一、解决方案简介

瑞数API安全治理解决方案，秉持金融数字化创新、协调、绿色、开放、共享的新发展理念，在积极利用新兴技术优化金融产品、拓宽服务渠道的背景下，思考数据安全治理思路和采用数据全生命周期管理技术框架，针对数据传输、提供和公开的每一个环节和步骤建立相对应的技术应对措施，是集API资产感知、发现、管理，安全攻击、接口参数识别、敏感数据识别、异常行为管控和审计紧密于一体的解决方案。

具体金融业务应用场景如下：

1.API资产审计和管理

实现API资产自动发现，自动发现流量中的API接口，实现API接口自动识别、梳理、分组，对API资产进行全生命周期管理，刻画API资产画像和API全量报表。

2.API敏感数据防泄漏和分级分类

对API流量中的敏感数据进行识别，对敏感数据进行分级分类，对API敏感数据进行脱敏和管控。

3.API数据安全合规审计

对API流量的留存记录、接口访问行为进行深度分析，关联异常操作账号或者API令牌，提供追溯证据。根据金融API业务特点，结合政策、法规、行规出具API审计报告，将潜在风险消灭在萌芽状态。

4.API接口漏洞保护及入侵防御

通过语义分析、流量学习、规则匹配技术，实现对API攻击的实时识别和阻断，加强 API 安全防护能力建设，建立健全安全防护体系，从而提升金融企业API抵御外部威胁的能力，降低数据安全事件发生几率。

5.应用部署

瑞数API安全治理解决方案主要提供了反向代理、旁路镜像、Agent插件多种部署形态作用于网内，进行串接的安全防御模式或使用API探针流量采集后统一连接至API集中分析平台进行API数据治理。这种模式充分考虑了全网架构分析和优劣分析，无需修改应用代码，降低运维复杂度及故障发生几率，实现API东西向流量识别以及南北向流量管控的完整解决方案。

图-1 应用部署架构 

瑞数API安全治理解决方案可以落实金融API业务合规建设、抵御金融API新兴威胁。通过API感知、发现、监测和保护的“ADMP安全模型”方法论，实现海量API智能识别和梳理、API安全智能防御、敏感数据识别和脱敏、异常行为识别和管控；践行“国标”与“金标”中要求API安全管理、安全集成、安全运维等目标。实现金融开放API安全管控，为智能化、场景化、个性化的金融服务展业广度与深度奠定基础，对促进金融业务向API模式转型升级、提升核心竞争力的新路径上具有重要作用。

二、应用场景痛点简介

金融API开放在加速业务流程再造，服务模式从线下扩展到线上,提升金融服务效能的同时，也使得金融API管理上难度更高、风险敞口更多、风险管控链条更长，风险洼地效应更加明显，风险形式呈现出新特点、新变化。对于API金融服务来说，一边是数据，一边是场景和生态，从这两个方向来看，瑞数API安全治理解决方案能有效解决金融行业在API开放中的各种痛点。

图2 金融API风险挑战

金融API风险挑战具体表现在以下几个方面：

1.API资产无法有效管理

从数据角度看，API是数据资产。因业务属性需要公开部分API来支撑客户服务和第三方合作，随着API调用数量增多，业务部门若没及时同步安全团队API具体存量和新增清单，由于技术上API资产不可被扫描探测，安全团队无法有效获取API资产清单，从而无法对整体业务API进行有效的管理和安全分析，导致出现API资产管理难题，API资产不清、责任不清、数据类型划分不清等API资产的生命周期管理问题。类比金融业务理念“需搞清了有多少财产的前提下，后续才能去做理财”。因此，金融企业迫切需要采用针对性的API自动梳理能力，才能有效进行API资产的管理。

2.敏感数据泄漏

近年来API数据泄露的事件屡见不鲜。当金融API连接交互中涉及到的个人金融数据和业务数据多种类型；同时，数据调用可能涉及多个服务提供、场景建设、交易发起等众多主体，这意味着数据泄露和欺诈风险点的增多，任何一方数据保护存在薄弱环节都可能危及金融数据安全，如不法份子可能非法获取客户信息，第三方金融供应链的应用方可能暗箱违规套取交易信息，导致敏感数据泄漏等。金融API治理中，数据泄露头号风险，92%的数据泄露来自业务API。

图3 数据泄漏行业统计

3.网络攻击风险

从生态方面来看，金融API接口具有公开、共享属性，API开放便用的模式上使得网络边界逐渐模糊，客观上扩大了金融网络受攻击范围，风险传导路径增多。现在的黑产已经实现各类攻击资源高度的模块化和市场化，使得金融企业原有的防护边界和防护手段，无法应对现有业务模式下API的各类新兴威胁，比如利用高级自动化工具进行API接口恶意调用（应用层DDOS），可能导致业务服务质量下降、服务器被入侵、业务连续性中断等问题，国际开源安全组织OWASP发布的API Security TOP10已逐年提醒需要防范针对API的攻击警示。

4.业务风险

从具体的业务场景来看，API接口数据开放意味着业务模式、交易模式产生的业务风险类型的变化，相应的各类黑灰产的欺诈手法也随之变化，欺诈手段聚焦API特性更加专业化、产业化、隐蔽化、场景化。比如合作渠道可能违规使用开放API服务接口，将接口“二次打包”给未经授权的调用方使用；黑产利用正常业务接口进行撞库攻击、数据窃取等；金融活动的线上营销活动遭遇“薅羊毛”，奖励大部分被黑产薅走等。

