高校應(yīng)用API接口安全監(jiān)測研究與實(shí)踐

摘要：API接口在數(shù)字化應(yīng)用架構(gòu)中發(fā)揮著重要作用，但其開放性和易訪問性也使其成為攻擊者的主要目標(biāo)。高校信息化系統(tǒng)廣泛使用API接口提供服務(wù)，然而傳統(tǒng)的安全防護(hù)措施難以有效應(yīng)對針對API接口的隱蔽數(shù)據(jù)竊取行為。文章提出的API接口安全監(jiān)測系統(tǒng)基于網(wǎng)絡(luò)流量解析技術(shù)，可自動發(fā)現(xiàn)和識別API資產(chǎn)，監(jiān)測敏感數(shù)據(jù)訪問行為，并及時(shí)識別潛在的安全風(fēng)險(xiǎn)。此外，該系統(tǒng)具備數(shù)據(jù)泄露事件的有效溯源能力，有助于高校提前做好API接口風(fēng)險(xiǎn)防范工作，全面提升數(shù)據(jù)安全防護(hù)水平。

關(guān)鍵詞：API接口；數(shù)據(jù)安全；安全監(jiān)測；資產(chǎn)發(fā)現(xiàn)；風(fēng)險(xiǎn)識別；事件追溯

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）31-0074-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID） ：

0 引言

應(yīng)用程序編程接口（API，Application ProgrammingInterface） 是實(shí)現(xiàn)不同應(yīng)用程序間相互通信和數(shù)據(jù)交換的關(guān)鍵技術(shù)。在現(xiàn)代數(shù)字化應(yīng)用架構(gòu)中，API接口以其可重用、可定制和可擴(kuò)展的優(yōu)勢，定義了軟件系統(tǒng)之間的交互規(guī)范、數(shù)據(jù)結(jié)構(gòu)和通信協(xié)議，實(shí)現(xiàn)了應(yīng)用之間更高效、更便捷的耦合[1]。然而，API的開放性和易訪問性也使其成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。2020 年3月，國內(nèi)某社交平臺因用戶查詢接口被惡意調(diào)用，導(dǎo)致5億用戶的手機(jī)號數(shù)據(jù)泄露[2]；2023年1月，國外某電信巨頭因API未授權(quán)訪問漏洞被黑客利用，致使3 700萬用戶的敏感信息遭竊取。大量個人信息泄露不僅侵犯了個人隱私權(quán)，還可能導(dǎo)致財(cái)產(chǎn)損失、身份被盜用和詐騙等一系列問題。根據(jù)《2022年Web安全觀察報(bào)告》統(tǒng)計(jì)，2022年針對API的攻擊在網(wǎng)宿CDN 平臺上的占比首次突破50%，達(dá)到58.4%，API已成為灰黑產(chǎn)攻擊的頭號目標(biāo)[3]。

隨著高校數(shù)字化轉(zhuǎn)型逐步進(jìn)入成熟期，信息系統(tǒng)廣泛應(yīng)用于教學(xué)、科研、學(xué)工、人事和財(cái)務(wù)等多個關(guān)鍵領(lǐng)域，覆蓋教師、學(xué)生和工勤等校內(nèi)各類用戶，包含大量師生個人信息。這些信息系統(tǒng)通常部署于學(xué)校數(shù)據(jù)中心，各類信息系統(tǒng)之間的數(shù)據(jù)共享和對外服務(wù)均依托于API接口，且啟用了防火墻和態(tài)勢感知等網(wǎng)絡(luò)安全設(shè)備進(jìn)行防護(hù)。然而，防火墻等傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)設(shè)備難以監(jiān)測和防護(hù)應(yīng)用系統(tǒng)API接口的使用情況，在應(yīng)對攻擊者利用API接口隱蔽竊取數(shù)據(jù)時(shí)往往力不從心。北京某高校畢業(yè)生盜取學(xué)校部分學(xué)生個人信息建立顏值打分網(wǎng)站[4]，南昌某高校3萬余條師生個人信息在境外互聯(lián)網(wǎng)被公開售賣[5]等教育數(shù)據(jù)泄露事件，造成了嚴(yán)重的社會影響，為高校的數(shù)據(jù)安全問題敲響了警鐘。

本文主要分析了API接口面臨的安全風(fēng)險(xiǎn)現(xiàn)狀，探討API接口安全監(jiān)測系統(tǒng)應(yīng)具備的技術(shù)能力，并以高校應(yīng)用場景為例，總結(jié)API接口安全監(jiān)測系統(tǒng)在高校的建設(shè)路徑和實(shí)踐成果。高校部署API接口安全監(jiān)測系統(tǒng)，可加強(qiáng)資產(chǎn)和風(fēng)險(xiǎn)管理，有助于提升學(xué)校數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測能力，保障高校數(shù)據(jù)安全。

