API数据接口安全.pdf

《API数据接口安全.pdf》由会员分享，可在线阅读，更多相关《API数据接口安全.pdf（53页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、目录目录一、 API 的基本情况.1（一） API 简介.1（二） API 分类及组成要素.21. API 分类.22. API 组成要素.3（三） API 安全标准化情况.4二、 近年来 API 安全态势.10（一） Facebook 多起数据泄露事件与 API 有关.10（二） 美国邮政服务 API 漏洞导致用户信息泄露.11（三） T-Mobile API 漏洞导致用户账号被窃取.11（四） Twitter 虚假账户利用 API 批量匹配用户信息.12（五） 考拉征信非法出售 API 导致个人信息泄露.12（六） 新浪微博用户查询接口被恶意调用导致数据泄露.12（七） 微信团队收回小程序

2、用户实名信息授权接口.13三、 安全风险分析.13（一） 外部威胁因素.131. API 漏洞导致数据被非法获取.142. API 成为外部网络攻击的重要目标.143. 网络爬虫通过 API 爬取大量数据.144. 合作第三方非法留存接口数据.155. API 请求参数易被非法篡改.15（二） 内部脆弱性因素.161. 身份认证机制.162. 访问授权机制.173. 数据脱敏策略.174. 返回数据筛选机制.185. 异常行为监测.186. 特权账号管理.197. 第三方管理.19四、 安全建议.20（一） 事前.201. 统一 API 设计开发规范，减少安全隐患.202. 强化 API 上线

3、、变更、下线环节实时监控，确保全生命周期安全.203. 完善 API 身份认证和授权管理机制，强化接口接入安全审核.214. 健全 API 安全防护体系，提升抵御外部威胁能力.215. 加大 API 安全保护宣传力度，提高员工安全意识.22（二） 事中.221. 加强 API 身份认证实时监控能力建设.222. 加强异常行为实时监测预警能力建设.223. 加强数据分类分级管控能力建设.234. 加强 API 数据流向监控能力建设.23（三） 事后.241. 建立健全应急响应机制.242. 建立健全日志审计机制.243. 建立健全数据泄露溯源追责机制.25五、 附录.26（一） 全知科技 API

4、 安全实践.261. 开放 API 安全实践.262. 面向合作方 API 安全实践.293. 内部 API 安全实践.31（二） 观安 API 安全实践.341. 安全方案.342. 技术手段.353. 实践应用.384. 发展趋势.40（三） 爱加密 API 安全实践.411. 安全方案.412. 技术手段.433. 实践应用.444. 产品研发.47表目录表目录表 1相关国家标准例举.5表 2相关通信行业标准例举.6表 3相关金融行业标准例举.8表 4相关交通行业标准例举.9应用程序接口（API）数据安全研究报告（2020 年）1一、API 的基本情况伴随着云计算、移动互联网、物联网的蓬

5、勃发展，越来越多的开发平台和第三方服务快速涌现，应用系统与功能模块复杂性不断提升， 应用开发深度依赖于应用程序接口 （Application ProgrammingInterface，API）之间的相互调用。近年来移动应用深入普及，促使社会生产、生活活动从线下转移到了线上，特别在此次新冠肺炎疫情期间，协同办公、在线教育、便民服务等领域移动应用积极助力复工复产，各地依托大数据推出“健康码”等疫情防控新举措，API 在其中起到了紧密链接各个元素的作用。 为满足各领域移动应用业务需要，API 的绝对数量持续增长，通过 API 传递的数据量也飞速增长。 API 技术借助移动应用蓬勃发展的势头融入社会经

6、济的方方面面，不仅为数据交互提供了便利，并且推动了企业、组织机构间的沟通和对话，甚至创造了新的经济模式：API 经济。（一）API 简介（一）API 简介API 是预先定义的函数， 为程序之间数据交互和功能触发提供服务。调用者只需调用 API，并输入预先约定的参数，即可实现开发者封装好的各种功能，无需访问功能源码或理解功能的具体实现机制。从功能角度来看，API 是前端调用后端数据的通道；从业务角度来看， API 是将封装后的应用对外开放的访问接口。 在信息系统内部，随着业务功能的逐渐细化，各个功能模块之间需要利用 API 技术来进行协调；在信息系统外部，API 承担着与其他应用程序进行交互的应

