接口安全管理
面向互联网及合作方开放的数据接口,应当具备以下能力:
认证鉴权能力:鉴定接口调用方身份;
安全监控能力:限制违规设备接入,对接口调用进行必要的自动监控和处理;
数据安全加密能力:对涉及个人信息和重要数据进行加密;
调用审批能力:实施调用审批;
日志审计能力:定期开展接口日志审计。
应制定完善的接口上线、下线的相关制度和步骤,以便接口调用方有序处理相关服务;
接口上线前,接口提供方需要进行源代码安全审计、渗透测试等技术检查,及时处理安全漏洞,有效控制安全风险;
接口下线后,相关数据归档、数据删除(或销毁)、个人信息保护、消费者权益保护等问题充分达成一致,明确相关责任,并充分履行用户告知义务。
数据保留期限应按照国家与行业主管部门相关规定与规则执行。
一是认证鉴权能力
接口需要有身份验证机制,如基于表单的认证(Cookie &Session)、基于 JWT(Json Web Token)的认证、基于 Http Basic 的认证、基于 Http Digest 的认证、基于 AccessKey 和 SecretKey 的认证、基于 Token 和 AppKey 的认证等。必要时需设置限流或黑白名单机制,防止非法访问。比较典型的使用场景,如开放平台中的 AccessKey和 SecretKey 的认证,APP 平台中的 Token 和 AppKey 的认证。
1、开放平台接口场景中,接口提供方应为接口调用方分配唯一的开发者标识和密钥,用于接口加密,确保不易被穷举,生成算法不易被猜测。
接口调用方的请求参数中不能明文提交开发者标识,需要对该开发者标识进行防篡改和防重放攻击设计,如将开发者标识拼接到请求的参数中进行算法排序,并且添加随机字符串,进行加密处理,如 MD5 等;将生成的字符串,加入必要的唯一标识(如时间戳和随机字符串组合)作为最终 sign 值访问应用接口,同时接口服务端在指定的时间内记录该随机字符串,防止二次使用。
2、在 APP 开放 API 接口的设计中,由于大多数接口涉及到用户的个人信息以及产品的敏感数据,所以要对这些接口进行身份验证由于调用方(客户端)与接口提供方(服务端)接口的交互在请求之间是无状态的,当涉及到客户端状态时,每次请求都要带上身份验证信息,且需要将关键信息加密处理。客户端向服务端接口提供认证信息(如账号和密码、第三方 cookie 等),服务端接口验证成功后返回 Token 给客户端;客户端将 Token 保存在本地,后续发起请求时,携带此 Token;服务端接口检查 Token 的有效性,判断允许或者拒绝。
与开放平台的验证方式类似,服务端为客户端分配 AppKey(即密钥,用于接口加密,不参与传输),将 AppKey 和所有请求参数组合成源串,根据签名算法生成认证签名值,客户端发送请求时将签名值一起发送给服务端接口验证。这样,即使 Token 被劫持,劫持者不知道 AppKey 和签名算法的情况下,依然无法伪造请求和篡改参数。再结合上述的重放攻击解决方案,即使请求参数被劫持也无法伪造二次重复请求。
二是安全监控能力
接口安全监控应具备状态监控、故障隔离、黑白名单控制等接口调用控制能力。
监控报警能力:监控接口服务状态(包括状态码、成功率、耗时、时间戳等参数)并建立告警机制。
流控能力:控制规则包括最大允许接口调用并发数、流量、单位时间错误数等。
流控处理措施:包括告警、限流、拒绝、暂停等滥用避免机制:建立未授权和冒用接口的监测机制,发现问题
及时处理。
同时还要具备黑白名单管理能力与故障监测和恢复能力。
三是数据安全加密能力
加密和签名应该分配不同的密钥,且相互分离。
不能以编码的方式将私钥明文(或密文)写在接口的相关代码中,SecretKey、AppKey 等密钥信息不应存储于调用方本地配置文件中,防止因代码泄露引发密钥泄露。
接口开发者应依据接口等级设置不同的密钥有效期,并对密钥进行定期更新。
未经用户授权,不应该采集或存储用户的敏感信息,如地里位置、IP 地址、身份证、手机号、银行卡号等。
对于必须采集的用户的密钥信息(如 SecretKey、Token、密码等)和私人敏感信息(如手机号、身份证),需要加密传输和存储。
采取必要的技术或组织措施确保用户数据的安全,包括防止未授权或非法处理用户数据、数据丢失或意外毁损(完整性和机密性)。
四是调用审批能力
接口提供方应对接口调用方进行审核,并制定和签署相关合作协议(包括但不限于接口调用频率,敏感数据保护),必要时应对调用方的安全保护能力进行技术评估。
应通过线上或线下手段,对调用方提交资料的有效性、完整性、真实性进行审核,对调用方身份进行合规性核验应对调用方的唯一标识(如 AccessKey、Token 等)进行存储与统一管理,并根据用户唯一标识进行应用身份认证、状态校验和权限控制等。
应按调用方的唯一标识(如 AccessKey、Token 等)、接口、用户等维度,依据最小授权原则进行授权,对于未授权的资源禁止访问。接口开发者,需要能够控制接口调用方的频率。
五是日志审计能力
