11月3日，由北京金融科技产业联盟、移动支付网主办的2020第五届中国金融科技安全大会在深圳顺利召开。光大银行安全管理处处长牟健君以《构建API安全体系护航银行数字生态》为题进行了分享。

开放生态下的API及其安全问题

目前，许多应用、服务都已经线上化，银行则经历了“网点模式—App模式—API模式”的演进历程。现在，App已经进入了人们的生活，而App背后可能就是API。API使行业变成你中有我，我中有你，从而实现了开放，而开放离不开生态。API就是开放与生态技术的连接点，API模式与场景和生态的链接更加紧密。

与SDK相比，API最大的特点就是灵活性很强，可定制性更强。通过API定制，可以方便敏捷地部署各种应用。比如，用户可以在银行App一键呼叫不同平台的出租车、可以买咖啡。

但是，API开放也会带来问题。比如通过API开放后，共同服务用户的同时，数据共享是否会带来安全隐患？再者，开放生态里，不同的服务提供者安全水平是否一致。

牟健君认为，API安全方面，具有10大问题。

API安全具有两个突出的问题，分别是逻辑安全问题、技术安全问题。比如，调用API购买商品，会生成订单号，通过API，订单号、支付金额可能被篡改，这些就是逻辑安全问题；过渡依赖SSL通信则是技术安全问题。

总的来看，目前API安全形势严峻。2018年11月，国外研究人员发现美国邮政服务API漏洞可能导致超过6000万用户个人信息被窃取；2019年12月，Twitter公司发现大量虚假账户非法调用提供电话号码搜索用户功能的API接口；2020年3月，新浪微博因用户查询接口被恶意调用导致App数据泄露。

API安全规范及相关技术

针对安全问题，国标委、金标委分别提出了不同的国家标准和行业标准，促进了金融银行安全隐私保护和接口技术快速发展。但是，对于金融行业的API应用来说，《商业银行应用程序接口安全管理规范》（下称“规范”）更值得一提。

规范从安全设计、安全部署、安全集成、安全运维、安全下线流程、安全管理的角度提出全流程的安全管理。对于API来说，监测至关重要。可以把API看成一个安全保护对象，需要对API各种行为进行持续检测，包括API交易对象、API数据、API认证、API滥用都要进行监测。

要对API进行安全监测，在技术实现上，包括API智能识别、API安全动态防御、数据脱敏验证、API统一网关管理、API蜜接口、API安全态势监控。

如果把API当作安全资产，就要对API进行详细的资产登记。安全资产有很多独特属性，使用，要对API进行分类：API服务方是谁、API的监控手段是什么，进行识别资产属性。

通常，API资产识别有两类。一类是在被加密处，将API清点出来，通过数据还原监控API上的资产，通过大数据分析技术对这些资产变化和流动进行监控；另外一种技术用在WEB端。资产识别往往是整个API管理的起点。

目前，新型动态访问技术可以对于API进行混淆，可能导致无法识别API，避免API直接受到攻击，这是API动态访问技术。

此外，数据脱敏也很重要。对于数据脱敏，要注意是不是仅仅前台隐藏数据，只是看上去脱敏。API要非常关注数据安全，因此，验证数据是否真实脱敏极为重要。

App网关统一管理基于OPENLD CONNECT进行身份认证。App网关技术也是API现在发展的一个产物，一定程度上能够将一些技术集中在一个平台，在这个阶段API网关可以集中控制API交易风险，而且也可以解决API协议过于复杂、协议转换的问题。

对于API攻击，可以使用API蜜接口，对其持续监控，引诱捕捉恶意攻击。

最后，可以通过态势监控要发现API潜在隐患，对API全链条进行监控。

思考与建议

对于未来的API安全发展，牟健君认为，需要关注以下几点：

1、搭建基于全链条API纵深防御；

2、API安全与零信任安全架构深入结合；

3、API安全与业务规则和AI风控相结合，才能够真正探讨安全；

4、API数据安全与联邦学习、匿名化算法技术相结合。

最后，牟健君指出，API安全要做好必须做到三个全面：

1、全链条纵深防御；

2、全生命周期管理；

3、全生态共同协作。