電子政務外網中服務應用API 安全防護體系的設計研究

陳良飛

摘要：隨著政務信息化、數字化轉型深入，越來越多的部門業務已經部署在政務云上，特別是類似“蘇服碼”這種采用API的方式對外提供服務的應用數量和流量均呈現爆發性的增長。由于傳統的電子政務外網安全建設并沒有過多地針對API的攻擊行為進行設計和防御，API安全防護能力方面相對薄弱，因此API安全風險已經成為當前電子政務外網服務應用安全和數據安全面臨的主要風險之一，有針對性地提升各類服務應用的API安全防護能力已經勢在必行。該文基于各部門服務應用情況和電子政務外網有關架構，提出設計一種新型的API安全防護體系，基于事前、事中、事后三個階段，端到端地保護電子政務外網中的API安全，通過體系化、規范化的API安全體系建設，可以更加有效地基于API的全生命周期完善API安全的防護能力。

關鍵詞：API；網絡安全；政務外網；零信任

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2024）04-0087-03

0 引言

隨著政府業務數字化轉型的全面加速，越來越多的政務服務應用已經開始部署在政務云上，運行于電子政務外網中。以江蘇為例，超過7 300個政務服務應用已經上云，相關業務數據也開始全面集中。過去，數據安全的保護并沒有形成體系化、規范化的要求，通用的《網絡安全等級保護基本要求》中對數據安全的防護主要體現在對安全計算環境的保護上，通過部署WAF設備在安全計算環境中實現對Web數據完整性要求的保護，保護Web應用和數據庫系統，提供防網頁篡改防御SQL注入攻擊、XSL跨站腳本攻擊等常見攻擊的防御。隨著電子政務外網內各類應用發布形態的演進，越來越多的應用已經開始使用API來提供服務。例如：2023年“蘇服碼”亮碼服務一個API 用量接近800萬次，超過2022年的4倍。API是指應用程序編程接口（Application Programming Interface），是企業平臺與用戶客戶端、應用程序以及第三方平臺進行數據交互的重要通道[1]，當前大量數據通過各類API傳輸[2]。

最近幾年，API已經成為灰黑產的頭號攻擊目標，傳統API安全風險包括認證和授權風險，越權訪問、橫向攻擊、敏感數據泄露風險、惡意代碼風險、拒絕服務風險、數據竊取等風險，新型的API安全威脅對傳統安全防御構成嚴峻考驗，API身份認證、訪問控制、數據加密等方面需要不斷創新和優化以應對不斷變化的安全需求[3]。傳統的對Web網站的防護機制已經無法滿足最近幾年新出現的API安全風險防護要求，因此，本文提出了一種新的電子政務外網服務應用API安全防護體系的設計，能夠基于人工智能技術實現API的全面保護，全面提升電子政務外網的API安全防護能力。

1 電子政務外網API 安全現狀分析

目前，各省電子政務外網對服務應用的安全防護體系建設，主要以《網絡安全等級保護基本要求》為主，在網絡架構上通過在應用前端部署WAF設備，防護注入式攻擊、跨站攻擊等傳統的Web威脅。同時根據等級保護2.0的要求，在電子政務外網互聯網出口也部署了防火墻、IPS等設備，通過簽名實現對Web攻擊的防護。在網絡準入時，各省電子政務外網初步實現了用戶的準入認證，對用戶的合法訪問權限進行鑒權；在應用層上，各省電子政務外網基本使用了HTTPS實現對Web訪問的流量應用層加密。這些防護措施能夠實現對Web應用的基本安全防護，但是從各省電子政務外網的實際業務發展來看，存在以下幾個問題：

1） 傳統基于Web應用的威脅防御手段已經落后

當前，SaaS化的微服務已經成為服務應用業務部署的主流方式，基于容器技術的微服務的興起，迭代的速率遠遠高于普通的應用服務，讓政務服務應用上線的速率大大提升。此類新應用主要是以API接口的方式實現對外服務，因此在提升效率的同時也帶來了API安全隱患，讓API被窺探、被利用的風險大大增加。各省電子政務外網內都存在大量的非Web應用的API服務，例如不同服務的二維碼的API、數據庫的API、微應用API等。而傳統的Web設備對API安全的風險防范存在嚴重不足，對于API的漏洞和攻擊發現困難，尤其是近年來的一些基于API的攻擊行為，讓現有的Web防火墻更是難以防范。

