近年来,在消费升级的背景下,我国的跨境电商交易规模迅速增长。面对越来越大量的数字支付,API(应用程序编程接口)的价值何在?或者说,为什么确保API的安全对于数字支付行业的快速创新至关重要?

Akamai大中华区企业事业部高级售前技术经理马俊表示,随着在线交易的日益频繁和多样化,API的作用也越发明显。它通过整合第三方服务能力,使开发者免于从头开始建立所有能力,同时还能加速新产品和服务的开发。

API经济模式也为金融机构获取互联网业务能力、捕捉互联网用户需求、融入互联网生态系统提供了一条快速而灵活的途径。同时,这种模式也赋予使用API的金融机构更多的创新动力,基于支付平台开放出来的基础设施、功能与数据,其他金融机构可以搭建自己的特色产品与服务,从而围绕着API开放平台形成了一个共赢的支付生态。

马俊举例说,例如,如果一个电子商务平台要求银行向其用户提供账户查询、支付和消费贷款等服务,而银行向该电子商务平台开放多个金融服务接口,那么用户就可以从电子商务平台直接在线获得这些银行服务而不必前往银行。

近年来,许多金融机构一直在增加对金融创新和开放式银行的投资。作为一种金融服务的开放式连接器,API已经成为这一过程中必不可少的核心能力。实施数字化转型的组织机构也在利用API推动新的客户体验并创造新的收入来源,但这也扩大了恶意威胁主体的攻击面。针对API的安全威胁也成为当前数字支付领域的挑战之一。

API所带来的基于应用的接口使得支付行为具有高度的情境关联性,这与早期的人工支付有着本质的区别。因此,所需要的安全也与网页的行为识别和保护完全不同。

据介绍,中国人民银行发布了金融行业标准《商业银行应用接口安全管理规范》,从技术和管理两方面规范个人金融信息的保护措施和金融API的安全措施。

马俊表示,从技术角度讲,API安全应基于API的整个生命周期,这意味着从创建、链接到停用和退役都需要对敏感数据进行交互监测和风险识别。

据悉,为了提高API的安全性,Akamai 推出了App & API Protector。这款新一代网络应用和API保护(WAAP)解决方案通过建立三层保护,帮助金融机构应对超大规模DDoS攻击等API安全挑战:如果API受到多个分布式攻击者的攻击并且他们将小流量聚集成大流量来攻击支付网关或支付服务,App & API Protector会拦截附近的攻击并提供第一层保护。“WAF(应用层防火墙)通过两种方式提供第二层保护。”马俊介绍,第一种是使用可以检测到的攻击数量增加三倍的“自适应检测”。这种方式采用多维威胁评分模型将Akamai的平台与每个网站和API请求的数据/元数据相结合,并根据决策逻辑对数据采取行动,从而准确识别和阻止隐藏的攻击。第二种是“自我修正”。这是一个自适应安全引擎,不仅能够对快速演变的威胁作出反应,还能将误报/漏报的数量减少到Akamai上一代WAF的五分之一,减少维护和调整策略所需的工作量。第三层保护由内置的爬虫监测和防御措施组成。Akamai的爬虫技术涵盖了超过1500种已知爬虫,使客户能够通过创建和定义爬虫来主动监测和分析攻击,最终实现预防。( 文章来源: 消费日报 )