全站搜索
开放银行或成趋势?深入解读《商业银行应用程序接口安全管理规范》——四川深信服官方授权分销代理商
作者:管理员    发布于:2020-05-13 13:24:48    文字:【】【】【

近日,《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)(以下简称《规范》)金融行业标准由中国人民银行正式发布。《规范》是监管部门发布的首份开放银行监管政策和行业标准,能够为金融行业在数字化经济转型中提供更多参照与指导。
下面,信服君将为您深入解读《规范》,了解开放银行安全体系,助力开放银行业务安全发展。

背景分析:开放银行架构是银行未来发展趋势,
信息安全风险链条更长
根据中国互联网金融协会发布的《开放银行发展研究报告(2019)》显示,通过对51家各类型商业银行调研,65%的商业银行已建立开放银行。国内开放银行一般采用第三方联机接口、页面服务和文件三种形式的API服务,支持联网、专线等访问方式。国内开放银行通过开发者门户为用户提供行业解决方案、接入指南、接口说明等相关文档,便于银行分支(如分行)与合作方接入API平台。

开放银行帮助金融机构提升了用户获取场景服务和金融服务的便捷性,但其开放性也方便了黑客扩大攻击范围。

开放银行生态中的第三方平台可以访问来自商业银行的数据,一旦发生黑客攻击造成数据泄露将可能导致用户银行账户信息暴露,甚至可能导致来源于该途径的所有账户信息外泄,增加系统数据安全风险;除此之外,随着商业银行敏感数据被扩展到银行外部,第三方平台系统的网络漏洞和故障也可能对该数据的安全造成威胁,因此,开放银行业务使得银行面临更多风险。


《规范》解读:开放银行全生命周期安全技术规范,更严格的监管体系
《规范》涵盖开放银行应用层、业务层等各个方面,对银行应用程序接口的接口设计、应用部署、集成运行、运维监测及系统下线等全生命周期过程提出了明确的安全技术与安全管理要求。

银行可根据《规范》的具体要求,结合金融机构内部风险策略、审计要求,制定有效的安全策略,对第三方数据保护能力进行调查和评估,对网络和系统安全风险进行审计和评估,同时建立完善的事故处理机制,明确各方责任认定机制,确保用户的权益得到保护。
信服君建议银行建立全面的开放银行信息安全体系规划,通过构建“前端-中端-后端”三大安全能力支柱体系、“管理-技术”两大安全支撑体系,严格规范合作方准入管理,完善开放银行合规应用管理制度,利用大数据技术建立开放银行风险监测预警体系,借助技术平台实时监控API安全运行情况,着力增强金融机构对开放银行风险的态势感知和应急处置能力。


重点内容解析:开放银行技术安全体系建设
典型的开放银行安全技术架构包括安全架构标准、开发安全标准、安全测试标准。由安全检测、安全控制等模块组成的前端安全能力;由交易安全监控、性能监控服务等模块组成的中端安全能力;由身份认证、数据安全等安全服务模块构成的后端安全能力;由用户认证、加解密等系统构成的基础安全能力,结合网络层面纵深防御,实现全方位立体化的开放银行安全防护。

信服君建议开放银行安全技术体系建设重点关注以下方面:
1.身份认证鉴别安全
开放银行需严格执行安全控制机制,结合网络安全手段和参与者合作身份校验机制,通过访问权限控制、签名认证、跨域校验等,尽可能降低API接口被盗刷的风险。建立多层次的、线下线上融合的用户认证体系,加强开放银行身份认证与内控管理。
2.网络、系统基础安全

(1)第一道防护:网络边界防护
开放银行应遵循“纵深防御”的理念,在互联网边界部署DDoS防护系统、下一代防火墙系统、下一代入侵防御系统等各类安全防护设备,实时监测和拦截互联网攻击,实现网络边界第一道防护。

(2)第二道防护:业务边界防护
在API服务层和业务层之间部署防火墙、异常流量分析系统等各类安全防护设备,实现业务边界第二道防护。
(3)构建高级可持续性攻击防御体系
在网络边界和内部网络之间强化检测和响应能力,部署文件异常动态检测、流量异常检测、多维大数据关联检测等各类安全防护设备,构建统一、立体、层次化的高级可持续性攻击防御体系,实现从前端到后台应用、从边界到内部核心、全链条的安全防护。