7、用程序接口（API）数据安全蓝皮报告（2020 年）2重要任务。（二）API 分类及组成要素（二）API 分类及组成要素1.API 分类API 技术应用广泛，可满足不同领域、不同业务的数据传输和操作需求，在包括软件开发工具包（Software Development Kit，SDK） 、Web 应用、网关等诸多领域均可发现 API 的身影。因此，从应用领域角度难以合理清晰地区分其种类。为此，本报告从 API 开放程度和API 核心技术两个维度进行分类介绍。（1）按 API 开放程度分类从 API 的开放程度出发， API 可以分为开放 API、 面向合作方 API和内部 API。开放 API

8、是面向公网开放的接口，此类 API 允许公众调用。调用者可以是任何人或者机构，不需要和 API 提供者建立合作关系，例如公司门户网站等。面向合作方 API 指的是企业或组织用来与外部合作伙伴进行沟通、交流和系统集成的 API，例如面向外包机构、设备供应商等。内部 API 仅在企业或组织内部使用，用来协调内部不同系统、应用之间的调用关系，例如 CRM 系统 API、薪资系统 API 等。（2）按 API 核心技术分类从 API 核心技术进行划分，可分为简单对象访问协议（Simple应用程序接口（API）数据安全蓝皮报告（2020 年）3Object Access Protocol，SOAP）AP

9、I，RESTful（RepresentationalState Transfer， REST） API 及远程过程调录 （Remote Procedure Call，RPC）API。SOAP API 是指使用 Web 服务安全性内置协议的 API。基于 XML协议，此类 API 技术可与多种互联网协议和格式结合使用，包括超文本传输协议（HTTP）、简单邮件传输协议（SMTP）、多用途网际邮件扩充协议（MIME）等。RPC API 是指使用远程过程调录协议进行编程的 API，RPC 技术允许计算机调用其他计算机的子系统，并定义了结构化的请求方式。不同于上述两类依托于协议的 API 技术，REST

10、ful API 是一种架构，其通过 HTTP 和 JSON 进行传输，不需要存储或重新打包数据，同时支持 TLS 加密。2.API 组成要素API 通常包含如下组成要素，在这些要素的共同作用下，API 才能发挥预期作用。（1）通信协议：API 一般利用 HTTPS 等加密通讯协议进行数据传输，以确保数据交互安全。（2）域名：用于指向 API 在网络中的位置。API 通常被部署在主域名或者专用域名之下，接入方可通过域名调用相关 API。（3）版本号：不同版本的 API 可能存在巨大差异，尤其对于多版本并存、增量发布等情况，API 版本号有助于准确区分 API 的参数应用程序接口（API）数据安全

11、蓝皮报告（2020 年）4设置。（4）路径：路径又称“终点”（end point），指表示 API 及API 执行功能所需资源的具体地址。（5）请求方式： API 常用的请求方式有 GET、 POST、 PUT 和 DELETE四种，分别用于获取、更新、新建、删除指定资源。（6）请求参数：即传入参数，包含数据格式、数据类型、可否为空以及文字描述等内容。传入参数主要包括 Cookie、Requestheader、请求 body 数据和地址栏参数等。（7）响应参数：即返回参数或传出参数，返回参数本身默认没有值，用于带出请求参数要求 API 后台所返回的数据。（8）接口文档：接口文档是记录 API

12、相关信息的文档，内容包括接口地址、请求方式、传入参数（请求参数）和响应参数等。（三）API 安全标准化情况（三）API 安全标准化情况近年来，我国陆续出台多部数据接口有关标准，对数据接口在不同领域的应用、部署、管理、防护等进行了规范。在国家标准层面，我国多部现行及制定中的国家标准针对 API安全提出了安全要求。GB/T 35273-2020信息安全技术 个人信息安全规范将 API 开发、调用与个人信息安全相结合，明确指出“个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口），

13、且该第三方并未应用程序接口（API）数据安全蓝皮报告（2020 年）5单独向个人信息主体征得收集、使用个人信息的授权同意，则个人信息控制者与该第三方为共同个人信息控制者。”制定中的国家标准 GB/ XXXX-XX信息安全技术 政务信息共享 数据安全技术要求要求共享交换过程中涉及的授权方（共享数据提供方、共享交换服务方）“支持资源文件、库表、接口等各共享方式上不同粒度的权限控制”，并在级联接口安全方面要求“共享交换服务方应采用密码技术对共享交换系统间的级联接口进行安全防护，保障通过级联接口传递的数据的保密性和完整性。”表 1 相关国家标准例举序号序号标准编号标准编号标准名称标准名称1GB/T 3

