电子政务外网中服务应用API 安全防护体系的设计研究

陈良飞

摘要：随着政务信息化、数字化转型深入，越来越多的部门业务已经部署在政务云上，特别是类似“苏服码”这种采用API的方式对外提供服务的应用数量和流量均呈现爆发性的增长。由于传统的电子政务外网安全建设并没有过多地针对API的攻击行为进行设计和防御，API安全防护能力方面相对薄弱，因此API安全风险已经成为当前电子政务外网服务应用安全和数据安全面临的主要风险之一，有针对性地提升各类服务应用的API安全防护能力已经势在必行。该文基于各部门服务应用情况和电子政务外网有关架构，提出设计一种新型的API安全防护体系，基于事前、事中、事后三个阶段，端到端地保护电子政务外网中的API安全，通过体系化、规范化的API安全体系建设，可以更加有效地基于API的全生命周期完善API安全的防护能力。

关键词：API；网络安全；政务外网；零信任

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2024）04-0087-03

0 引言

随着政府业务数字化转型的全面加速，越来越多的政务服务应用已经开始部署在政务云上，运行于电子政务外网中。以江苏为例，超过7 300个政务服务应用已经上云，相关业务数据也开始全面集中。过去，数据安全的保护并没有形成体系化、规范化的要求，通用的《网络安全等级保护基本要求》中对数据安全的防护主要体现在对安全计算环境的保护上，通过部署WAF设备在安全计算环境中实现对Web数据完整性要求的保护，保护Web应用和数据库系统，提供防网页篡改防御SQL注入攻击、XSL跨站脚本攻击等常见攻击的防御。随着电子政务外网内各类应用发布形态的演进，越来越多的应用已经开始使用API来提供服务。例如：2023年“苏服码”亮码服务一个API 用量接近800万次，超过2022年的4倍。API是指应用程序编程接口（Application Programming Interface），是企业平台与用户客户端、应用程序以及第三方平台进行数据交互的重要通道[1]，当前大量数据通过各类API传输[2]。

最近几年，API已经成为灰黑产的头号攻击目标，传统API安全风险包括认证和授权风险，越权访问、横向攻击、敏感数据泄露风险、恶意代码风险、拒绝服务风险、数据窃取等风险，新型的API安全威胁对传统安全防御构成严峻考验，API身份认证、访问控制、数据加密等方面需要不断创新和优化以应对不断变化的安全需求[3]。传统的对Web网站的防护机制已经无法满足最近几年新出现的API安全风险防护要求，因此，本文提出了一种新的电子政务外网服务应用API安全防护体系的设计，能够基于人工智能技术实现API的全面保护，全面提升电子政务外网的API安全防护能力。

1 电子政务外网API 安全现状分析

目前，各省电子政务外网对服务应用的安全防护体系建设，主要以《网络安全等级保护基本要求》为主，在网络架构上通过在应用前端部署WAF设备，防护注入式攻击、跨站攻击等传统的Web威胁。同时根据等级保护2.0的要求，在电子政务外网互联网出口也部署了防火墙、IPS等设备，通过签名实现对Web攻击的防护。在网络准入时，各省电子政务外网初步实现了用户的准入认证，对用户的合法访问权限进行鉴权；在应用层上，各省电子政务外网基本使用了HTTPS实现对Web访问的流量应用层加密。这些防护措施能够实现对Web应用的基本安全防护，但是从各省电子政务外网的实际业务发展来看，存在以下几个问题：

1） 传统基于Web应用的威胁防御手段已经落后

当前，SaaS化的微服务已经成为服务应用业务部署的主流方式，基于容器技术的微服务的兴起，迭代的速率远远高于普通的应用服务，让政务服务应用上线的速率大大提升。此类新应用主要是以API接口的方式实现对外服务，因此在提升效率的同时也带来了API安全隐患，让API被窥探、被利用的风险大大增加。各省电子政务外网内都存在大量的非Web应用的API服务，例如不同服务的二维码的API、数据库的API、微应用API等。而传统的Web设备对API安全的风险防范存在严重不足，对于API的漏洞和攻击发现困难，尤其是近年来的一些基于API的攻击行为，让现有的Web防火墙更是难以防范。

