電子政務(wù)外網(wǎng)中服務(wù)應(yīng)用API 安全防護(hù)體系的設(shè)計(jì)研究

陳良飛

摘要：隨著政務(wù)信息化、數(shù)字化轉(zhuǎn)型深入，越來(lái)越多的部門(mén)業(yè)務(wù)已經(jīng)部署在政務(wù)云上，特別是類(lèi)似“蘇服碼”這種采用API的方式對(duì)外提供服務(wù)的應(yīng)用數(shù)量和流量均呈現(xiàn)爆發(fā)性的增長(zhǎng)。由于傳統(tǒng)的電子政務(wù)外網(wǎng)安全建設(shè)并沒(méi)有過(guò)多地針對(duì)API的攻擊行為進(jìn)行設(shè)計(jì)和防御，API安全防護(hù)能力方面相對(duì)薄弱，因此API安全風(fēng)險(xiǎn)已經(jīng)成為當(dāng)前電子政務(wù)外網(wǎng)服務(wù)應(yīng)用安全和數(shù)據(jù)安全面臨的主要風(fēng)險(xiǎn)之一，有針對(duì)性地提升各類(lèi)服務(wù)應(yīng)用的API安全防護(hù)能力已經(jīng)勢(shì)在必行。該文基于各部門(mén)服務(wù)應(yīng)用情況和電子政務(wù)外網(wǎng)有關(guān)架構(gòu)，提出設(shè)計(jì)一種新型的API安全防護(hù)體系，基于事前、事中、事后三個(gè)階段，端到端地保護(hù)電子政務(wù)外網(wǎng)中的API安全，通過(guò)體系化、規(guī)范化的API安全體系建設(shè)，可以更加有效地基于API的全生命周期完善API安全的防護(hù)能力。

關(guān)鍵詞：API；網(wǎng)絡(luò)安全；政務(wù)外網(wǎng)；零信任

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）04-0087-03

0 引言

隨著政府業(yè)務(wù)數(shù)字化轉(zhuǎn)型的全面加速，越來(lái)越多的政務(wù)服務(wù)應(yīng)用已經(jīng)開(kāi)始部署在政務(wù)云上，運(yùn)行于電子政務(wù)外網(wǎng)中。以江蘇為例，超過(guò)7 300個(gè)政務(wù)服務(wù)應(yīng)用已經(jīng)上云，相關(guān)業(yè)務(wù)數(shù)據(jù)也開(kāi)始全面集中。過(guò)去，數(shù)據(jù)安全的保護(hù)并沒(méi)有形成體系化、規(guī)范化的要求，通用的《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中對(duì)數(shù)據(jù)安全的防護(hù)主要體現(xiàn)在對(duì)安全計(jì)算環(huán)境的保護(hù)上，通過(guò)部署WAF設(shè)備在安全計(jì)算環(huán)境中實(shí)現(xiàn)對(duì)Web數(shù)據(jù)完整性要求的保護(hù)，保護(hù)Web應(yīng)用和數(shù)據(jù)庫(kù)系統(tǒng)，提供防網(wǎng)頁(yè)篡改防御SQL注入攻擊、XSL跨站腳本攻擊等常見(jiàn)攻擊的防御。隨著電子政務(wù)外網(wǎng)內(nèi)各類(lèi)應(yīng)用發(fā)布形態(tài)的演進(jìn)，越來(lái)越多的應(yīng)用已經(jīng)開(kāi)始使用API來(lái)提供服務(wù)。例如：2023年“蘇服碼”亮碼服務(wù)一個(gè)API 用量接近800萬(wàn)次，超過(guò)2022年的4倍。API是指應(yīng)用程序編程接口（Application Programming Interface），是企業(yè)平臺(tái)與用戶客戶端、應(yīng)用程序以及第三方平臺(tái)進(jìn)行數(shù)據(jù)交互的重要通道[1]，當(dāng)前大量數(shù)據(jù)通過(guò)各類(lèi)API傳輸[2]。

