数字经济背景下,外部市场环境的快速变化给商业银行带来很多不确定性,随着银行行业数字化转型进入深水区,银行经营面临新的机遇和挑战。

数字经济是传统银行向开放银行转型发展的重要支撑,开放银行旨在运用数字技术通过开放数据和业务,使得银行与互联网平台的对接更为标准化,可以服务更广泛的客群,有效解决传统营销方式下的获客成本高、效率低、粘性弱等问题,提高金融服务的可获得性,将银行服务能力与生活场景的“无缝对接”,实现金融服务无处不在。

开放银行的本质是对银行数据的共享,而开放API则是实现这一目标最为直接的手段,开发者、第三方、合作伙伴乃至客户通过API接口直接调取银行提供的金融服务和数据,多方互动,让不同的机构和企业在此构建和共享不同的金融服务和数据,形成一种全新的银行生态链。

01 关键挑战

开放银⾏作为银⾏的发展新⽅向,API作为开放银⾏的重要基础设施,商业银⾏需要正确认识其存在的风险与挑战。

  • 开放银⾏拉长了风险管控的链条,如何在国内法律法规对个⼈⾦融信息保护⼒度不断加强的当下,构建⼀个完善的风控体系,让事前授权健全,事中合作⽅的资质合格、操作合规,事后纠纷解决机制完善,权责分明,也是银⾏在转型期间始终需要⾯对的问题之⼀。
  • 由API传输的核心业务数据、个人身份信息等数据的流动性大大增强,因此这些数据面临着较大的泄漏和滥用风险,是数据保护的薄弱一环,外部恶意攻击者会利用API接口批量获取敏感数据。
  • API是连接不同来源数据和承载业务逻辑的重要通道,通过开放API实现金融业务线上办理和查询、移动支付、业务融合等,与此同时,API也正成为恶意攻击的重点目标,巨大的流量和访问频率让API的风险面变得更广、影响更大。
  • 《商业银行应用程序接口安全管理规范》中与商业银行部分具体相关的条款。

① 安全设计:

  • 应对商业银行应用程序接口应对联通有效性进行验证。
  • 根据应用方服务需求,按照最小授权原则对接口进行授权管理;服务需求变更时,需及时评估和调整接口权限。
  • 商业银行应对接口使用情况进行监控,并按要求完整记录接口访问日志。

② 安全部署

  • 商业银行应在互联网边界部署具有网络控制、入侵防范相关安全防护能力的网络安全防护措施;商业银行的安全控制要求依据JR/T 071部署相应级别的安全控制措施。
  • 商业银行应可以限制接口连接时长、主动断开连接的功能,发现恶意连接可主动控制。

③ 安全运维

  • 商业银行应建立商业银行应用程序接口运维监测平台,或将商业银行应用程序接口纳入商业银行统一监测平台并重点监测;对于异常监测,商业银行应具备流量监控、故障隔离、黑名单控制等接口调用控制能力。
  • 商业银行应对接口进行安全巡检,包括技术检查和安全集成检查。

银行API安全解决方案_数据

02 项目介绍

为有效降低开放银行建设的安全风险,2020 年 2 月,中国人民银行发布了《商业银行应用程序接口安全管理规范》这一金融行业标准。标准规定了商业银行应用程序接口(API)的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求,贯穿API的整个生命周期。

2021年发布的《金融数据安全 数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界,应使用API防护技术”,要求“对API数据的外发与回传进行审计”。

鉴于金融业务面临的API安全问题,以及国家针对API提出的具体安全要求,星阑科技分析梳理了API技术面临的内、外部安全风险,针对事前、事中、事后不同阶段的安全需求差异,从API安安全管理、防护手段、风险管控等多角度为企业实现高效、灵活的API安全解决方案。

03 星阑API安全解决方案

银行API安全解决方案_API_02

核心场景

全域API资产梳理

通过全流量分析、多维度的有效数据采集和智能分析能力,实时监控流量中全部API接口的安全态势、漏洞风险、数据暴露风险和业务风险等,让管理员可以清楚的感知全业务域有多少API、是否安全、哪里不安全、具体薄弱点、攻击入口点等,围绕攻击链(kill-chain)来形成一套基于“事前检查、事中分析、事后检测”的安全能力,看清全网API威胁,从而辅助决策。

API 身份认证实时监控

加强 API 身份认证实时监控能力,对异常登录、调用行为进行分析,发现恶意行为及时告警。实时监控接口运行中的单因素认证、弱密码、密码明文传输等脆弱性问题,建立账号登录行为画像,形成用户常规登录特征基线,对不同 IP 登录、连续认证失败、境外 IP 访问等敏感操作进行监测分析,发现账号共享、借用、兼任等违规行为及时对相关账号操作及时告警,避免安全事件的发生或扩大。

建立API行为模型和用户画像

基于人工智能的安全规则制定可以实现更加精准和自适应的API安全防御,建立基于API使用数据的用户画像和行为模型,进行精细化的身份认证和访问控制,通过对API使用数据的分析和整合,可以建立API行为模型和用户画像,并进行自动学习和调整,从而实现更加精准的安全规则制定和更新,提高API的安全性能和效率。

智能分析能力,应对API未知威胁

随着黑客的技术发展以及变种、爬虫与反风控技术的不断改进,传统安全设备的静态规则防御手段已经捉襟见肘,依靠规则无法防御API爬虫、API数据泄露等未知威胁。星阑科技萤火API安全分析平台具备智能分析技术,利用机器学习、关联分析、UEBA、隐私识别等新数据分析模型,能够学习每一个API的历史行为模式,并针对异常行为序列进行告警,充分检测数据泄露、异常访问、越权攻击、账号滥用行为。模型通过数据输入进行不断的自我迭代,使效果能够越来越贴近业务模式,降低误报漏报发生的概率。

API 数据流向监控

建立 API 数据流量监测机制,实时监控数据流向,加强数据流向监控能力建设。通过分析访问和被访问 IP 的局域、地域或法域,实现对数据流向的实时监控,防范数据接收方非法出售或滥用个人信息风险,发现相关违法违规事件及时告警 API 接入,为后续溯源调查积极存证。此外,企业应对境外 IP 访问内网 API 或者内部 IP 访问境外 API 的情况重点关注、及时预警,确保敏感数据出境活动合法合规。

04客户寄语

API是数字化转型的核心,促进协作和快速创新。安全领域正在向api转移,而星阑科技处于API安全战略的前沿。星阑科技帮助我们在数字化转型过程中加强API安全,借助于星阑科技先进的技术和专业团队,不仅可以确保API的安全性和合规性,还可以为内部开发团队提供强大的工具,从而降低开发成本、缩短业务迭代时间,使我们能够安全地将重要数据和服务与客户、合作伙伴连接起来,以及确保业务持续增长。希望星阑科技与银行机构持续性精诚合作,共同守护金融服务安全阵线。

05总结

未来,API在数字化转型中扮演的角色愈发重要,亟需有效的解决方案对开放共享的数据核心资产提供保护。星阑科技将一如既往地关注API安全领域,并针对市场和客户需求,不断优化和升级现有产品与服务,在API安全领域实现更大的发展和进步。