ICS 35.100.70 CCS L79 中华人民共和国通信行业标准 中华人民共和国通信行业标准 [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部 发 布YD YD/T ××××—×××× 电信网和互联网应用程序接口数据安全技 术要求和测试方法 Data security technical requirements and testing methods for API of telecom and Internet [点击此处添加与国际标准一致性程度的标识] （报批稿）YD/T ×××××—×××× I目　　次 前　　言 ............................................................................... II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语、定义和缩略语 ................................................................ 1 3.1 术语定义 ...................................................................... 1 3.2 缩略语 ........................................................................ 2 4 概述 .............................................................................. 3 5 安全技术要求 ...................................................................... 3 5.1 身份认证 ...................................................................... 3 5.2 接入授权 ...................................................................... 3 5.3 访问控制 ...................................................................... 3 5.4 数据传输 ...................................................................... 4 5.5 数据脱敏 ...................................................................... 4 5.6 数据筛选 ...................................................................... 4 5.7 攻击防护 ...................................................................... 5 5.8 安全监测 ...................................................................... 5 5.9 进退网管理 .................................................................... 5 5.10 安全审计 ..................................................................... 6 6 测试方法 .......................................................................... 6 6.1 身份认证 ...................................................................... 6 6.2 接入授权 ...................................................................... 7 6.3 访问控制 ...................................................................... 7 6.4 数据传输 ...................................................................... 8 6.5 数据脱敏 ...................................................................... 9 6.6 数据筛选 ..................................................................... 10 6.7 攻击防护 ..................................................................... 11 6.8 安全监测 ..................................................................... 12 6.9 进退网管理 ................................................................... 13 6.10 安全审计 .................................................................... 14 附 录A ............................................................................... 16 YD/T ×××××—×××× II 前　　言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分 标准化文件的结构和起草规则》的规定 起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：中国信息通信研究院、 中国电信集团公司、中国移动通信集团有限公司、 中国联 合网络通信集团有限公司 、中讯邮电咨询设计院有限公司 、全知科技 （杭州）有限责任公司 、北京山石 网科信息技术有限公司 、恒安嘉新 （北京）科技股份公司 、成都思维世纪科技有限责任公司 、上海观安 信息技术股份有限公司 、亚信科技 （成都）有限公司 、杭州美创科技有限公司 、北京安华金和科技有限 公司、北京炼石网络技术有限公司 、珠海高凌信息科技股份有限公司 、北京亚鸿世纪科技发展有限公司 、 OPPO广东移动通信有限公司 、北京数安行科技有限公司 、杭州大拙信息技术有限公司 、北京神州绿盟 科技有限公司 、深圳昂楷科技有限公司 、杭州安恒信息技术股份有限公司 、郑州信大捷安信息技术股份 有限公司 、深圳市网安计算机安全检测技术有限公司 、贝壳找房 （北京）科技有限公司 、美的集团股份 有限公司。 本文件主要起草人：解伯延、王丹辉、谢玮、陈湉、刘明辉、耿冠和、蔡逆水、江为强、吴连勇、 孙宁宁、王首媛、金科、王伟光、赵烨、孟娟、钟志成、谢江、王吉文、唐力、刘玉红、王华飞、刘晓 光、瞿宏锋、杨昆霖、王振东、官文兵、张海川、刘为华、黄伟杰、王军军、杨坤。 YD/T ×××××—×××× 1 1　范围 本文件规定了电信网和互联网应用程序接口（ API）数据安全的技术要求，并提供了相应测试方法、 判定准则等。 本文件适用电信网和互联网 API相关的开发者、运营者及专业测评机构开展 API数据安全测试工作， 为提升API数据安全水平，强化测试能力、健全技术手段提供指引和依据。本文件不适用于操作系统接 口、硬件接口。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本 (包括所有的修改单 )适用于本文 件。 GB/T 25069 信息安全技术 术语 GB/T 29246 信息技术 安全技术 信息安全管理体系 概述和词汇 GB/T 35273 信息安全技术 个人信息安全规范 3　术语和定义 GB/T 25069、GB/T 29246和GB/T 35273中界定的以及下列术语和定义适用于本文件。 3.1　 应用程序接口