498科技訊：從網點、App到API，銀行的服務模式從線下擴展到線上，從客戶端場景輻射到全線上場景。銀行可以通過API模式服務線上全生態(tài)場景的用戶。

 對于API金融服務來說，數據、場景是不得不提的關鍵點。

 金融API：一邊是數據，一邊是場景

 金融API的快速發(fā)展，除了與技術發(fā)展息息相關，也是金融機構應對競爭，轉型數字化、生態(tài)化的內在驅動。

 隨著技術發(fā)展，我們已經漸漸進入了數據時代，大數據已經成為最關鍵的生產資料， “數字化重造物理世界”、“數字孿生”、“萬物智聯”等討論引發(fā)關注。金融行業(yè)同樣如此，對于金融行業(yè)來說，API是連接、打通不同來來源數據，打破數字鴻溝的重要手段。

 《商業(yè)銀行應用程序接口安全管理規(guī)范》對API的定義是“一組預先定義好的功能，開發(fā)者可通過該功能(或功能的組合)便捷地訪問相關服務，而無需關注服務的設計與實現”?？梢哉f，通過API技術，數據、服務調用更加方便，前端界面與后端服務器的數據交互更加便捷。

 從用戶的角度來看，金融服務數字化的本質是通過數字化手段，在線上實現用戶觸達，“借助API技術打通不同場景”是更加具體的觸客途徑。

 可以說，借助API技術，銀行的線上觸客范圍更加廣，但是，API金融背后的安全挑戰(zhàn)也更加復雜。

 金融API背后的安全挑戰(zhàn)

 同樣先看數據和場景兩個方面。

 從數據角度看，隨著API調用數量增多，其涉及的數據安全與個人信息也增多、數據類型多樣(涉及個人金融數據和業(yè)務數據);同時，數據調用可能涉及多個主體，數據泄露和欺詐風險點增多，任何一方服務接口出現問題，都會造成數據保護薄弱環(huán)節(jié)。這樣的情況下，數據保護面臨更加復雜的挑戰(zhàn)。

 從場景和生態(tài)方面來看，隨著API技術、開放銀行的發(fā)展，在用戶旅程的各個階段，網絡邊界逐漸模糊，銀行原有的防護邊界和防護手段無法滿足面向全旅程互聯互通的安全需求，服務接口易可能被惡意調用，遭致網絡攻擊。比如，API惡意合作方用無效的認證請求可導致業(yè)務服務質量下降或中斷。

 根據今年2月底Akamai的數據，在針對金融服務業(yè)發(fā)起的撞庫攻擊中，高達75%的攻擊直接以API為目標。

 數據開放、生態(tài)開放帶來的影響不止于此。生態(tài)、數據開放意味著交易行為、業(yè)務模式以及風險類型的多樣性，相應地，新型欺詐方式、黑灰產威脅手段也隨之改變，欺詐手段將呈現出專業(yè)化、產業(yè)化、隱蔽化、場景化等特征。這些都對金融業(yè)務安全構成了新的挑戰(zhàn)。

 另外，開放往往意味著多方參與。銀行與合作方在品牌、渠道等方面的合作可能面對多種風險環(huán)境，比如違規(guī)操作、外部攻擊、交易欺詐等;同時，各方面臨的監(jiān)管環(huán)境、技術基礎設施都有所區(qū)別，在合作中如何達成一致，避免系統(tǒng)性風險也值得關注。

 總的來說，API金融對銀行的線上展業(yè)具有積極意義，但是也面臨更加復雜的安全挑戰(zhàn)，特別是數據泄露風險。

 那么，銀行業(yè)要如何應對這樣的安全挑戰(zhàn)。

 就此，光大銀行認為，可以通過構建針對API的資產智能識別、身份認證與授權、異常行為監(jiān)測預警、數據脫敏與追溯的安全防護體系，為業(yè)務發(fā)展保駕護航。