《商业银行应用程序接口安全管理规范》解读
《商业银行应用程序接口安全管理规范》解读
一. 前言
在API技术发展的大趋势下,API的使用呈现指数级增长,从2014年的26%,增长到2018年的69%,超过html流量的4倍(数据来源:《2018年互联网安全状况报告:撞库攻击》)。但API流量的安全性被忽视已经是一个不可回避的现状,API安全也成为了安全界的热门话题。在2020年RSA大会上,API安全成为行业热门议题。API接口复杂,缺乏对常见漏洞的检查和对传输数据的检测是造成API脆弱的重要原因。
2020年2月13日,中国人民银行发布了《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)(下简称《规范》)。《规范》的实施满足了在平衡服务快速响应与金融信息保护能力基础上,对商业银行应用程序接口的接口设计、应用部署、集成运行、运维监测及系统下线等全生命周期过程提出安全技术与安全管理要求,为其提供了信息安全技术保障。
二. 《规范》定义
三类用途:商业银行使用的API类型主要分为内部API、企业定制API与外部API三种类型。本标准主要关注外部API,即本标准所述的商业银行接口。
两种形态:服务端到服务端、客户端SDK到服务端两种形态API。
三个参与方:用户、应用方以及商业银行。
三. 《规范》要点
绿盟科技建议从几个方面对API安全建设重点关注:
1、接口类型与安全级别
接口按照应用集成方式,分为服务端对服务端集成和移动终端对服务端集成。不同接口实行不同等级安全保护,《规范》尤其提到,对于资金交易和账户信息查询应用类接口需实施高等级安全保护,其中需要特别关注移动终端直接调用银行API。
2、安全设计
主要强调了动态防御加交互安全从源头减少风险。应具备API调用的认证&授权能力、访问控制能力、动态防护、防篡改、客户端可信校验能力,交互安全可以如何做到替换原文、敏感信息等明文信息。
绿盟业务安全网关(NSFOCUS BMG)具备动态防御、交互安全的能力。在致力于动态安全能力提升的同时,也具备提交数据混淆,在客户端对敏感数据、隐私信息进行加密传输的能力,有效解决了敏感信息交互安全的需求。
绿盟安全认证网关(NSFOCUS SAG)具备对API和应用统一认证授权、访问控制、传输加密、日志审计等能力。商业银行可利用绿盟安全认证网关根据不同应用方需求,对API做最小化授权管理,并且产品支持多因子认证,可对调用的应用身份和用户身份进行统一鉴权,执行严格的访问控制和流控策略。在数据传输安全上,安全认证网关支持TLS流量加密,且支持国密算法,防止流量劫持和内容篡改,降低数据泄露风险。此外,还会对所有API访问进行详细记录,以供全面审计。
3、安全部署
互联网边界部署除防火墙、IDS/IPS、DDoS防护之外,当前金融行业API面临严重的自动化攻击威胁,还有必要采取机器自动化防护设备对自动化请求流量进行清洗,并配置流控策略防止API滥用。同时商业银行应注意提高API权限管控力度、API攻击防护能力和监控能力,可利用API网关统一管理对外API接口,将API调用的最小化授权、流控、日志记录等通用安全能力整合起来,加强API安全的同时提高安全运维效率。
4、安全运维
运行安全部分要求对API有效期控制(单次有效性、阶段有效性、协议期有效性),应用方安全中明确指出了防止接口滥用大额监控,异常交易监控。
为了解决API有效性验证,绿盟业务安全网关(NSFOCUS SAG)的动态令牌能够实现API访问合规校验,阻止代理人攻击、非法重复调用等问题。
通过机器自动化流量的防护,能够有效解决API滥用,防止模拟器非法调用业务接口干扰正常业务办理。
业务安全网关(NSFOCUS BMG)能够智能学习API参数的特征,及时对篡改后的参数、异常范围的API参数进行预警,能够防护业务逻辑设计不充分带来的各种安全隐患。
绿盟安全认证网关(NSFOCUS BMG)能将企业的API资产进行统一管理,提高安全运营效率。同时会实时监控API调用情况,当发现异常接口调用,可结合限流、访问控制能力做出事件响应,终止API调用,实施熔断操作,可及时暂停服务调用,拒绝交易等。
小结:
《规范》指出当前API安全主要面临API生命周期管理、API提交参数安全、API滥用防护三大问题。绿盟科技认为API安全的防护的体系如下:
做好API的全生命周期管理,防护因授权问题导致的未授权访问、API泄露等问题,以及代码审计不严格带来的系统性风险。
在事前、事中、事后三个环节充分重视各自对应的安全问题,在事前对API做统一管理,加密数据传输,加强API的防破解能力,防篡改能力;事中,对授权进行严格鉴定、做精准API流量控制和访问控制,重视参数校验和Bot防护,及时发出异常流量告警并执行熔断;事后,加强API的可视化分析能力,异常请求的分析能力,记录全面日志供审计。
API是银行业推进数字化经济转型顶层规划和指导中最具参考性和执行性的标准之一,《规范》从技术模式、安全设计、安全管理等多个方面阐述了商业银行API建设的方式,《规范》同时也是中国银行业进一步提升金融科技实力的催化剂,数字化经济转型的助推剂。助力商业银行搭建全球中小企业互联互通平台,促进一带一路金融战略布局。