一、 API的基本情况 1

　　（一） API简介 1

　　（二） API分类及组成要素 2

　　1. API分类 2

　　2. API组成要素 3

　　（三） API安全标准化情况 4

　　二、 近年来API安全态势 10

　　（一） Facebook多起数据泄露事件与API有关 10

　　（二） 美国邮政服务API漏洞导致用户信息泄露 11

　　（三） T-Mobile API漏洞导致用户账号被窃取 11

　　（四） Twitter虚假账户利用API批量匹配用户信息 12

　　（五） 考拉征信非法出售API导致个人信息泄露 12

　　（六） 新浪微博用户查询接口被恶意调用导致数据泄露 12

　　（七） 微信团队收回小程序"用户实名信息授权"接口 13

　　三、 安全风险分析 13

　　（一） 外部威胁因素 13

　　1. API漏洞导致数据被非法获取 14

　　2. API成为外部网络攻击的重要目标 14

　　3. 网络爬虫通过API爬取大量数据 14

　　4. 合作第三方非法留存接口数据 15

　　5. API请求参数易被非法篡改 15

　　（二） 内部脆弱性因素 16

　　1. 身份认证机制 16

　　2. 访问授权机制 17

　　3. 数据脱敏策略 17

　　4. 返回数据筛选机制 18

　　5. 异常行为监测 18

　　6. 特权账号管理 19

　　7. 第三方管理 19

　　四、 安全建议 20

　　（一） 事前 20

　　1. 统一API设计开发规范，减少安全隐患 20

　　2. 强化API上线、变更、下线环节实时监控，确保全生命周期安全 20

　　3. 完善API身份认证和授权管理机制，强化接口接入安全审核 21

　　4. 健全API安全防护体系，提升抵御外部威胁能力 21

　　5. 加大API安全保护宣传力度，提高员工安全意识 22

　　（二） 事中 22

　　1. 加强API身份认证实时监控能力建设 22

　　2. 加强异常行为实时监测预警能力建设 22

　　3. 加强数据分类分级管控能力建设 23

　　4. 加强API数据流向监控能力建设 23

　　（三） 事后 24

　　1. 建立健全应急响应机制 24

　　2. 建立健全日志审计机制 24

　　3. 建立健全数据泄露溯源追责机制 25

　　五、 附录 26

　　（一） 全知科技API安全实践 26

　　1. 开放API安全实践 26

　　2. 面向合作方API安全实践 29

　　3. 内部API安全实践 31

　　（二） 观安API安全实践 34

　　1. 安全方案 34

　　2. 技术手段 35

　　3. 实践应用 38

　　4. 发展趋势 40

　　（三） 爱加密API安全实践 41

　　1. 安全方案 41

　　2. 技术手段 43

　　3. 实践应用 44

　　4. 产品研发 47