14、5273-2020信息安全技术 个人信息安全规范2GB/T 36478.4-2019 物联网 信息交换和共享 第 4 部分：数据接口3GB/T 21062.3-2007 政务信息资源交换体系 第 3 部分：数据接口规范4GB/T 19581-2004信息技术 会计核算软件数据接口5GB/ XXXX-XX信息安全技术 政务信息共享 数据安全技术要求（征求意见稿）来源：中国信息通信研究院在通信行业标准方面，随着云计算、移动互联网等领域的快速发展，通信行业针对特定 API 类型、API 应用场景等制定了一系列标准，细化了 API 相关安全要求与规范。其中 YD/T 2807.4-2015云应用程序接

15、口（API）数据安全蓝皮报告（2020 年）6资源管理技术要求 第 4 部分： 接口 对涉及的接口类型进行了梳理，规定了云资源管理平台及分平台间接口的技术要求。YD/T 3217-2017基于表述性状态转移（REST）技术的业务能力开放应用程序接口（API）视频共享则针对基于 REST 技术的视频共享能力开放 API进行了规范，涵盖了接口资源定义、资源操作、数据结构、基本流程和安全要求等多方面内容。表 2 相关通信行业标准例举序号序号标准编号标准编号标准名称标准名称1YD/T 3420.8-2019 基于公用电信网的宽带客户网关虚拟化 第 8 部分:接口要求2YD/T 3496-2019Web

16、 安全日志格式及共享接口规范3YD/T 3242-2017生物灾害防治和预警系统 信息发布网络接口技术要求4YD/T 3217-2017基于表述性状态转移（REST）技术的业务能力开放应用程序接口（API）视频共享5YD/T 2406-2017互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法6YD/T 3215-2017互联网资源协作服务信息安全管理系统及接口测试方法7YD/T 3214-2017互联网资源协作服务信息安全管理系统接口规范应用程序接口（API）数据安全蓝皮报告（2020 年）78YD/T 3213-2017内容分发网络服务信息安全管理系统及接口测试方法9YD/T 3

17、212-2017内容分发网络服务信息安全管理系统接口规范10YD/T 3189-2016基于表述性状态转移（REST）技术的业务能力开放应用程序接口（API）状态呈现业务11YD/T 2807.4-2015 云资源管理技术要求 第4部分： 接口12YD/T 2464-2013基于表述性状态转移（REST）技术的业务能力开放应用程序接口（API）搜索业务13YD/T 1661-2007基于互联网服务（Web Service）的开放业务接入应用程序接口（Parlay X）技术要求14YD/T 1262-2003开放业务接入应用程序接口（PARLAYAPI）技术要求来源：中国信息通信研究院在金融行业

18、标准方面，已发布多部标准对 API 技术的部署、管理进行规范。其中 JR/T 0171-2020个人金融信息保护技术规范要求金融机构嵌入或接入 API 时，应符合相应技术规范要求，进行检查、评估和审计。JR/T 01852020商业银行应用程序接口安全管理规范则对 API 技术提出了包括数据完整性保护、授权管理、应用程序接口（API）数据安全蓝皮报告（2020 年）8使用情况监控、接口访问日志留存、安全密钥管理、网络安全防护措施部署、接口安全监测、接口调用控制、接口变更处理、应急处理方案、安全审计溯源等一系列安全要求。表 3 相关金融行业标准例举序号序号标准编号标准编号标准名称标准名称1JR/

19、T 0185-2020商业银行应用程序接口安全管理规范2JR/T 0171-2020个人金融信息保护技术规范3JR/T 0160-2018期货市场客户开户数据接口4JR/T 0155.1-2018 证券期货业场外市场交易系统接口第 1 部分：行情接口5JR/T 0155.2-2018 证券期货业场外市场交易系统接口第 2 部分：订单接口6JR/T 0155.3-2018 证券期货业场外市场交易系统接口第 3 部分：结算接口7JR/T 0151-2016期货公司柜台系统数据接口规范8JR/T 0109.2-2015 智能电视支付应用规范 第 2 部分： 报文接口规范9JR/T 0109.4-20

20、15 智能电视支付应用规范 第 4 部分： 通信接口规范10JR/T 0078-2014银行间市场数据接口应用程序接口（API）数据安全蓝皮报告（2020 年）911JR/T 0096.1-2012 中国金融移动支付 联网联合 第 1 部分：通信接口规范12JR/T 0087-2012股指期货业务基金与期货数据交换接口13JR/T 0055.5-2009 银行卡联网联合技术规范 第 5 部分：通信接口14JR/T 0024-2004国际收支统计间接申报银行接口规范通用要素来源：中国信息通信研究院在交通行业标准方面，也相继出台了包括 JT/T 1183-2018出租汽车 ETC 支付接口规范、J

