金融安防 | 商业银行API防护体系构建思考与实践

主要观点总结

本文主要介绍了应用程序编程接口（API）在金融领域的重要性及其面临的安全风险。API与云技术的结合推动了数字商业模式的发展，但同时也引入了新的安全风险。中国光大银行在API安全防护体系构建方面采取了四重举措，包括落地API安全标准、建立API资产运营、开展API异常行为监测、进行API潜在风险探查等。本文还详细描述了API面临的风险类型及光大银行采取的应对措施。

关键观点总结

关键观点1: API在金融业务开发中的重要性及作用

API是现阶段商业银行打开封闭体系，探索金融服务模式的主要方式，推动了应用程序、容器、微服务之间的数据和信息交换。

关键观点2: API面临的新型安全风险

API面临攻击类型广，包括资源消耗无限制、对象属性级别授权失效等新型安全风险，很容易导致后台权限被恶意获取、发生用户数据泄露等风险。同时，API使用范围广、涉及场景多，导致资产管控覆盖难。

关键观点3: 中国光大银行在API安全防护方面的举措

中国光大银行通过四重举措并举建设API安全防护体系，包括落地API安全标准、建立API资产运营、开展API异常行为监测和开展API潜在风险探查等。

关键观点4: API安全防护的挑战与未来趋势

随着人工智能技术的发展，自动化攻击技术的不断发展也使得API安全防护面临新的挑战。光大银行通过建立统一金融开放平台、API安全资产运营平台等方式，全面提升API安全防护水平。