國家標準報批材料

國家標準《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》

編制說明

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標準化管理委員會2023年第一批網(wǎng)絡(luò)安全國家標準項目立項的通

知（信安字〔2023〕17號），《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》由

全知科技（杭州）有限責任公司負責承辦。本標準由全國信息安全標準化技術(shù)委

員會歸口管理。

1.2制定背景

近年來，隨著數(shù)據(jù)接口的廣泛應(yīng)用，相關(guān)數(shù)據(jù)安全問題日益凸顯。由于數(shù)據(jù)

接口的數(shù)據(jù)安全防護不嚴，缺乏有效的安全風險監(jiān)測，頻繁發(fā)生被惡意利用導致

的數(shù)據(jù)安全事件，損害了相關(guān)企業(yè)和用戶的合法權(quán)益。盡管當前眾多法律法規(guī)對

數(shù)據(jù)安全風險監(jiān)測提出要求，但并未明確涉及針對數(shù)據(jù)接口的安全防護。業(yè)界同

時缺乏解決由數(shù)據(jù)接口引發(fā)的數(shù)據(jù)安全風險，如數(shù)據(jù)泄露和濫用等問題的技術(shù)方

法。因此，亟需梳理數(shù)據(jù)接口安全風險分類，明確數(shù)據(jù)接口的風險監(jiān)測技術(shù)方法，

以增強數(shù)據(jù)接口的安全風險防護能力。

1.3起草過程

2021年7月-2022年6月：十余名專家跨領(lǐng)域成立調(diào)研小組，耗時近一年進

行研究和討論，產(chǎn)出一份約14000字的標準研究報告和一份約10000字的標準草

案。通過相關(guān)技術(shù)在三個關(guān)鍵行業(yè)領(lǐng)域進行了試點，包括金融（建設(shè)銀行）、政

務(wù)（深圳大數(shù)據(jù)局）和電信（江西電信）。

2023年4-5月：組建標準編制項目組，基于調(diào)研成果形成制定相應(yīng)標準草

案，并準備申報材料。

2023年6月：五月底至六月初，由全國信息安全標準化技術(shù)委員會（簡稱

“信安標委”）在昆明召開標準會議周，WG5工作組進行了立項匯報，得到工作

組同意，標準編制申請獲得批準。

2023年8月：《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》獲得信安標委

1

國家標準報批材料

正式發(fā)布立項通知。

2023年9月：正式發(fā)出征集《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》

標準參編單位的通知，廣泛征集參編單位。

2023年10月：舉行《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》正式啟

動會議，根據(jù)各參編單位提出的建議對標準內(nèi)容進行完善。

2023年10月：WG5工作組組織標準專家研討會，匯報《數(shù)據(jù)安全技術(shù)數(shù)據(jù)

接口安全風險監(jiān)測方法》文本內(nèi)容，并提交編制說明和意見匯總表。各位專家提

出相關(guān)專業(yè)意見，對標準內(nèi)容進行完善。

2023年11月：十一月初，由信安標委在武漢召開第二次標準會議周，WG5

工作組進行征求意見稿匯報，會議決策提議形成征求意見稿。

2023年11月：十一月中旬，由信安標委秘書處組織召開標準實踐指南專家

評審會，各專家意見一致建議不形成征求意見稿，需對實踐指南內(nèi)容進行進一步

完善。

2023年11月：十一月底，由WG5工作組組織標準專家研討會，根據(jù)專家提

出的建議，對標準內(nèi)容進行進一步完善。

2024年3月：三月上旬，由信安標委秘書處組織召開標準實踐指南專家評

審會，專家同意形成征求意見稿，并提出部分內(nèi)容的改進建議。

2024年5月：五月中旬，由WG5工作組組織標準專家研討會，根據(jù)專家提

出的建議，對標準內(nèi)容進行進一步完善。

2024年6月：六月中旬，由網(wǎng)安標委在南昌召開第一次標準會議周，根據(jù)

專家提出的建議，對標準內(nèi)容進行進一步完善。

二、標準編制原則、主要內(nèi)容及其確定依據(jù)

2.1標準編制原則

本標準的編制遵循以下原則：

1.實用性：立足于組織面臨的數(shù)據(jù)接口安全風險的實際情況，分析風險場景

及成因，提取監(jiān)測數(shù)據(jù)特征，結(jié)合當前監(jiān)測技術(shù)實現(xiàn)，提出數(shù)據(jù)接口場景下的監(jiān)

