API接口安全标准化确保数据资产开放共享安全

企业信息化和数字化过程中发生了什么？

信息化过程中诞生了重要的面向业务过程和业务活动的信息系统，我们把它归类为“功能性信息系统”，例如ERP、CRM等等，也由此诞生了伟大的世界级的企业服务公司。世界很快来到了移动互联网时代，随着智能手机的迅速普及，人突然又一次成为了世界的中心，于是围绕人这个中心的应用系统陡然成为了应用系统的核心，我们把他们归类为“社交化应用系统”，例如微信、钉钉等等，更伟大的世界级企业服务公司就这样突然出现在我们的面前，曾经膨胀上了天的运营商们就这样被沦为了管道公司。

至此，企业信息化跨越了“功能性信息系统”和“社交化应用系统”两个台阶。一直在路上随时代前进的企业，哪怕是跌跌撞撞的走过来的，在疫情突然爆发的这两年里，他们回头看时，突然发现，有意无意中，那些因为各种原因没有走过这些台阶的很多伙伴或竞争对手都消失了。往前看，全球范围内的组织在迈向数字化转型台阶的步伐呈现出明显的加速趋势。

不想成为被同行回头看的淘汰者，就必须完成数字化转型的必选题！那么，什么是数字化转型中的那个台阶呢？

华云数创在多年的SMB企业服务和开发者创新服务领域的数字化转型实践中，认为这个数字化转型的台阶是“场景化应用系统”。

“场景化应用系统”指的是以业务对象为中心面向业务场景（对象）的JIT（Just In Time）协同。通过对一个个企业业务场景（对象）的数字化、业务规则的数字化、政策法规的数字化等，打通过去企业应用系统形成信息烟囱，让应用找人、场景找人，而不是人找应用、人找场景，让企业的生产和经营的所有业务活动在更高更快更好的场景应用层面形成机制。场景化应用系统通过JIT协同，把数字世界重复成本、规模成本和时间成本趋于0的特征充分发挥出来，大大的提高企业业务的运行效率和创新速度。

从“功能性信息系统”到“社交化应用系统”到“场景化应用系统”，时代就这样从40Km/小时的绿皮火车进化到了300Km/小时的高铁时代了，上车的企业在不知不觉中已经发现前方高能，1000Km/小时的真空铁路站又要到了，不进则退，时不我待！

数字化转型让资源之间形成更强的连接和互动关系，释放原有资产的价值，提升企业的服务能力。在数字化转型的过程中，API是非常关键的正在被大量使用的技术，在创新场景中的使用更是越来越多。有数据显示，44%的企业正在构建和维护100个+的API。API流量正在快速增长，数据中心使用的API更是数量惊人。有数据统计，整个Web网站有83%的流量是通过API来访问的。

API给数字化转型带来了巨大的便利。正如一个硬币的两面，它同时也带来了新的安全问题，由此造成的影响也越来越大。开放Web应用程序安全项目(OWASP)在2019年就已经将API列为最受关注的十大安全问题之一。

近年，针对API应用程序接口，我国陆续出台了多部标准，规范了API在不同领域的应用、部署、管理、防护等。同时各行业也陆续出台了相关规范，如2020年，中国人民银行发布了《商业银行应用程序接口安全管理规范》，三大运营商也相继发布了API安全管理规范。

二、金融行业标准层面

图二 金融行业相关标准

三、通信行业标准层面

图三 通信行业相关标准

四、其他行业标准层面

结束语

谷歌在其发布的《2021API经济报告》明确指出：“在2020年，近四分之三的组织继续在数字化转型上投资，其中，三分之二的组织加大投资或作出战略调整，实行数字优先战略。”

云原生时代的已经到来，API成为服务交付的必选，API遭遇的安全困局成了数据安全面临的一个共性关键问题。