以上，安全是开放的前提。当金融业务在以API为抓手，用新思维、新技术、新模式为广大客户更优质便捷的产品与服务时，构建安全、合规、可管、可控的金融API，对于金融行业，如开放银行转型来说，至关重要。未来金融行业必定更注重API安全管控，作为发展、开放的根基和命脉，强化安全意识，恪守安全红线。充分运用API数据安全技术加强开放金融数据保护能力，借助API感知识别、API威胁建模、行为分析、敏感数据识别等技术手段建立数据可信共享机制，做好端到端的API安全风险管控，深化金融API安全，确保金融API业务合规可靠,推动数据更好地赋能金融服务。

三、解决方案亮点介绍

瑞数API安全治理解决方案，客户群体主要面向金融领域，方案可覆盖银行、证券、保险等金融机构的API数据安全治理建设；也一直走在业务与技术创新的前列，寻求可持续的科技创新应用模式，以API安全管控来护航业务转型升级，使客户在新型竞争格局中保持优势地位。

早在金融API模式兴起之初，瑞数信息便进行调研，并开展了与各大银行的合作，现已拥有3年的API安全治理实践经验。各类金融API资产画像模板、敏感数据样例、业务风险基线、业务威胁模型非常丰富，可助力金融企业快速开放API整合资源，进入API经济模式。

瑞数API安全治理解决方案具有以下优势能力：

图4 方案价值能力

1.API生存环境感知

用户在Web端（含H5和微信）、手机APP等方式调用API时，本方案会感知客户端中上百种信息，并随机采集多种组合信息，包括设备指纹、浏览器特征、用户输入事件等，建立API指纹，从而实现精准的攻击定位与溯源，并基于这些数据建模描绘用户画像。本方案已具备20多种常用业务威胁模型，可识别或阻拦绝大多数批量的恶意交易，大幅降低风控团队的运维成本，提升响应速度。

2.API资产高效管理

在过去的API管理上，因API业务场景的风险具备极强的业务特征，必须是多部门共同协同的结果，这需要花费大量的沟通和协作成本。该方案可以快速自动地发现API，并可针对API接口的高精度识别和样式提取定义，对发现的API给出明确的认定；同时，显示出清晰的API列表，对API接口的访问情况一目了然，帮助用户实现API资产生命周期管理，极大地释放用户安全人员的精力，可大幅度缩减API梳理时间，使API资产管理工作从混乱到有序，从疲于奔命做到从容不迫，有利于进一步做好API资产管理。

3.API多维度攻击防护

采用全程式安全威胁防护技术，利用基于语义分析、流量学习、规则识别安全攻击场景、AI建模发现深层次业务威胁、API参数自学习主动对API参数进行攻击学习，综合来对异常行为进行检测分析，误报率、漏报率明显降低，从而利于精准地构建API业务威胁模型。不仅覆盖OWASP API Security Top10的攻击防御，且通过API业务威胁模型，分析用户访问行为特征，辨别该访问是否是异常行为，可以快速针对金融灰黑产针对API的业务威胁，如：爬虫、撞库等。

4.金融敏感数据管控

本方案基于瑞数信息自研的敏感数据识别算法，极大地提高了对敏感数据识别的精准度。在使用中方案默认自带有多种类的敏感数据识别策略，覆盖金融行业几十种常见敏感数据的识别，亦可根据金融用户针对性业务特点进行敏感数据自定义标签化数据，金融类客户端应用软件、银行卡受理设备、自助终端设备等界面展示的个人金融信息进行脱敏处理，确保登陆系统前不展示敏感信息，防止敏感数据泄漏。

5.动态响应控制

对攻击和异常行为的结果或指定条件，进行动态响应防护，基于信誉库的积累实现多维度的信誉防护，包括IP信誉库、设备指纹信誉库和账号信誉库等，提升通过逆向探测或机器学习分析等攻击手段的难度，针对API风险细粒度控制。

6.超高能性处理

该方案从采集API数据、解构API报文、联系API上下关系，从流程上优化数据处理，能支撑超大流量环境的API治理，支持的业务访问数（TPS）能力是传统方式的20倍，达到国内领先水平。

总而言之，瑞数API安全治理解决方案实际应用效果显著，从金融 API 生存环境出发，基于全链条API纵深防御，用技术手段提高了管理水平，降低了数据泄漏风险、安全风险、业务风险。从API特定类型、应用场景角度保障API数据安全，符合金融行业出台的相关规范性文件对API技术部署、安全管理的要求，对完善数据安全标准规范体系、防范API数据泄漏损害金融企业、金融用户的合法权益具有建设性和借鉴意义。

四、金融行业客户名单

瑞数信息是国内创新推出“动态安全”技术的专业安全厂商，并在动态安全产品的基础上，延伸开发出了API安全管控平台。该平台已经在许多金融机构客户中得到成功实践，特别是在国家级的攻防演练和重要保障工作中，获得了客户的高度认可。

五、客户评价

某大型商业银行客户：

该解决方案贴合我行开放API的现状和管理要求，结合API业务安全的佳实践，聚焦重点成熟技术，实现了API智能发现、并建立了管控措施，借助API威胁建模、API访问基线等手段，能够很好地配合我行进行API业务威胁透视分析和防护，从一定程度上避免如违规操作、外部攻击、交易欺诈等系统性风险。同时，积极尝试利用新兴技术，对流量的解析还原，帮助我行实时监控API的数据暴露面以及数据泄露情况，以面对复杂的API安全治理挑战，对我行API线上的放心展业具有积极意义。