21、T/T 1049-2017道路运政管理信息系统在内的多部 API 相关标准和规范性文件。表 4 相关交通行业标准例举编号编号标准编号标准编号标准名称标准名称1JT/T 1183-2018出租汽车 ETC 支付接口规范2JT/T 1049-2017道路运政管理信息系统3JT/T 1049.5-2017 道路运政管理信息系统第 5 部分：省级业务系统接口4JT/T 1019.3-2016 12328 交通运输服务监督电话系统 第3 部分：数据交换与信息共享接口技术要求5JT/T 1049.2-2016 道路运政管理信息系统第 2 部分:数应用程序接口（API）数据安全蓝皮报告（2020 年）10据

22、资源采集接口6JT/T 1049.3-2016 道路运政管理信息系统第 3 部分:数据资源目录服务接口7JT/T 979.1-2015道路客运联网售票系统 第 1 部分： 服务接口规范8JT/T 785-2010道路运输管理与服务系统数据交换接口来源：中国信息通信研究院二、近年来 API 安全态势API 在互联网时代向大数据时代快速过渡的浪潮中承担着连接服务和传输数据的重任，在通信、金融、交通等诸多领域得到广泛应用。API 技术已经渗透到了各个行业，涉及包含敏感信息、重要数据在内的数据传输、操作，乃至各种业务策略的制定环节。伴随着API 的广泛应用， 传输交互数据量飞速增长， 数据敏感程度不一

23、， API安全管理面临巨大压力。近年来，国内外已发生多起由于 API 漏洞被恶意攻击或安全管理疏漏导致的数据安全事件，对相关企业和用户权益造成严重损害，逐渐引起各方关注。为此，部分企业已经积极采取改进 API 安全策略、出台替代方案等防护措施，应对日益严峻的安全形势。（一）Facebook 多起数据泄露事件与 API 有关（一）Facebook 多起数据泄露事件与 API 有关2018 年 9 月， 黑客利用 Facebook 某 API 安全漏洞获取数百万用应用程序接口（API）数据安全蓝皮报告（2020 年）11户信息。Facebook 提供“View As”功能允许开发者以用户身份查看页

24、面，由于相关 API 存在安全漏洞，造成大量用户访问口令（AccessToken）泄露，并导致大量用户个人信息被不法分子窃取，近 5000万用户受到影响。2018 年 12 月，Facebook 再次曝出 API 漏洞导致用户个人信息泄露事件，影响近 680 万用户及 1500 个使用该 API 的 App。该漏洞允许第三方 App 访问用户 Facebook 账户内未公开的照片，App 还可能利用该漏洞在用户访问中断或退出程序后获取用户设备缓存中的数据。2019 年 12 月，国外安全人员发现超过 2.67 亿条 Facebook ID、电话号码和姓名等信息被储存在某公开数据库中。有研究显示

25、，该数据库中的数据可能通过某未知 API 接口抓取，并非来自用户公开信息。Facebook 称将对这一事件展开调查。（二）美国邮政服务 API 漏洞导致用户信息泄露（二）美国邮政服务 API 漏洞导致用户信息泄露2018 年，国外研究人员发现美国邮政服务（USPS）API 漏洞可能导致超过 6000 万用户个人信息被窃取。出现漏洞的“InformedVisibility”接口旨在为 USPS 旗下运输业务提供实时跟踪数据，但由于未设置如限速限流在内的防护措施，使得这一 API 接口遭到不法分子滥用。（三）T-Mobile API 漏洞导致用户账号被窃取（三）T-Mobile API 漏洞导致用

26、户账号被窃取2019 年 11 月，美国电信运营商 T-Mobile 曝出 Web 应用程序界应用程序接口（API）数据安全蓝皮报告（2020 年）12面漏洞。不法分子通过该漏洞窃取了 T-Mobile 用户电子邮箱地址、设备识别信息、安全问题答案等信息，进而利用非法获取的信息冒充客户挂失手机 SIM 卡，接管受害者电话服务，并通过该手机号码绑定的双重认证、 账户恢复等功能非法访问或窃取用户账号。 约 1500万 T-Mobile 用户受到影响。（四）Twitter 虚假账户利用 API 批量匹配用户信息（四）Twitter 虚假账户利用 API 批量匹配用户信息2019 年 12 月 24

