《商業銀行應用程式介面安全管理規範》解讀

綠盟科技發表於2020-05-18

一. 前言

在API技術發展的大趨勢下,API的使用呈現指數級增長,從2014年的26%,增長到2018年的69%,超過html流量的4倍(資料來源:《2018年網際網路安全狀況報告:撞庫攻擊》)。但API流量的安全性被忽視已經是一個不可迴避的現狀,API安全也成為了安全界的熱門話題。在2020年RSA大會上,API安全成為行業熱門議題。API介面複雜,缺乏對常見漏洞的檢查和對傳輸資料的檢測是造成API脆弱的重要原因。

2020年2月13日,中國人民銀行釋出了《商業銀行應用程式介面安全管理規範》(JR/T 0185—2020)(下簡稱《規範》)。《規範》的實施滿足了在平衡服務快速響應與金融資訊保護能力基礎上,對商業銀行應用程式介面的介面設計、應用部署、整合執行、運維監測及系統下線等全生命週期過程提出安全技術與安全管理要求,為其提供了資訊保安技術保障。

二. 《規範》定義

三類用途:商業銀行使用的API型別主要分為內部API、企業定製API與外部API三種型別。本標準主要關注外部API,即本標準所述的商業銀行介面。

兩種形態:服務端到服務端、客戶端SDK到服務端兩種形態API。

三個參與方:使用者、應用方以及商業銀行。

三. 《規範》要點

綠盟科技建議從幾個方面對API安全建設重點關注:

1、介面型別與安全級別

介面按照應用整合方式,分為服務端對服務端整合和移動終端對服務端整合。不同介面實行不同等級安全保護,《規範》尤其提到,對於資金交易和賬戶資訊查詢應用類介面需實施高等級安全保護,其中需要特別關注移動終端直接呼叫銀行API。

2、安全設計

主要強調了動態防禦加互動安全從源頭減少風險。應具備API呼叫的認證&授權能力、訪問控制能力、動態防護、防篡改、客戶端可信校驗能力,互動安全可以如何做到替換原文、敏感資訊等明文資訊。

綠盟業務安全閘道器(NSFOCUS BMG)具備動態防禦、互動安全的能力。在致力於動態安全能力提升的同時,也具備提交資料混淆,在客戶端對敏感資料、隱私資訊進行加密傳輸的能力,有效解決了敏感資訊互動安全的需求。

綠盟安全認證閘道器(NSFOCUS SAG)具備對API和應用統一認證授權、訪問控制、傳輸加密、日誌審計等能力。商業銀行可利用綠盟安全認證閘道器根據不同應用方需求,對API做最小化授權管理,並且產品支援多因子認證,可對呼叫的應用身份和使用者身份進行統一鑑權,執行嚴格的訪問控制和流控策略。在資料傳輸安全上,安全認證閘道器支援TLS流量加密,且支援國密演算法,防止流量劫持和內容篡改,降低資料洩露風險。此外,還會對所有API訪問進行詳細記錄,以供全面審計。

3、安全部署

網際網路邊界部署除防火牆、IDS/IPS、DDoS防護之外,當前金融行業API面臨嚴重的自動化攻擊威脅,還有必要採取機器自動化防護裝置對自動化請求流量進行清洗,並配置流控策略防止API濫用。同時商業銀行應注意提高API許可權管控力度、API攻擊防護能力和監控能力,可利用API閘道器統一管理對外API介面,將API呼叫的最小化授權、流控、日誌記錄等通用安全能力整合起來,加強API安全的同時提高安全運維效率。

4、安全運維

執行安全部分要求對API有效期控制(單次有效性、階段有效性、協議期有效性),應用方安全中明確指出了防止介面濫用大額監控,異常交易監控。

為了解決API有效性驗證,綠盟業務安全閘道器(NSFOCUS SAG)的動態令牌能夠實現API訪問合規校驗,阻止代理人攻擊、非法重複呼叫等問題。

透過機器自動化流量的防護,能夠有效解決API濫用,防止模擬器非法呼叫業務介面乾擾正常業務辦理。

業務安全閘道器(NSFOCUS BMG)能夠智慧學習API引數的特徵,及時對篡改後的引數、異常範圍的API引數進行預警,能夠防護業務邏輯設計不充分帶來的各種安全隱患。

綠盟安全認證閘道器(NSFOCUS BMG)能將企業的API資產進行統一管理,提高安全運營效率。同時會實時監控API呼叫情況,當發現異常介面呼叫,可結合限流、訪問控制能力做出事件響應,終止API呼叫,實施熔斷操作,可及時暫停服務呼叫,拒絕交易等。

小結:

《規範》指出當前API安全主要面臨API生命週期管理、API提交引數安全、API濫用防護三大問題。綠盟科技認為API安全的防護的體系如下:

 《商業銀行應用程式介面安全管理規範》解讀

做好API的全生命週期管理,防護因授權問題導致的未授權訪問、API洩露等問題,以及程式碼審計不嚴格帶來的系統性風險。

在事前、事中、事後三個環節充分重視各自對應的安全問題,在事前對API做統一管理,加密資料傳輸,加強API的防破解能力,防篡改能力;事中,對授權進行嚴格鑑定、做精準API流量控制和訪問控制,重視引數校驗和Bot防護,及時發出異常流量告警並執行熔斷;事後,加強API的視覺化分析能力,異常請求的分析能力,記錄全面日誌供審計。

API是銀行業推進數字化經濟轉型頂層規劃和指導中最具參考性和執行性的標準之一,《規範》從技術模式、安全設計、安全管理等多個方面闡述了商業銀行API建設的方式,《規範》同時也是中國銀行業進一步提升金融科技實力的催化劑,數字化經濟轉型的助推劑。助力商業銀行搭建全球中小企業互聯互通平臺,促進一帶一路金融戰略佈局。

相關文章