文件编码：XXX-XXXX-012 数据接口安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为保证北京思度咨询科技有限公司外部数据接口安全，明确数据接 口的安全限制和安全控制措施，制定本规范。 第二条 本规范适用于指导北京思度咨询科技有限公司接口安全管理工作。 第二章职责权限 第三条 数据安全领导小组办公室 （一）负责制定数据服务接口安全规范和安全控制策略，明确接口中的安全 要求； （二）负责审批和批准数据共享接口申请； （三）负责审批和批准数据服务接口安全控制策略。 第四条 技术中心-数据接口安全岗，主要履行的职责包括但不限于： （一）协助制定和验证应用系统的数据接口安全标准，明确接口中的安全要 求； （二）负责接口安全评估，评估接口的安全问题； （三）定期审计数据接口的安全能力； （四）负责组织处置接口中的安全事件以及应急处置。 第五条 数据与网络安全部 -数据安全审计岗，主要履行的职责包括但不限 于： （一）负责监控接口安全审计日志，分析日志中存在的日常事件； （二）协助技术中心 -数据接口安全岗位人员进行接口安全事件应急处置。 第三章 接口开发规范 第八条 技术中心-数据接口安全岗人员应在系统开发前明确数据接口的安 全策略，名确使用数据接口的安全限制和安全控制措施以及接口安全要求，形成 《接口开发规范》。以下内容为例，确保《接口开发规范》包括但不限于身份鉴 别、访问控制、签名、时间戳、安全协议、接口名称和接口参数等内容： （一）URL编码规则 第 1 页 共 6 页 签名验证时，要求对字符串中除了“ -”、“_”、“.”之外的所有非字母 数字字符都替换成百分号（ %）后跟两位十六进制数，十六进制数中字母必须为 大写。 （二）接口参数 1）系统级参数 以下参数由API平台系统定义，各系统需支持这些参数以便接入该平台提供 开放接口。API平台系统应采用应用授权认证接口方式，申请接入过程中，它为 第三方系统应用分配 accessid和密钥accesskey。 参数名称 类型 是否必填描述 accessed string 是注册应用时分配 到的应用唯一标 识，由系统 自动 生成。 signstring 是参数签名，对 sign外所有参数 传的签名，包括 应用级的参数。 timestampstring 是当前时间戳； 同 个应用的不 同API 请求的time值应 是递增的，用于 防replay攻击。 2）应用参数 各业务系统应 遵守API平台系统规范中应用级通用参数的 约定。 3）参数签名 算法 发送方将参数进行HMAC算法计算，将得到的哈希值（即签名值）与请求的 参数一桶提交至接收方，然后接收方再将参数等值进行HMAC算法计算，将得到 的哈希值与传递过来的哈希值进行核对验证， 若一样，说明请求正确、验证通过， 进行下一 步工作，若不一样，将返回错误。 第四章 接口应用规范 第九条 接口应用 说明 对外提供接口系统平台提供的 API服务原则上需基于https协议，采用xml 和json作为数据 传输格式的通用接口，授权用 户对特定的数据和数据 场景进行 第 2 页 共 6 页获取。根据https传输协议的约束，服务在 调用和传输过程中，需要 满足个个场 景下的要求。 第十条 接口请求数据 格式 支持https协议的接口服务， 具备post、get、put、restfull等调用类型； 服务提供方需保 障服务的有效 性、可连接性，提供数据访问和 调用案例；详细描 述接口名称和 场景，对接口的 调用和参数进行 详细说明，接口 调用和联调需要保 障各类文档的有效性并及时更新。 第十一条 接口 返回数据格式规范 对https服务请求的 结果，需要进行 描述和说明；返回参数需要 说明调用状 态、调用结果实体，明确表示数据返回结果和数据类型，提供数据 调用、返回的 案例，标识数据返回的结构类型。 第五章 接口安全管理规范 第十二条 数据接口开发人员应 建立统一的接口开发技术规范， 健全数据接 口设计、开发、 测试等环节标准规范和管理制度，技术规范 建立后应经技术中心 进行审批。 第十三条 负责接口安全岗位人员应 针对现有的数据接口进行 实时管理，了 解数据接口的使用 目的、负责人、数据内容、请求参数以及 返回参数等，组织定 期对接口 信息表中接口进行验证，确保 其状态与记录信息一致。 