27、日，Twitter 公司发现大量虚假账户非法调用提供电话号码搜索用户功能的 API 接口。不法分子可利用这一接口获取用户信息，进而开展钓鱼攻击、电话诈骗等违法活动。Twitter于事件曝光后紧急修改该接口功能使相关查询无法返回具体的账户名称。（五）考拉征信非法出售 API 导致个人信息泄露（五）考拉征信非法出售 API 导致个人信息泄露2019 年 11 月， 拉卡拉支付旗下的考拉征信因非法缓存公民个人信息、出售查询 API 遭警方调查。警方表示，经查考拉征信从上游公司获取接口后又违规将查询接口卖出，并利用查询接口非法缓存公民姓名、身份证号码和身份证照片等个人身份信息一亿多条，供下游公司查询牟

28、利，从而造成公民身份信息包括身份证照片的大量泄露。案件发生后，警方已将考拉征信涉案人员抓获。（六）新浪微博用户查询接口被恶意调用导致数据泄露（六）新浪微博用户查询接口被恶意调用导致数据泄露应用程序接口（API）数据安全蓝皮报告（2020 年）132020 年 3 月 19 日， 媒体报道新浪微博因用户查询接口被恶意调用导致 App 数据泄露。新浪微博方面称此次数据泄露可追溯至 2018年末，有用户非法调用 App 用户查询接口，通过批量上传手机通讯录匹配用户账号昵称，并结合其他渠道获取的信息进行出售。事件曝光后，新浪微博表示将采取升级接口安全策略等措施，做好用户个人信息保护工作。（七）微信团队

29、收回小程序用户实名信息授权接口（七）微信团队收回小程序用户实名信息授权接口2020 年 3 月 31 日，腾讯微信团队在“微信开放社区”发布关于收回小程序用户实名信息授权接口的相关说明，称为进一步提升用户使用的安全体验，将于 2020 年 5 月 31 日收回小程序“用户实名信息授权”接口，并停止了该接口的申请和接入。微信方要求无相关业务场景或需求的小程序停止使用该接口，并向仍有用户实名认证需求的小程序提供“实名信息校验接口”作为替代方案。三、安全风险分析（一）外部威胁因素（一）外部威胁因素从近年API安全态势可以看出， API技术被应用于各种复杂环境，其背后的数据一方面为企业带来商机与便利，

30、另一方面也为数据安全保障工作带来巨大压力。特别在开放场景下，API 的应用、部署面向个人、企业、组织机构等不同用户主体，面临着外部用户群体庞大、性质复杂、需求不一等诸多挑战，需时刻警惕外部安全威胁。应用程序接口（API）数据安全蓝皮报告（2020 年）141.API 漏洞导致数据被非法获取在 API 的开发、部署过程中不可避免产生安全漏洞，这些漏洞通常存在于通信协议、请求方式、请求参数和响应参数等环节。不法分子可能利用 API 漏洞（如缺少身份认证、水平越权漏洞、垂直越权漏洞等）窃取用户信息、企业核心数据。例如在开发过程中使用非 POST 请求方式、Cookie 传输密码等操作登录接口，存在

31、API 鉴权信息暴露风险，可能使得 API 数据被非法调用或导致数据泄露。2.API 成为外部网络攻击的重要目标API 是信息系统与外部交互的主要渠道， 也是外部网络攻击的主要对象之一。针对 API 的常见网络攻击包括重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等。通过上述攻击，不法分子不仅可以达到消耗系统资源、中断服务的目的，还可以通过逆向工程，掌握 API 应用、部署情况，并监听未加密数据传输，窃取企业数据。3.网络爬虫通过 API 爬取大量数据网络爬虫能够在短时间内爬取目标应用上的所有数据，常表现为某时间段内高频率、大批量进行数据访问，具有

32、爬取效率高、获取数据量大等特点。通过开放 API 对 HTML 进行抓取是网络爬虫最简单直接的实现方式之一，不法分子通常采用假 UA 头和假 IP 隐藏身份，一但获取企业内部账户，可能利用网络爬虫获取该账号权限内的所有数据。如果存在水平越权和垂直越权等漏洞，在缺少有效的应用程序接口（API）数据安全蓝皮报告（2020 年）15权限管理机制情况，不法分子可以通过掌握的参数特征构造请求参数进行遍历，导致数据被全量泄露。此外，移动应用软件客户端数据多以 JSON 形式传输，解析更加简单，反爬虫能力更弱，更易受到网络爬虫威胁。4.合作第三方非法留存接口数据企业通过 API 实现与合作第三方之间数据交互

