设计|保护金融API安全 让信息无“泄”可击

身处数字金融时代 , 商业银行应用程序接口(API)的安全边界 , 正逐渐由独立的局域网络扩展到开放的互联网 , 诸如移动支付、跨界授信等数字金融服务 , 日益渗入我们生活的各个方面 。 电话推销、网络诈骗等传统手段 , 或将演变为身份盗窃、舆论攻击等手段 , 乃至危及到人身安全 。 在可预见的未来 , 金融服务安全的主战场 , 是提供金融服务的每一家企业、是接入互联网的每一台设备、是社会上的每一人 。

设计|保护金融API安全 让信息无“泄”可击
文章图片

近年来 , 个人信息泄露事件屡见不鲜 。 比如 , 在此前一起车辆信息泄露事件中 , 大量车主的姓名、电话、车辆品牌等信息赫然在列 。 这份数据表格按条分档售卖 , 从7分到9毛不等 , 且量大从优 。 不难想象 , 如此详尽的信息若被非法利用 , 用户可能会被定向推送、精准营销、大数据杀熟……甚至被诈骗 。
依照常见的车贷流程 , APP、车商、车贷公司、商业银行作为信息提交、转送、审核、放贷等环节 , 相互之间都使用了API实现的数据交互 。

设计|保护金融API安全 让信息无“泄”可击
文章图片

车贷流程简图
注:上图只是描述车贷流程的一种可能的连接形式 , 还有如APP与车贷公司或银行直连 , 车商为第三方接入的情况等 。 此图仅为方便理解简化绘制 。
我们根据案例 , 分析了信息泄露的可能方式 , 如用户端泄露、相关人员泄露、API设计缺陷以及服务器被攻击等情况 , 具体如下:
1. 用户端泄露:用户提交非必要信息或APP权限使用过度等
2. 相关人员泄露:由各个环节的相关经手人泄露或被转卖
3. API设计缺陷:数据没有加密传输或权限控制不完善等情况
4. 服务器被攻击:服务器防护不到位或数据未安全存储等情况
不止于此 , 近年来多起信息泄露安全事件都与API相关或间接相关 , API管理疏漏、API设计缺陷、API防护缺位等为信息泄露的主要原因 。
2020年2月 , 中国人民银行正式发布《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)(以下简称《规范》)和《个人金融信息保护技术规范》(JR/T 0171—2020) 。
《规范》针对使用商业银行应用程序接口的各类金融服务 , 对个人金融信息保护和金融API安全在技术和管理两方面 , 从API的设计、部署、集成、运维、服务终止与下线到管理的整个生命周期 , 对商业银行和应用方提出明确要求 , 为我们安全使用数字金融服务打造了坚实的金融后盾 。
值得关注的是 , 2021年3月 , 中国金融认证中心(CFCA)已完成“商业银行应用程序接口检测”项目的试点 。
【设计|保护金融API安全 让信息无“泄”可击】 安全之重 , 势如泰山 , 在保护金融服务安全的道路上我们从未停歇 。 CFCA立足于金融行业 , 提供商业银行应用程序接口(API)检测服务 , 共同守护你我金融生活的生命线 。

    推荐阅读