(資料圖片僅供參考)

身處移動(dòng)互聯(lián)、萬(wàn)物互聯(lián)的時(shí)代，金融服務(wù)順應(yīng)潮流，不斷推進(jìn)數(shù)字化、移動(dòng)化、場(chǎng)景化轉(zhuǎn)型。商業(yè)銀行應(yīng)用程序接口（API）的安全邊界，正逐漸由獨(dú)立的局域網(wǎng)絡(luò)擴(kuò)展到開(kāi)放的公共網(wǎng)絡(luò)，如移動(dòng)支付、跨界授信等場(chǎng)景。未來(lái)，金融信息安全的前沿陣地，不僅是提供服務(wù)與產(chǎn)品的金融機(jī)構(gòu)，也是接入互聯(lián)網(wǎng)的每一臺(tái)設(shè)備、享受金融服務(wù)的每一個(gè)人。

在此背景下，國(guó)家有關(guān)部門陸續(xù)發(fā)布規(guī)范商業(yè)銀行應(yīng)用程序接口安全管理的標(biāo)準(zhǔn)和要求，不斷敦促、指導(dǎo)銀行業(yè)提升金融服務(wù)安全性、穩(wěn)定性，為用戶提供更安全、更便捷、更友好的金融服務(wù)。

2020年，中國(guó)人民銀行發(fā)布《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（JR/T 0185—2020）與《中國(guó)人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)商業(yè)銀行應(yīng)用程序接口安全管理的通知》；

2022年2月，中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布《金融科技產(chǎn)品認(rèn)證目錄（第二批）》 ，將商業(yè)銀行應(yīng)用程序接口列入目錄，從此商業(yè)銀行應(yīng)用程序接口產(chǎn)品被納入國(guó)家統(tǒng)一推行的認(rèn)證體系。

其中，《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（JR/T 0185—2020）（以下簡(jiǎn)稱:《規(guī)范》）面向商業(yè)銀行和應(yīng)用方，從技術(shù)和管理兩方面，對(duì)個(gè)人金融信息保護(hù)措施和金融API安全措施提出了明確要求，規(guī)定了商業(yè)銀行應(yīng)用程序接口（API）的類型與安全級(jí)別、安全設(shè)計(jì)、安全部署、安全集成、安全運(yùn)維、服務(wù)終止與系統(tǒng)下線、安全管理等安全技術(shù)與安全保障要求，貫穿API的整個(gè)生命周期。

商業(yè)銀行可開(kāi)展自查工作，按照《規(guī)范》要求排查風(fēng)險(xiǎn)點(diǎn)；也可委托專業(yè)檢測(cè)機(jī)構(gòu)進(jìn)行安全測(cè)評(píng)，獲取全方位的安全建議和指導(dǎo)，提升API的整體安全。

2022年12月，中國(guó)金融認(rèn)證中心（CFCA）通過(guò)《金融科技產(chǎn)品認(rèn)證目錄（第二批）》檢測(cè)機(jī)構(gòu)能力核查，成為國(guó)內(nèi)首批具備商業(yè)銀行應(yīng)用程序接口檢測(cè)資質(zhì)的機(jī)構(gòu)之一，現(xiàn)正式對(duì)外開(kāi)展商業(yè)銀行應(yīng)用程序接口檢測(cè)工作。

為提高商業(yè)銀行應(yīng)用程序接口檢測(cè)效率，CFCA自主研發(fā)“CFCA開(kāi)放銀行應(yīng)用程序接口檢測(cè)平臺(tái)”（以下簡(jiǎn)稱：平臺(tái)）。平臺(tái)可在線開(kāi)展API接口安全檢測(cè)，實(shí)現(xiàn)一定程度的應(yīng)用程序接口自動(dòng)化檢測(cè)，多方面驗(yàn)證API安全水平。檢測(cè)內(nèi)容如下：

CFCA依照《規(guī)范》要求，基于平臺(tái)能力，根據(jù)各商業(yè)銀行API特點(diǎn)量身定制檢測(cè)方案，提出針對(duì)性安全建議，幫助商業(yè)銀行全方位提升API安全水平。目前，CFCA已與多家商業(yè)銀行進(jìn)行合作交流，助其完善應(yīng)用程序接口安全管理規(guī)范，提高應(yīng)用程序接口安全性，得到客戶的一致好評(píng)。

CFCA立足金融行業(yè)，愿與銀行機(jī)構(gòu)持續(xù)精誠(chéng)合作，共同守護(hù)金融服務(wù)安全陣線。

關(guān)鍵詞：