中国信通院：2020年应用程序接口（API）数据安全研究报告（附下载）

报告下载：添加199IT官方微信【i199it】，回复关键词【2020年应用程序接口数据安全报告】即可

一、API 的基本情况

伴随着云计算、移动互联网、物联网的蓬勃发展，越来越多的开发平台和第三方服务快速涌现，应用系统与功能模块复杂性不断提升，应用开发深度依赖于应用程序接口（Application ProgrammingInterface，API）之间的相互调用。近年来移动应用深入普及，促使社会生产、生活活动从线下转移到了线上，特别在此次新冠肺炎疫情期间，协同办公、在线教育、便民服务等领域移动应用积极助力复工复产，各地依托大数据推出“健康码”等疫情防控新举措，API 在其中起到了紧密链接各个元素的作用。为满足各领域移动应用业务需要，API 的绝对数量持续增长，通过API 传递的数据量也飞速增长。API 技术借助移动应用蓬勃发展的势头融入社会经济的方方面面，不仅为数据交互提供了便利，并且推动了企业、组织机构间的沟通和对话，甚至创造了新的经济模式：API 经济。

（一）API 简介

API 是预先定义的函数，为程序之间数据交互和功能触发提供服务。调用者只需调用API，并输入预先约定的参数，即可实现开发者封装好的各种功能，无需访问功能源码或理解功能的具体实现机制。

从功能角度来看，API 是前端调用后端数据的通道；从业务角度来看，API 是将封装后的应用对外开放的访问接口。在信息系统内部，随着业务功能的逐渐细化，各个功能模块之间需要利用API 技术来进行协调；在信息系统外部，API 承担着与其他应用程序进行交互的重要任务。

（二）API 分类及组成要素

1.API 分类

API 技术应用广泛，可满足不同领域、不同业务的数据传输和操作需求，在包括软件开发工具包（Software Development Kit，SDK）、Web 应用、网关等诸多领域均可发现API 的身影。因此，从应用领域角度难以合理清晰地区分其种类。为此，本报告从API 开放程度和API 核心技术两个维度进行分类介绍。

（1）按API 开放程度分类

从API 的开放程度出发，API 可以分为开放API、面向合作方API和内部API。

开放API 是面向公网开放的接口，此类API 允许公众调用。调用者可以是任何人或者机构，不需要和API 提供者建立合作关系，例如公司门户网站等。

面向合作方API 指的是企业或组织用来与外部合作伙伴进行沟通、交流和系统集成的API，例如面向外包机构、设备供应商等。

内部API 仅在企业或组织内部使用，用来协调内部不同系统、应用之间的调用关系，例如CRM 系统API、薪资系统API 等。

（2）按API 核心技术分类

从API 核心技术进行划分，可分为简单对象访问协议（SimpleObject Access Protocol，SOAP）API，RESTful（RepresentationalState Transfer，REST）API 及远程过程调录（Remote Procedure Call，RPC）API。

SOAP API 是指使用Web 服务安全性内置协议的API。基于XML协议，此类API 技术可与多种互联网协议和格式结合使用，包括超文本传输协议（HTTP）、简单邮件传输协议（SMTP）、多用途网际邮件扩充协议（MIME）等。

RPC API 是指使用远程过程调录协议进行编程的API，RPC 技术允许计算机调用其他计算机的子系统，并定义了结构化的请求方式。

不同于上述两类依托于协议的API 技术，RESTful API 是一种架构，其通过HTTP 和JSON 进行传输，不需要存储或重新打包数据，同时支持TLS 加密。

2.API 组成要素

API 通常包含如下组成要素，在这些要素的共同作用下，API 才能发挥预期作用。

（1）通信协议：API 一般利用HTTPS 等加密通讯协议进行数据传输，以确保数据交互安全。

（2）域名：用于指向API 在网络中的位置。API 通常被部署在主域名或者专用域名之下，接入方可通过域名调用相关API。

（3）版本号：不同版本的API 可能存在巨大差异，尤其对于多版本并存、增量发布等情况，API 版本号有助于准确区分API 的参数设置。

（4）路径：路径又称“终点”（end point），指表示API 及API 执行功能所需资源的具体地址。

（5）请求方式：API 常用的请求方式有GET、POST、PUT 和DELETE四种，分别用于获取、更新、新建、删除指定资源。

（6）请求参数：即传入参数，包含数据格式、数据类型、可否为空以及文字描述等内容。传入参数主要包括Cookie、Requestheader、请求body 数据和地址栏参数等。

（7）响应参数：即返回参数或传出参数，返回参数本身默认没有值，用于带出请求参数要求API 后台所返回的数据。

（8）接口文档：接口文档是记录API 相关信息的文档，内容包括接口地址、请求方式、传入参数（请求参数）和响应参数等。

（三）API 安全标准化情况

近年来，我国陆续出台多部数据接口有关标准，对数据接口在不同领域的应用、部署、管理、防护等进行了规范。

在国家标准层面，我国多部现行及制定中的国家标准针对API安全提出了安全要求。GB/T 35273-2020《信息安全技术个人信息安全规范》将API 开发、调用与个人信息安全相结合，明确指出“个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API 接口），且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意，则个人信息控制者与该第三方为共同个人信息控制者。”制定中的国家标准GB/ XXXX-XX《信息安全技术政务信息共享数据安全技术要求》

要求共享交换过程中涉及的授权方（共享数据提供方、共享交换服务方）“支持资源文件、库表、接口等各共享方式上不同粒度的权限控制”，并在级联接口安全方面要求“共享交换服务方应采用密码技术对共享交换系统间的级联接口进行安全防护，保障通过级联接口传递的数据的保密性和完整性。”

在通信行业标准方面，随着云计算、移动互联网等领域的快速发展，通信行业针对特定API 类型、API 应用场景等制定了一系列标准，细化了API 相关安全要求与规范。其中YD/T 2807.4-2015《云资源管理技术要求第4 部分：接口》对涉及的接口类型进行了梳理，规定了云资源管理平台及分平台间接口的技术要求。YD/T 3217-2017《基于表述性状态转移（REST）技术的业务能力开放应用程序接口（API）视频共享》则针对基于REST 技术的视频共享能力开放API进行了规范，涵盖了接口资源定义、资源操作、数据结构、基本流程和安全要求等多方面内容。

在金融行业标准方面，已发布多部标准对API 技术的部署、管理进行规范。其中JR/T 0171-2020《个人金融信息保护技术规范》

要求金融机构嵌入或接入API 时，应符合相应技术规范要求，进行检查、评估和审计。JR/T 0185—2020《商业银行应用程序接口安全管理规范》则对API 技术提出了包括数据完整性保护、授权管理、使用情况监控、接口访问日志留存、安全密钥管理、网络安全防护措施部署、接口安全监测、接口调用控制、接口变更处理、应急处理方案、安全审计溯源等一系列安全要求。

在交通行业标准方面，也相继出台了包括JT/T 1183-2018《出租汽车ETC 支付接口规范》、JT/T 1049-2017《道路运政管理信息系统》在内的多部API 相关标准和规范性文件。