开放银行发展背景   

随着金融科技的快速兴起，银行业乃至整个金融业正在发生深刻的变革，金融科技的应用和发展给银行业带来了机遇和挑战。科技与金融的关系，从支持、支撑，到驱动、引领，科技改变了金融服务形式。在此背景下，“开放、合作”成为银行业应对各类挑战的有益举措。

开放银行强调以用户为中心，利用API、SDK和H5等技术实现方式，深化银行与第三方机构业务连接和合作，将金融服务能力与客户的生活、生产场景深度融合，从而优化金融资源配置、提升服务效率，实现双方或多方合作、共赢。

图1 商业银行开放接口架构图

   开放银行的主要风险   

随着开放银行业务模式和合作对象日趋广泛，产生了大量的开放应用程序接口，接口的标准化、数据的安全性、应用的规范化和管理的体系化面临着前所未有的风险与挑战。近年来，面向应用程序接口的攻击事件层出不穷，恶意黑客窃取敏感数据，甚至恶意引发大范围业务中断。2019年OWASP 10大API安全风险中提出 API的常见攻击都可能影响金融安全。

常见的API攻击方式包括：

• API参数篡改——黑客常用该技术逆向工程API或获得敏感数据的访问权。

• 会话cookie篡改——此类攻击试图利用cookie绕过安全机制或向应用服务器发送虚假数据。

• 中间人攻击——通过监听API客户端和服务器之间未经加密的连接，黑客可获取到敏感数据。

• 内容篡改——通过注入恶意内容(比如往 JSON Web 标记中下毒)，攻击者能在后台部署并执行漏洞利用程序。

• DDoS攻击——攻击者可利用编写糟糕的代码通过发送无效输入参数来消耗计算机资源，造成基于API的Web应用服务中断。

    BCTC开放银行安全解决方案   

面对开放银行存在的安全问题，BCTC凭借多年的信息安全检测和攻防经验，结合金融科技应用风险监控平台，形成了评估和监控并举的整体安全解决方案。

BCTC根据多年的信息安全检测和攻防经验，结合《商业银行应用程序接口安全管理规范》（JR/T 0185—2020）的框架要求，提出贯穿商业银行接口安全设计、安全部署、安全集成、安全运维、服务终止和下线和安全管理各个环节的安全评估方案。

图2 商业银行开放接口安全检测方案

• 使用专业化工具和技术手段，对API资产进行清点和梳理，对接口交互的数据进行全面的探测，识别出API资产清单和外部威胁。

• 通过端口越权、渗透测试等方式模拟攻击者对API实施入侵攻击，发现API和网络防护的脆弱性，并分析问题根源。

• 依据《规范》给出金融机构安全建设方案，全面加固商业银行开放接口系统，提升商业银行安全防护能力。

BCTC在中国人民银行总行指导下建设金融科技应用风险监控平台。平台以金融科技应用风险监控为核心、以提升金融科技风险防范水平为目标，构建新时代的金融监管科技服务体系。

目前，金融科技应用风险监控平台已全面服务于移动金融客户端备案和金融科技创新监管工作，搭建了金融科技权威的漏洞库、风险库、案例库，通过互联网监测、监管探针、黑衣人等技术手段，面向商业银行开放API、SDK进行持续动态监测；通过对威胁情报的准确利用，实现对钓鱼、仿冒、越权、欺诈、信息泄露、安全攻击等风险的提前预警。平台为商业银行提供API风险处置能力，帮助金融机构更高效、更准确、更便捷地实施全方位开放银行安全防护。

图3 商业银行开放接口安全监测架构

    结 语   

“开放银行”在国内处于起步阶段，商业银行的安全管理的能力还在建设完善过程中。针对开放银行风险防范难度高、防控经验少等情况，BCTC将与商业银行共同打造金融科技安全生态，为金融机构提供一站式安全解决方案，为消费者享受普惠金融、安全金融营造良好的环境。