最近幾年，API已經(jīng)成為灰黑產(chǎn)的頭號(hào)攻擊目標(biāo)，傳統(tǒng)API安全風(fēng)險(xiǎn)包括認(rèn)證和授權(quán)風(fēng)險(xiǎn)，越權(quán)訪問(wèn)、橫向攻擊、敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)、惡意代碼風(fēng)險(xiǎn)、拒絕服務(wù)風(fēng)險(xiǎn)、數(shù)據(jù)竊取等風(fēng)險(xiǎn)，新型的API安全威脅對(duì)傳統(tǒng)安全防御構(gòu)成嚴(yán)峻考驗(yàn)，API身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密等方面需要不斷創(chuàng)新和優(yōu)化以應(yīng)對(duì)不斷變化的安全需求[3]。傳統(tǒng)的對(duì)Web網(wǎng)站的防護(hù)機(jī)制已經(jīng)無(wú)法滿足最近幾年新出現(xiàn)的API安全風(fēng)險(xiǎn)防護(hù)要求，因此，本文提出了一種新的電子政務(wù)外網(wǎng)服務(wù)應(yīng)用API安全防護(hù)體系的設(shè)計(jì)，能夠基于人工智能技術(shù)實(shí)現(xiàn)API的全面保護(hù)，全面提升電子政務(wù)外網(wǎng)的API安全防護(hù)能力。

1 電子政務(wù)外網(wǎng)API 安全現(xiàn)狀分析

目前，各省電子政務(wù)外網(wǎng)對(duì)服務(wù)應(yīng)用的安全防護(hù)體系建設(shè)，主要以《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為主，在網(wǎng)絡(luò)架構(gòu)上通過(guò)在應(yīng)用前端部署WAF設(shè)備，防護(hù)注入式攻擊、跨站攻擊等傳統(tǒng)的Web威脅。同時(shí)根據(jù)等級(jí)保護(hù)2.0的要求，在電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口也部署了防火墻、IPS等設(shè)備，通過(guò)簽名實(shí)現(xiàn)對(duì)Web攻擊的防護(hù)。在網(wǎng)絡(luò)準(zhǔn)入時(shí)，各省電子政務(wù)外網(wǎng)初步實(shí)現(xiàn)了用戶的準(zhǔn)入認(rèn)證，對(duì)用戶的合法訪問(wèn)權(quán)限進(jìn)行鑒權(quán)；在應(yīng)用層上，各省電子政務(wù)外網(wǎng)基本使用了HTTPS實(shí)現(xiàn)對(duì)Web訪問(wèn)的流量應(yīng)用層加密。這些防護(hù)措施能夠?qū)崿F(xiàn)對(duì)Web應(yīng)用的基本安全防護(hù)，但是從各省電子政務(wù)外網(wǎng)的實(shí)際業(yè)務(wù)發(fā)展來(lái)看，存在以下幾個(gè)問(wèn)題：

1） 傳統(tǒng)基于Web應(yīng)用的威脅防御手段已經(jīng)落后

當(dāng)前，SaaS化的微服務(wù)已經(jīng)成為服務(wù)應(yīng)用業(yè)務(wù)部署的主流方式，基于容器技術(shù)的微服務(wù)的興起，迭代的速率遠(yuǎn)遠(yuǎn)高于普通的應(yīng)用服務(wù)，讓政務(wù)服務(wù)應(yīng)用上線的速率大大提升。此類(lèi)新應(yīng)用主要是以API接口的方式實(shí)現(xiàn)對(duì)外服務(wù)，因此在提升效率的同時(shí)也帶來(lái)了API安全隱患，讓API被窺探、被利用的風(fēng)險(xiǎn)大大增加。各省電子政務(wù)外網(wǎng)內(nèi)都存在大量的非Web應(yīng)用的API服務(wù)，例如不同服務(wù)的二維碼的API、數(shù)據(jù)庫(kù)的API、微應(yīng)用API等。而傳統(tǒng)的Web設(shè)備對(duì)API安全的風(fēng)險(xiǎn)防范存在嚴(yán)重不足，對(duì)于API的漏洞和攻擊發(fā)現(xiàn)困難，尤其是近年來(lái)的一些基于API的攻擊行為，讓現(xiàn)有的Web防火墻更是難以防范。