33、的过程中，可能存在合作方恶意留存接口数据的风险。以个人身份验证类合作为例，在需要进行实名验证的时候，合作方可通过 API 请求调用相关个人身份信息。正常情况下，服务器获取请求后在后端进行验证并返回结果，此过程中恶意合作方可能留存验证结果，经过长时间积累，非法变相获取大量的个人身份信息资源，对企业数据库形成事实上的拖库。5.API 请求参数易被非法篡改不法分子可通过篡改 API 请求参数，结合其它信息匹配映射关系，达到窃取数据的目的。以实名身份验证过程为例，用户端上传身份证照片后，身份识别 API 提取信息并输出姓名和身份证号码，再传输至公安机关相应 API 进行核验，并输出认证结果。此过程中，

34、不法分子可通过修改身份识别 API 请求参数中的姓名、身份证号码组合，通过遍历的方式获取姓名与身份证号码的正确组合。可被篡改的 API 参数通常有姓名、身份证号码、账号、员工 ID 等。此外，企业中员工 ID 与职级划分通常有一定关联性，可与员工其它信息形应用程序接口（API）数据安全蓝皮报告（2020 年）16成映射关系，为 API 参数篡改留有可乘之机。（二）内部脆弱性因素（二）内部脆弱性因素应对外部威胁的同时，API 也面临许多来自内部的风险挑战。一方面，传统安全通常是通过部署防火墙、WAF、IPS 等安全产品，将组织内部与外部相隔离，达到纵深防御的目的，但是这种安全防护模式建立在威胁均

35、来自于组织外部的假设前提上，无法解决内部隐患。另一方面，API 类型和数量随着业务发展而扩张，通常在设计初期未进行整体规划，缺乏统一规范，尚未形成体系化的安全管理机制。因此，从内部脆弱性来看，影响 API 安全的因素主要包括以下几方面。1.身份认证机制身份认证是保障 API 数据安全第一道防线。一方面，若企业将未设置身份认证的内网 API 接口或端口开放到公网，可能导致数据被未授权访问、调用、篡改、下载。不同于门户网站等可以公开披露的数据，部分未设置身份认证机制的接口背后涉及企业核心数据，暴露与公开易引发严重安全事件。另一方面，身份认证机制可能存在单因素认证、无口令强度要求、密码明文传输等安全

36、隐患。在单因素身份验证的前提下，如果口令强度不足，身份认证机制将面临暴力破解、撞库、钓鱼、社会工程学攻击等威胁。如果未对口令进行加密，不法分子则可能通过中间人攻击获取接口认证信息。应用程序接口（API）数据安全蓝皮报告（2020 年）172.访问授权机制访问授权机制是保障 API 数据安全的第二道防线。用户通过身份认证即可进入访问授权环节，此环节决定用户是否有权调用该接口进行数据访问。系统在识别用户之后，会根据权限控制表或权限控制矩阵判断该用户的数据操作权限。常见的访问权限控制策略有三种，基于角色的授权（Role-Based Access Control)、基于属性的授权（Attribute-

37、Based Access Control）以及基于访问控制表授权（Access Control List）。访问授权机制风险通常表现为用户权限大于其实际所需权限，从而该用户可以接触到本无权访问的数据。导致这一风险的常见因素包括授权策略选择不恰当、授权有效期过长、未及时收回权限等。3.数据脱敏策略除了为不同的业务需求方提供数据传输以外，为前端界面展示提供数据支持也是 API 的重要功能之一。 API 数据脱敏策略通常可分为前端脱敏和后端脱敏。前者指数据被 API 传输至前端后再进行脱敏处理；后者则相反，API 在后端完成脱敏处理，再将已脱敏数据传输至前端。如果未在后端对个人敏感信息等数据进行脱敏

38、处理，且未加密传输，一旦流量被截获、破解，将对企业、公民个人权益造成严重影响。此外，未脱敏数据在传输至前端时，如被接收方终端缓存，也可能导致敏感数据暴露。而脱敏策略不统一可能导致相同数据脱敏部分不同，不法分子可通过拼接方式获取原始数据，造成应用程序接口（API）数据安全蓝皮报告（2020 年）18脱敏失效。4.返回数据筛选机制如果 API 缺乏有效的返回数据筛选机制，可能由于返回数据类型过多、数据量过大等因素形成安全隐患。首先，部分 API 设计初期未根据业务进行合理细分，未建立单一、定制化接口，使得接口臃肿、数据暴露面过大。其次，在安全规范欠缺和安全需求不明确的情况下，API 开发人员可能以

