2020年应用程序接口（API）数据安全研究报告.pdf

应 用 程 序 接 口 （ API）数 据 安 全 研 究 报 告（ 2020年 ）中 国 信 息 通 信 研 究 院 安 全 研 究 所2020 年 7 月版权声明本报告版权属于中国信息通信研究院安全研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院安全研究所”。 违反上述声明者，本院将追究其相关法律责任。前 言伴随着云计算、大数据、人工智能等技术的蓬勃发展，移动互联网、物联网产业加速创新，移动设备持有量不断增加，Web应用、移动应用已融入生产生活的各个领域。这一过程中，应用程序接口（Application Programming Interface，API）作为数据传输流转的重要通道发挥着举足轻重的作用。API技术不仅帮助企业建立与客户沟通的桥梁，还承担着不同复杂系统环境、组织机构之间的数据交互、传输的重任。然而，在 API 技术带来上述积极作用的同时，与其相关的数据安全问题也日益凸显。近年来，国内外曝出多起与 API 相关的数据安全事件，严重损害了相关企业、用户的合法权益。我国多个行业已出台相关规范性文件，覆盖通信、金融、交通等诸多领域，对 API 安全提出了一定要求，对其技术部署、安全管理等进行规范。然而当前已研制标准主要针对特定 API 类型、应用场景提出要求，尚未全面覆盖 API 数据安全，相关标准规范体系有待完善。 本报告围绕近年来 API 安全态势，分析梳理了 API 技术面临的内、外部安全风险，针对事前、事中、事后不同阶段的安全需求差异，从 API 安全管理、防护手段、风险管控等多角度为企业实现高效、灵活的API 安全实践提出了针对性建议。技术支持： 全知科技（杭州）有限责任公司联系人： 王丹辉 中国信息通信研究院电子邮件：wangdanhuicaict.ac解伯延 中国信息通信研究院电子邮件：xieboyancaict.ac朱通 全知科技（杭州）有限责任公司费嫒 全知科技（杭州）有限责任公司目 录一、 API的基本情况 .1（一） API简介 .1（二） API分类及组成要素 .21. API分类 .22. API组成要素 .3（三） API安全标准化情况 .4二、 近年来API安全态势 .10（一） Facebook多起数据泄露事件与API有关 .10（二） 美国邮政服务API漏洞导致用户信息泄露 .11（三） T-Mobile API漏洞导致用户账号被窃取 .11（四） Twitter虚假账户利用API批量匹配用户信息 .12（五） 考拉征信非法出售API导致个人信息泄露 .12（六） 新浪微博用户查询接口被恶意调用导致数据泄露 .12（七） 微信团队收回小程序“用户实名信息授权“接口 .13三、 安全风险分析 .13（一） 外部威胁因素 .131. API漏洞导致数据被非法获取 .142. API成为外部网络攻击的重要目标 .143. 网络爬虫通过API爬取大量数据 .144. 合作第三方非法留存接口数据 .155. API请求参数易被非法篡改 .15（二） 内部脆弱性因素 .161. 身份认证机制 .162. 访问授权机制 .173. 数据脱敏策略 .174. 返回数据筛选机制 .185. 异常行为监测 .186. 特权账号管理 .197. 第三方管理 .19四、 安全建议 .20（一） 事前 .201. 统一API设计开发规范，减少安全隐患 .202. 强化API上线、变更、下线环节实时监控，确保全生命周期安全.203. 完善API身份认证和授权管理机制，强化接口接入安全审核 .214. 健全API安全防护体系，提升抵御外部威胁能力 .215. 加大API安全保护宣传力度，提高员工安全意识 .22（二） 事中 .221. 加强API身份认证实时监控能力建设 .222. 加强异常行为实时监测预警能力建设 .223. 加强数据分类分级管控能力建设 .234. 加强API数据流向监控能力建设 .23（三） 事后 .241. 建立健全应急响应机制 .242. 建立健全日志审计机制 .243. 建立健全数据泄露溯源追责机制 .25五、 附录 .26（一） 全知科技API安全实践 .261. 开放API安全实践 .262. 面向合作方API安全实践 .293. 内部API安全实践 .31（二） 观安API安全实践 .341. 安全方案 .342. 技术手段 .353. 实践应用 .384. 发展趋势 .40（三） 爱加密API安全实践 .411. 安全方案 .412. 技术手段 .433. 实践应用 .444. 产品研发 .47表 目 录表1 相关国家标准例举 .5表2 相关通信行业标准例举 .6表3 相关金融行业标准例举 .8表4 相关交通行业标准例举 .9应用程序接口（API）数据安全研究报告（2020 年）1一、API 的基本情况伴随着云计算、移动互联网、物联网的蓬勃发展，越来越多的开发平台和第三方服务快速涌现，应用系统与功能模块复杂性不断提升，应用开发深度依赖于应用程序接口（ApplicationProgrammingInterface，API）之间的相互调用。近年来移动应用深入普及，促使社会生产、生活活动从线下转移到了线上，特别在此次新冠肺炎疫情期间，协同办公、在线教育、便民服务等领域移动应用积极助力复工复产，各地依托大数据推出“健康码”等疫情防控新举措，API在其中起到了紧密链接各个元素的作用。为满足各领域移动应用业务需要，API的绝对数量持续增长，通过API传递的数据量也飞速增长。API技术借助移动应用蓬勃发展的势头融入社会经济的方方面面，不仅为数据交互提供了便利，并且推动了企业、组织机构间的沟通和对话，甚至创造了新的经济模式：API经济。 （一）API简介API是预先定义的函数，为程序之间数据交互和功能触发提供服务。调用者只需调用API，并输入预先约定的参数，即可实现开发者封装好的各种功能，无需访问功能源码或理解功能的具体实现机制。从功能角度来看，API是前端调用后端数据的通道；从业务角度来看，API是将封装后的应用对外开放的访问接口。在信息系统内部，随着业务功能的逐渐细化，各个功能模块之间需要利用 API 技术来进行协调；在信息系统外部，API承担着与其他应用程序进行交互的应用程序接口（API）数据安全蓝皮报告（2020 年）2重要任务。 （二）API分类及组成要素1.API分类API技术应用广泛，可满足不同领域、不同业务的数据传输和操作需求，在包括软件开发工具包（SoftwareDevelopmentKit，SDK）、Web应用、网关等诸多领域均可发现API 的身影。因此，从应用领域角度难以合理清晰地区分其种类。为此，本报告从 API 开放程度和API核心技术两个维度进行分类介绍。（1）按API开放程度分类从API的开放程度出发，API可以分为开放API、面向合作方API和内部API。 开放 API 是面向公网开放的接口，此类 API 允许公众调用。调用者可以是任何人或者机构，不需要和 API 提供者建立合作关系，例如公司门户网站等。 面向合作方 API 指的是企业或组织用来与外部合作伙伴进行沟通、交流和系统集成的API，例如面向外包机构、设备供应商等。 内部 API 仅在企业或组织内部使用，用来协调内部不同系统、应用之间的调用关系，例如CRM系统API、薪资系统API等。（2）按API核心技术分类从 API 核心技术进行划分，可分为简单对象访问协议（Simple