測方法。

2.合理性：在本標準制定過程中，充分吸納了基礎(chǔ)電信運營企業(yè)、頭部金融

2

國家標準報批材料

企業(yè)、互聯(lián)網(wǎng)企業(yè)、研究機構(gòu)、安全廠商等多家單位的意見和建議，力求標準合

理可行。

3.典型性：吸納多個行業(yè)多家組織的數(shù)據(jù)接口風險場景，提煉典型且廣泛的

數(shù)據(jù)接口安全風險點，致力于監(jiān)測效果能夠全面地涵蓋數(shù)據(jù)接口造成的數(shù)據(jù)泄漏、

篡改、非法濫用等風險。

2.2主要內(nèi)容及其確定依據(jù)

本文件給出了數(shù)據(jù)接口安全風險監(jiān)測的方法，包括方式、內(nèi)容、流程等，明

確了風險監(jiān)測各階段的監(jiān)測要點。

本文件首先明確了數(shù)據(jù)接口的定義，并從數(shù)據(jù)接口各方角色及關(guān)系抽象概括

形成了數(shù)據(jù)接口的各項基礎(chǔ)要素，基于基礎(chǔ)要素，提出了數(shù)據(jù)接口風險監(jiān)測方法

的整體框架，并分別對框架中的監(jiān)測方式、監(jiān)測原則、監(jiān)測流程展開描述。

2.3修訂前后技術(shù)內(nèi)容的對比[僅適用于國家標準修訂項目]

無

三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟論證，預期的經(jīng)濟效益、社會

效益和生態(tài)效益

3.1試驗驗證的分析、綜述報告

本標準所提及的數(shù)據(jù)接口風險監(jiān)測方法均在在金融、政務(wù)、電信以及其他行

業(yè)進行試點驗證，包括建設(shè)銀行、國家信息中心、中國電信等單位的合作，共同

推動數(shù)據(jù)接口風險檢查和監(jiān)測，驗證標準對數(shù)據(jù)接口風險監(jiān)測的實際效果。隨著

標準內(nèi)容的不斷成熟，將進一步擴大試點驗證范圍，以兼顧標準化工作的實用性、

典型性，同時確保在產(chǎn)業(yè)中的實際應(yīng)用。

3.2技術(shù)經(jīng)濟論證

數(shù)據(jù)接口風險監(jiān)測方法所涉及的接口數(shù)據(jù)等采集、存儲、處理、分析等工作

依托于一定的計算資源的投入，該投入在前期的金融、政務(wù)、電信試點工作中經(jīng)

驗證技術(shù)可行。

3.3預期的經(jīng)濟效益、社會效益和生態(tài)效益

該標準從經(jīng)濟效益方面上分析，它將幫助組織充分履行數(shù)據(jù)安全職責，有助

于降低組織面臨的數(shù)據(jù)安全風險，從而減少潛在的財務(wù)損失。此外，通過提高數(shù)

據(jù)接口的穩(wěn)定性和可用性，將增進生產(chǎn)力，降低業(yè)務(wù)中斷成本，提升整體效率。

3

國家標準報批材料

這不僅有助于提高企業(yè)的市場競爭力，還將促進新業(yè)務(wù)模式的創(chuàng)新，進一步加速

數(shù)字經(jīng)濟的增長。

從社會效益方面分析，該標準標準可以適用于主管單位、監(jiān)管單位的風險監(jiān)

測，因此可以幫助監(jiān)管主管單位所在行業(yè)、區(qū)域的數(shù)據(jù)風險進行發(fā)現(xiàn)識別，從而

在社會面上減少數(shù)據(jù)、個人信息泄漏等，提升社會面的數(shù)據(jù)安全穩(wěn)定，保障社會

公眾的隱私權(quán)益。

四、與國際、國外同類標準技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、

樣機的有關(guān)數(shù)據(jù)對比情況

無國際相應(yīng)標準

五、以國際標準為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外

標準，并說明未采用國際標準的原因

無

六、與有關(guān)法律、行政法規(guī)及相關(guān)標準的關(guān)系

本標準與現(xiàn)行法律、法規(guī)以及國家標準不存在沖突與矛盾。

與《信息安全技術(shù)信息安全風險評估方法》、《信息安全技術(shù)數(shù)據(jù)安全風

險評估方法》（征求意見稿）中的風險分析與評價章節(jié)保持一致，遵從《信息安

全技術(shù)個人信息安全規(guī)范》數(shù)據(jù)接口調(diào)用與個人信息安全相關(guān)結(jié)合，以明確相

關(guān)的風險類型。

七、重大分歧意見的處理經(jīng)過和依據(jù)