2） API管控存在分散管理的情況

隨著“一網(wǎng)統(tǒng)管”和“一網(wǎng)通辦”在各個(gè)省、市的推進(jìn)，各省電子政務(wù)外網(wǎng)的服務(wù)應(yīng)用總量逐年增加，各類(lèi)服務(wù)應(yīng)用API按照系統(tǒng)權(quán)屬分別由不同政務(wù)部門(mén)自行管理，沒(méi)有統(tǒng)一管控。不僅如此，隨著政務(wù)服務(wù)應(yīng)用本身的不斷聚合和分離，也隨著各政務(wù)部門(mén)的自有應(yīng)用頻繁接入和更改，沒(méi)有對(duì)API實(shí)施統(tǒng)籌管理就意味著將無(wú)法掌握網(wǎng)絡(luò)內(nèi)API的實(shí)際情況，因此很可能存在僵尸API（被遺忘或者不提供服務(wù)的API）、影子API（未記錄和未跟蹤或者私下開(kāi)發(fā)的第三方API）等安全隱患。并且相關(guān)應(yīng)用在上線前一般也沒(méi)有針對(duì)API的風(fēng)險(xiǎn)評(píng)估，也就沒(méi)有針對(duì)性地部署API防御策略。各種因素疊加，讓這些風(fēng)險(xiǎn)API都存在被黑客利用的可能性，服務(wù)應(yīng)用面臨的安全風(fēng)險(xiǎn)大大增加。

3） 無(wú)法防御新型威脅

API失控帶來(lái)的新型威脅在最近幾年呈現(xiàn)上升之勢(shì)。一方面，近幾年隨著網(wǎng)絡(luò)爬蟲(chóng)技術(shù)的興起，通過(guò)網(wǎng)絡(luò)技術(shù)基于API爬取數(shù)據(jù)成為主流，尤其是一些敏感數(shù)據(jù)外溢往往會(huì)帶來(lái)嚴(yán)重的泄露；另一方面，由于ChatGPT等大模型應(yīng)用的興起，讓針對(duì)API的攻擊難度大幅降低，API攻擊成為網(wǎng)絡(luò)攻擊的熱點(diǎn)。同時(shí)由于API的特殊性，傳統(tǒng)的網(wǎng)絡(luò)攻擊也針對(duì)API出現(xiàn)了一定的變種，例如DDOS攻擊也從針對(duì)Web應(yīng)用轉(zhuǎn)向了針對(duì)API的DDOS攻擊。因此，面對(duì)越來(lái)越高的應(yīng)用API的風(fēng)險(xiǎn)，當(dāng)前電子政務(wù)網(wǎng)絡(luò)以Web應(yīng)用為核心部署的防護(hù)手段顯然已經(jīng)捉襟見(jiàn)肘，遠(yuǎn)不能滿足安全防護(hù)的需求。

2 基于人工智能的API 安全防護(hù)體系的新設(shè)計(jì)

目前，業(yè)界已經(jīng)開(kāi)展了對(duì)于API 安全防護(hù)的研究。張?jiān)降萚4]提出了一種面向云原生的API攻擊誘捕框架，針對(duì)不同的云服務(wù)層次特點(diǎn)構(gòu)造了相應(yīng)的API 誘餌及高交互誘捕環(huán)境，桂海仁等[5]提出一種基于應(yīng)用程序接口（Application Programming Interface， API）執(zhí)行序列的惡意代碼檢測(cè)方法。同時(shí)，各大安全企業(yè)也分別提出了不同的API的防御手段，并且也有一些專(zhuān)用的API安全防護(hù)設(shè)備，例如WAF設(shè)備支持WAAF功能，或者采用API網(wǎng)關(guān)對(duì)API進(jìn)行代理防御。但是值得注意的是，當(dāng)前的API防御技術(shù)基本都屬于單點(diǎn)防御，難以從API的整個(gè)生命周期或者API攻擊的各個(gè)階段實(shí)現(xiàn)對(duì)API安全的體系化防護(hù)，因此電子政務(wù)外網(wǎng)也需要一種系統(tǒng)化的防御體系，從全局的維度實(shí)現(xiàn)政務(wù)外網(wǎng)的API防護(hù)。