1 API 接口面臨的風(fēng)險(xiǎn)分析

開放式Web應(yīng)用程序安全項(xiàng)目（OWASP） 發(fā)布的AP67359bbdd99a41c33ef52476b0e4f253bfad5ffc11d9cad1618fd7b587d47044I安全Top10風(fēng)險(xiǎn)清單[6]揭示了API接口面臨的主要安全風(fēng)險(xiǎn)，包括對象級別的授權(quán)失效和用戶身份認(rèn)證失效等，如表1所示。

攻擊者可利用重放攻擊、注入攻擊、參數(shù)篡改、分布式拒絕服務(wù)（DDoS） 攻擊和中間人攻擊等多種手段攻擊API接口。API接口攻擊不僅可消耗系統(tǒng)資源和中斷業(yè)務(wù)服務(wù)，還能對API接口實(shí)施逆向分析，通過構(gòu)造請求參數(shù)竊取敏感信息[7]。以下因素導(dǎo)致API接口成為網(wǎng)絡(luò)攻擊者的主要攻擊目標(biāo)。

1） 攻擊成本低。API接口直接對外暴露并提供服務(wù)和數(shù)據(jù)，攻擊者只須獲取API的接口地址，即可通過簡單的網(wǎng)絡(luò)請求實(shí)施攻擊行為。相較于攻擊整個網(wǎng)站系統(tǒng)，攻擊API接口顯著降低了技術(shù)門檻和時(shí)間成本。

2） 請求參數(shù)易修改。攻擊者通過篡改API接口的請求參數(shù)，結(jié)合其他關(guān)聯(lián)信息，既可利用注入等漏洞獲取系統(tǒng)的賬號權(quán)限，又可利用越權(quán)等漏洞獲取正常權(quán)限以外的數(shù)據(jù)。

3） 寬松的跨源資源共享（CORS） 策略。寬松的CORS 策略意味著API 接口允許超出必要范圍的源（例如協(xié)議、域和端口）發(fā)出訪問請求。過于寬松的策略使攻擊者能夠從不受信任的源發(fā)起訪問，增加了實(shí)施跨站腳本攻擊等攻擊的可能性。

4） API接口安全性參差不齊。在敏捷開發(fā)框架的推動下，應(yīng)用系統(tǒng)迭代速度顯著提升，但開發(fā)人員的編碼水平、應(yīng)用框架的安全性能和API接口的管理質(zhì)量等因素存在差異，導(dǎo)致API接口在安全性上的參差不齊。

2 API 接口安全監(jiān)測主要技術(shù)能力

API接口安全監(jiān)測基于網(wǎng)絡(luò)流量解析技術(shù)，可梳理業(yè)務(wù)應(yīng)用和接口資產(chǎn)，監(jiān)測敏感數(shù)據(jù)訪問行為并及時(shí)識別潛在的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)數(shù)據(jù)泄露事件的有效溯源。圍繞實(shí)現(xiàn)資產(chǎn)全面梳理、威脅全面監(jiān)測和風(fēng)險(xiǎn)全面可視的監(jiān)測審計(jì)功能，API接口安全監(jiān)測系統(tǒng)應(yīng)具備以下技術(shù)能力。

2.1 流量采集解析能力

API接口安全監(jiān)測首先須具備網(wǎng)絡(luò)流量采集能力。網(wǎng)絡(luò)流量采集通常通過在網(wǎng)絡(luò)設(shè)備上進(jìn)行流量鏡像，或在目標(biāo)服務(wù)器上部署Agent插件實(shí)現(xiàn)。由于API接口通?；贖TTP和HTTPS等應(yīng)用層協(xié)議提供服務(wù)，為獲取API接口具體報(bào)文信息，流量采集模塊須具備多種應(yīng)用層協(xié)議解析能力。通過解析流量，全面記錄API接口的請求報(bào)文和返回報(bào)文，包括事件、URL、請求方法、傳輸協(xié)議、User-Agent、Cookie、源IP 和響應(yīng)狀態(tài)碼等，支持多種數(shù)據(jù)格式和文件格式內(nèi)容的解析。

