2024-安胜华信-吴一非-金融API安全一体化建设实践报告-20页.pdf

金融行业API安全一体化建设实践

北京安胜华信科技有限公司

01建设背景

02技术方案

03行业实践

建设背景

API作为承载数据和业务的重要基础设施，因其不可或

缺性导致将安全风险目标从应用程序转到API本身，企

业应该将API安全视为主动防御的一部分。

背景介绍API定义和安全特性

API（ApplicationProgrammingInterface，应用程序编程接口），是一套标准或规范，允许不同的软件应用或系统之间进行交互。API定义了软件组件之间

如何相互通信，包括通信的数据结构。狭义上API包括：SOAP，RESTful，graphQL，gRPC将API特征结构化的网络接口，内容以JSON，XML等为主。

以上多种协议均是基于HTTP协议，用API四元组机制进行API识别：请求方式+协议/Host域名/主机+Path路径+参数。

广义的API定义是模糊的，可以是函数调用，远程调用等应用程序接口，可以是WebService接口，数据库视图接口，消息接口。狭义上的接口就是java里的

interface。目前各企业在管理的接口是狭义API，或者是其中的一部分，但是广义API风险更大，需要关注非标准的、各种动态交互的接口。

GET|http///weather/today/{shenzhen}?appid=1&source=2

技术视角：数据量大——大型商业银行每天API访问请求十亿+；实时性高——API访问请求和业务交互高度相关；业务紧耦合——API功能场景丰富。

管理视角：跨部门管理协调——API安全横跨安全，业务，运营，数据等部门；安全运营闭环机制——SOC/态势感知/风控建设的成熟；稳定性与精确

性——大数据、高并发带来误报/处置决策难题。

背景介绍API安全风险

数字化时代，数据是核心，业务是关键，安全走向数据和业务是必然。API作为承载数据和业务的载体无处不在，成为了数字化时代的重要基础设施。

Forrester认为，API因其不可或缺性导致将安全重点从应用程序转到API本身，由于API驱动了如此多的网络事件，企业应该将API安全视为主动防御的一部分，

但其市场仍需培育。从API风险造成的后果影响来看，主要体现在数据和业务两个方面。

证券公司API存在未授权访问漏洞，被利用获取批量敏感数据银行机构对第三方合作的服务数据缺乏监测，被维权投诉和通报

2021年12月，国内某证券公司的客户信息数据，包括：用户姓名、2023年6月，金融监管部门发文称：某微信代理商为多家银行提供企

手机号、开户时间、交易情况等敏感数据，以每日1万多条的量级在数据交业微信相关服务，将银行客户经理和客户的聊天会话存档在该服务商租用的

易平台被售卖。经验证分析，证实为内部系统数据API权限管控疏忽导致。公有云服务器上，私自使用数家银行600余万条会话存档数据，做模型训练，

并对外提供。

2023年4月，雷某发现某医院APP存在GraphQL接口，可通过其自省

功能获取所有API接口。存在大量无需鉴权即可访问的API，可获取病患信息；银行因未尽到对客户敏感数据保护责任，引发消费者维权投诉。对于

还存在大量未鉴权的数据修改API，通过这些API可以任意登录他人账号、修集中处理重要数据和客户个人敏感信息的非驻场外包，以及涉及敏感级及以

改他人信息，甚至修改APP链接进而实现投毒攻击。上数据的委托处理的外包合作，银行保险机构应重点关注，加强风险监测。