ICS35.030 CCSL80 中华人民共和国国家标准 GB/T46796—2025 数据安全技术 数据接口安全风险监测方法 Datasecuritytechnology—Datainterfacesecurityriskmonitoringmethods 2025-12-02发布 2026-07-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 通则 2 ……………………………………………………………………………………………………… 5.1 数据接口安全风险监测要素关系 2 ………………………………………………………………… 5.2 数据接口安全风险监测方式 3 ……………………………………………………………………… 5.3 数据接口安全风险监测流程 3 ……………………………………………………………………… 5.4 数据接口安全风险监测过程控制 4 ………………………………………………………………… 6 监测准备 4 ………………………………………………………………………………………………… 6.1 组建监测团队 4 ……………………………………………………………………………………… 6.2 确定监测对象 5 ……………………………………………………………………………………… 6.3 制定监测方案 5 ……………………………………………………………………………………… 7 风险识别 5 ………………………………………………………………………………………………… 7.1 监测信息采集 5 ……………………………………………………………………………………… 7.2 监测信息处理 6 ……………………………………………………………………………………… 7.3 风险源识别 6 ………………………………………………………………………………………… 8 分析研判 7 ………………………………………………………………………………………………… 8.1 风险分析 7 …………………………………………………………………………………………… 8.2 事件研判 7 …………………………………………………………………………………………… 9 预警处置 8 ………………………………………………………………………………………………… 9.1 监测预警 8 …………………………………………………………………………………………… 9.2 监测处置 8 …………………………………………………………………………………………… 9.3 编制监测报告 8 ……………………………………………………………………………………… 附录A(资料性) 典型数据接口结构及技术和业务形态说明 9 ………………………………………… A.1 数据接口结构 9 ……………………………………………………………………………………… A.2 数据接口技术形态 9 ………………………………………………………………………………… A.3 数据接口业务形态 9 ………………………………………………………………………………… 附录B(资料性) 典型数据接口安全风险源类型 11 ……………………………………………………… 附录C(资料性) 典型数据接口安全风险源识别策略示例 13 …………………………………………… 附录D(资料性) 典型数据接口安全风险类型示例 15 …………………………………………………… 附录E(资料性) 数据接口安全风险处置措施示例 16 …………………………………………………… 参考文献 18 …………………………………………………………………………………………………… ⅠGB/T46796—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:全知科技(杭州)有限责任公司、公安部第三研究所、中国电子技术标准化研究院、 国家信息中心、中国信息通信研究院、中国信息安全测评中心、中国网络安全审查认证和市场监管大数 据中心、国家信息技术安全研究中心、云南电网有限责任公司信息中心、深信服科技股份有限公司、北京 浩瀚深度信息技术股份有限公司、罗克佳华科技集团股份有限公司、北京数安行科技有限公司、深圳市 信息安全管理中心、国网思极网安科技(北京)有限公司、广东省信息安全测评中心、中国电信股份有限 公司江西分公司、上海合合信息科技股份有限公司、阿里云计算有限公司、北京亚鸿世纪科技发展有限 公司、启明星辰信息技术集团股份有限公司、江苏省电子信息产品质量监督检验研究院(江苏省信息安 全测评中心)、浙江工业大学、北京天融信网络安全技术有限公司、奇安信网神信息技术(北京)股份有限 公司、深圳赛西信息技术有限公司、天翼云科技有限公司、中国联合网络通信集团有限公司、中国科学院 信息工程研究所、南方电网数据平台与安全(广东)有限公司、江西省政务信息中心、中国移动通信集团 有限公司、敏于行(北京)科技有限公司、上海文鳐信息科技有限公司、北京建恒信安科技有限公司。 本文件主要起草人:方兴、何延哲、魏凤玲、周顿科、徐克超、陈妍、刘蓓、闫桂勋、陈湉、曹京、宋璟、 肖鹏、都婧、冯晓晓、田宇轩、樊华、王哲麟、刘楠、宋博韬、宫盼盼、李玮、杨高峰、刘玉红、董安波、穆端端、 孙磊、于宁、郭立、宋宏宇、孙勇、古元、杨天识、周瑞群、张腾标、宣琦、晋钢、路俊杰、毕思文、张瑜、曹咪、 梁瑞刚、杜浩文、文剑、江为强、张健、仲凯韬、钱立佩。 ⅢGB/T46796—2025 数据安全技术 数据接口安全风险监测方法 1 范围 本文件描述了数据接口安全风险监测的要素关系、监测方式,给出了数据接口安全风险监测流程各 阶段的说明。 本文件适用于指导数据处理者、第三方机构开展数据接口安全风险监测工作,主管(监管)部门实施 数据接口安全风险监督管理时参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T20986—2023 信息安全技术 网络安全事件分类分级指南 GB/T43697—2024 数据安全技术 数据分类分级规则 GB/T45577—2025 数据安全技术 数据安全风险评估方法 3 术语和定义 GB/T43697—2024、GB/T45577—2025界定的以及下列术语和定义适用于本文件。 3.1 数据接口 datainterface 在不同网络区域或信息系统之间,调用方和提供方遵循一方或双方约定的数据传输格式,并完成数 据传输交换服务的接口。 注1:不包括物理硬件接口(如USB)以及系统内部的逻辑接口和协议接口等。 注2:典型数据接口结构及技术和业务形态见附录A。 3.2 数据接口安全风险源 datainterfacesecurityrisksource 可能导致危害数据接口承载数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱 性、问题和隐患等。 注:本文件中简称“风险源”,既包括安全威胁利用数据接口脆弱性可能导致数据安全事件的风险源,也包括数据处 理活动不合理操作可能造成违法违规处理事件的风险源。 [来源:GB/T45577—2025,3.5,有修改] 4 缩略语 下列缩略语适用于本文件。 API:应用程序编程接口(ApplicationProgrammingInterface) 1GB/T46796—2025 CSP:内容安全策略(ContentSecurityPolicy) FTP:文件传输协议(FileTransferProtocol) HTTP:超文本传输协议(HypertextTransferProtocol) HTTPS:超文本传输安全协议(HypertextTransferProtocolSecure) IP:互联网协议(InternetProtocol) JSON:JavaScript对象表示法(JavaScriptObjectNotation) SFTP:安全文件传输协议(SecureFileTransferProtocol) SQL:结构化查询语言(StructuredQueryLanguage) SSO:单点登录(SingleSignOn) TLCP:传输层密码协议(TransportLayerCryptographyProtocol) TLS:传输层安全性协议(TransportLayerSecurity) 5 通则 5.1 数据接口安全风险监测要素关系 数据接口安全风险监测涉及数据、数据接口、调用方、提供方、风险源、数据处理者、业务、安全措施 等要素,要素间关系见图1。 标引序号说