近年来，数据运用引发的个人信息安全风险越来越引起广泛的重视。在过去的一年中，我国关于个人信息保护领域的监管要求密集发布，仅从金融行业来看，就陆续推出了《个人金融信息保护技术规范》《移动金融客户端应用软件安全管理规范》《商业银行应用程序接口安全管理规范》等法规及标准。

从这一系列监管要求可以看出，保护个人金融信息安全，主要围绕两条主线展开：第一条主线是要关注收集使用个人信息流程上的合规性，健全数据主体权利保护机制；第二条主线是要落实安全防护技术措施，提升风险监测及处置能力。对于第一条主线，通过落实以“APP专项治理”为代表的一系列监管要求，企业的隐私保护合规水位已有普遍性提升，主要体现在隐私政策更加完善、APP获取权限遵从最小必要原则、数据主体权利响应机制逐步完善等方面；对于第二条主线，即如何通过安全防护技术措施，提升个人信息安全风险的监测和处置能力，是目前各企业探索的重点领域。笔者希望通过本文，探讨以应用程序接口（API）安全为切入点的个人金融信息风险管控机制建设与运营实践。

API安全的重要性及潜在风险场景

《商业银行应用程序接口安全管理规范》将API定义为：“一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现。”由此可以看出，API技术的出现使前端界面与后端服务器的数据交互更加便捷，因此被开发者广泛使用。伴随着API使用的指数级增长，其潜在的数据安全与个人信息泄露风险，也成为了企业亟需解决的问题。

与API相关的常见数据安全问题与风险场景包括：一是数据滥用风险。例如第三方超出业务需要，私自大量缓存、调用接口数据；接口返回超出最小必要原则的敏感个人信息字段；高敏感级别字段（例如《个人金融信息保护技术规范》定义的C3级别个人金融信息）未按规定脱敏或脱敏策略不一致。二是数据泄露风险：例如数据接口权限漏洞被外部攻击者利用窃取敏感数据；或者内部员工利用遗留后门接口获取敏感数据。三是隐私合规风险：例如隐私数据采集未经用户授权；隐私数据接口违规开放给第三方等。

API安全一旦出现问题，可能导致的是百万、千万、甚至亿级的个人信息泄露，使企业面临违反《网络安全法》第四十二条“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”的合规风险。由此可以看出，API安全应当作为一项重要抓手，用于管控组织级别的数据安全与个人信息安全风险。

API敏感数据威胁感知技术实现

1.网络访问协议。使用镜像端口或agent方式，将获取到pcap格式网络流量包发送至网络协议解析设备，协议解析设备对获取到的pcap包进行解析分析，区分其中的http、https、ftp、smtp等协议的流量包，对不同协议的流量包以相应的解析器进行解析拆解，格式化传送到数据分析引擎进行综合分析。

2.部署模式及拓扑。采用旁路流量镜像模式部署，不需要进行业务改造，不需要装agent，同时也无需对整体网络架构进行改造，实现业务零打扰，数据更安全。将全部业务流量进行旁路监控分析。

3.数据分析引擎。对协议解析设备采集的结构化数据通过数据分析引擎梳理，去重后归类储存至数据库中。包括：数据资产梳理和分级、应用接口梳理和分级、应用层账号解析、全网应用系统敏感数据访问留存、机器学习风险识别模型。

4.全网应用数据威胁监测。针对重要的数据应用接口，尤其是存在脆弱性高风险的接口，需要通过安全技术手段来降低该数据接口的暴露风险。通过对重点数据接口的数据访问请求行为事件进行监控，实时发现并预警异常的高风险数据请求行为，快速处理事件。针对各类主体如账号、IP、接口等，构建数据访问行为基线画像。并对所有的主体行为实时计算上百个维度的行为指标，实时比对基线，发现并预警偏离行为基线的事件，生成告警。

