點擊藍字 關注我們

11月3日，由北京金融科技產業聯盟、移動支付網主辦的2020第五屆中國金融科技安全大會在深圳順利召開。光大銀行安全管理處處長牟健君以《構建API安全體系護航銀行數字生態》為題進行了分享。

開放生態下的API及其安全問題

目前，許多應用、服務都已經線上化，銀行則經歷了“網點模式—App模式—API模式”的演進歷程。現在，App已經進入了人們的生活，而App背后可能就是API。API使行業變成你中有我，我中有你，從而實現了開放，而開放離不開生態。API就是開放與生態技術的連接點，API模式與場景和生態的鏈接更加緊密。

與SDK相比，API最大的特點就是靈活性很強，可定制性更強。通過API定制，可以方便敏捷地部署各種應用。比如，用戶可以在銀行App一鍵呼叫不同平臺的出租車、可以買咖啡。

但是，API開放也會帶來問題。比如通過API開放后，共同服務用戶的同時，數據共享是否會帶來安全隱患？再者，開放生態里，不同的服務提供者安全水平是否一致。

牟健君認為，API安全方面，具有10大問題。

API安全具有兩個突出的問題，分別是邏輯安全問題、技術安全問題。比如，調用API購買商品，會生成訂單號，通過API，訂單號、支付金額可能被篡改，這些就是邏輯安全問題；過渡依賴SSL通信則是技術安全問題。

總的來看，目前API安全形勢嚴峻。2018年11月，國外研究人員發現美國郵政服務API漏洞可能導致超過6000萬用戶個人信息被竊取；2019年12月，Twitter公司發現大量虛假賬戶非法調用提供電話號碼搜索用戶功能的API接口；2020年3月，新浪微博因用戶查詢接口被惡意調用導致App數據泄露。

API安全規范及相關技術

針對安全問題，國標委、金標委分別提出了不同的國家標準和行業標準，促進了金融銀行安全隱私保護和接口技術快速發展。但是，對于金融行業的API應用來說，《商業銀行應用程序接口安全管理規范》(下稱“規范”)更值得一提。

規范從安全設計、安全部署、安全集成、安全運維、安全下線流程、安全管理的角度提出全流程的安全管理。對于API來說，監測至關重要。可以把API看成一個安全保護對象，需要對API各種行為進行持續檢測，包括API交易對象、API數據、API認證、API濫用都要進行監測。

要對API進行安全監測，在技術實現上，包括API智能識別、API安全動態防御、數據脫敏驗證、API統一網關管理、API蜜接口、API安全態勢監控。

如果把API當作安全資產，就要對API進行詳細的資產登記。安全資產有很多獨特屬性，使用，要對API進行分類：API服務方是誰、API的監控手段是什么，進行識別資產屬性。

通常，API資產識別有兩類。一類是在被加密處，將API清點出來，通過數據還原監控API上的資產，通過大數據分析技術對這些資產變化和流動進行監控；另外一種技術用在WEB端。資產識別往往是整個API管理的起點。

目前，新型動態訪問技術可以對于API進行混淆，可能導致無法識別API，避免API直接受到攻擊，這是API動態訪問技術。

此外，數據脫敏也很重要。對于數據脫敏，要注意是不是僅僅前臺隱藏數據，只是看上去脫敏。API要非常關注數據安全，因此，驗證數據是否真實脫敏極為重要。

App網關統一管理基于OPENLD CONNECT進行身份認證。App網關技術也是API現在發展的一個產物，一定程度上能夠將一些技術集中在一個平臺，在這個階段API網關可以集中控制API交易風險，而且也可以解決API協議過于復雜、協議轉換的問題。

對于API攻擊，可以使用API蜜接口，對其持續監控，引誘捕捉惡意攻擊。

最后，可以通過態勢監控要發現API潛在隱患，對API全鏈條進行監控。

思考與建議

對于未來的API安全發展，牟健君認為，需要關注以下幾點：

1、搭建基于全鏈條API縱深防御；

2、API安全與零信任安全架構深入結合；

3、API安全與業務規則和AI風控相結合，才能夠真正探討安全；

4、API數據安全與聯邦學習、匿名化算法技術相結合。

最后，牟健君指出，API安全要做好必須做到三個全面：

1、全鏈條縱深防御；

2、全生命周期管理；

3、全生態共同協作。

往期精彩

工商銀行呂濤：云網點實踐及關鍵技術支撐

中國支付清算協會于沛：金融App認證情況及問題

2020中國金融科技安全大會順利召開，北京深圳兩地聯動聚焦金融科技安全

掃碼關注我們

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的twitter api 无法连接_光大银行牟健君：金融API的安全问题和应对技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。