3 月 9 日,“2023 金融 API 平安论坛”胜利在线举办。本次论坛由工商银行金融科技研究院、《中国金融电脑》杂志社、神州云科联结主办,工商银行业务研发核心专家苏建明为会议致辞,来自工商银行、招商银行、众邦银行以及神州云科的多位专家在线发表了精彩演讲,并围绕多层次的 API 平安体系建设、将来发展趋势等问题开展了深入探讨。
致辞
工商银行业务研发核心专家 苏建明
工商银行业务研发核心专家苏建明在致辞中示意,以后,数字竞争力已成为国家、企业整体竞争力的重要组成部分,而凋谢 API 作为一种新兴商业模式,可助力企业进一步延长业务能力、减速场景翻新。在此背景下,凋谢银行的呈现不仅扭转了产业服务与银行服务彼此孤立的场面,实现客户资源和服务场景的双向共享,同时也促使生产数据与金融数据深度交融,减速了金融服务的普惠过程,互利共赢的新生态正逐渐成型。在推动凋谢银行生态倒退的过程中,工商银行始终将平安建设作为重中之重,通过发展事先、事中、预先管控,构筑了多层次、全流程、平面平安的进攻体系。例如,针对合作方治理,工商银行基于通信协议层和应用层实现了敏感数据加密爱护,并通过网关实现了访问控制和限流机制等。着眼于整个行业,API 平安建设是以后金融行业网络安全工作的一个缩影。心愿通过本次论坛,可能搭建起一个交换共享的平台,进一步晋升 API 平安管控能力,更好助力凋谢银行建设和银行数字化转型。
演讲
招商银行信息技术部 架构治理团队架构师 沈明杰
招商银行信息技术部架构治理团队架构师沈明杰在题为“数字招行开放平台——平安可信拜访实际总结”的演讲中指出,数字招行开放平台重点解决了四个方面的外围诉求:一是针对企业接入治理,平台提供了对立的 API 公布、接入治理和企业治理性能;二是针对平安问题,平台提供了齐备的鉴权和密钥管理体系;三是针对 API 治理和运维,平台实现了线上化的 API 全生命周期治理,以及多租户 API 的数据分析和监控性能;四是针对密钥治理,平台提供了轻量级的密钥治理服务,反对用户按需配置密钥对与 API 服务的组合。
谈及拜访安全控制,沈明杰示意,招商银行在数据立体重点采纳了三大策略:一是 API 鉴权认证,该过程次要由 API 网关实现,只有通过鉴权认证的申请能力达到业务后端,从而使业务端可更好地聚焦于业务自身。二是敏感数据加密,通过应用国密算法和数字信封技术,无效解决了长报文加密性能问题和对称密钥传输平安问题。三是速率限度,即基于 API 网关进行流量限度,可反对 IP 限度、速率限度以及基于速率限度的 IP 黑白名单等多种模式。
神州云科高级解决方案参谋 林夏
神州云科高级解决方案参谋林夏在题为“API 平安可信拜访,助力数字经济行稳致远”的演讲中指出,API 波及的平安场景次要可分为四类:一是接入管制,包含认证鉴权、越权管制、参数管制和威逼管制等;二是零信赖拜访,包含继续认证身份、继续认证权限属性、继续监控动静策略,以及继续集成、交付等;三是网络安全,包含加密流量、DDoS 攻打、CC 攻打、BOT 攻打等;四是利用平安,包含注入攻打、资产梳理、敏感数据预计日志输入剖析等。
谈及应答策略,林夏示意,神州云科 API 平安可信解决方案以 API 平安防护平台为外围,基于 API 业务场景化,全面笼罩四大平安因素及 Gartner 评估的 API 平安能力矩阵,提供了加强混合型 Token 认证。同时,通过申明式 API,神州云科 API 平安网关能够疾速实现平安即代码,反对疾速融入 DevOps 流水线。此外,基于“神州云科 API 前置平安网关 + 神州云科 API 平安微网关”的独特设计,造成了交融对立的一致性策略,反对疾速部署,可无效升高运维老本。