5.全网应用系统潜在数据泄露风险综合评估。从数据安全角度切入，全面评估业务系统数据安全脆弱性，从系统大数据底层存储分析的数据中分析数据脆弱性。通过算法从流量中精准定位到重要的数据应用和接口，并从中定位到关键接口如登录接口、数据下载接口等。在此基础上，结合积累的数据风险特征，从事件中标识存在疑似数据脆弱性的接口。最后，进一步对疑似的数据脆弱性进行确认和定级，输出完整的数据脆弱性报告。

相比传统的人工调研和渗透测试的方式，覆盖面上都占有较大优势。首先，利用流量中精准定位需要进行重点评估的数据接口和应用系统。进一步根据日志的特征，快速过滤发现存在疑似脆弱性的接口，从而大幅减少了人力的投入。同时由于流量覆盖的全面性，相比于传统手段，能更加全面的覆盖重要数据接口。

API风险调查处置和响应实践

异常API调用的预警产出之后，会进入实质性的调查处置环节。笔者所在公司经过多年运营实践，总结了如下的调查响应流程。

1.智能生成调查面板。首先会对生成的告警进行智能分析，生成每日调查面板。面板上会列出“谁→在什么时间→做了什么异常操作→是否有外部情报印证→是否有聚集性现象”。内容包括溯源定位、情报印证、聚集性挖掘、行为分析等。

溯源定位：通过将告警的源地址与资产数据进行匹配，以及提取APIurl中的账号等参数信息，来识别出告警主体的更多信息。如果是来自内部的操作，则可以直接定位到当事的操作员工，以及所在团队或者营业部。

告警聚集性挖掘：通常来说，我们需要特别关注聚集性的告警。在溯源定位完成之后，我们利用聚类分析，将告警从多个维度进行聚类，挖掘告警的聚集性和作案的团伙性。如是否存在营业部聚集、是否存在地理位置聚集、是否存在对某一类数据的聚集等，并将其呈现在面板上。

情报印证：API告警的背后，是疑似API被滥用和数据被泄露。我们将告警中涉及的数据与外部泄露情报进行自动比对，如果比对印证成功，则API被滥用和数据被泄露的实锤加大，同时也省去了大量人工调查环节的证据搜索时间。

行为链路梳理：一个真实的风险事件，可能会伴随着一系列的异常行为。如通过频繁调用API接口获取了大量个人隐私数据，后续可能会出现数据外发的DLP事件，或者之前已申请离职，意图将敏感数据带走等。因此对于一条告警，我们会搜索告警时点前后的重要行为，并将其展现到调查面板中。

经过一系列智能分析，我们能够在调查面板上呈现出一条告警完整的“来龙去脉”，为实质的调查提供方便。

图 API风险调查响应流程

2.调查处置和响应。调查面板生成之后，我们会实时将工单推送给调查人员进行调查，并通过每日站会review当日的调查情况。对于跨部门的调查，我们通过相应的对接制度成立联合调查小组，三个工作日内反馈调查结论。为了能从根本上提高应用接口的安全水位，我们联合各应用归属团队启动“高级协同计划”。

一是7×24应急响应支持。对于API的滥用和泄露风险，除了安全团队的检测能力，各应用团队内部的发现也是一个重要的补充力量。我们与各应用团队建立应急响应支持渠道，对应用内部发现的风险，安全7×24进行响应和支持。

二是定制化加固和监控。有些应用具有业务特殊性，相应的接口无法通过标准化的规则来进行监控和安全评审。对此类应用，我们会与应用团队一起梳理接口的业务含义，并结合自己的泄露风险评估来识别脆弱性接口，进而定制化安全监控和加固工作。同时，也会为每个应用配置重点监控账号清单，系统定期推送账号行为报告，实现对重点账号的定期审查。

三是安全教育培训。应用接口安全性，与接口使用者的安全意识水平有直接关系。《信息安全技术个人信息安全规范》《信息安全技术金融信息服务安全规范》等相关法规都对企业的安全教育培训做了规定。一方面，对无意识泄露或者滥用接口的员工，会推送教育课程和配套考试；另一方面，也会定期组织安全培训，如新员工入职培训、年度网络安全周培训等，提高全体员工的安全意识水平。

（作者就职于华泰证券信息技术部）