基于以上分析，本文基于API攻擊事前、事中、事后的安全管控需求，提出一種新的基于人工智能的API安全防護(hù)體系設(shè)計(jì)，構(gòu)建一種全新的電子政務(wù)外網(wǎng)API安全防護(hù)架構(gòu)，并且和傳統(tǒng)的網(wǎng)絡(luò)攻擊防御體系結(jié)合，在滿足等級(jí)保護(hù)2.0的要求的同時(shí)進(jìn)一步保障應(yīng)用安全。該體系設(shè)計(jì)主要目標(biāo)如下：一是減少當(dāng)前API的暴露面，通過(guò)API的梳理和抓取，讓API的管理可控，杜絕影子API、僵尸API。二是合理地控制API權(quán)限，進(jìn)一步整合對(duì)終端的權(quán)限控制，讓終端的權(quán)限控制從準(zhǔn)入級(jí)別提升到應(yīng)用級(jí)別，甚至API級(jí)別。三是完善API管理體系，能夠全面防范已知和未知的API攻擊。

如圖1所示，該體系可分為三個(gè)層次：接入層、執(zhí)行層和智能管控層。

1） 接入層：接入層對(duì)各類(lèi)終端和操作系統(tǒng)的API 權(quán)限進(jìn)行安全管控。終端零信任技術(shù)是目前比較好的管控方式，API管控需要在零信任的基礎(chǔ)上實(shí)現(xiàn)更細(xì)粒度的精細(xì)化授權(quán)，同時(shí)可以結(jié)合Token的方式，讓?xiě)?yīng)用可以對(duì)用戶進(jìn)行二次鑒權(quán)。

2） 執(zhí)行層：執(zhí)行層在網(wǎng)絡(luò)中部署API安全的執(zhí)行器。執(zhí)行API策略的設(shè)備包括WAF設(shè)備、API網(wǎng)關(guān)以及API探針。在滿足用戶高速轉(zhuǎn)發(fā)的同時(shí)，執(zhí)行層增強(qiáng)了對(duì)API安全的監(jiān)控和防范，同時(shí)通過(guò)API探針進(jìn)一步實(shí)現(xiàn)了對(duì)全網(wǎng)API的統(tǒng)一探測(cè)，滿足API的空間測(cè)繪需求。

3） 智能管控層：智能管控層以API 大數(shù)據(jù)為基座，以人工智能為核心技術(shù)，實(shí)現(xiàn)了對(duì)API全網(wǎng)的智能管控和策略使能。管控層接受接入層和執(zhí)行層上送的API的日志、告警信息，經(jīng)過(guò)AI分析實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中API 安全的統(tǒng)一態(tài)勢(shì)感知、合法性管理和策略控制，同時(shí)提供API信息AI分析、策略編排、預(yù)警功能，特別是通過(guò)統(tǒng)一的API靶場(chǎng)，只有滿足準(zhǔn)入安全驗(yàn)證后，API才允許在網(wǎng)絡(luò)中提供服務(wù)。

3 防護(hù)體系中關(guān)鍵技術(shù)實(shí)現(xiàn)