2.2 資產(chǎn)發(fā)現(xiàn)能力

資產(chǎn)發(fā)現(xiàn)能力主要包括自動發(fā)現(xiàn)存在的應(yīng)用、API接口及敏感數(shù)據(jù)等資產(chǎn)信息。該能力通過預(yù)設(shè)規(guī)則，識別API接口交互過程中存在的姓名、身份證號和聯(lián)系方式等敏感數(shù)據(jù)。資產(chǎn)發(fā)現(xiàn)可全面梳理敏感數(shù)據(jù)，定位相關(guān)數(shù)據(jù)所屬的應(yīng)用資產(chǎn)，并根據(jù)數(shù)據(jù)的流向和應(yīng)用特性對應(yīng)用資產(chǎn)進(jìn)行分類和標(biāo)識。通過可視化技術(shù)展示敏感數(shù)據(jù)的使用和分布情況，便于用戶迅速識別潛在的安全風(fēng)險(xiǎn)接口和敏感數(shù)據(jù)泄漏點(diǎn)，追蹤敏感數(shù)據(jù)的訪問流向。

2.3 風(fēng)險(xiǎn)識別能力

風(fēng)險(xiǎn)識別是根據(jù)既定策略實(shí)現(xiàn)安全風(fēng)險(xiǎn)自動檢測并形成風(fēng)險(xiǎn)清單的過程。通過分析安全風(fēng)險(xiǎn)清單，可及時(shí)發(fā)現(xiàn)并處置存在的安全隱患。API接口安全風(fēng)險(xiǎn)主要關(guān)注數(shù)據(jù)泄露風(fēng)險(xiǎn)和接口脆弱性兩類。

數(shù)據(jù)泄露風(fēng)險(xiǎn)識別是根據(jù)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)規(guī)則，基于日常行為基線模型，分析和識別數(shù)據(jù)泄露潛在風(fēng)險(xiǎn)的過程。該能力主要利用人工智能和大數(shù)據(jù)技術(shù)，圍繞應(yīng)用訪問的相關(guān)信息進(jìn)行自動化分析，形成正常行為特征，并計(jì)算發(fā)現(xiàn)偏離正常行為特征的事件，進(jìn)行風(fēng)險(xiǎn)預(yù)警。接口脆弱性識別是通過配置特定的脆弱性匹配規(guī)則，自動識別觸發(fā)規(guī)則的API接口。其主要采用分析API接口的請求和返回報(bào)文參數(shù)、協(xié)議規(guī)范以及身份驗(yàn)證等信息的方式，利用統(tǒng)計(jì)比對、黑白名單等技術(shù)手段，發(fā)現(xiàn)接口存在的脆弱性問題。常見的接口脆弱性問題包括密碼泄露、未授權(quán)訪問、SQL注入、參數(shù)可遍歷、敏感數(shù)據(jù)未脫敏、文件目錄暴露和文件上傳漏洞等。

2.4 風(fēng)險(xiǎn)事件追蹤溯源能力

API安全監(jiān)測系統(tǒng)保存API接口的全量歷史訪問記錄，可通過檢索歷史記錄對數(shù)據(jù)泄露的風(fēng)險(xiǎn)事件進(jìn)行追蹤溯源。當(dāng)數(shù)據(jù)泄露事件發(fā)生時(shí)，通過檢索歷史記錄，分析可疑接口、賬戶和IP地址，從而輔助追蹤事件源頭并提供原始證據(jù)鏈條。

2.5 可視化分析能力

可視化分析是API接口安全監(jiān)測中的關(guān)鍵工具，是落實(shí)API接口安全管理的重要依據(jù)。通過多維度的數(shù)據(jù)統(tǒng)計(jì)和報(bào)表，針對已知風(fēng)險(xiǎn)和脆弱點(diǎn)，可提供等級占比、類型分布和規(guī)則統(tǒng)計(jì)等多條件檢索與分析?？梢暬治鐾ㄟ^應(yīng)用、接口、賬號和IP等行為畫像，實(shí)現(xiàn)敏感數(shù)據(jù)行為的全程記錄和可追溯。利用可視化大屏呈現(xiàn)安全監(jiān)測分析的數(shù)據(jù)結(jié)果，帶來全方位的數(shù)據(jù)可視化管理，以最直觀的方式展現(xiàn)數(shù)據(jù)價(jià)值。

3 高校應(yīng)用API 接口安全監(jiān)測實(shí)踐探索

3.1 高校應(yīng)用API 接口問題現(xiàn)狀

近年來，隨著高校數(shù)據(jù)中臺的建設(shè)和應(yīng)用，API接口的使用場景日益廣泛。API接口既可以為用戶提供服務(wù)和數(shù)據(jù)，還可以為不同應(yīng)用系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)共享交換，已成為數(shù)據(jù)傳輸?shù)闹饕绞?，其安全防護(hù)的重要性不容忽視[8]。高校應(yīng)用API 接口安全面臨以下挑戰(zhàn)。