(4)通过应用交付保障稳定、安全、高效的交付
同时,建议部署应用交付系统对应用数据进行端到端的分析、调度、保护、加密和优化,对单个接口按地域、风控等级等维度进行流控调度和控制,覆盖业务交付全程的所有关键因素,保障稳定、安全、高效的交付。
3.业务应用安全

(1)对接口分级分类
对开放的接口进行分级分类,根据不同类别设定接口使用权限和使用期限。

(2)采用多种手段保障业务应用安全
采用加密、应用秘钥、应用接口权限控制、访问黑白名单、字段脱敏还原等手段,充分进行应用存储加密、访问控制、标记化信息安全审计措施,交互报文通过数字签名、加密等手段保障不可篡改性和机密性。
(3)基于大数据分析技术进行监控
基于大数据分析技术,对系统和业务状况进行实时全方位监控,对异常交易和异常参与方,能做到实时流控、快速阻断,保障系统稳定。

(4)业务风控
采用基于事后分析的大数据风控技术,实现业务风控,防范例如营销欺诈、交易欺诈、信用欺诈等业务风险。

4.第三方安全
针对用户授权访问后的数据保护建立健全安全机制,对其合作方可以使用的接口范围等进行严格控制,并定期审核,在授权范围内进行有效的控制和防护。对于业务数据和用户信息数据的使用范围、保存期限等进行明确约束,遵循范围和期限的最小化原则。
5.应用数据安全
在数据传输、处理、保存过程中需严格保障数据安全。

(1)通过多种方式保障数据安全
通过网络传输链路加密、身份认证、报文加密加签等多种方式,保障数据传输的安全性、隐私性和不可篡改性。

(2)避免抓取大量数据
严格控制业务、用户数据的访问权限,避免使用开放银行接口抓取大量数据,并对系统日志中的敏感信息进行特殊处理,操作日志可审计。
(3)定期备份
定期备份数据,保障数据的完整性和可恢复性。

(4)提前进行责任划分
各参与方需提前进行责任划分,当出现数据泄露、系统故障或操作故障时,责任人对用户的损失直接负责。
(5)严禁非法存储
严禁非法存储,以防泄露用户金融信息。

深信服应用数据安全治理解决方案
基于上述提及的第五点,应用数据安全防护,深信服提出应用数据安全治理解决方案。方案以数据为中心,聚焦应用系统的流动数据,基于AI和大数据技术,自动化梳理应用数据资产,实时监控应用系统脆弱性及异常数据访问风险,精准溯源数据安全事件,实现数据流动安全风险全面有效治理。

1.基于敏感数据识别的应用接口自动化梳理
(1)敏感数据接口自动化识别、提取
通过对应用系统内外部访问流量进行全面解析,自动识别应用系统接口。支持系统预置丰富敏感数据标签,同时结合用户需求,灵活自定义特殊字段及提取规则。敏感数据识别引擎全程自动化对接口数据进行识别、提取。支持细粒度接口画像,包括接口参数、接口返回内容、接口访问用户、接口流转敏感数据详情等。
(2)全局可视
以数据为中心,实现敏感数据、应用、接口、访问用户自动化全面梳理。
(3)应用接口的生命周期管理
监控数据接口上下线及变更,针对应用新增及失活接口进行统计,监管未报备自行上线的重要敏感数据接口,对长期没有访问的接口进行监控,辅助业务部门对接口进行下线操作。
2.风险接口发现
全面发现接口安全隐患,推动风险接口整改
基于敏感数据解析,识别接口访问权限设置不当问题,如单次访问数据限制不当(单次返回大量数据),接口无需身份验证即可获取敏感信息等。发现接口敏感数据暴露风险,包括敏感数据未脱敏、敏感数据传输不合规、密码等高敏感信息明文暴露或仅使用MD5加密等。发现接口设计漏洞问题,如内部网络信息暴露等。
3.业务系统身份认证及账号管理脆弱性分析
(1)业务系统身份认证问题发现及整改
通过业务系统脆弱性分析引擎,及时发现业务系统存在的身份认证脆弱性问题,如弱密码问题,推动用户进行认证机制整改。
(2)账号安全风险发现及整改
通过业务系统脆弱性分析引擎,帮助用户及时发现账号共享、特权账号违规滥用等问题,并进行整改。
4.应用数据接口异常访问风险监测及预警
(1)基于数据安全风险策略的异常监测
预置风险策略:预置有大规模数据拉取、非工作时间访问、非常用 IP 访问等风险策略。
支持风险策略自定义:用户可以根据需求,灵活自定义风险策略。
(2)基于UEBA技术的异常监测
根据用户、账号、接口等多维度数据行为画像,建立数据访问行为基线,自动发现异常行为并进行预警。
5.安全审计及数据安全事件溯源
(1)审计合规
通过敏感数据识别、应用系统账号自动解析等技术,自动对接口访问行为进行记录。记录内容包括:访问接口、访问应用、访问 IP、操作用户、操作时间、操作对象、操作内容等,满足合规需求。
(2)数据安全事件快速溯源
支持搜索引擎式追溯查询,可以通过关键字、文本、文件相似度等多种方式进行事件追溯,并定位到个人,同时,还支持多种类型的精细过滤条件对历史事件进行精确查询,定位数据风险点。