按照新的設(shè)計(jì)體系，需要進(jìn)一步完善網(wǎng)絡(luò)中的API安全防護(hù)組網(wǎng)的建設(shè)，包括升級(jí)WAF設(shè)備、部署API網(wǎng)關(guān)和API探針，建設(shè)全網(wǎng)的API態(tài)勢(shì)感知和智能分析系統(tǒng)。如圖2所示，傳統(tǒng)的WAF設(shè)備需要升級(jí)，WAF設(shè)備需要支持WAAP（Web 應(yīng)用和 API 防護(hù)）功能，進(jìn)一步增強(qiáng)對(duì)API安全的管控。同時(shí)需要建設(shè)統(tǒng)一的API網(wǎng)關(guān)代理全網(wǎng)的API請(qǐng)求，需要在核心交換機(jī)上旁掛API探針，自動(dòng)地持續(xù)對(duì)API的訪問(wèn)進(jìn)行監(jiān)控，并進(jìn)行分類(lèi)，識(shí)別敏感信息實(shí)現(xiàn)對(duì)全網(wǎng)API的空間探測(cè)，并配合API態(tài)勢(shì)感知系統(tǒng)，對(duì)接全網(wǎng)API安全的執(zhí)行器，對(duì)全網(wǎng)的API態(tài)勢(shì)進(jìn)行畫(huà)像的同時(shí)下發(fā)API管控策略。

其中，除了傳統(tǒng)的WAF、API網(wǎng)關(guān)，新電子政務(wù)外網(wǎng)API安全防護(hù)體系的關(guān)鍵技術(shù)包括細(xì)粒度的零信任技術(shù)、API空間測(cè)繪和API靶場(chǎng)。

1） 更細(xì)粒度的零信任技術(shù)

零信任技術(shù)主要部署在接入終端上，用于替代原有的準(zhǔn)入技術(shù)。零信任的理念是對(duì)終端永遠(yuǎn)不信任，對(duì)終端訪問(wèn)業(yè)務(wù)永遠(yuǎn)需要驗(yàn)證，因此零信任技術(shù)完全可以用于API的安全防護(hù)。過(guò)去為了兼顧效率，電子政務(wù)外網(wǎng)內(nèi)零信任準(zhǔn)入授權(quán)的粒度是業(yè)務(wù)級(jí)別，即IP 和端口。出于API的安全防護(hù)需要，在全網(wǎng)API可感知、可測(cè)繪的基礎(chǔ)上，零信任技術(shù)的授權(quán)完全可以細(xì)化到API級(jí)別。此外，零信任技術(shù)還可以通過(guò)token機(jī)制進(jìn)一步加強(qiáng)API的授權(quán)管控，token和用戶的身份（政務(wù)部門(mén)）以及時(shí)間地理信息相關(guān)，在認(rèn)證時(shí)帶到客戶端，也可以通過(guò)定期刷新機(jī)制從而防止被仿冒。

2） API空間測(cè)繪

API 空間測(cè)繪是指通過(guò)API 探針實(shí)現(xiàn)對(duì)全網(wǎng)的API的流量情況采集，同時(shí)通過(guò)API的訪問(wèn)流量進(jìn)行分析，自動(dòng)發(fā)現(xiàn)流量中的API接口，并比照可信API資產(chǎn)，快速發(fā)現(xiàn)電子政務(wù)外網(wǎng)環(huán)境中的未知API資產(chǎn)，構(gòu)建全網(wǎng)的API資產(chǎn)畫(huà)像?；趯?duì)全網(wǎng)API的持續(xù)測(cè)繪，可以快速實(shí)現(xiàn)對(duì)API訪問(wèn)的大數(shù)據(jù)分析，配合API 態(tài)勢(shì)感知系統(tǒng)，發(fā)掘API風(fēng)險(xiǎn)和未知的隱患，并針對(duì)性地進(jìn)行安全防護(hù)，構(gòu)建完整的API全生命周期安全管理、防護(hù)方案。

新型API防護(hù)體系的基礎(chǔ)是建立API白名單，杜絕未經(jīng)許可的影子API、僵尸API進(jìn)入政務(wù)網(wǎng)絡(luò)。API 白名單的建立，一方面可以通過(guò)主動(dòng)上報(bào)機(jī)制來(lái)梳理，另一方面就需要通過(guò)API空間測(cè)繪技術(shù)，基于API 探針對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，抓取網(wǎng)絡(luò)中的全量API，從而及時(shí)發(fā)現(xiàn)不可信的API外溢到電子政務(wù)外網(wǎng)。

3） API靶場(chǎng)

