中国信通院：应用程序接口（API）数据安全研究报告（2020年）[57页].pdf

1、应用程序接口（应用程序接口（APIAPI） 数据安全数据安全研究报告研究报告 （20202020 年年） 中国信息通信研究院安全研究所中国信息通信研究院安全研究所 20202020 年年 7 7 月月 版权声明 本报告版权属于中国信息通信研究院安全研究所， 并受 法律保护。转载、摘编或利用其它方式使用本报告文字或者 观点的，应注明“来源：中国信息通信研究院安全研究所”。 违反上述声明者，本院将追究其相关法律责任。 本报告版权属于中国信息通信研究院安全研究所， 并受 法律保护。转载、摘编或利用其它方式使用本报告文字或者 观点的，应注明“来源：中国信息通信研究院安全研究所”。 违反上述声明者，本院

2、将追究其相关法律责任。 pOsNpPpQqPpNzRsNqMrOpM6MaO8OsQnNpNrReRpPrOeRtRzR6MrRyQNZrMtOwMnMpP 前言前言 伴随着云计算、大数据、人工智能等技术的蓬勃发展，移动互 联网、物联网产业加速创新，移动设备持有量不断增加，Web 应用、 移动应用已融入生产生活的各个领域。这一过程中，应用程序接口 （Application Programming Interface，API）作为数据传输流转 的重要通道发挥着举足轻重的作用。 API 技术不仅帮助企业建立与客 户沟通的桥梁，还承担着不同复杂系统环境、组织机构之间的数据 交互、传输的重任。然而，在

3、 API 技术带来上述积极作用的同时， 与其相关的数据安全问题也日益凸显。 近年来，国内外曝出多起与 API 相关的数据安全事件，严重损 害了相关企业、用户的合法权益。我国多个行业已出台相关规范性 文件，覆盖通信、金融、交通等诸多领域，对 API 安全提出了一定 要求，对其技术部署、安全管理等进行规范。然而当前已研制标准 主要针对特定 API 类型、应用场景提出要求，尚未全面覆盖 API 数 据安全，相关标准规范体系有待完善。 本报告围绕近年来 API 安全态势，分析梳理了 API 技术面临的 内、外部安全风险，针对事前、事中、事后不同阶段的安全需求差 异，从 API 安全管理、防护手段、风险

4、管控等多角度为企业实现高 效、灵活的 API 安全实践提出了针对性建议。 技术支持：技术支持： 全知科技（杭州）有限责任公司 联系人：联系人： 王丹辉中国信息通信研究院 电子邮件： 解伯延中国信息通信研究院 电子邮件： 朱通全知科技（杭州）有限责任公司 费嫒全知科技（杭州）有限责任公司 目录目录 一、 API 的基本情况.1 （一） API 简介.1 （二） API 分类及组成要素.2 1. API 分类.2 2. API 组成要素.3 （三） API 安全标准化情况.4 二、 近年来 API 安全态势.10 （一） Facebook 多起数据泄露事件与 API 有关.10 （二） 美国邮政服

5、务 API 漏洞导致用户信息泄露.11 （三） T-Mobile API 漏洞导致用户账号被窃取.11 （四） Twitter 虚假账户利用 API 批量匹配用户信息.12 （五） 考拉征信非法出售 API 导致个人信息泄露.12 （六） 新浪微博用户查询接口被恶意调用导致数据泄露.12 （七） 微信团队收回小程序用户实名信息授权接口.13 三、 安全风险分析.13 （一） 外部威胁因素.13 1. API 漏洞导致数据被非法获取.14 2. API 成为外部网络攻击的重要目标.14 3. 网络爬虫通过 API 爬取大量数据.14 4. 合作第三方非法留存接口数据.15 5. API 请求参数

6、易被非法篡改.15 （二） 内部脆弱性因素.16 1. 身份认证机制.16 2. 访问授权机制.17 3. 数据脱敏策略.17 4. 返回数据筛选机制.18 5. 异常行为监测.18 6. 特权账号管理.19 7. 第三方管理.19 四、 安全建议.20 （一） 事前.20 1. 统一 API 设计开发规范，减少安全隐患.20 2. 强化 API 上线、变更、下线环节实时监控，确保全生命周期安全 .20 3. 完善 API 身份认证和授权管理机制，强化接口接入安全审核.21 4. 健全 API 安全防护体系，提升抵御外部威胁能力.21 5. 加大 API 安全保护宣传力度，提高员工安全意识.2