3月9日,“2023金融API安全论坛”成功在线举办。本次论坛由工商银行金融科技研究院、《中国金融电脑》杂志社、神州云科联合主办,工商银行业务研发中心专家苏建明为会议致辞,来自工商银行、招商银行、众邦银行以及神州云科的多位专家在线发表了精彩演讲,并围绕多层次的API安全体系建设、未来发展趋势等问题展开了深入探讨。
致辞
工商银行业务研发中心专家 苏建明
工商银行业务研发中心专家苏建明在致辞中表示,当前,数字竞争力已成为国家、企业整体竞争力的重要组成部分,而开放API作为一种新兴商业模式,可助力企业进一步延伸业务能力、加速场景创新。在此背景下,开放银行的出现不仅改变了产业服务与银行服务彼此孤立的局面,实现客户资源和服务场景的双向共享,同时也促使消费数据与金融数据深度融合,加速了金融服务的普惠进程,互利共赢的新生态正逐步成型。在推动开放银行生态发展的过程中,工商银行始终将安全建设作为重中之重,通过开展事前、事中、事后管控,构筑了多层次、全流程、立体安全的防御体系。例如,针对合作方管理,工商银行基于通信协议层和应用层实现了敏感数据加密保护,并通过网关实现了访问控制和限流机制等。着眼于整个行业,API安全建设是当前金融行业网络安全工作的一个缩影。希望通过本次论坛,能够搭建起一个交流共享的平台,进一步提升API安全管控能力,更好助力开放银行建设和银行数字化转型。
演讲
招商银行信息技术部 架构管理团队架构师 沈明杰
招商银行信息技术部架构管理团队架构师沈明杰在题为“数字招行开放平台——安全可信访问实践总结”的演讲中指出,数字招行开放平台重点解决了四个方面的核心诉求:一是针对企业接入管理,平台提供了统一的API发布、接入管理和企业管理功能;二是针对安全问题,平台提供了完备的鉴权和密钥管理体系;三是针对API管理和运维,平台实现了线上化的API全生命周期管理,以及多租户API的数据分析和监控功能;四是针对密钥管理,平台提供了轻量级的密钥管理服务,支持用户按需配置密钥对与API服务的组合。
谈及访问安全控制,沈明杰表示,招商银行在数据平面重点采用了三大策略:一是API鉴权认证,该过程主要由API网关完成,只有通过鉴权认证的请求才能到达业务后端,从而使业务端可更好地聚焦于业务本身。二是敏感数据加密,通过使用国密算法和数字信封技术,有效解决了长报文加密性能问题和对称密钥传输安全问题。三是速率限制,即基于API网关进行流量限制,可支持IP限制、速率限制以及基于速率限制的IP黑白名单等多种模式。
神州云科高级解决方案顾问 林夏
神州云科高级解决方案顾问林夏在题为“API安全可信访问,助力数字经济行稳致远”的演讲中指出,API涉及的安全场景主要可分为四类:一是接入控制,包括认证鉴权、越权控制、参数控制和威胁控制等;二是零信任访问,包括持续认证身份、持续认证权限属性、持续监控动态策略,以及持续集成、交付等;三是网络安全,包括加密流量、DDoS攻击、CC攻击、BOT攻击等;四是应用安全,包括注入攻击、资产梳理、敏感数据预计日志输出分析等。
谈及应对策略,林夏表示,神州云科API安全可信解决方案以API安全防护平台为核心,基于API业务场景化,全面覆盖四大安全要素及Gartner评估的API安全能力矩阵,提供了增强混合型Token认证。同时,通过声明式API,神州云科API安全网关可以快速实现安全即代码,支持快速融入DevOps流水线。此外,基于“神州云科API前置安全网关+神州云科API安全微网关”的独特设计,形成了融合统一的一致性策略,支持快速部署,可有效降低运维成本。
众邦银行金融创新部负责人 彭磊
众邦银行金融创新部负责人彭磊在题为“开放API安全之道”的演讲中指出,众邦银行的API发展主要经历了三个阶段:一是探索阶段,初步探索开放银行输出方式,主要完成场景搭建和完善基础服务能力,以及使用外联网关平台简单进行开放API加解密管理;二是发展阶段,结合行内需求及《商业银行应用程序接口安全管理规范》的要求,搭建互联网开放平台,从技术和管理两方面完善金融API的治理和安全管理;三是成熟阶段,进行渠道的统一管理建设,打通自营渠道和外部渠道的隔阂,实现业务场景配置化、渠道产品个性化、开放API服务化等目标。
谈及云原生时代的API安全,彭磊指出,新一代安全防护模式应具有如下特征:一是将安全防护覆盖云原生应用的全生命周期,从需求分析、软件开发、软件测试、软件发布一直延伸到软件运维;二是将安全防护工具集成到软件开发流程的工具链中,以便于在持续集成之初就完成对代码的静态安全检测;三是全面扫描制品和云配置,并与运行时的可观测性和配置安全相结合,以确定风险优先级,合力安排补救措施。
工商银行金融科技研究院 安全攻防实验室高级经理 姜城
工商银行金融科技研究院安全攻防实验室高级经理姜城在题为“开放银行API探索与实践”的演讲中指出,开放银行API面临的风险给需求、研发、测试监控等流程带来了巨大挑战:一是需求管控挑战,考虑API风险的复杂性,需要多部门协作,从源头即开始控制风险;二是安全研发挑战,在开发人员将原有服务封装或修改后提供给网关调用的过程中,如果忽略外部威胁升级,维持原有的安全等级,易引发安全风险;三是安全测试挑战,即API测试普遍存在接口格式特殊、加密数据测试难、测试周期短等诸多困难;四是安全监控挑战,开放银行将内部能力暴露到互联网,从而使网络防护边界变得愈加模糊,传统监控方法亟待升级。
谈及工商银行实践,姜城介绍,面对愈发复杂的网络安全环境,作为网络安全、数据安全、业务安全的交汇点,API面临的安全风险正逐步显现。对此,工商银行围绕多层次全流程立体安全防御体系建设,重点从API合规性管理、API使用方管理、研发测试流程管理、安全风控模型建设等方面强化管控措施。例如,针对合规性,重点开展了差异化的服务发布管控与全生命周期的上线管控;针对使用方,实施了精细化的合作方准入与全链路的技术管控;针对研发流程,构建了全流程的安全测试体系;针对安全风控,基于风控模型不断强化分析决策能力,打造了全维度的安全监控体系。
论坛最后,工商银行金融科技研究院云计算实验室高级经理王炳辉作为主持人参与了讨论环节。谈及不同技术体系的有机结合,与会嘉宾表示,API安全是一个跨领域的复杂问题,需引入多重防御机制做好安全管控,包括在制度层面覆盖全生命周期管理、部署细粒度的访问策略、搭建统一安全管理平台,以及统筹业务和技术领域的不同需求等,着力构建多层级、多维度的纵深安全防护体系。谈及未来发展趋势,各位嘉宾表示,零信任及数字信封等技术或将成为后续主流的技术研究方向;同时也包括利用人工智能、大数据等技术构建风险模型,对API异常行为进行分析检测;以及结合用户权限和访问路径调优,打造更为灵活的安全验证体系等。与会嘉宾一致认为,通过业界多方携手,合力打造更为安全、稳定的API生态,将更好推动金融业实现数字化转型与高质量发展。