IT解决方案

移动办公安全解决方案  移动应用安全解决方案

在线业务优化解决方案  在线业务安全解决方案

企业数据安全解决方案

分支组网优化解决方案

业务容灾备份解决方案

互联网安全管控解决方案

新型智慧城市解决方案

政务数据中心建设方案  政务专网建设解决方案

互联网安全优化方案 政务移动安全接入方案

业务全网等级保护三级整改建设案例 业务内网等级保护三级整改建设案例

电子政务专网应用加速及传输优化解决方案

政府信息中心上网行为管理解决方案

企业办公无线解决方案  电子商务网站优化解决方案

企业办公桌面云解决方案  数字校园解决方案

桌面云解决方案  数字图书馆解决方案

业务与支撑系统安全  随势而变的ICT

云资源池安全与优化  广电网络解决方案

网络安全等级保护(等保2.0)解决方案

等保一体机解决方案  云安全解决方案

产品应用场景:

终端安全建设 办公网安全建设 数据中心安全建设

移动安全建设 构建网端云敏捷安全架构

关键业务上云 涉密虚拟化建设 私有云建设

分支云建设 容器云建设 托管专属云建设 同架构混合云建设

数据中心容灾备份 云数据中心建设 改善网络访问体验

服务器负载均衡 双活数据中心  IPv6改造

替换传统PC终端 云数据中心统一存储 海量非结构化数据存储

多分支组网 全球访问加速

企业级数据中心新建/改造

业务系统新建/改造

关键应用上云  容灾备份云

开发测试云  容器云

IT价值:

运维 稳定 安全

安全品类:

边界安全 云安全  终端安全 威胁检测

身份与访问安全 安全审计与运营

云产品HCI超融合一体机:

配置管理

资源监控

分布式防火墙

异构虚拟化管理

CDP及数据备份

集成docker

集成aSEC

产品方向:

安全类

云镜YJ 下一代防火墙NGAF 上网行为管理AC SSL VPN 终端检测响应EDR 合规类产品  EMM 安全感知平台  XSEC  WEB应用防火墙WAF 云眼/云盾 /云图 上网安全服务平台ISSP 等级保护 安全服务

云计算类

超融合 HCI 超融合云管平台aCMP 监控中心aMC 涉密虚拟化sCloud

基础架构类

桌面云aDesk 应用交付AD SDWAN-WOC SDWAN-MIG 集中管理平台SC&BBC SDWAN-aBOS SD-WAN 企业级分布式存储EDS SDW-R

云产品核心优势:

架构更简单

扩容更便捷

应用部署更简单

数据更可靠

稳定高效承载关键业务

多维度的安全防护能力

更高效的安全策略管理

可视化极简运维

产品:国行原装正品深信服科技官网

深信服官网:sangfor.com , 深信服科技官网

产品分类:

企业级安全

边界安全  下一代防火墙AF

云安全  信服云盾  信服云眼

重构入云业务安全边界  威胁检测  安全感知平台SIP

安全解决方案

网络安全等级保护(等保2.0)解决方案  云安全解决方案

网端云敏捷安全架构

终端安全

终端检测响应平台EDR  企业移动管理EMM

身份与访问安全

上网行为管理AC  SSL VPN  硬件VPN  EasyConnect

行为感知系统BA

安全审计与运营

数据库安全审计DAS

云计算

企业级云aCloud  超融合aCloud

新型智慧城市解决方案  服务器虚拟化

云管平台aCMP  大数据智能平台

超融合软件  超融合一体机

基础架构

桌面云aDesk  应用交付AD

软件定义统一存储系统EDS

一体化网关MIG  广域网优化WOC  安全SD-WAN2.0

深信服总代理(深信服经销商/深信服代理商):