1） API接口資產(chǎn)缺乏統(tǒng)一管理。高校應(yīng)用系統(tǒng)和API接口數(shù)量不斷增加，導(dǎo)致其資產(chǎn)管理變得越來越困難。部分應(yīng)用系統(tǒng)的API接口可能會因版本更新或業(yè)務(wù)終止而過時(shí)，但仍然保留在生產(chǎn)環(huán)境中而成為僵尸資產(chǎn)或影子資產(chǎn)。這無疑會成為網(wǎng)絡(luò)安全的管理盲區(qū)，進(jìn)一步增加了安全隱患。

2） 個人信息使用缺乏管控。高校應(yīng)用系統(tǒng)存儲了大量師生的個人信息，若缺乏有效的管控措施，可能會導(dǎo)致個人信息濫用的情況。因此，API接口在設(shè)計(jì)時(shí)應(yīng)當(dāng)遵循最小化原則，僅返回業(yè)務(wù)必要的個人信息。對于個人敏感信息，應(yīng)進(jìn)行脫敏處理，以確保信息使用過程中的安全性。

3） 應(yīng)用系統(tǒng)安全水平不高。高校的應(yīng)用系統(tǒng)大部分是以采購定制開發(fā)軟件為主，不同的系統(tǒng)分別來源于不同的供應(yīng)商。由于軟件供應(yīng)商開發(fā)水平參差不齊，可能導(dǎo)致上線運(yùn)行的應(yīng)用系統(tǒng)存在可利用的安全漏洞。近年來，供應(yīng)鏈攻擊已成為網(wǎng)絡(luò)攻防中暴露出的顯著問題。

3.2 API 接口安全監(jiān)測系統(tǒng)部署

通過流量鏡像的方式獲取數(shù)據(jù)中心的全部訪問流量；對于無法獲取鏡像流量的服務(wù)器，可采用安裝Agent插件的方式進(jìn)行采集。其部署架構(gòu)如圖1所示。

通過分析HTTP流量，系統(tǒng)可自動識別學(xué)校應(yīng)用資產(chǎn)及其API接口的使用情況，并通過人工核實(shí)和資源目錄管理，實(shí)現(xiàn)對應(yīng)用資產(chǎn)及其API接口的全面管理。系統(tǒng)還能根據(jù)流量訪問情況，發(fā)現(xiàn)訪問量低的僵尸應(yīng)用資產(chǎn)，有助于進(jìn)一步加強(qiáng)管理。利用內(nèi)置規(guī)則庫，可全面監(jiān)測應(yīng)用系統(tǒng)存在的漏洞、配置缺陷和弱口令等情況，提供多維度的監(jiān)測報(bào)告與修復(fù)建議，及時(shí)發(fā)現(xiàn)并修復(fù)潛在風(fēng)險(xiǎn)。

3.3 API 接口安全監(jiān)測實(shí)踐效果

高校通過部署API接口安全監(jiān)測系統(tǒng)，監(jiān)測審計(jì)應(yīng)用API 接口的訪問使用情況，以期達(dá)到以下安全效果。

1） 應(yīng)用資產(chǎn)全面掌握，防護(hù)重要敏感資產(chǎn)。通過對學(xué)校應(yīng)用系統(tǒng)使用的數(shù)據(jù)字段進(jìn)行梳理分析，結(jié)合數(shù)據(jù)分類分級規(guī)則，使系統(tǒng)管理員掌握系統(tǒng)敏感數(shù)據(jù)的分布情況，了解系統(tǒng)中哪些API接口存在潛在安全風(fēng)險(xiǎn)，哪些API接口會流出敏感數(shù)據(jù)，從而有針對性地開展重點(diǎn)關(guān)注和防護(hù)。

2） 安全風(fēng)險(xiǎn)全面感知，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。通過對接口訪問記錄的統(tǒng)計(jì)分析和自學(xué)習(xí)，建立訪問基線模型。利用基線模型識別應(yīng)用、用戶等主體正常的敏感數(shù)據(jù)操作行為，精準(zhǔn)定位敏感數(shù)據(jù)風(fēng)險(xiǎn)操作，自動分析并判斷風(fēng)險(xiǎn)級別，及時(shí)發(fā)出預(yù)警，將數(shù)據(jù)泄露風(fēng)險(xiǎn)遏制于萌芽階段，減少敏感信息泄露造成的損失。

