过载 、软硬件故障等安全威胁 ,或 缺 乏 安 全 控 制 措 施 、人员不合理操作等 ,可能存在数据接口传输性能下降 、数据丢失等 安 全 风 险 ,影 响 数 据完整性及可用性

　　15

　　GB/T 46796—2025

　　附 录 E

　　(资料性)

　　数据接口安全风险处置措施示例

　　表 E. 1 给出了数据接口安全风险处置措施示例 。

　　表 E. 1 数据接口安全风险处置措施示例

　　类型名称

　　典型风险源

　　风险场景

　　风险处置措施示例

　　数据接 口脆弱性

　　数据接口鉴别缺陷

　　弱口令

　　采用动/静 态 口 令 、短 信 验 证 码 、生 物 特 征 认 证 、单 点 登 录(SSO) 、公私钥等多因素鉴别安全策略 ,避免因弱 口令导致被暴力破解

　　数据接口未鉴权

　　采用动/静 态 口 令 、短 信 验 证 码 、生 物 特 征 认 证 、单 点 登 录(SSO) 、公私钥等鉴别 安 全 策 略 ,避 免 因 缺 乏 鉴 权 机 制 , 导 致 数据被未授权访问

　　数据接口鉴别方式简单或重复

　　采用动/静 态 口 令 、短 信 验 证 码 、生 物 特 征 认 证 、单 点 登 录(SSO) 、公私钥等多因 素 鉴 别 安 全 策 略 , 避 免 鉴 别 能 力 不 足 , 导致数据被未授权访问

　　越权访问

　　采取安全策略配置 、代 码 功 能 升 级 改 造 等 方 式 , 防 止 数 据 接 口相关越权访问 ,禁 用 或 修 复 受 到 越 权 访 问 影 响 的 数 据 接 口 , 避免数据未经授权的访问

　　数据接口注入缺陷

　　数据接口可被SQL注入

　　采用验证输入 、参数化查询 、最小权限原则 、Web 应 用 程 序 防 火墙等安全措施 , 防止 SQL注入

　　数据接口可被代码命令注入

　　禁用或修复受影响的数据接 口 ,对 用 户 输 入 或 获 取 的 数 据 进 行严格的验证和过滤 ,或使用安 全 的 执 行 环 境 , 如 沙 箱 隔 离 、最 低权限运行 、系统调用过滤

　　数据接口传输缺陷

　　数据未加密传输

　　使用 TLCP协议进行加密 、签名 , 或 者 采 用 脱 敏 、匿 名 化 处 理 等技术手段 ,避免数据明文传输

　　敏感信息未加密传输

　　在敏感数据传输前进行适当 的 脱 敏 或 加 密 处 理 ,避 免 敏 感 信 息泄露的风险

　　采用不安全的协议或算法

　　使用安全的加 密 协 议 , 如 TLS1. 2 和 TLS1. 3, 不 使 用 TLS1. 1、 HTTP、Telnet、FTP等不安 全 的 协 议,确 保 数 据 在 传 输 过 程 中进行安全加密 , 防止中间人攻击和数据截获

　　数据未经授权披露

　　数据接口异常暴露

　　数据类型过度暴露

　　遵循数据最小化原则 , 限制仅返回业务所需的最基本信息

　　数据接口返回

　　数据包含脱敏及

　　未脱敏数据

　　定期检查数据脱敏策略的有 效 性 ,尤 其 针 对 新 增 或 修 改 的 数 据字段 , 以确保其仍然符合数据脱敏规则

　　16

　　GB/T 46796—2025

　　表 E. 1 数据接口安全风险处置措施示例 (续)

　　类型名称

　　典型风险源

　　风险场景

　　风险处置措施示例

　　数据未经授权披露

　　数据接口异常暴露

　　数据接口返回大量敏感信息

　　依据业 务 实 际 需 求 , 限 制 数 据 接 口 单 次 请 求 返 回 的 敏 感 数据 ,或对数据接口 返 回 的 敏 感 数 据 进 行 脱 敏 处 理 , 避 免 大 量 敏感信息过度暴露

　　数据接 口异常调用

　　数据接口异常调用

　　数据接口滥用

　　建立全面的数据接口调用审 计 和 监 控 机 制 ,定 期 审 计 数 据 接 口的使用情况 ,及时发现异常行为并采取安全措施

　　机器爬虫抓取数据

　　针对机器爬虫抓 取 数 据 的 风 险 , 实 施 动 态 反 爬 策 略(如 行 为 分析 、验证码验证) ,并严格限制 IP请求频率 ,结合 Web 应用防火墙等安全产品实时拦截异常流量

　　数据接 口异常提供

　　数据接口异常提供

　　超期开放数据接 口

　　为每个数据接口设定开放的 有 效 期 限 ,确 保 数 据 接 口 达 到 规 定期限后 ,数据接 口 自动关闭或提示重新授权

　　违规开放数据接 口

　　对未经过审核开放的数据接 口 进 行 下 线 处 理 ,加 强 数 据 接 口 的访问控制策略 , 降低数据泄露 、滥用风险

　　17

　　GB/T 46796—2025

　　参 考 文 献

　　[1] GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求

　　[2] GB/T 35273—2020 信息安全技术 个人信息安全规范

　　[3] GB/T 35274—2023 数据安全技术 大数据服务安全能力要求

　　[4] GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型

　　[5] GB/T 39477—2020 信息安全技术 政务信息共享 数据安全技术要求

　　[6] 中华人民共和国网络安全法[2016年 11月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过 , 中华人民共和国主席令(第五十三号)]

　　[7] 中华人民共和国密码法[2019年 10月 26 日第十三届全国人民代表大会常务委员会第十四次会议通过 , 中华人民共和国主席令(第三十五号)]

　　[8] 中华人民共和国数据安全法[2021年 6 月 10 日第十三届全国人民代表大会常务委员会第二十九次会议通过 , 中华人民共和国主席令(第八十四号)]

　　[9] 中华人民共和国个人信息保护法[2021年 8 月 20 日第十三届全国人民代表大会常务委员会第三十次会议通过 , 中华人民共和国主席令(第九十一号)]

　　[10] 数据出境安全评估办法(2022年 5 月 19 日 国家互联网信息办公室 2022年第 10次室务会议审议通过 , 国家互联网信息办公室令第 11号)

　　[11] 网络数据安全管理条例(2024年 8 月 30 日 国务院第 40次常务会议通过 , 中华人民共和国国务院令第 790号)

　　[12] 中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见(2022年 12月 2 日国务院公报 2023年第 1 号)

　　[13] 政务数据共享条例(2025年 5 月 9 日 国务院第 59次常务会议通过 , 中华人民共和国国务院令第 809号)

　　18