数字经济背景下，外部市场环境的快速变化给商业银行带来很多不确定性，随着银行行业数字化转型进入深水区，银行经营面临新的机遇和挑战。

数字经济是传统银行向开放银行转型发展的重要支撑，开放银行旨在运用数字技术通过开放数据和业务，使得银行与互联网平台的对接更为标准化，可以服务更广泛的客群，有效解决传统营销方式下的获客成本高、效率低、粘性弱等问题，提高金融服务的可获得性，将银行服务能力与生活场景的“无缝对接”，实现金融服务无处不在。

开放银行的本质是对银行数据的共享，而开放API则是实现这一目标最为直接的手段，开发者、第三方、合作伙伴乃至客户通过API接口直接调取银行提供的金融服务和数据，多方互动，让不同的机构和企业在此构建和共享不同的金融服务和数据，形成一种全新的银行生态链。

01 关键挑战
开放银⾏作为银⾏的发展新⽅向，API作为开放银⾏的重要基础设施，商业银⾏需要正确认识其存在的风险与挑战。

开放银⾏拉长了风险管控的链条，如何在国内法律法规对个⼈⾦融信息保护⼒度不断加强的当下，构建⼀个完善的风控体系，让事前授权健全，事中合作⽅的资质合格、操作合规，事后纠纷解决机制完善，权责分明，也是银⾏在转型期间始终需要⾯对的问题之⼀。
由API传输的核心业务数据、个人身份信息等数据的流动性大大增强，因此这些数据面临着较大的泄漏和滥用风险，是数据保护的薄弱一环，外部恶意攻击者会利用API接口批量获取敏感数据。
API是连接不同来源数据和承载业务逻辑的重要通道，通过开放API实现金融业务线上办理和查询、移动支付、业务融合等，与此同时，API也正成为恶意攻击的重点目标，巨大的流量和访问频率让API的风险面变得更广、影响更大。
《商业银行应用程序接口安全管理规范》中与商业银行部分具体相关的条款。
① 安全设计：

应对商业银行应用程序接口应对联通有效性进行验证。
根据应用方服务需求，按照最小授权原则对接口进行授权管理；服务需求变更时，需及时评估和调整接口权限。
商业银行应对接口使用情况进行监控，并按要求完整记录接口访问日志。
② 安全部署

商业银行应在互联网边界部署具有网络控制、入侵防范相关安全防护能力的网络安全防护措施；商业银行的安全控制要求依据JR/T 071部署相应级别的安全控制措施。
商业银行应可以限制接口连接时长、主动断开连接的功能，发现恶意连接可主动控制。
③ 安全运维

商业银行应建立商业银行应用程序接口运维监测平台，或将商业银行应用程序接口纳入商业银行统一监测平台并重点监测；对于异常监测，商业银行应具备流量监控、故障隔离、黑名单控制等接口调用控制能力。
商业银行应对接口进行安全巡检，包括技术检查和安全集成检查。

02 项目介绍
为有效降低开放银行建设的安全风险，2020 年 2 月，中国人民银行发布了《商业银行应用程序接口安全管理规范》这一金融行业标准。标准规定了商业银行应用程序接口（API）的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求，贯穿API的整个生命周期。

2021年发布的《金融数据安全 数据生命周期安全规范》则更是要求“对使用API进行数据跨域流动的边界，应使用API防护技术”，要求“对API数据的外发与回传进行审计”。

鉴于金融业务面临的API安全问题，以及国家针对API提出的具体安全要求，星阑科技分析梳理了API技术面临的内、外部安全风险，针对事前、事中、事后不同阶段的安全需求差异，从API安安全管理、防护手段、风险管控等多角度为企业实现高效、灵活的API安全解决方案。

03 星阑API安全解决方案

核心场景

全域API资产梳理
通过全流量分析、多维度的有效数据采集和智能分析能力，实时监控流量中全部API接口的安全态势、漏洞风险、数据暴露风险和业务风险等，让管理员可以清楚的感知全业务域有多少API、是否安全、哪里不安全、具体薄弱点、攻击入口点等，围绕攻击链（kill-chain）来形成一套基于“事前检查、事中分析、事后检测”的安全能力，看清全网API威胁，从而辅助决策。

API 身份认证实时监控
加强 API 身份认证实时监控能力，对异常登录、调用行为进行分析，发现恶意行为及时告警。实时监控接口运行中的单因素认证、弱密码、密码明文传输等脆弱性问题，建立账号登录行为画像，形成用户常规登录特征基线，对不同 IP 登录、连续认证失败、境外 IP 访问等敏感操作进行监测分析，发现账号共享、借用、兼任等违规行为及时对相关账号操作及时告警，避免安全事件的发生或扩大。

建立API行为模型和用户画像
基于人工智能的安全规则制定可以实现更加精准和自适应的API安全防御，建立基于API使用数据的用户画像和行为模型，进行精细化的身份认证和访问控制，通过对API使用数据的分析和整合，可以建立API行为模型和用户画像，并进行自动学习和调整，从而实现更加精准的安全规则制定和更新，提高API的安全性能和效率。

智能分析能力，应对API未知威胁
随着黑客的技术发展以及变种、爬虫与反风控技术的不断改进，传统安全设备的静态规则防御手段已经捉襟见肘，依靠规则无法防御API爬虫、API数据泄露等未知威胁。星阑科技萤火API安全分析平台具备智能分析技术，利用机器学习、关联分析、UEBA、隐私识别等新数据分析模型，能够学习每一个API的历史行为模式，并针对异常行为序列进行告警，充分检测数据泄露、异常访问、越权攻击、账号滥用行为。模型通过数据输入进行不断的自我迭代，使效果能够越来越贴近业务模式，降低误报漏报发生的概率。

API 数据流向监控
建立 API 数据流量监测机制，实时监控数据流向，加强数据流向监控能力建设。通过分析访问和被访问 IP 的局域、地域或法域，实现对数据流向的实时监控，防范数据接收方非法出售或滥用个人信息风险，发现相关违法违规事件及时告警 API 接入，为后续溯源调查积极存证。此外，企业应对境外 IP 访问内网 API 或者内部 IP 访问境外 API 的情况重点关注、及时预警，确保敏感数据出境活动合法合规。

04客户寄语
API是数字化转型的核心，促进协作和快速创新。安全领域正在向api转移，而星阑科技处于API安全战略的前沿。星阑科技帮助我们在数字化转型过程中加强API安全，借助于星阑科技先进的技术和专业团队，不仅可以确保API的安全性和合规性，还可以为内部开发团队提供强大的工具，从而降低开发成本、缩短业务迭代时间，使我们能够安全地将重要数据和服务与客户、合作伙伴连接起来，以及确保业务持续增长。希望星阑科技与银行机构持续性精诚合作，共同守护金融服务安全阵线。

05总结
未来，API在数字化转型中扮演的角色愈发重要，亟需有效的解决方案对开放共享的数据核心资产提供保护。星阑科技将一如既往地关注API安全领域，并针对市场和客户需求，不断优化和升级现有产品与服务，在API安全领域实现更大的发展和进步。