39、提升速度为目的，在设计过程中忽视后端服务器返回数据的筛选策略，导致查询接口会返回符合条件的多个数据类型，大量数据通过接口传输至前端并进行缓存。如果仅依赖于前端进行数据筛选，不法分子可能通过调取前端缓存获取大量未经筛选的数据。5.异常行为监测异常访问行为通常指非工作时间访问、访问频次超出需要、大量敏感信息数据下载等非正常访问行为。即使建立了身份认证、访问授权、敏感数据保护等机制，有时仍无法避免拥有权限的用户进行数据非法查询、修改、下载等操作，此类访问行为往往未超出账号权限，易被管理者忽视。异常访问行为通常与可接触敏感数据岗位或者高权限岗位密切相关。如负责管理客户信息的员工可能通过接口获取用户隐私

40、信息出售谋利；即将离职的高层管理人员可能将大量公司机密和敏感信息带到下一家公司，以在商业竞争中占据优势等。 美国执法机构和网络安全监管机构调查结果显示超过 85%的安应用程序接口（API）数据安全蓝皮报告（2020 年）19全威胁来自企业内部，企业必须高度重视可能由内部人员引发的数据安全威胁。6.特权账号管理从数据使用的角度来说，特权账号指系统内具有敏感数据读写权限等高级权限的账号，涉及操作系统、应用软件、企业自研系统、网络设备、 安全系统、 日常运维等诸多方面， 常见的特权账号有 admin、root、export 账号等。除企业内部运维管理人员外，外包的第三方管理人员、临时获得权限的设备原

41、厂工程人员等也可能使用特权账号。多数特权账号可通过 API 进行访问，有心者可能以特权账号非法查看、篡改、下载企业数据。此外，部分企业出于提升开发运维速度的考虑会在团队内共享账号，并允许不同的开发运维人员从各自终端登陆并操作，一旦发生数据安全事件，难以快速定位责任主体。7.第三方管理当前，需要共享业务数据的应用场景日益扩展，第三方调用 API访问企业数据完成业务工作的同时，也成为了企业的安全短板。尤其对于涉及个人敏感信息或重要数据的 API， 如果企业忽视对第三方进行风险评估和有效管理、缺少对其数据安全防护能力的审核，一旦第三方存在安全隐患或不法企图，可能发生数据被篡改、泄露、甚至非法贩卖等安

42、全事件，对企业数据安全、社会形象乃至经济利益造成影响。应用程序接口（API）数据安全蓝皮报告（2020 年）20四、安全建议API 安全是当今时代数据安全保护的重要一环。 企业应在把握自身现状的基础上梳理 API 相关安全风险，建立健全 API 安全管理制度，针对事前、事中和事后各阶段管理和技术需求差异，部署相应安全措施，加强数据安全风险防范。（一）事前（一）事前1.统一 API 设计开发规范，减少安全隐患缺乏统一规范、开发维护不当导致的安全漏洞等脆弱性因素可能为 API 带来严重安全隐患。建议企业建立健全 API 设计、开发、测试等环节标准规范和管理制度，引导 API 开发运维流程标准化，提

43、高对 API 安全的重视程度，将相关要求以制度规程等形式进行沉淀、落实，避免遗留严重安全漏洞、恶性 bug 等脆弱性因素，威胁接口安全。2.强化 API 上线、变更、下线环节实时监控，确保全生命周期安全API 全生命周期包括 API 上线、变更和下线三个环节。企业应对自身 API 部署情况进行全面排查，梳理统计 API 类型、活跃接口数量、失活接口数量等资产现状，针对 API 上线、运行中变更、失活后下线等环节进行实时监控。企业应在新 API 上线前进行风险评估，发现问题暂停上线并及时调整，确保上线 API 安全性；上线后应对应用程序接口（API）数据安全蓝皮报告（2020 年）21其运行情况

44、进行实时监控，发现接口运行异常、恶意调用等情况及时采取防护措施，修复相应问题；若 API 不再使用，企业应遵循下线流程及时进行处理，防止失活 API 持续在线，成为安全隐患。3.完善 API 身份认证和授权管理机制， 强化接口接入安全审核企业应针对除信息公开披露场景以外的 API 建立有效的身份认证机制，对现有身份认证机制密码强度、双因素认证、密码更新等安全要素进行评估，健全身份认证机制；在建立有效的身份认证基础上，建立健全访问授权机制，严格遵循最小必要权限原则，尤其针对提供数据增、 删、 改等高危操作的 API， 严格规范用户权限管理；对涉及敏感信息、重要数据的 API 加强接入方资质和数据