接口日志应按照国家要求和行业主管部门相关规定与规则予以保存,保存期限不少于 6 个月(180 天)。
应完整记录接口访问日志,相关日志应至少包括调用方唯一标识、接口唯一标识、调用耗时、时间戳、返回结果(成功或失败)等。
应对日志记录进行完整性保护,确保日志不被篡改、删除、覆盖。
用户的密钥信息(如 SecretKey、Token、密码等)和私人敏感信息(如手机号、身份证)不应在接口日志中进行明文记录。应对日志进行定期审计,并对异常或敏感信息进行监控报警
个人信息保护
个人信息保护的重要性
个人信息被誉为 21 世纪最富有价值的资源。具体而言,个人信息对自然人具有社会交往价值,对公权力主体具有管理价值,对企业等私主体具有商业价值。然而,在信息商业化过程中,信息失控已成为不争的事实。伴随着移动互联网的快速发展,各类 APP、网站平台的用户成为个人信息泄露的主要受害群体。伴随信息泄露而至的垃圾短信、骚扰电话、精准诈骗日益威胁着人们的隐私、财产甚至生命安全;同时,用户个人信息泄露还容易破坏市场秩序、制约经济发展,滋长各类犯罪、危害社会稳定,甚至引发公共安全及国家安全危机。因此,保护个人信息安全对于更好协调个人信息保护与信息自由流通,推动我国信息化进程,保护个人隐私,维护国家安全,促进和保障人权具有重大意义。
个人信息保护的具体内容
一是安全准则
收集准则:需要在 APP 应用或者网络平台上明确给出,会按照何种方式收集个人信息,以及在使用服务时主动提供或因为使用服务而产生的信息。例如:在创建 Blued 账号或者 ID 的时候,需要明确说明收集的昵称、头像、出生日期、手机号码、邮箱地址等这些信息的具体原因是因为帮助完成注册,保护您的账安全并完成网络实名制的需要等。在使用 Blued 软件时,需要申请设备存储权限和设备电话权限等操作权限的时候,必须明确弹出权限选择框,提供给用户进行确认和选择,不能默认开启敏感权限,严禁未经用户同意收集敏感信息。
存储准则:收集的个人信息必须存储在中华人民共和国境内,以下情形除外(法律法规有明确规定的、获得用户明确授权的、通过互联网进行跨境直播和发布动态等个人主动行为)。收集和存储的个人信息,其存储期限均为符合法律法规最短期限为佳,对于超期的个人信息,必须进行物理删除
使用准则:使用用户个人信息必须征得用户同意并授权,例如在重要的产品或服务通知的时候,通过邮箱告知;参与抽奖等类似的推广活动,用提供的信息用于管理此类活动;关于购买相关信息以及条款、条件和政策变更等对用户个人至关重要时候,用提供的信息进行告知;用于防丢失和防诈骗目的等使用个人信息。同时,根据相关法律法规及国家标准,依法使用并使用用户个人信息的可以不经过用户同意。
二是安全策略
个人信息安全制度体系建立与发布:需要建立安全管理体系并发布,为后续的安全管理给予明确的权限和实施主体。以 Blued 为例,在 2019 年就建立了信息安全管理政策并发布。
组织架构岗位设置:在个人信息安全制度建立之后,需要建立相应的组织架构来承接对应的任务。应该设立个人信息安全保护委员会以及个人信息安全保护工作组。常见的岗位需要纳入个人信息安全保护工作组,例如:信息安全部负责人、系统架构师、运维负责人、安全管理员、安全审计员、业务系统管理员、风控人员、法务人员。
三是技术安全保障
最小授权:个人一般信息和个人敏感信息保护,需要做到最小授权,一般常见的个人信息均可在各类 APP 和平台的后台系统中进行查询和存储,这里需要注意,需要严格控制可以查询、展示、处理、使用、共享的个人信息的范围、数量,做到最小授权,严格管理。同时在后台系统中需要对用户敏感信息进行进一步保护,例如用户手机号,在后台页面展示中,需要做脱敏处理;存储时,需采用相应强度的加密算法进行加密处理。
个人信息数据收集:个人信息数据收集和获取必须通过合法、正当的方式,明确处理目的,并获得用户的授权同意,如可在 APP内或者网络平台内通过弹出采集告知同意框向用户明示和获得用户授权同意。为防止网页表单数据提交时被窃取,表单提交时,需要对表单内容进行加密处理,但对于登录时的密码,不仅要进行加密处理,最好可以保证每次提示登录请求时,密码的密文不一致。APP数据传输的时候需要参考 https 安全传输机制,同时采用对称加密和非对称加密算法使用,可以防止数据传输对称密钥在客户端存储,也可能避免非对称加密带来的性能影响。
个人信息数据存储:敏感数据在存入数据库,应当采用当前安全算法进行数据加密,为便于公司系统内部流通使用,可以使用一个内部的密钥对进入数据库的数据进行统一加密。这种加密的数据可以在内部的多个系统之间流通,同时也可以被数仓同步。此处加密可以使用对称加密算法,内部系统与数仓均持有密钥可以解锁,内部密钥的持有应当进行权限控制,保障只有可信的人和系统才能对数据进行解密处理,数据可以在哪些内部系统、应用间流通以及哪些人员可以访问,需要通过预先评估和审批,对于不同安全等级或不同防护能力的系统,原则上重要数据不允许流转
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
