信息化觀察網(wǎng)

隨著金融行業(yè)數(shù)字化轉(zhuǎn)型日益深入，商業(yè)銀行應(yīng)用程序接口（API）成為金融機(jī)構(gòu)拓展服務(wù)邊界的重要抓手，金融機(jī)構(gòu)的第三方合作伙伴可以通過(guò)商業(yè)銀行API調(diào)取金融服務(wù)。因此，API的安全邊界正逐漸由獨(dú)立的局域網(wǎng)絡(luò)擴(kuò)展到開(kāi)放的公共網(wǎng)絡(luò)，并面臨日益嚴(yán)峻的惡意攻擊、數(shù)據(jù)泄露、合規(guī)風(fēng)險(xiǎn)等安全挑戰(zhàn)，加強(qiáng)商業(yè)銀行API的安全管理勢(shì)在必行。

由中國(guó)金融認(rèn)證中心（CFCA）、中國(guó)電子銀行網(wǎng)和中國(guó)民生銀行聯(lián)合發(fā)布的《2022開(kāi)放銀行生態(tài)金融白皮書(shū)》中指出，開(kāi)放銀行作為一種新的銀行服務(wù)形態(tài)，在促進(jìn)傳統(tǒng)商業(yè)銀行服務(wù)方式的轉(zhuǎn)變，將金融活水更精準(zhǔn)、更及時(shí)地滴灌到客戶需要的生態(tài)場(chǎng)景中使金融服務(wù)延伸至以往不被觸及到的客戶群體。

《2022開(kāi)放銀行生態(tài)金融白皮書(shū)》開(kāi)放銀行實(shí)踐領(lǐng)域

隨著數(shù)字化浪潮的涌現(xiàn)，開(kāi)放銀行作為數(shù)字金融的重要組成部分，以API、SDK等技術(shù)為手段，通過(guò)雙向開(kāi)放形式將金融服務(wù)的實(shí)踐領(lǐng)域不斷擴(kuò)展。這些實(shí)踐領(lǐng)域的蓬勃發(fā)展，無(wú)一不依賴于穩(wěn)定、安全的API。在開(kāi)放銀行時(shí)代，API安全不僅僅是數(shù)據(jù)安全的問(wèn)題，更涉及用戶隱私、金融交易穩(wěn)定性等多個(gè)方面。

為規(guī)范商業(yè)銀行API安全管理，中國(guó)人民銀行于2020年2月發(fā)布《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（JR/T 0185—2020）（以下簡(jiǎn)稱《規(guī)范》）。《規(guī)范》對(duì)商業(yè)銀行API的設(shè)計(jì)、部署、集成、運(yùn)維等全生命周期過(guò)程提出了安全技術(shù)與安全管理要求，為開(kāi)放銀行服務(wù)模式的安全穩(wěn)健發(fā)展提供了指導(dǎo)和保障。

商業(yè)銀行可開(kāi)展自查工作，按照《規(guī)范》要求排查風(fēng)險(xiǎn)點(diǎn)，提升API安全。也可委托專業(yè)檢測(cè)機(jī)構(gòu)進(jìn)行安全測(cè)評(píng)，獲取全方位的安全建議和指導(dǎo)，提升商業(yè)銀行API的整體安全。

2022年12月，CFCA通過(guò)《金融科技產(chǎn)品認(rèn)證目錄（第二批）》檢測(cè)機(jī)構(gòu)能力核查，成為國(guó)內(nèi)首批具備商業(yè)銀行應(yīng)用程序接口檢測(cè)資質(zhì)的機(jī)構(gòu)之一，現(xiàn)正式對(duì)外開(kāi)展商業(yè)銀行應(yīng)用程序接口檢測(cè)工作。

為提高商業(yè)銀行應(yīng)用程序接口檢測(cè)效率，CFCA自主研發(fā)“CFCA開(kāi)放銀行應(yīng)用程序接口檢測(cè)平臺(tái)”（以下簡(jiǎn)稱“平臺(tái)”）。平臺(tái)可在線開(kāi)展API接口安全檢測(cè)，實(shí)現(xiàn)一定程度的應(yīng)用程序接口自動(dòng)化檢測(cè)，多方面驗(yàn)證API安全水平。檢測(cè)內(nèi)容如下：

CFCA依照《規(guī)范》要求，基于平臺(tái)能力，根據(jù)各商業(yè)銀行API特點(diǎn)量身定制檢測(cè)方案，提出針對(duì)性安全建議，幫助商業(yè)銀行全方位提升API安全水平。目前，CFCA已與多家商業(yè)銀行進(jìn)行合作交流，助其完善應(yīng)用程序接口安全管理規(guī)范，提高應(yīng)用程序接口安全性，得到客戶的一致好評(píng)。

在數(shù)字時(shí)代的浪潮中，百業(yè)千行乘風(fēng)借力，卻也面對(duì)波詭云譎、此起彼伏的數(shù)字風(fēng)險(xiǎn)，信息安全工作便如一道堅(jiān)實(shí)的防浪堤守護(hù)你我。CFCA立足金融行業(yè)，深悉商業(yè)銀行應(yīng)用程序接口安全之重。我們懷揣無(wú)盡誠(chéng)意，愿與銀行機(jī)構(gòu)持續(xù)精誠(chéng)合作，共同守護(hù)金融服務(wù)安全陣線。