2） API管控存在分散管理的情況

隨著“一網統管”和“一網通辦”在各個省、市的推進，各省電子政務外網的服務應用總量逐年增加，各類服務應用API按照系統權屬分別由不同政務部門自行管理，沒有統一管控。不僅如此，隨著政務服務應用本身的不斷聚合和分離，也隨著各政務部門的自有應用頻繁接入和更改，沒有對API實施統籌管理就意味著將無法掌握網絡內API的實際情況，因此很可能存在僵尸API（被遺忘或者不提供服務的API）、影子API（未記錄和未跟蹤或者私下開發的第三方API）等安全隱患。并且相關應用在上線前一般也沒有針對API的風險評估，也就沒有針對性地部署API防御策略。各種因素疊加，讓這些風險API都存在被黑客利用的可能性，服務應用面臨的安全風險大大增加。

3） 無法防御新型威脅

API失控帶來的新型威脅在最近幾年呈現上升之勢。一方面，近幾年隨著網絡爬蟲技術的興起，通過網絡技術基于API爬取數據成為主流，尤其是一些敏感數據外溢往往會帶來嚴重的泄露；另一方面，由于ChatGPT等大模型應用的興起，讓針對API的攻擊難度大幅降低，API攻擊成為網絡攻擊的熱點。同時由于API的特殊性，傳統的網絡攻擊也針對API出現了一定的變種，例如DDOS攻擊也從針對Web應用轉向了針對API的DDOS攻擊。因此，面對越來越高的應用API的風險，當前電子政務網絡以Web應用為核心部署的防護手段顯然已經捉襟見肘，遠不能滿足安全防護的需求。

2 基于人工智能的API 安全防護體系的新設計

目前，業界已經開展了對于API 安全防護的研究。張越等[4]提出了一種面向云原生的API攻擊誘捕框架，針對不同的云服務層次特點構造了相應的API 誘餌及高交互誘捕環境，桂海仁等[5]提出一種基于應用程序接口（Application Programming Interface， API）執行序列的惡意代碼檢測方法。同時，各大安全企業也分別提出了不同的API的防御手段，并且也有一些專用的API安全防護設備，例如WAF設備支持WAAF功能，或者采用API網關對API進行代理防御。但是值得注意的是，當前的API防御技術基本都屬于單點防御，難以從API的整個生命周期或者API攻擊的各個階段實現對API安全的體系化防護，因此電子政務外網也需要一種系統化的防御體系，從全局的維度實現政務外網的API防護。

基于以上分析，本文基于API攻擊事前、事中、事后的安全管控需求，提出一種新的基于人工智能的API安全防護體系設計，構建一種全新的電子政務外網API安全防護架構，并且和傳統的網絡攻擊防御體系結合，在滿足等級保護2.0的要求的同時進一步保障應用安全。該體系設計主要目標如下：一是減少當前API的暴露面，通過API的梳理和抓取，讓API的管理可控，杜絕影子API、僵尸API。二是合理地控制API權限，進一步整合對終端的權限控制，讓終端的權限控制從準入級別提升到應用級別，甚至API級別。三是完善API管理體系，能夠全面防范已知和未知的API攻擊。

如圖1所示，該體系可分為三個層次：接入層、執行層和智能管控層。

1） 接入層：接入層對各類終端和操作系統的API 權限進行安全管控。終端零信任技術是目前比較好的管控方式，API管控需要在零信任的基礎上實現更細粒度的精細化授權，同時可以結合Token的方式，讓應用可以對用戶進行二次鑒權。

2） 執行層：執行層在網絡中部署API安全的執行器。執行API策略的設備包括WAF設備、API網關以及API探針。在滿足用戶高速轉發的同時，執行層增強了對API安全的監控和防范，同時通過API探針進一步實現了對全網API的統一探測，滿足API的空間測繪需求。

3） 智能管控層：智能管控層以API 大數據為基座，以人工智能為核心技術，實現了對API全網的智能管控和策略使能。管控層接受接入層和執行層上送的API的日志、告警信息，經過AI分析實現對網絡中API 安全的統一態勢感知、合法性管理和策略控制，同時提供API信息AI分析、策略編排、預警功能，特別是通過統一的API靶場，只有滿足準入安全驗證后，API才允許在網絡中提供服務。