45、安全防护能力审核，规范合作要求，避免因接入方原因导致数据安全事件。4.健全 API 安全防护体系，提升抵御外部威胁能力企业应加强 API 安全防护能力建设，针对重要接口部署专门的防护设备保障其安全，建立健全安全防护体系。具体措施包括但不限于部署 API 网关统一接口管理；利用 VPN 等加密通道传输数据；部署应用防护系统保护 Web 应用；建立 API 访问白名单机制；部署抗 DDoS 工具等。从而提升企业 API 抵御外部威胁的能力，降低数据安全事件发生几率。应用程序接口（API）数据安全蓝皮报告（2020 年）225.加大 API 安全保护宣传力度，提高员工安全意识企业应加大对 API 安

46、全保护的宣传力度， 缩小各部门之间对 API安全重视程度差异，提高员工特别是 API 开发运维人员的安全意识，进一步提高企业整体数据安全认识。推动 API 保护相关机制、技术手段落地，避免因 API 安全管理疏漏等内部因素导致数据泄露、丢失、损毁等安全事件，对企业业务发展、社会形象造成负面影响。（二）事中（二）事中1.加强 API 身份认证实时监控能力建设企业应加强 API 身份认证实时监控能力建设，重点监控高频登录尝试、空 Referer、非浏览器 UA 头登录等具有典型机器行为特征的操作，对异常登录、调用行为进行分析，发现恶意行为及时告警。此外，企业应实时监控接口运行中的单因素认证、弱密码

47、、密码明文传输等脆弱性问题，建立账号登录行为画像，形成用户常规登录特征基线，对不同 IP 登录、连续认证失败、境外 IP 访问等敏感操作进行监测分析，发现账号共享、借用、兼任等违规行为及时对相关账号操作进行限制、阻断，避免安全事件的发生或扩大。2.加强异常行为实时监测预警能力建设企业应加强异常访问行为监测能力建设，针对短时间内大量获取敏感数据、访问频次异常、非工作时间获取敏感数据、敏感数据外发等异常调用、异常访问行为进行实时监测分析，根据自身业务应用程序接口（API）数据安全蓝皮报告（2020 年）23情况建立正常行为基线，防范内部违规获取数据、外部攻击或网络爬虫等数据安全风险。此外，由于内部

48、特权账号权限远超普通用户账户，企业应针对此类账号建立实时行为监测和审计机制，对账号异常、高危操作进行严格管控，建立精准、细化的特权账号行为基线，及时对特权账号异常行为进行预警，并定期进行特权帐号安全审计。3.加强数据分类分级管控能力建设企业应梳理 API 数据类型，落实数据分类分级管控措施，针对API 涉及的敏感数据按照统一策略进行后端脱敏处理， 并结合数据加密、传输通道加密等方式保护 API 数据传输安全。企业应严格落实敏感数据保护策略，部署敏感数据监测工具，及时发现未脱敏展示、前台脱敏等现象，并对接口流量进行分析，杜绝敏感数据明文传输等违规行为。企业应评估涉及敏感数据的 API 参数设置情

49、况，重点关注接口单次返回数据量过多、返回数据类型过多等情况，建立后端数据量、数据类型筛查机制，确保敏感数据暴露可知、可控、可追溯。4.加强 API 数据流向监控能力建设企业应建立 API 数据流量监测机制，实时监控数据流向，加强数据流向监控能力建设。通过分析访问和被访问 IP 的局域、地域或法域，实现对数据流向的实时监控，防范数据接收方非法出售或滥用个人信息风险，发现相关违法违规事件及时阻断 API 接入，为后应用程序接口（API）数据安全蓝皮报告（2020 年）24续溯源调查积极存证。此外，企业应对境外 IP 访问内网 API 或者内部 IP 访问境外 API 的情况重点关注、及时预警，确保

50、敏感数据出境活动合法合规。（三）事后（三）事后1.建立健全应急响应机制当前 API 应用广泛，业务逻辑复杂，涉及数据量大，一旦发生安全事件，可能给企业、用户带来严重影响。企业应严格落实网络安全法电信和互联网用户个人信息保护规定（工信部第 24号令）等法律法规要求，出现数据泄露等严重安全事件及时告知相关用户并上报电信主管部门，制定 API 安全事件应急响应预案并纳入企业现有应急管理体系，应急流程包括但不限于监测预警及报告、数据泄露事件处置、危机处理及信息披露等环节。2.建立健全日志审计机制API 数据安全审计可以帮助企业有效识别具体的高危访问行为，为企业 API 安全提供有力帮助。建议企业对接口