2） API管控存在分散管理的情况

随着“一网统管”和“一网通办”在各个省、市的推进，各省电子政务外网的服务应用总量逐年增加，各类服务应用API按照系统权属分别由不同政务部门自行管理，没有统一管控。不仅如此，随着政务服务应用本身的不断聚合和分离，也随着各政务部门的自有应用频繁接入和更改，没有对API实施统筹管理就意味着将无法掌握网络内API的实际情况，因此很可能存在僵尸API（被遗忘或者不提供服务的API）、影子API（未記录和未跟踪或者私下开发的第三方API）等安全隐患。并且相关应用在上线前一般也没有针对API的风险评估，也就没有针对性地部署API防御策略。各种因素叠加，让这些风险API都存在被黑客利用的可能性，服务应用面临的安全风险大大增加。

3） 无法防御新型威胁

API失控带来的新型威胁在最近几年呈现上升之势。一方面，近几年随着网络爬虫技术的兴起，通过网络技术基于API爬取数据成为主流，尤其是一些敏感数据外溢往往会带来严重的泄露；另一方面，由于ChatGPT等大模型应用的兴起，让针对API的攻击难度大幅降低，API攻击成为网络攻击的热点。同时由于API的特殊性，传统的网络攻击也针对API出现了一定的变种，例如DDOS攻击也从针对Web应用转向了针对API的DDOS攻击。因此，面对越来越高的应用API的风险，当前电子政务网络以Web应用为核心部署的防护手段显然已经捉襟见肘，远不能满足安全防护的需求。

2 基于人工智能的API 安全防护体系的新设计

目前，业界已经开展了对于API 安全防护的研究。张越等[4]提出了一种面向云原生的API攻击诱捕框架，针对不同的云服务层次特点构造了相应的API 诱饵及高交互诱捕环境，桂海仁等[5]提出一种基于应用程序接口（Application Programming Interface， API）执行序列的恶意代码检测方法。同时，各大安全企业也分别提出了不同的API的防御手段，并且也有一些专用的API安全防护设备，例如WAF设备支持WAAF功能，或者采用API网关对API进行代理防御。但是值得注意的是，当前的API防御技术基本都属于单点防御，难以从API的整个生命周期或者API攻击的各个阶段实现对API安全的体系化防护，因此电子政务外网也需要一种系统化的防御体系，从全局的维度实现政务外网的API防护。

基于以上分析，本文基于API攻击事前、事中、事后的安全管控需求，提出一种新的基于人工智能的API安全防护体系设计，构建一种全新的电子政务外网API安全防护架构，并且和传统的网络攻击防御体系结合，在满足等级保护2.0的要求的同时进一步保障应用安全。该体系设计主要目标如下：一是减少当前API的暴露面，通过API的梳理和抓取，让API的管理可控，杜绝影子API、僵尸API。二是合理地控制API权限，进一步整合对终端的权限控制，让终端的权限控制从准入级别提升到应用级别，甚至API级别。三是完善API管理体系，能够全面防范已知和未知的API攻击。

如图1所示，该体系可分为三个层次：接入层、执行层和智能管控层。

1） 接入层：接入层对各类终端和操作系统的API 权限进行安全管控。终端零信任技术是目前比较好的管控方式，API管控需要在零信任的基础上实现更细粒度的精细化授权，同时可以结合Token的方式，让应用可以对用户进行二次鉴权。

2） 执行层：执行层在网络中部署API安全的执行器。执行API策略的设备包括WAF设备、API网关以及API探针。在满足用户高速转发的同时，执行层增强了对API安全的监控和防范，同时通过API探针进一步实现了对全网API的统一探测，满足API的空间测绘需求。

3） 智能管控层：智能管控层以API 大数据为基座，以人工智能为核心技术，实现了对API全网的智能管控和策略使能。管控层接受接入层和执行层上送的API的日志、告警信息，经过AI分析实现对网络中API 安全的统一态势感知、合法性管理和策略控制，同时提供API信息AI分析、策略编排、预警功能，特别是通过统一的API靶场，只有满足准入安全验证后，API才允许在网络中提供服务。

3 防护体系中关键技术实现

按照新的设计体系，需要进一步完善网络中的API安全防护组网的建设，包括升级WAF设备、部署API网关和API探针，建设全网的API态势感知和智能分析系统。如图2所示，传统的WAF设备需要升级，WAF设备需要支持WAAP（Web 应用和 API 防护）功能，进一步增强对API安全的管控。同时需要建设统一的API网关代理全网的API请求，需要在核心交换机上旁挂API探针，自动地持续对API的访问进行监控，并进行分类，识别敏感信息实现对全网API的空间探测，并配合API态势感知系统，对接全网API安全的执行器，对全网的API态势进行画像的同时下发API管控策略。