本標準在起草過程中未遇到重大分歧意見，無重要技術(shù)問題需要說明。

八、涉及專利的有關(guān)說明

無

九、實施國家標準的要求，以及組織措施、技術(shù)措施、過渡期和實施日期

的建議等措施建議

本標準內(nèi)容較為豐富，包含了數(shù)據(jù)接口的風險類型、風險識別、監(jiān)測方式、

監(jiān)測實施方法等多個方面，實用性較高，適用于各類組織開展的數(shù)據(jù)接口安全風

險監(jiān)測活動。

十、其他應(yīng)當說明的事項

2024年3月，致函國家標準委申請調(diào)整標準名稱前綴為“數(shù)據(jù)安全技術(shù)”，

4

國家標準報批材料

調(diào)整后標準名稱為《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險檢測方法》。

《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》標準編制組

2024年08月01日

國家標準《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》

編制說明

5

國家標準報批材料

國家標準《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》

編制說明

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標準化管理委員會2023年第一批網(wǎng)絡(luò)安全國家標準項目立項的通

知（信安字〔2023〕17號），《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》由

全知科技（杭州）有限責任公司負責承辦。本標準由全國信息安全標準化技術(shù)委

員會歸口管理。

1.2制定背景

近年來，隨著數(shù)據(jù)接口的廣泛應(yīng)用，相關(guān)數(shù)據(jù)安全問題日益凸顯。由于數(shù)據(jù)

接口的數(shù)據(jù)安全防護不嚴，缺乏有效的安全風險監(jiān)測，頻繁發(fā)生被惡意利用導致

的數(shù)據(jù)安全事件，損害了相關(guān)企業(yè)和用戶的合法權(quán)益。盡管當前眾多法律法規(guī)對

數(shù)據(jù)安全風險監(jiān)測提出要求，但并未明確涉及針對數(shù)據(jù)接口的安全防護。業(yè)界同

時缺乏解決由數(shù)據(jù)接口引發(fā)的數(shù)據(jù)安全風險，如數(shù)據(jù)泄露和濫用等問題的技術(shù)方

法。因此，亟需梳理數(shù)據(jù)接口安全風險分類，明確數(shù)據(jù)接口的風險監(jiān)測技術(shù)方法，

以增強數(shù)據(jù)接口的安全風險防護能力。

1.3起草過程

2021年7月-2022年6月：十余名專家跨領(lǐng)域成立調(diào)研小組，耗時近一年進

行研究和討論，產(chǎn)出一份約14000字的標準研究報告和一份約10000字的標準草

案。通過相關(guān)技術(shù)在三個關(guān)鍵行業(yè)領(lǐng)域進行了試點，包括金融（建設(shè)銀行）、政

務(wù)（深圳大數(shù)據(jù)局）和電信（江西電信）。

2023年4-5月：組建標準編制項目組，基于調(diào)研成果形成制定相應(yīng)標準草

案，并準備申報材料。

2023年6月：五月底至六月初，由全國信息安全標準化技術(shù)委員會（簡稱

“信安標委”）在昆明召開標準會議周，WG5工作組進行了立項匯報，得到工作

組同意，標準編制申請獲得批準。

2023年8月：《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》獲得信安標委

1

國家標準報批材料

正式發(fā)布立項通知。

2023年9月：正式發(fā)出征集《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》

標準參編單位的通知，廣泛征集參編單位。

2023年10月：舉行《數(shù)據(jù)安全技術(shù)數(shù)據(jù)接口安全風險監(jiān)測方法》正式啟

動會議，根據(jù)各參編單位提出的建議對標準內(nèi)容進行完善。

2023年10月：WG5工作組組織標準專家研討會，匯報《數(shù)據(jù)安全技術(shù)數(shù)據(jù)

接口安全風險監(jiān)測方法》文本內(nèi)容，并提交編制說明和意見匯總表。各位專家提

出相關(guān)專業(yè)意見，對標準內(nèi)容進行完善。

2023年11月：十一月初，由信安標委在武漢召開第二次標準會議周，WG5

工作組進行征求意見稿匯報，會議決策提議形成征求意見稿。

2023年11月：十一月中旬，由信安標委秘書處組織召開標準實踐指南專家

評審會，各專家意見一致建議不形成征求意見稿，需對實踐指南內(nèi)容進行進一步

完善。

2023年11月：十一月底，由WG5工作組組織標準專家研討會，根據(jù)專家提

出的建議，對標準內(nèi)容進行進一步完善。

2024年3月：三月上旬，由信安標委秘書處組織召開標準實踐指南專家評

審會，專家同意形成征求意見稿，并提出部分內(nèi)容的改進建議。

2024年5月：五月中旬，由WG5工作組組織標準專家研討會，根據(jù)專家