3 防護體系中關鍵技術實現

按照新的設計體系，需要進一步完善網絡中的API安全防護組網的建設，包括升級WAF設備、部署API網關和API探針，建設全網的API態勢感知和智能分析系統。如圖2所示，傳統的WAF設備需要升級，WAF設備需要支持WAAP（Web 應用和 API 防護）功能，進一步增強對API安全的管控。同時需要建設統一的API網關代理全網的API請求，需要在核心交換機上旁掛API探針，自動地持續對API的訪問進行監控，并進行分類，識別敏感信息實現對全網API的空間探測，并配合API態勢感知系統，對接全網API安全的執行器，對全網的API態勢進行畫像的同時下發API管控策略。

其中，除了傳統的WAF、API網關，新電子政務外網API安全防護體系的關鍵技術包括細粒度的零信任技術、API空間測繪和API靶場。

1） 更細粒度的零信任技術

零信任技術主要部署在接入終端上，用于替代原有的準入技術。零信任的理念是對終端永遠不信任，對終端訪問業務永遠需要驗證，因此零信任技術完全可以用于API的安全防護。過去為了兼顧效率，電子政務外網內零信任準入授權的粒度是業務級別，即IP 和端口。出于API的安全防護需要，在全網API可感知、可測繪的基礎上，零信任技術的授權完全可以細化到API級別。此外，零信任技術還可以通過token機制進一步加強API的授權管控，token和用戶的身份（政務部門）以及時間地理信息相關，在認證時帶到客戶端，也可以通過定期刷新機制從而防止被仿冒。

2） API空間測繪

API 空間測繪是指通過API 探針實現對全網的API的流量情況采集，同時通過API的訪問流量進行分析，自動發現流量中的API接口，并比照可信API資產，快速發現電子政務外網環境中的未知API資產，構建全網的API資產畫像?；趯θWAPI的持續測繪，可以快速實現對API訪問的大數據分析，配合API 態勢感知系統，發掘API風險和未知的隱患，并針對性地進行安全防護，構建完整的API全生命周期安全管理、防護方案。

新型API防護體系的基礎是建立API白名單，杜絕未經許可的影子API、僵尸API進入政務網絡。API 白名單的建立，一方面可以通過主動上報機制來梳理，另一方面就需要通過API空間測繪技術，基于API 探針對網絡流量進行分析，抓取網絡中的全量API，從而及時發現不可信的API外溢到電子政務外網。

3） API靶場

API 靶場要求凡是在電子政務外網中使用的API，都必須提交到靶場中進行安全測試后方可入網。因此API 靶場基于通用的Attack 攻擊框架和BAS（Breach and Attack Simulation，即入侵和攻擊模擬）自動化智能攻擊技術對即將入網的應用API進行模擬安全測試和評估，不符合安全要求的API和應用要求重新進行加固，符合要求的可信API允許入網，并且加入API白名單內，同步到各個API安全執行器。對于已經入網的API，API靶場也可以通過主動測試發現不符合安全要求的應用API，加入API灰名單，通知應用開發方及時加固和整改。因此，API靶場必須向第三方應用開發商提供API提交測試的接口，并且需要實時和全網API 策略進行同步API 白名單和黑名單。

4 未來展望

本文通過設計和建設統一的電子政務外網服務應用API安全防護體系，建設具有前瞻性的API安全防護的架構，未來電子政務外網將能夠更加有效地對全網API進行安全防控，滿足事前、事中、事后的API 安全管控需求，極大程度地降低API安全威脅，保護政務服務應用和政務數據安全。但是，我們一方面仍需要在制度和流程上加強對API的管控，提升服務開發者的安全意識，充分實現非可信API不得入網；另一方面在AI使能安全上，當前的API安全管控框架依然使用的是傳統的人工智能技術對異常的API訪問行為進行分析，隨著行業大模型在政務領域的全面商用，未來是否采用大模型技術進一步簡化API的安全管控，提升API風險的識別效率，是將來需要重點研究的方向。

參考文獻：

[1] 網宿安全2022年Web安全觀察報告：API成頭號攻擊目標，DDoS、Bot攻擊倍增[J].中國信息安全，2023（7）：108.

[2] 韋峻峰，李耀文.API接口安全運營研究[J].郵電設計技術，2023（8）：33-37.

[3] 吳朋.面向政務網服務的API風險防控技術研究與應用：以廣東省土地整治與生態修復監測監管系統為例[J].信息技術與標準化，2023（10）：78-83.

[4] 張越，陳慶旺，劉寶旭，等.面向云原生的API攻擊誘捕技術研究[J].西安電子科技大學學報，2023，50（4）：237-248.

[5] 桂海仁，劉福東，王磊，等.一種基于API執行序列的惡意代碼檢測方法[J].信息工程大學學報，2023，24（3）：316-320.

【通聯編輯：代影】