其中，除了传统的WAF、API网关，新电子政务外网API安全防护体系的关键技术包括细粒度的零信任技术、API空间测绘和API靶场。

1） 更細粒度的零信任技术

零信任技术主要部署在接入终端上，用于替代原有的准入技术。零信任的理念是对终端永远不信任，对终端访问业务永远需要验证，因此零信任技术完全可以用于API的安全防护。过去为了兼顾效率，电子政务外网内零信任准入授权的粒度是业务级别，即IP 和端口。出于API的安全防护需要，在全网API可感知、可测绘的基础上，零信任技术的授权完全可以细化到API级别。此外，零信任技术还可以通过token机制进一步加强API的授权管控，token和用户的身份（政务部门）以及时间地理信息相关，在认证时带到客户端，也可以通过定期刷新机制从而防止被仿冒。

2） API空间测绘

API 空间测绘是指通过API 探针实现对全网的API的流量情况采集，同时通过API的访问流量进行分析，自动发现流量中的API接口，并比照可信API资产，快速发现电子政务外网环境中的未知API资产，构建全网的API资产画像。基于对全网API的持续测绘，可以快速实现对API访问的大数据分析，配合API 态势感知系统，发掘API风险和未知的隐患，并针对性地进行安全防护，构建完整的API全生命周期安全管理、防护方案。

新型API防护体系的基础是建立API白名单，杜绝未经许可的影子API、僵尸API进入政务网络。API 白名单的建立，一方面可以通过主动上报机制来梳理，另一方面就需要通过API空间测绘技术，基于API 探针对网络流量进行分析，抓取网络中的全量API，从而及时发现不可信的API外溢到电子政务外网。

3） API靶场

API 靶场要求凡是在电子政务外网中使用的API，都必须提交到靶场中进行安全测试后方可入网。因此API 靶场基于通用的Attack 攻击框架和BAS（Breach and Attack Simulation，即入侵和攻击模拟）自动化智能攻击技术对即将入网的应用API进行模拟安全测试和评估，不符合安全要求的API和应用要求重新进行加固，符合要求的可信API允许入网，并且加入API白名单内，同步到各个API安全执行器。对于已经入网的API，API靶场也可以通过主动测试发现不符合安全要求的应用API，加入API灰名单，通知应用开发方及时加固和整改。因此，API靶场必须向第三方应用开发商提供API提交测试的接口，并且需要实时和全网API 策略进行同步API 白名单和黑名单。

4 未来展望

本文通过设计和建设统一的电子政务外网服务应用API安全防护体系，建设具有前瞻性的API安全防护的架构，未来电子政务外网将能够更加有效地对全网API进行安全防控，满足事前、事中、事后的API 安全管控需求，极大程度地降低API安全威胁，保护政务服务应用和政务数据安全。但是，我们一方面仍需要在制度和流程上加强对API的管控，提升服务开发者的安全意识，充分实现非可信API不得入网；另一方面在AI使能安全上，当前的API安全管控框架依然使用的是传统的人工智能技术对异常的API访问行为进行分析，随着行业大模型在政务领域的全面商用，未来是否采用大模型技术进一步简化API的安全管控，提升API风险的识别效率，是将来需要重点研究的方向。

参考文献：

[1] 网宿安全2022年Web安全观察报告：API成头号攻击目标，DDoS、Bot攻击倍增[J].中国信息安全，2023（7）：108.

[2] 韦峻峰，李耀文.API接口安全运营研究[J].邮电设计技术，2023（8）：33-37.

[3] 吴朋.面向政务网服务的API风险防控技术研究与应用：以广东省土地整治与生态修复监测监管系统为例[J].信息技术与标准化，2023（10）：78-83.

[4] 张越，陈庆旺，刘宝旭，等.面向云原生的API攻击诱捕技术研究[J].西安电子科技大学学报，2023，50（4）：237-248.

[5] 桂海仁，刘福东，王磊，等.一种基于API执行序列的恶意代码检测方法[J].信息工程大学学报，2023，24（3）：316-320.

【通联编辑：代影】