众邦银行金融翻新部负责人 彭磊
众邦银行金融翻新部负责人彭磊在题为“凋谢 API 平安之道”的演讲中指出,众邦银行的 API 倒退次要经验了三个阶段:一是摸索阶段,初步摸索凋谢银行输入形式,次要实现场景搭建和欠缺根底服务能力,以及应用外联网关平台简略进行凋谢 API 加解密治理;二是倒退阶段,联合行内需要及《商业银行利用程序接口平安治理标准》的要求,搭建互联网开放平台,从技术和治理两方面欠缺金融 API 的治理和平安治理;三是成熟阶段,进行渠道的对立治理建设,买通自营渠道和内部渠道的隔膜,实现业务场景配置化、渠道产品个性化、凋谢 API 服务化等指标。
谈及云原生时代的 API 平安,彭磊指出,新一代平安防护模式应具备如下特色:一是将平安防护笼罩云原生利用的全生命周期,从需要剖析、软件开发、软件测试、软件公布始终延长到软件运维;二是将平安防护工具集成到软件开发流程的工具链中,以便于在继续集成之初就实现对代码的动态平安检测;三是全面扫描制品和云配置,并与运行时的可观测性和配置平安相结合,以确定危险优先级,合力安顿补救措施。
工商银行金融科技研究院 平安攻防实验室高级经理 姜城
工商银行金融科技研究院平安攻防实验室高级经理姜城在题为“凋谢银行 API 摸索与实际”的演讲中指出,凋谢银行 API 面临的危险给需要、研发、测试监控等流程带来了微小挑战:一是需要管控挑战,思考 API 危险的复杂性,须要多部门合作,从源头即开始管制危险;二是平安研发挑战,在开发人员将原有服务封装或批改后提供给网关调用的过程中,如果疏忽内部威逼降级,维持原有的安全等级,易引发平安危险;三是平安测试挑战,即 API 测试普遍存在接口格局非凡、加密数据测试难、测试周期短等诸多困难;四是安全监控挑战,凋谢银行将外部能力裸露到互联网,从而使网络防护边界变得更加含糊,传统监控办法亟待降级。
谈及工商银行实际,姜城介绍,面对愈发简单的网络安全环境,作为网络安全、数据安全、业务平安的交汇点,API 面临的平安危险正逐渐浮现。对此,工商银行围绕多层次全流程平面平安进攻体系建设,重点从 API 合规性治理、API 应用方治理、研发测试流程治理、平安风控模型建设等方面强化管控措施。例如,针对合规性,重点发展了差异化的服务公布管控与全生命周期的上线管控;针对应用方,施行了精细化的合作方准入与全链路的技术管控;针对研发流程,构建了全流程的平安测试体系;针对平安风控,基于风控模型一直强化剖析决策能力,打造了全维度的安全监控体系。
论坛最初,工商银行金融科技研究院云计算实验室高级经理王炳辉作为主持人参加了探讨环节。谈及不同技术体系的有机联合,与会嘉宾示意,API 平安是一个跨畛域的简单问题,需引入多重防御机制做好平安管控,包含在制度层面笼罩全生命周期治理、部署细粒度的拜访策略、搭建对立平安治理平台,以及兼顾业务和技术畛域的不同需要等,着力构建多层级、多维度的纵深平安防护体系。谈及将来发展趋势,各位嘉宾示意,零信赖及数字信封等技术或将成为后续支流的技术钻研方向;同时也包含利用人工智能、大数据等技术构建危险模型,对 API 异样行为进行剖析检测;以及联合用户权限和拜访门路调优,打造更为灵便的平安验证体系等。与会嘉宾统一认为,通过业界多方携手,合力打造更为平安、稳固的 API 生态,将更好推动金融业实现数字化转型与高质量倒退。