金融API安全體系應該如何構建-開放銀行應該這么做
文章來源:四九八網(wǎng)絡發(fā)布時間:2020-10-21 14:58:21熱度:1115498科技訊:從網(wǎng)點、App到API,銀行的服務模式從線下擴展到線上,從客戶端場景輻射到全線上場景。銀行可以通過API模式服務線上全生態(tài)場景的用戶。
對于API金融服務來說,數(shù)據(jù)、場景是不得不提的關鍵點。
金融API:一邊是數(shù)據(jù),一邊是場景
金融API的快速發(fā)展,除了與技術發(fā)展息息相關,也是金融機構應對競爭,轉型數(shù)字化、生態(tài)化的內在驅動。
隨著技術發(fā)展,我們已經(jīng)漸漸進入了數(shù)據(jù)時代,大數(shù)據(jù)已經(jīng)成為最關鍵的生產資料, “數(shù)字化重造物理世界”、“數(shù)字孿生”、“萬物智聯(lián)”等討論引發(fā)關注。金融行業(yè)同樣如此,對于金融行業(yè)來說,API是連接、打通不同來來源數(shù)據(jù),打破數(shù)字鴻溝的重要手段。
《商業(yè)銀行應用程序接口安全管理規(guī)范》對API的定義是“一組預先定義好的功能,開發(fā)者可通過該功能(或功能的組合)便捷地訪問相關服務,而無需關注服務的設計與實現(xiàn)”。可以說,通過API技術,數(shù)據(jù)、服務調用更加方便,前端界面與后端服務器的數(shù)據(jù)交互更加便捷。
從用戶的角度來看,金融服務數(shù)字化的本質是通過數(shù)字化手段,在線上實現(xiàn)用戶觸達,“借助API技術打通不同場景”是更加具體的觸客途徑。
可以說,借助API技術,銀行的線上觸客范圍更加廣,但是,API金融背后的安全挑戰(zhàn)也更加復雜。
金融API背后的安全挑戰(zhàn)
同樣先看數(shù)據(jù)和場景兩個方面。
從數(shù)據(jù)角度看,隨著API調用數(shù)量增多,其涉及的數(shù)據(jù)安全與個人信息也增多、數(shù)據(jù)類型多樣(涉及個人金融數(shù)據(jù)和業(yè)務數(shù)據(jù));同時,數(shù)據(jù)調用可能涉及多個主體,數(shù)據(jù)泄露和欺詐風險點增多,任何一方服務接口出現(xiàn)問題,都會造成數(shù)據(jù)保護薄弱環(huán)節(jié)。這樣的情況下,數(shù)據(jù)保護面臨更加復雜的挑戰(zhàn)。
從場景和生態(tài)方面來看,隨著API技術、開放銀行的發(fā)展,在用戶旅程的各個階段,網(wǎng)絡邊界逐漸模糊,銀行原有的防護邊界和防護手段無法滿足面向全旅程互聯(lián)互通的安全需求,服務接口易可能被惡意調用,遭致網(wǎng)絡攻擊。比如,API惡意合作方用無效的認證請求可導致業(yè)務服務質量下降或中斷。
根據(jù)今年2月底Akamai的數(shù)據(jù),在針對金融服務業(yè)發(fā)起的撞庫攻擊中,高達75%的攻擊直接以API為目標。
數(shù)據(jù)開放、生態(tài)開放帶來的影響不止于此。生態(tài)、數(shù)據(jù)開放意味著交易行為、業(yè)務模式以及風險類型的多樣性,相應地,新型欺詐方式、黑灰產威脅手段也隨之改變,欺詐手段將呈現(xiàn)出專業(yè)化、產業(yè)化、隱蔽化、場景化等特征。這些都對金融業(yè)務安全構成了新的挑戰(zhàn)。
另外,開放往往意味著多方參與。銀行與合作方在品牌、渠道等方面的合作可能面對多種風險環(huán)境,比如違規(guī)操作、外部攻擊、交易欺詐等;同時,各方面臨的監(jiān)管環(huán)境、技術基礎設施都有所區(qū)別,在合作中如何達成一致,避免系統(tǒng)性風險也值得關注。
總的來說,API金融對銀行的線上展業(yè)具有積極意義,但是也面臨更加復雜的安全挑戰(zhàn),特別是數(shù)據(jù)泄露風險。
那么,銀行業(yè)要如何應對這樣的安全挑戰(zhàn)。
就此,光大銀行認為,可以通過構建針對API的資產智能識別、身份認證與授權、異常行為監(jiān)測預警、數(shù)據(jù)脫敏與追溯的安全防護體系,為業(yè)務發(fā)展保駕護航。
原創(chuàng)作者:四九八科技。禁止轉載,本文鏈接:
您關注的城市合伙人案例
查看更多成功案例
云收單
10年老牌支付專家
新大陸旗下成員企業(yè)
400-0591-498
|最新文章
|聚合支付的使用場景
- 餐飲
- 超市
- 酒店
- KTV
|熱門關注