博客 银行个人信息泄露几时休?API牢筑数据安全“防火墙”

银行个人信息泄露几时休?API牢筑数据安全“防火墙”

   数栈君   发表于 2021-12-06 21:28  226  0

两年前的Elasticsearch27亿数据泄露数据泄露事件引发全民关注。受数据泄露影响的用户范围广泛,类型多样,既有网站注册用户、大学员工、医疗患者,也有警察、孕妇等等。当时,国外网络安全研究人员发现一个Elasticsearch数据库泄露,包括27亿个电子邮件地址,其中10亿个密码都是以简单的明文存储。据悉,大多数被盗邮件域名来自中国邮件提供商,涵盖腾讯、新浪、搜狐和网易等。另外,雅虎、Gmail以及一些俄罗斯的邮件域名也受到影响。

现今,我们在享受互联网带来的便捷同时,也在被互联网反向消费。比如我们的个人信息、银行账户信息、消费情况、兴趣偏好等等数据,都会通过在网络中的正常使用被记录在某个产品/系统内。如遇不法机构/个人对我们的这些信息进行非法获取,会造成一些不可预测的后果,比如由于个人隐私的泄漏,轻则可能导致财产损失,重则存在人身安全隐患。

以银行业信息安全为例,张某今天办了一张新的信用卡,第二天就收到了很多借贷机构打来的营销电话/短信,这当然不是信用卡主办方故意泄漏数据,但避免不了会存在别有用心的三方渠道,对我们的数据进行非法获取,再对所获得的数据进行转卖。这样的例子在我们身边已经不胜枚举,那么如何避免这样的情况呢?

让我们来聊一下如何通过数据服务(API)提高数据的安全性。


通过数据API,保障数据安全

——以袋鼠云数栈数据服务产品(EasyAPI)在银行业应用为例


银行业务系统繁杂,数据来源多样、涵盖面广,银行机构通常无法全面、快速地进行数据管理与共享/监控、用数据成本高、数据存在安全风险,并且基于数据洞察能力的数据应用场景越来越多,如何进行高效安全的数据支撑成为共同关注的问题。

银行面临的主要数据服务痛点:

1)服务管理混乱

越来越多的银行企业在实现 API 数据共享的同时,面临规模庞大的 API 管理分散、开发 API 资源不集中等问题。

2)服务质量粗糙

由于各分行数据来源和接口多样,服务质量参差不齐,无法保障上层业务可靠性。

3)缺少服务权限控制,存在数据安全隐患

随着银行企业 API 逐渐增多,调用量越来越大,为了防止客户端对接口的滥用、保护服务器资源、防止银行客户的信息泄漏等安全性问题,需要对API进行流量/权限管控。


 具体建设目标

· 构建 API 服务统一管理平台,支持内外部API统一管理,同时还可保障调用的安全性。

· API规范统一、调用次数、调用周期准确控制,降低管理成本。

· 对API进行流量控制、授权审批、调用监控等管理,防止 API 滥用,及时发现并帮助排查 API 调用过程中问题(如:非法调用、频繁访问等),随时掌握 API 使用情况、实现有效调用最大化。

 

银行业数据API建设方案


首先介绍一下API的生命周期。

API生命周期一般包括:规划设计、实施、测试、发布、调用、监控等整个周期的管理。

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/d845539ca24986a2ec9043963b5e2fef..jpg

解决方案架构图

对应以上建设目标,产品解决方案如下:

1.API管理

部门(API)管理者可对生成和注册API进行统一管理,进行API的发布,测试,禁用、删除等操作。

支持查看每个API的详情、调用情况、订购情况、安全限制,了解每个API的使用及订购情况,实现对API的全局一览/监控。

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/c92688f14b78a8a7b07d30c5d6b5bec4..jpg


2.生成API与注册API

当开始规划银行系统功新能点时,会着手构思这个新功能要呈现怎样的API,如何使用实现数据可利用最大化,此时可通过数栈EasyAPI平台直接生成(创建)该API进行后续对接/数据共享。

当历史应用已有存量API在用,可直接将API注册至数栈EasyAPI平台进行统一管理,保障上层业务可靠性。 

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/4f667ad3694517d1a5d249a7e86370b5..jpg


3.数据安全保障

通过审批授权、调用限流、IP地址黑白名单、双模式鉴权(Token、AK/SK)、传输加密、行级权限等多种方式保障数据资产,安全地对外提供数据服务。

1)审批授权:

EasyAPI采用API申请授权的流程化设计,在使用API前,需要进行API的申请,申请单中可控制API的调用次数限制和有效期。经过API管理者的授权审批后,申请者可查看API相关的调用信息,才可对其进行调用。

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/12cfeacc0f24d2de434aecfcdf9545a3..jpg

 

2)调用限流:

API在生成时,可设置API单秒调用次数,保证API网关的稳定,防止恶意调用及攻击。

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/4d12e508ae805fa8829b6402fe99d20c..jpg


3)黑白名单限制:

  • 允许对API调用进行IP地址黑白名单的访问限制

  • 允许特定IP地址访问或设置特定IP地址不能访问

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/69b17c0114eb664ee5977a3838cfbea1..jpg


4)双模式鉴权:

  • Token:

适合API测试、企业内部等安全性要求不高的使用场景。

  • AK/SK:

为了API调用具有更高的安全性,适合应用系统间、跨域名等安全性要求高的使用场景。

 

5)传输加密:RSA+AES

用于传输加密,业务人员在进行银行客户隐私信息的传递时,可以选择为请求/返回信息做加密处理,保障数据传输的安全性。


6)行级权限:

支持建立行级权限标识,指定对应用户能访问的行级数据。 

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/bed20a980f8a67aec94f6f1033b6c216..jpg


通过以上多方面对API安全性的管控,为银行客户的信息数据、银行运营数据等保驾护航。

 

4.API告警

支持批量选择API进行告警规则创建,支持调用失败和在一定时间内出现多次调用失败的告警触发,支持通过邮件、短信、钉钉和自定义通道发送告警信息。

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/7dcd88990cd556e1a9945014f177642b..jpg

协助银行业务人员准确跟踪API的使用情况,甄别异常现象,及时解决所遇问题。

 

数据服务在银行领域的其他场景应用


袋鼠云数栈产品全面引入各业务层数据资源,构建一体化数据服务通道,方便银行业务更快速高效的运行。除了大幅提升银行系统数据安全,还应用于以下业务场景:

精准营销

客户画像信息准确输出,不再因口径不统一,甄别不到目标客户群体而无法达到业绩指标。

异常查询监控

通过API对接应用系统/大屏,实现结果数据的快速对外开放,比如 各分行的业务运营情况、各分行的资产情况等。

业务结果快速呈现

通过API对接应用系统/大屏,实现结果数据的快速对外开放,比如 各分行的业务运营情况、各分行的资产情况等。

由数据API经济引领的跨行业和跨市场价值重组,不仅催生众多新的业务组合,更成为驱动新业务的快速通道。数据API不仅仅是技术性的连接,更是代表业务增长、能力构建和资产沉淀。未来,所有的功能、数据和服务都会以API的形式提供出来(例如近两年的各类中台概念也是如此),数据API成为企业连接“万物”的核心载体。

http://dtstack-static.oss-cn-hangzhou.aliyuncs.com/2021bbs/files_user1/article/ba2517f866e9d87077fb2fc7ef808eb9..png

0条评论
社区公告
  • 大数据领域最专业的产品&技术交流社区,专注于探讨与分享大数据领域有趣又火热的信息,专业又专注的数据人园地

最新活动更多
微信扫码获取数字化转型资料
钉钉扫码加入技术交流群