3） 應(yīng)用接口全面體檢，加強(qiáng)系統(tǒng)安全能力。通過對應(yīng)用下的大量不同類型API接口進(jìn)行全面脆弱性檢測，發(fā)現(xiàn)存在安全隱患的脆弱性接口，找出最易發(fā)生安全問題的暴露面。及時(shí)處置發(fā)現(xiàn)的問題，有效預(yù)防敏感數(shù)據(jù)泄露，提高系統(tǒng)安全防護(hù)能力。

4） 數(shù)據(jù)泄露有跡可循，快速定位事件來源。針對已發(fā)生的數(shù)據(jù)泄露事件，結(jié)合多種條件檢索和多重鉆取分析，從多個維度開展深度分析，追溯事件來源，分析事件的疑似責(zé)任主體，為事件追責(zé)提供范圍界定，并提供原始證據(jù)鏈條。

5） 數(shù)據(jù)使用逐步規(guī)范，提升數(shù)據(jù)安全水平。隨著《數(shù)據(jù)安全法》《個人信息保護(hù)法》的頒布施行，數(shù)據(jù)使用面臨著剛性的合規(guī)要求。通過API接口監(jiān)測對數(shù)據(jù)使用進(jìn)行監(jiān)測預(yù)警，不僅確保滿足法規(guī)要求，同時(shí)可增強(qiáng)風(fēng)險(xiǎn)感知和規(guī)避能力，有效提升學(xué)校數(shù)據(jù)安全防護(hù)水平。

4 結(jié)束語

綜上所述，API接口安全監(jiān)測系統(tǒng)可識別API接口使用過程中存在的各類安全隱患，在應(yīng)用系統(tǒng)安全防護(hù)中發(fā)揮重要作用。目前，大部分高校的數(shù)據(jù)安全技術(shù)防護(hù)體系仍處于初步建設(shè)階段，對數(shù)據(jù)使用情況掌握不足，面臨較大安全風(fēng)險(xiǎn)。本文提出的高校API 接口安全監(jiān)測系統(tǒng)建設(shè)方案，有助于高校做好資產(chǎn)梳理和風(fēng)險(xiǎn)識別，既可提前做好風(fēng)險(xiǎn)防范工作，防患于未然，又能提高應(yīng)用系統(tǒng)API接口的安全性，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。

未來，在做好資產(chǎn)識別和風(fēng)險(xiǎn)監(jiān)測的基礎(chǔ)上，將進(jìn)一步開展高校數(shù)據(jù)保護(hù)和風(fēng)險(xiǎn)響應(yīng)處置相關(guān)研究工作。高校通過風(fēng)險(xiǎn)識別、安全保護(hù)、安全檢測、安全響應(yīng)和處置的能力建設(shè)，可實(shí)現(xiàn)數(shù)據(jù)全生命周期保護(hù)和風(fēng)險(xiǎn)閉環(huán)管理，全面提升數(shù)據(jù)安全防護(hù)能力。

參考文獻(xiàn)：

[1] 湯其宇，陳昌杰，王士勇.醫(yī)院網(wǎng)絡(luò)環(huán)境中API接口的安全性問題與對策探討[J].中國數(shù)字醫(yī)學(xué)，2024，19（6）：115-120.

[2] 萬小博.信息系統(tǒng)常見數(shù)據(jù)泄露原因及應(yīng)對策略分析[J].電子技術(shù)與軟件工程，2022（9）：13-16.

[3] 網(wǎng)宿安全2022年Web安全觀察報(bào)告：API成頭號攻擊目標(biāo)，DDoS、Bot攻擊倍增[J].中國信息安全，2023（7）：108.

[4] 趙雨萌.人大畢業(yè)生泄露學(xué)生信息被刑拘，曾有機(jī)會使用高權(quán)限賬號[EB/OL].[2023-10-20].https：//www.inewsweek.cn/so?ciety/2023-07-04/19058.shtml.

[5] 南昌網(wǎng)警巡查執(zhí)法.罰款80萬元！抓獲3人！南昌某高校發(fā)生數(shù)據(jù)泄露案件[EB/OL].[2023-10-20].https：//jiangxi.jxnews.com.cn/system/2023/08/17/020188366.shtml.

[6] OWASP API Security Top 10[EB/OL]. [2024-03-02]. https：//owasp.org/API-Security/editions/2023/en/0x00-header/.

[7] 中國信息通信研究院.應(yīng)用程序接口（API）數(shù)據(jù)安全研究報(bào)告（2020年）[R].北京：信通院，2020.

[8] 顧怡.基于零信任的高校數(shù)據(jù)安全實(shí)踐與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024（8）：80-83.

【通聯(lián)編輯：謝媛媛】