案例分享 | 银行API安全解决方案

• 开放银⾏拉长了风险管控的链条，如何在国内法律法规对个⼈⾦融信息保护⼒度不断加强的当下，构建⼀个完善的风控体系，让事前授权健全，事中合作⽅的资质合格、操作合规，事后纠纷解决机制完善，权责分明，也是银⾏在转型期间始终需要⾯对的问题之⼀。
• 由API传输的核心业务数据、个人身份信息等数据的流动性大大增强，因此这些数据面临着较大的泄漏和滥用风险，是数据保护的薄弱一环，外部恶意攻击者会利用API接口批量获取敏感数据。
• API是连接不同来源数据和承载业务逻辑的重要通道，通过开放API实现金融业务线上办理和查询、移动支付、业务融合等，与此同时，API也正成为恶意攻击的重点目标，巨大的流量和访问频率让API的风险面变得更广、影响更大。
• 《商业银行应用程序接口安全管理规范》中与商业银行部分具体相关的条款。

• 应对商业银行应用程序接口应对联通有效性进行验证。
• 根据应用方服务需求，按照最小授权原则对接口进行授权管理；服务需求变更时，需及时评估和调整接口权限。
• 商业银行应对接口使用情况进行监控，并按要求完整记录接口访问日志。

• 商业银行应在互联网边界部署具有网络控制、入侵防范相关安全防护能力的网络安全防护措施；商业银行的安全控制要求依据JR/T 071部署相应级别的安全控制措施。
• 商业银行应可以限制接口连接时长、主动断开连接的功能，发现恶意连接可主动控制。

• 商业银行应建立商业银行应用程序接口运维监测平台，或将商业银行应用程序接口纳入商业银行统一监测平台并重点监测；对于异常监测，商业银行应具备流量监控、故障隔离、黑名单控制等接口调用控制能力。
• 商业银行应对接口进行安全巡检，包括技术检查和安全集成检查。

为有效降低开放银行建设的安全风险，2020 年 2 月，中国人民银行发布了《商业银行应用程序接口安全管理规范》这一金融行业标准。标准规定了商业银行应用程序接口（API）的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求，贯穿API的整个生命周期。

2021年发布的《金融数据安全 数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界，应使用API防护技术”，要求“对API数据的外发与回传进行审计”。

鉴于金融业务面临的API安全问题，以及国家针对API提出的具体安全要求，星阑科技分析梳理了API技术面临的内、外部安全风险，针对事前、事中、事后不同阶段的安全需求差异，从API安安全管理、防护手段、风险管控等多角度为企业实现高效、灵活的API安全解决方案。

随着黑客的技术发展以及变种、爬虫与反风控技术的不断改进，传统安全设备的静态规则防御手段已经捉襟见肘，依靠规则无法防御API爬虫、API数据泄露等未知威胁。星阑科技萤火API安全分析平台具备智能分析技术，利用机器学习、关联分析、UEBA、隐私识别等新数据分析模型，能够学习每一个API的历史行为模式，并针对异常行为序列进行告警，充分检测数据泄露、异常访问、越权攻击、账号滥用行为。模型通过数据输入进行不断的自我迭代，使效果能够越来越贴近业务模式，降低误报漏报发生的概率。

建立 API 数据流量监测机制，实时监控数据流向，加强数据流向监控能力建设。通过分析访问和被访问 IP 的局域、地域或法域，实现对数据流向的实时监控，防范数据接收方非法出售或滥用个人信息风险，发现相关违法违规事件及时告警 API 接入，为后续溯源调查积极存证。此外，企业应对境外 IP 访问内网 API 或者内部 IP 访问境外 API 的情况重点关注、及时预警，确保敏感数据出境活动合法合规。

星阑科技基于AI深度感知和强大的自适应机器学习技术，帮助用户迅速发现并解决面临的安全风险和外部威胁，并凭借持续的创新理念和以实战攻防为核心的安全能力，发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题，公司从攻防能力、大数据分析能力及云原生技术体系出发，提供全景化API识别、API高级威胁检测、复杂行为分析等能力，构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案，适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力，解决企业API漏洞入侵、数据泄露两大核心风险。