应用程序接口(API) 数据安全研究报告 (2020 年) 中国信息通信研究院安全研究所 2020 年 7 月 版权声明 本报告版权属于中国信息通信研究院安全研究所,并受 法律保护。转载、摘编或利用其它方式使用本报告文字或者 观点的,应注明“来源:中国信息通信研究院安全研究所”。 违反上述声明者,本院将追究其相关法律责任。 前 言 伴随着云计算、大数据、人工智能等技术的蓬勃发展,移动互 联网、物联网产业加速创新,移动设备持有量不断增加,Web 应用、 移动应用已融入生产生活的各个领域。这一过程中,应用程序接口 (Application Programming Interface,API)作为数据传输流转 的重要通道发挥着举足轻重的作用。API 技术不仅帮助企业建立与客 户沟通的桥梁,还承担着不同复杂系统环境、组织机构之间的数据 交互、传输的重任。然而,在 API 技术带来上述积极作用的同时, 与其相关的数据安全问题也日益凸显。 近年来,国内外曝出多起与 API 相关的数据安全事件,严重损 害了相关企业、用户的合法权益。我国多个行业已出台相关规范性 文件,覆盖通信、金融、交通等诸多领域,对 API 安全提出了一定 要求,对其技术部署、安全管理等进行规范。然而当前已研制标准 主要针对特定 API 类型、应用场景提出要求,尚未全面覆盖 API 数 据安全,相关标准规范体系有待完善。 本报告围绕近年来 API 安全态势,分析梳理了 API 技术面临的 内、外部安全风险,针对事前、事中、事后不同阶段的安全需求差 异,从 API 安全管理、防护手段、风险管控等多角度为企业实现高 效、灵活的 API 安全实践提出了针对性建议。 技术支持: 全知科技(杭州)有限责任公司 联系人: 王丹辉 中国信息通信研究院 电子邮件:wangdanhui@caict.ac.cn 解伯延 中国信息通信研究院 电子邮件:xieboyan@caict.ac.cn 朱通 全知科技(杭州)有限责任公司 费嫒 全知科技(杭州)有限责任公司 目 录 一、 API 的基本情况.................................................................................................. 1 (一) API 简介............................................................................................... 1 (二) API 分类及组成要素........................................................................... 2 1. API 分类............................................................................................. 2 2. API 组成要素..................................................................................... 3 (三) API 安全标准化情况........................................................................... 4 二、 近年来 API 安全态势....................................................................................... 10 (一) Facebook 多起数据泄露事件与 API 有关....................................... 10 (二) 美国邮政服务 API 漏洞导致用户信息泄露.................................... 11 (三) T-Mobile API 漏洞导致用户账号被窃取....................................... 11 (四) Twitter 虚假账户利用 API 批量匹配用户信息............................. 12 (五) 考拉征信非法出售 API 导致个人信息泄露.................................... 12 (六) 新浪微博用户查询接口被恶意调用导致数据泄露........................ 12 (七) 微信团队收回小程序"用户实名信息授权"接口............................ 13 三、 安全风险分析................................................................................................... 13 (一) 外部威胁因素.................................................................................... 13 1. API 漏洞导致数据被非法获取....................................................... 14 2. API 成为外部网络攻击的重要目标............................................... 14 3. 网络爬虫通过 API 爬取大量数据.................................................. 14 4. 合作第三方非法留存接口数据...................................................... 15 5. API 请求参数易被非法篡改........................................................... 15 (二) 内部脆弱性因素................................................................................ 16 1. 身份认证机制.................................................................................. 16 2. 访问授权机制.................................................................................. 17 3. 数据脱敏策略.................................................................................. 17 4. 返回数据筛选机制.......................................................................... 18 5. 异常行为监测.................................................................................. 18 6. 特权账号管理.................................................................................. 19 7. 第三方管理...................................................................................... 19 四、 安全建议........................................................................................................... 20 (一) 事前.................................................................................................... 20 1. 统一 API 设计开发规范,减少安全隐患...................................... 20 2. 强化 API 上线、变更、下线环节实时监控,确保全生命周期安全 ................................................................................................................ 20 3. 完善 API 身份认证和授权管理机制,强化接口接入安全审核.. 21 4. 健全 API 安全防护体系,提升抵御外部威胁能力...................... 21 5. 加大 API 安全保护宣传力度,提高员工安全意识...................... 22 (二) 事中.................................................................................................... 22 1. 加强 API 身份认证实时监控能力建设.......................................... 22 2. 加强异常行为实时监测预警能力建设.......................................... 22 3. 加强数据分类分级管控能力建设.................................................. 23 4. 加强 API 数据流向监控能力建设.................................................. 23 (三) 事后.................................................................................................... 24 1. 建立健全应急响应机制.......
信通院 应用程序接口-API数据安全研究报告-2020年
文档预览
中文文档
57 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共57页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-11 13:18:24上传分享