第十四条 接口安全岗位人员组织 专人定期对接口 可用性、安全性进行核验， 确保接口的 正常使用，组织 专人对数据接口进行管理， 建立《数据接口 清单》， 包括接口 创建时间、数据内容、 创建墓地、调用者以及责任人等，并在接口信息 变更时进行更 新。 第十五条 接口安全岗位人员对数据接口的 上线、变更以及下 线过程必须组 织相关人员进行监控： （一）在新数据接口 上线前由接口安全岗位人员进行接口安全评估，发 现问 题是，暂停上线并及时调整，确保上线接口安全 性； （二）上线后应对其运行情况进行实时监控，发 现接口运行异常、恶意调用 等情况及时采取防护措施，修 复相应问题； （三）当接口不再使用，若北京思度咨询科技有限公司为接口提供方，则下 发工单至对应接口开发人员； 若北京思度咨询科技有限公司为接口 调用方，下发 第 3 页 共 6 页工单至对应技术人员 停止接口的调用服务， 并记录结果，内容包 含停用的接口名 称、时间以及接口 调用等信息。 第十六条 所有数据 交换接口必须 具具有身份验证 机制，通过参数签名、身 份令牌、时间戳等方 法对接口调用者身份进行鉴别。身份 令牌（token）必须每 日更新；参数签名的 构成应包括 固定字符串以及 可变字符串；timestamp的具体 值结合数据量以及链路网速来共同决定，无特殊情况设置为3分钟。接口共享数 据等级不 超过二级时 可采用单因素认证；数据共享等级 超过二级时必须采用 双因 素认证。 第十七条 在对接口分配权限时， 严格遵循最小必要权限 原则，除接口开发 人员外，接口管理员以及接口 调用方仅仅只有接口的 调用权。 第十八条 数据共享时，必须与各 个接口调用方签署合作协议，明确数据的 使用目的、供应方式、保 密约定、数据安全责 任等信息。对涉及敏感信息、重要 数据的数据接口，必须 加强接入方资质和数据安全 防护能力的审 核，规范合作要 求，避免因接入方原因导致数据安全事件。 第十九条 在定期开 展的安全培训中必须加大对接口安全保 护的宣传力度， 缩小各部门之间对接口安全 重视程度差异，提高员工的安全 意识，特别是开发运 维人员。 第二十条 数据与网络安全部 -数据安全审计岗人员应对数据接口的 调用行 为进行监控和分析，发 现违规行为应及时 上报至技术中心-数据接口安全岗人员 ， 技术中心-数据接口安全岗人员对 结果进行复核并对接口调用方相关账号操作进 行限制、 阻断，避免安全事件的发生 或扩大。预警行为主要包 含以下两个方面： （一）对于不同IP登录、连续认证失败等敏感操作，可能涉及到账号共享、 暴力破解、账号借用、兼任等违规行为； （二）短时间内大 量获取敏感数据、访问 频次异常、非工作时间 获取敏感数 据、敏感数据外发等 可能涉及到用户身份冒用以及用 户账号泄露等行为。 第二十一条 按照数据分类分级结果，数据定级为三级以 上的数据在 经数 据接口共享时应进行数据 脱敏或加密操作，按照数据安全 脱敏策略进行 敏感数据 脱敏处理，杜绝敏感数据明文 传输行为。 第二十二条 接口安全审计管理 数据与网络安全部 -数据安全审计岗人员对数据接口访问、接口 调用等操作 进行完整的日志记录， 并定期开展日志安全审计。 根据安全审计 结果编制审计 报 告，跟踪审计意见的后续落实，所有的 涉及接口安全的日志 信息至少需要保存90 天，特殊情况可延长日志保存时间。 第 4 页 共 6 页第二十三条 接口安全事件管理 数据接口 出现数据泄露、异常行为预警等安全事件时，数据与网络安全部 - 数据安全审计岗在监 测到事件发生后应 立即对数据接口进行 停用并通知技术中 心-数据接口安全岗人员对接口 调用IP、账号进行限制。 同时，应与 账号所属调 用方进行 沟通，对产生安全事件的 原因进行核查。 第二十四条 安全事件发生后，应 遵循线索溯源和主体溯源机制，以泄露 数据内容为 线索，安全事件应急 响应人员对 比数据接口 清单找到对应的可能出 现数据泄露的接口，提 取数据接口日志中的 相关记录进行分析， 从而确定责任 人和泄露路径，对相关责任人进行处 罚。 第二十五条 对于接口名称、接口参数以及 其他接口安全要求，参 照各业 务系统《接口开发规范》 执行。 第 5 页 共 6 页第六章 附则 第二十六条 本规范由数据安全领导小组办公室负责制定、 解释和修改。 第二十七条 对违反本规定的人员， 将按照北京思度咨询科技有限公司有 关 规定进行处 罚。 第二十八条 本规范自发布之日 起执行。 第 6 页 共 6 页