API 靶場(chǎng)要求凡是在電子政務(wù)外網(wǎng)中使用的API，都必須提交到靶場(chǎng)中進(jìn)行安全測(cè)試后方可入網(wǎng)。因此API 靶場(chǎng)基于通用的Attack 攻擊框架和BAS（Breach and Attack Simulation，即入侵和攻擊模擬）自動(dòng)化智能攻擊技術(shù)對(duì)即將入網(wǎng)的應(yīng)用API進(jìn)行模擬安全測(cè)試和評(píng)估，不符合安全要求的API和應(yīng)用要求重新進(jìn)行加固，符合要求的可信API允許入網(wǎng)，并且加入API白名單內(nèi)，同步到各個(gè)API安全執(zhí)行器。對(duì)于已經(jīng)入網(wǎng)的API，API靶場(chǎng)也可以通過(guò)主動(dòng)測(cè)試發(fā)現(xiàn)不符合安全要求的應(yīng)用API，加入API灰名單，通知應(yīng)用開(kāi)發(fā)方及時(shí)加固和整改。因此，API靶場(chǎng)必須向第三方應(yīng)用開(kāi)發(fā)商提供API提交測(cè)試的接口，并且需要實(shí)時(shí)和全網(wǎng)API 策略進(jìn)行同步API 白名單和黑名單。

4 未來(lái)展望

本文通過(guò)設(shè)計(jì)和建設(shè)統(tǒng)一的電子政務(wù)外網(wǎng)服務(wù)應(yīng)用API安全防護(hù)體系，建設(shè)具有前瞻性的API安全防護(hù)的架構(gòu)，未來(lái)電子政務(wù)外網(wǎng)將能夠更加有效地對(duì)全網(wǎng)API進(jìn)行安全防控，滿足事前、事中、事后的API 安全管控需求，極大程度地降低API安全威脅，保護(hù)政務(wù)服務(wù)應(yīng)用和政務(wù)數(shù)據(jù)安全。但是，我們一方面仍需要在制度和流程上加強(qiáng)對(duì)API的管控，提升服務(wù)開(kāi)發(fā)者的安全意識(shí)，充分實(shí)現(xiàn)非可信API不得入網(wǎng)；另一方面在AI使能安全上，當(dāng)前的API安全管控框架依然使用的是傳統(tǒng)的人工智能技術(shù)對(duì)異常的API訪問(wèn)行為進(jìn)行分析，隨著行業(yè)大模型在政務(wù)領(lǐng)域的全面商用，未來(lái)是否采用大模型技術(shù)進(jìn)一步簡(jiǎn)化API的安全管控，提升API風(fēng)險(xiǎn)的識(shí)別效率，是將來(lái)需要重點(diǎn)研究的方向。

參考文獻(xiàn)：

[1] 網(wǎng)宿安全2022年Web安全觀察報(bào)告：API成頭號(hào)攻擊目標(biāo)，DDoS、Bot攻擊倍增[J].中國(guó)信息安全，2023（7）：108.

[2] 韋峻峰，李耀文.API接口安全運(yùn)營(yíng)研究[J].郵電設(shè)計(jì)技術(shù)，2023（8）：33-37.

[3] 吳朋.面向政務(wù)網(wǎng)服務(wù)的API風(fēng)險(xiǎn)防控技術(shù)研究與應(yīng)用：以廣東省土地整治與生態(tài)修復(fù)監(jiān)測(cè)監(jiān)管系統(tǒng)為例[J].信息技術(shù)與標(biāo)準(zhǔn)化，2023（10）：78-83.

[4] 張?jiān)?，陳慶旺，劉寶旭，等.面向云原生的API攻擊誘捕技術(shù)研究[J].西安電子科技大學(xué)學(xué)報(bào)，2023，50（4）：237-248.

[5] 桂海仁，劉福東，王磊，等.一種基于API執(zhí)行序列的惡意代碼檢測(cè)方法[J].信息工程大學(xué)學(xué)報(bào)，2023，24（3）：316-320.

【通聯(lián)編輯：代影】