四川深信服:德阳深信服 绵阳深信服,攀枝花深信服,西昌深信服,雅安深信服,内江深信服,资阳深信服,南充深信服,眉山深信服,乐山深信服,自贡深信服 泸州深信服 广元深信服 遂宁深信服  宜宾深信服 广安深信服  达州深信服   雅安深信服  巴中深信服  资阳深信服  攀枝花深信服  凉山彝族自治州深信服   甘孜藏族自治州深信服  阿坝藏族羌族自治州深信服

企业级无线方案适用机型:

无线AC控制器

千兆无线控制器NAC-6100

千兆无线控制器NAC-6200

千兆无线控制器NAC-6300

千兆无线控制器NAC-6380

千兆无线控制器NAC-6600

万兆无线控制器NAC-7100

万兆无线控制器NAC-7200

万兆无线控制器NAC-7300

万兆无线控制器NAC-7600

小型无线控制器HG-2005-P

软件控制器SAC-1000

室内无线AP

11n型SMB无线接入点NAP-1500

11ac型无线接入点NAP-1600

11ac wave2型无线接入点NAP-1700

11n型SMB无线接入点NAP-2400-S

11ac wave2双频无线NAP-3600(MU)

11ac wave2双频无线接入点NAP-3700

11ax 高性能无线接入点NAP-3720-X

11ac蓝牙无线接入点NAP-4650

11ac wave2智能天线无线NAP-5600

11ax 高性能无线接入点NAP-5820-X

11ac wave2智能天线无线接入点SDU-1800

室外无线AP

11ac无线接入点NAP-8000

11ac无线接入点NAP-8000(L)内置天线

11ac无线接入点NAP-8000(L)外置天线

11ac wave2无线接入点NAP-8100

11ac wave2无线NAP-8100(L)内置天线

11ac wave2无线NAP-8100(L)外置天线

11ax 高性能无线接入点NAP-8220-X

面板无线AP

802.11n面板NAP-2800-P

802.11ac面板NAP-3500-P

802.11ac wave2面板NAP-3560-P

802.11ac wave2面板NAP-3600-P(MU)

特殊无线AP

NAP-1720-LTE室内wave2无线接入点

室外4G全网通无线接入点NAP-8100(L)-LTE

NAP-4100V全网通移动车载无线AP

NAP-3620电子书包场景专用无线AP

NAP-3620(R3)高密环境专用三频无线AP

NAP-3680医疗场景零漫游无线AP

11ac wave2高密定向无线NAP-3700(D)

NAP-8100工业级防爆无线AP

无线网络相关配件:

网口防雷器

天馈防雷器

室内专用美化天线

室外专用定向天线

室外专用全向天线

超远距离中继天线

四川 成都 深信服 代理:

深信服成都渠道代理商有哪些;深信服渠道代理商有哪些;深信服nat代理上网;深信服代理商资质查询;深信服总代怎么样;深信服的渠道有哪些;深信服金牌代理;深信服成都金牌经销商;深信服四川金牌经销商;深信服金牌代理商;深信服金牌  成都深信服科技有限公司
深信服科技成都分公司      深信服成都区主管是谁     深信服成都
深信服成都办事处     深信服成都网络安全
深信服成都代理商有哪些      深信服成都防火墙

深信服 防火墙 上网行为管理 具体型号:

深信服 AC-1000-A400   深信服 AF-1520   深信服 AC-1000-B400

深信服 AC-1000-C600     深信服 NGAF-1000-D420

深信服 VPN-2050    深信服防火墙NGAF-1000   深信服 AC-1400

深信服 AF-1300    深信服 NGAF-1000-D440    深信服 AC-1000-D600    深信服 NGAF-1020

深信服 NGAF-1120   深信服 AC-1700   深信服 VPN-2150   深信服 VPN-1100   深信服VPN-6050

深信服 AC-1000-A200   深信服 AC-1000-A300

深信服 NGAF-1000-B400   深信服 防火墙 NGAF-1020

深信服SANGFOR AC-550    深信服 AC-1000-B400

深信服 NGAF-1000-E800 防火墙     深信服AF-1800

深信服维修(sanfor维修),以及更多产品和详情请咨询:

成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商

无论您是解决企业级安全、云计算,还是IT基础架构,都可以使您的IT更简单、更安全、更有价值

成都科汇科技有限公司(深信服官方授权代理商)

地址:成都市人民南路四段1号时代数码大厦18F

电话:400-028-1235

QQ:    1325383361

手机:180 8195 0517(微信同号)