10.4 PA17數據接口安全

10.4 PA17數據接口安全

10.4.1　過程域描述

通過建立組織機構的數據接口的安全管理機制，防范組織機構在數據接口調用過程中的安全風險。

10.4.2　等級描述

10.4.2.1　等級1：非正式執行

? 組織建設：未設置專門的數據接口調用崗位和人員，僅在部分業務中開展了對大數據平臺與應用內跨安全域的接口調用過程的安全管控。(BP.17.01)

10.4.2.2　等級2：計劃跟蹤

? 組織建設：由各業務團隊自行承擔相應業務范圍內數據接口調用中的安全風險控制。(BP.17.02)
? 制度流程：組織機構整體明確了數據接口調用的規范要求，但并未建立有效的審核制度和流程，僅由各業務團隊基于自身業務需求開展相關的風險控制工作。(BP.17.03)

10.4.2.3　等級3：充分定義

? 組織建設：組織機構設立了負責數據接口調用安全管理的崗位和人員，由該崗位人員負責制定整體的規則并推廣相關流程的推行。(BP.17.05)
? 制度流程：
1) 制定數據接口調用安全控制策略,明確規定使用數據接口的安全限制和安全控制措施,如身份鑒別、授權策略、訪問控制機制、簽名、時間戳、安全協議等。(BP.17.06)
2) 建立數據接口調用的安全規范，包括接口名稱、接口參數、接口安全要求等。(BP.17.07)
3) 與數據接口調用方簽署了合作協議，在合作協議中明確了對數據的使用目的、供應方式、保密約定等。(BP.17.08)
? 技術工具：
1) 提供對數據接口調用的安全限制和安全控制措施，如身份鑒別、授權策略、訪問控制機制、簽名、時間戳、安全協議等，并對數據接口調用的參數進行限制/過濾，一旦發現異常會觸發告警機制。(BP.17.09)
2) 統一收集數據接口調用的相關記錄日志，并建立相應針對數據接口調用的審計工具。(BP.17.10)
3) 對大數據平臺與應用內跨安全域間的接口調用采用安全通道、加密傳輸等安全機制。(BP.17.11)

10.4.2.4　等級4：量化控制

? 技術工具：建立對數據接口調用進行安全控制的技術工具，可以對接口調用進行必要的自動化監控和處理。(BP.17.13)

10.4.2.5　等級5：持續優化

? 技術工具：在對數據接口調用進行必要的自動化監控和處理基礎上，進行安全管理和工程過程的持續改進工作。(BP.17.14)