身處數字金融時代，商業銀行應用程序接口（API）的安全邊界，正逐漸由獨立的局域網絡擴展到開放的互聯網，諸如移動支付、跨界授信等數字金融服務，日益滲入我們生活的各個方面。電話推銷、網絡詐騙等傳統手段，或將演變為身份盜竊、輿論攻擊等手段，乃至危及到人身安全。在可預見的未來，金融服務安全的主戰場，是提供金融服務的每一家企業、是接入互聯網的每一臺設備、是社會上的每一人。

近年來，個人信息泄露事件屢見不鮮。比如，在此前一起車輛信息泄露事件中，大量車主的姓名、電話、車輛品牌等信息赫然在列。這份數據表格按條分檔售賣，從7分到9毛不等，且量大從優。不難想象，如此詳盡的信息若被非法利用，用戶可能會被定向推送、精準營銷、大數據殺熟……甚至被詐騙。

依照常見的車貸流程，APP、車商、車貸公司、商業銀行作為信息提交、轉送、審核、放貸等環節，相互之間都使用了API實現的數據交互。

車貸流程簡圖

注：上圖只是描述車貸流程的一種可能的連接形式，還有如APP與車貸公司或銀行直連，車商為第三方接入的情況等。此圖僅為方便理解簡化繪制。

我們根據案例，分析了信息泄露的可能方式，如用戶端泄露、相關人員泄露、API設計缺陷以及服務器被攻擊等情況，具體如下：

1. 用戶端泄露：用戶提交非必要信息或APP權限使用過度等

2. 相關人員泄露：由各個環節的相關經手人泄露或被轉賣

3. API設計缺陷：數據沒有加密傳輸或權限控制不完善等情況

4. 服務器被攻擊：服務器防護不到位或數據未安全存儲等情況

不止于此，近年來多起信息泄露安全事件都與API相關或間接相關，API管理疏漏、API設計缺陷、API防護缺位等為信息泄露的主要原因。

2020年2月，中國人民銀行正式發布《商業銀行應用程序接口安全管理規范》(JR/T 0185—2020）(以下簡稱《規范》）和《個人金融信息保護技術規范》(JR/T 0171—2020)。

《規范》針對使用商業銀行應用程序接口的各類金融服務，對個人金融信息保護和金融API安全在技術和管理兩方面，從API的設計、部署、集成、運維、服務終止與下線到管理的整個生命周期，對商業銀行和應用方提出明確要求，為我們安全使用數字金融服務打造了堅實的金融后盾。

值得關注的是，2021年3月，中國金融認證中心（CFCA）已完成“商業銀行應用程序接口檢測”項目的試點。

安全之重，勢如泰山，在保護金融服務安全的道路上我們從未停歇。CFCA立足于金融行業，提供商業銀行應用程序接口（API）檢測服務，共同守護你我金融生活的生命線。

責任編輯：王超