498科技訊：從網(wǎng)點(diǎn)、App到API，銀行的服務(wù)模式從線下擴(kuò)展到線上，從客戶端場(chǎng)景輻射到全線上場(chǎng)景。銀行可以通過(guò)API模式服務(wù)線上全生態(tài)場(chǎng)景的用戶。

 對(duì)于API金融服務(wù)來(lái)說(shuō)，數(shù)據(jù)、場(chǎng)景是不得不提的關(guān)鍵點(diǎn)。

 金融API：一邊是數(shù)據(jù)，一邊是場(chǎng)景

 金融API的快速發(fā)展，除了與技術(shù)發(fā)展息息相關(guān)，也是金融機(jī)構(gòu)應(yīng)對(duì)競(jìng)爭(zhēng)，轉(zhuǎn)型數(shù)字化、生態(tài)化的內(nèi)在驅(qū)動(dòng)。

 隨著技術(shù)發(fā)展，我們已經(jīng)漸漸進(jìn)入了數(shù)據(jù)時(shí)代，大數(shù)據(jù)已經(jīng)成為最關(guān)鍵的生產(chǎn)資料， “數(shù)字化重造物理世界”、“數(shù)字孿生”、“萬(wàn)物智聯(lián)”等討論引發(fā)關(guān)注。金融行業(yè)同樣如此，對(duì)于金融行業(yè)來(lái)說(shuō)，API是連接、打通不同來(lái)來(lái)源數(shù)據(jù)，打破數(shù)字鴻溝的重要手段。

 《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》對(duì)API的定義是“一組預(yù)先定義好的功能，開(kāi)發(fā)者可通過(guò)該功能(或功能的組合)便捷地訪問(wèn)相關(guān)服務(wù)，而無(wú)需關(guān)注服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)”。可以說(shuō)，通過(guò)API技術(shù)，數(shù)據(jù)、服務(wù)調(diào)用更加方便，前端界面與后端服務(wù)器的數(shù)據(jù)交互更加便捷。

 從用戶的角度來(lái)看，金融服務(wù)數(shù)字化的本質(zhì)是通過(guò)數(shù)字化手段，在線上實(shí)現(xiàn)用戶觸達(dá)，“借助API技術(shù)打通不同場(chǎng)景”是更加具體的觸客途徑。

 可以說(shuō)，借助API技術(shù)，銀行的線上觸客范圍更加廣，但是，API金融背后的安全挑戰(zhàn)也更加復(fù)雜。

 金融API背后的安全挑戰(zhàn)

 同樣先看數(shù)據(jù)和場(chǎng)景兩個(gè)方面。

 從數(shù)據(jù)角度看，隨著API調(diào)用數(shù)量增多，其涉及的數(shù)據(jù)安全與個(gè)人信息也增多、數(shù)據(jù)類(lèi)型多樣(涉及個(gè)人金融數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù));同時(shí)，數(shù)據(jù)調(diào)用可能涉及多個(gè)主體，數(shù)據(jù)泄露和欺詐風(fēng)險(xiǎn)點(diǎn)增多，任何一方服務(wù)接口出現(xiàn)問(wèn)題，都會(huì)造成數(shù)據(jù)保護(hù)薄弱環(huán)節(jié)。這樣的情況下，數(shù)據(jù)保護(hù)面臨更加復(fù)雜的挑戰(zhàn)。

 從場(chǎng)景和生態(tài)方面來(lái)看，隨著API技術(shù)、開(kāi)放銀行的發(fā)展，在用戶旅程的各個(gè)階段，網(wǎng)絡(luò)邊界逐漸模糊，銀行原有的防護(hù)邊界和防護(hù)手段無(wú)法滿足面向全旅程互聯(lián)互通的安全需求，服務(wù)接口易可能被惡意調(diào)用，遭致網(wǎng)絡(luò)攻擊。比如，API惡意合作方用無(wú)效的認(rèn)證請(qǐng)求可導(dǎo)致業(yè)務(wù)服務(wù)質(zhì)量下降或中斷。

 根據(jù)今年2月底Akamai的數(shù)據(jù)，在針對(duì)金融服務(wù)業(yè)發(fā)起的撞庫(kù)攻擊中，高達(dá)75%的攻擊直接以API為目標(biāo)。

 數(shù)據(jù)開(kāi)放、生態(tài)開(kāi)放帶來(lái)的影響不止于此。生態(tài)、數(shù)據(jù)開(kāi)放意味著交易行為、業(yè)務(wù)模式以及風(fēng)險(xiǎn)類(lèi)型的多樣性，相應(yīng)地，新型欺詐方式、黑灰產(chǎn)威脅手段也隨之改變，欺詐手段將呈現(xiàn)出專業(yè)化、產(chǎn)業(yè)化、隱蔽化、場(chǎng)景化等特征。這些都對(duì)金融業(yè)務(wù)安全構(gòu)成了新的挑戰(zhàn)。

 另外，開(kāi)放往往意味著多方參與。銀行與合作方在品牌、渠道等方面的合作可能面對(duì)多種風(fēng)險(xiǎn)環(huán)境，比如違規(guī)操作、外部攻擊、交易欺詐等;同時(shí)，各方面臨的監(jiān)管環(huán)境、技術(shù)基礎(chǔ)設(shè)施都有所區(qū)別，在合作中如何達(dá)成一致，避免系統(tǒng)性風(fēng)險(xiǎn)也值得關(guān)注。

 總的來(lái)說(shuō)，API金融對(duì)銀行的線上展業(yè)具有積極意義，但是也面臨更加復(fù)雜的安全挑戰(zhàn)，特別是數(shù)據(jù)泄露風(fēng)險(xiǎn)。

 那么，銀行業(yè)要如何應(yīng)對(duì)這樣的安全挑戰(zhàn)。

 就此，光大銀行認(rèn)為，可以通過(guò)構(gòu)建針對(duì)API的資產(chǎn)智能識(shí)別、身份認(rèn)證與授權(quán)、異常行為監(jiān)測(cè)預(yù)警、數(shù)據(jù)脫敏與追溯的安全防護(hù)體系，為業(yè)務(wù)發(fā)展保駕護(hù)航。