498科技訊：從網(wǎng)點、App到API，銀行的服務模式從線下擴展到線上，從客戶端場景輻射到全線上場景。銀行可以通過API模式服務線上全生態(tài)場景的用戶。

 對于API金融服務來說，數(shù)據(jù)、場景是不得不提的關(guān)鍵點。

 金融API：一邊是數(shù)據(jù)，一邊是場景

 金融API的快速發(fā)展，除了與技術(shù)發(fā)展息息相關(guān)，也是金融機構(gòu)應對競爭，轉(zhuǎn)型數(shù)字化、生態(tài)化的內(nèi)在驅(qū)動。

 隨著技術(shù)發(fā)展，我們已經(jīng)漸漸進入了數(shù)據(jù)時代，大數(shù)據(jù)已經(jīng)成為最關(guān)鍵的生產(chǎn)資料， “數(shù)字化重造物理世界”、“數(shù)字孿生”、“萬物智聯(lián)”等討論引發(fā)關(guān)注。金融行業(yè)同樣如此，對于金融行業(yè)來說，API是連接、打通不同來來源數(shù)據(jù)，打破數(shù)字鴻溝的重要手段。

 《商業(yè)銀行應用程序接口安全管理規(guī)范》對API的定義是“一組預先定義好的功能，開發(fā)者可通過該功能(或功能的組合)便捷地訪問相關(guān)服務，而無需關(guān)注服務的設計與實現(xiàn)”。可以說，通過API技術(shù)，數(shù)據(jù)、服務調(diào)用更加方便，前端界面與后端服務器的數(shù)據(jù)交互更加便捷。

 從用戶的角度來看，金融服務數(shù)字化的本質(zhì)是通過數(shù)字化手段，在線上實現(xiàn)用戶觸達，“借助API技術(shù)打通不同場景”是更加具體的觸客途徑。

 可以說，借助API技術(shù)，銀行的線上觸客范圍更加廣，但是，API金融背后的安全挑戰(zhàn)也更加復雜。

 金融API背后的安全挑戰(zhàn)

 同樣先看數(shù)據(jù)和場景兩個方面。

 從數(shù)據(jù)角度看，隨著API調(diào)用數(shù)量增多，其涉及的數(shù)據(jù)安全與個人信息也增多、數(shù)據(jù)類型多樣(涉及個人金融數(shù)據(jù)和業(yè)務數(shù)據(jù));同時，數(shù)據(jù)調(diào)用可能涉及多個主體，數(shù)據(jù)泄露和欺詐風險點增多，任何一方服務接口出現(xiàn)問題，都會造成數(shù)據(jù)保護薄弱環(huán)節(jié)。這樣的情況下，數(shù)據(jù)保護面臨更加復雜的挑戰(zhàn)。

 從場景和生態(tài)方面來看，隨著API技術(shù)、開放銀行的發(fā)展，在用戶旅程的各個階段，網(wǎng)絡邊界逐漸模糊，銀行原有的防護邊界和防護手段無法滿足面向全旅程互聯(lián)互通的安全需求，服務接口易可能被惡意調(diào)用，遭致網(wǎng)絡攻擊。比如，API惡意合作方用無效的認證請求可導致業(yè)務服務質(zhì)量下降或中斷。

 根據(jù)今年2月底Akamai的數(shù)據(jù)，在針對金融服務業(yè)發(fā)起的撞庫攻擊中，高達75%的攻擊直接以API為目標。

 數(shù)據(jù)開放、生態(tài)開放帶來的影響不止于此。生態(tài)、數(shù)據(jù)開放意味著交易行為、業(yè)務模式以及風險類型的多樣性，相應地，新型欺詐方式、黑灰產(chǎn)威脅手段也隨之改變，欺詐手段將呈現(xiàn)出專業(yè)化、產(chǎn)業(yè)化、隱蔽化、場景化等特征。這些都對金融業(yè)務安全構(gòu)成了新的挑戰(zhàn)。

 另外，開放往往意味著多方參與。銀行與合作方在品牌、渠道等方面的合作可能面對多種風險環(huán)境，比如違規(guī)操作、外部攻擊、交易欺詐等;同時，各方面臨的監(jiān)管環(huán)境、技術(shù)基礎(chǔ)設施都有所區(qū)別，在合作中如何達成一致，避免系統(tǒng)性風險也值得關(guān)注。

 總的來說，API金融對銀行的線上展業(yè)具有積極意義，但是也面臨更加復雜的安全挑戰(zhàn)，特別是數(shù)據(jù)泄露風險。

 那么，銀行業(yè)要如何應對這樣的安全挑戰(zhàn)。

 就此，光大銀行認為，可以通過構(gòu)建針對API的資產(chǎn)智能識別、身份認證與授權(quán)、異常行為監(jiān)測預警、數(shù)據(jù)脫敏與追溯的安全防護體系，為業(yè)務發(fā)展保駕護航。