CN113919664A - Api资产风险控制方法、装置、计算机设备和存储介质 - Google Patents
Api资产风险控制方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN113919664A CN113919664A CN202111114621.9A CN202111114621A CN113919664A CN 113919664 A CN113919664 A CN 113919664A CN 202111114621 A CN202111114621 A CN 202111114621A CN 113919664 A CN113919664 A CN 113919664A
- Authority
- CN
- China
- Prior art keywords
- risk
- api
- api asset
- asset
- categories
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- Entrepreneurship & Innovation (AREA)
- General Health & Medical Sciences (AREA)
- Development Economics (AREA)
- Health & Medical Sciences (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Technology Law (AREA)
- Operations Research (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Game Theory and Decision Science (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Educational Administration (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请涉及API资产风险管控技术领域,具体公开一种API资产风险控制方法、装置、计算机设备和存储介质。方法包括获取所述业务活动对应的API资产安全类别;根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级;根据各所述风险等级,以及预存的风险等级与风险控制组件的映射关系,调用与当前的各所述风险等级对应的风险控制组件;基于所述风险控制组件,对API资产风险进行控制。相对于传统的静态控制,更能够适应当前生态模式下需求的动态变化,实现切实有效地风险管控。
Description
技术领域
本发明涉及API资产风险管控技术领域,特别是涉及一种API资产风险控制方法、装置、计算机设备和存储介质。
背景技术
API(Application Programming Interface,应用程序接口)是一种预先定义的接口(如函数、HTTP接口),或者是软件系统不同组成部分衔接的约定,其用于提供应用程序,以及开发人员基于某软件或硬件得以访问的一组例程,而无需访问源码或理解内部工作机制的细节。
随着开放银行的兴起,API接口广泛应用于开放银行模式下,银行对外提供API接口,用户通过调用API接口实现业务的办理。而目前在使用API接口进行业务办理的过程中,往往会出现各种各样的安全事故,影响到API资产的安全性。
虽然业内已经出现对API资产的安全进行管控的技术,但是仅限于静态控制措施,不能适应当前生态模式下需求的动态变化,无法实现切实有效地风险管控。
发明内容
基于此,有必要针对上述问题,提供一种API资产风险控制方法、装置、计算机设备和存储介质。
一种API资产风险控制方法,对用户利用API接口进行业务活动所产生的风险进行控制;所述API资产风险控制方法包括:
获取所述业务活动对应的API资产安全类别;
根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级;
根据各所述风险等级,以及预存的风险等级与风险控制组件的映射关系,调用与当前的各所述风险等级对应的风险控制组件;
基于所述风险控制组件,对API资产风险进行控制。
在其中一个实施例中,在所述获取所述业务活动对应的API资产安全类别的步骤之前,所述资产风险控制方法还包括:
根据业务活动的范围以及所述业务活动各个类别的安全属性,对所述业务活动的API资产安全类别进行划分,形成业务活动与API资产安全类别的映射关系;
所述获取所述业务活动对应的API资产安全类别的步骤包括:基于所述业务活动与所述API资产安全类别的映射关系,确定与当前业务活动对应的API资产安全类别。
在其中一个实施例中,所述安全属性的类别包括数据敏感度、资金流动范围、数据安全性中的至少一个。
在其中一个实施例中,所述API资产安全类别包括资金无限制流动操作、资金有限制流动操作、资金仅在客户自主账户体系内流动操作、资金无限流动产品或服务申请类操作、资金有限制流动产品或服务申请类操作、资金仅在客户账户体系内流动的产品或服务的申请类操作、不涉及资金流动的产品或服务申请类操作、信用担保类金融操作、其他金融类操作、非金融场景下涉及客户敏感信息的操作、金融场景下涉及客户敏感信息的查询、非金融场景下涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的操作、金融场景下不涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的查询、通用金融信息查询、通用非金融信息查询中的至少两个。
在其中一个实施例中,在所述对所述业务活动的API资产安全类别进行划分的步骤之后,所述API资产风险控制方法还包括:
确定各所述API资产安全类别下存在的API资产风险类别;
确定各所述API资产安全类别下,每个所述API资产风险类别的风险等级;
形成各所述API资产安全类别的风险等级映射关系,所述风险等级映射关系表征各所述API资产安全类别下,API资产风险类别与风险等级的对应关系;
所述根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级的步骤包括:
确定当前API资产安全类别所对应的所述风险等级映射关系;
基于所述风险等级映射关系,确定当前API资产安全类别下存在的API资产风险类别以及各API资产风险类别的风险等级。
在其中一个实施例中,所述API资产风险类别包括隐私与数据泄露风险、技术风险、洗钱风险、欺诈风险、法律合规风险、合作方信用风险中的至少两种。
在其中一个实施例中,所述确定各所述API资产安全类别下,每个所述API资产风险类别的风险等级的步骤之后,所述API资产风险控制方法还包括:
根据各所述API资产风险类别的不同风险等级,确定不同等级的风险控制措施;
确定各等级的风险控制措施对应的风险控制组件;
形成各所述API资产风险类别的风险等级与风险控制组件的映射关系。
在其中一个实施例中,所述基于所述风险控制组件,对API资产风险进行控制的步骤包括:
结合所述业务活动的流程,确定所述风险控制组件的生效时间点和生效位置;
控制所述风险控制组件在所述生效时间点和生效位置,对所述API资产风险进行控制。
一种API资产风险控制装置,对用户利用API接口进行业务活动所产生的风险进行控制;所述API资产风险控制装置包括:
获取模块,用于获取所述业务活动对应的API资产安全类别;
第一确定模块,用于根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级;
调用模块,用于根据各所述风险等级,以及预存的风险等级与风险控制组件的映射关系,调用与当前的各所述风险等级对应的风险控制组件;
风险控制模块,用于基于所述风险控制组件,对API资产风险进行控制。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的API资产风险控制方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的API资产风险控制方法的步骤。
一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的API资产风险控制方法的步骤。
上述API资产风险控制方法,首先获取用户当前进行的业务活动所对应的API资产安全类别,然后确定API资产风险类别以及各API资产风险类别在当前API资产安全类别下的风险等级,再根据各风险等级以及风险等级与风险控制组件的映射关系,调用与当前各风险等级对应的风险控制组件,最后基于风险控制组件对API资产风险进行控制。本申请所提供的API资产风险控制方法以API资产安全类别为基础,通过风险识别、风险分析以及风险控制,制定出API资产风险的动态控制策略,进而可对API资产风险进行动态控制,相对于传统的静态控制,更能够适应当前生态模式下需求的动态变化,实现切实有效地风险管控。
附图说明
图1为本申请一实施例提供的API资产风险控制方法的流程框图;
图2为本申请一实施例提供的动态风险雷达图;
图3为本申请一实施例提供的API资产风险控制装置的结构示意图;
图4为本申请一实施例提供的计算机设备的内部结构示意图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的优选实施方式。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施方式。相反的,提供这些实施方式的目的是为了对本发明的公开内容理解得更加透彻全面。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
在一个实施例中,提供了一种API资产风险控制方法。该方法用于对用户利用API接口进行业务活动所产生的风险进行控制,其可以应用于终端或服务器端,还可以应用于包括终端和服务器的系统,通过终端和服务器的交互实现。
参照图1,本实施例提供的API资产风险控制方法包括以下步骤:
步骤S200、获取业务活动对应的API资产安全类别。
在实际场景中,用户可以进行的业务活动有多种,以网络贷场景为例,在网络贷场景下,用户可以进行LPR利率的查询,可以进行网贷准入校验或网贷授信申请或网贷申请列表查询等业务活动,其中,每一种业务活动所涉及到的安全属性不尽相同,本实施例中,可以预先基于各业务活动的安全属性对API资产进行分类,形成多种API资产安全类别。当需要对当前业务活动所产生的风险进行控制时,首先确定当前业务活动的具体内容,再根据预先确定的业务活动与API资产安全类别的对应关系,确定当前业务活动所对应的API资产安全类别。
步骤S400、根据API资产安全类别,确定API资产风险类别,以及各API资产风险类别在当前API资产安全类别下所对应的风险等级。
API资产风险类别有多种,每一种API资产安全类别下,均存在其对应的API资产风险类别,由于不同的API资产安全类别所涉及到的业务活动不同,因此不同的API资产安全类别下,存在的API资产风险类别也会有所区别。并且,由于同一种API资产风险类别在不同的API资产安全类别中所带来的影响力或破坏性等因素均有所不同,因此,同一种API资产风险类别在不同的API资产安全类别下的风险等级也会有所不同。
本实施例中,在确定当前业务活动所对应的API资产安全类别之后,即可确定API资产风险类别以及各API资产风险类别在当前API资产安全类别下所对应的风险等级,进而在用户利用API接口进行业务活动时,可以实时对该过程中可能存在的风险进行识别和分析,有助于据此进行后续的动态风险控制。
步骤S600、根据各风险等级,以及预存的风险等级与风险控制组件的映射关系,调用与当前的各风险等级对应的风险控制组件。
同一种API资产风险类别下,风险等级越高,其对应的风险控制组件所实施的风险控制的力度越大,具体可体现在风险等级越高,其对应的风险控制组件越多越复杂等。本实施例中,预先形成有API资产风险类别的各个风险等级与风险控制组件的映射关系,当确定了当前的API资产风险级别及风险等级后,则可以获取到相应的风险控制组件。
步骤S800、基于风险控制组件,对API资产风险进行控制。
当获取到风险控制组件后,即可对API资产风险进行控制。根据前序步骤,可以针对不同的业务活动,确定实时的风险状况,再获得相适配的风险控制组件,进而实现对API资产风险的动态控制。
上述API资产风险控制方法,首先获取用户当前进行的业务活动所对应的API资产安全类别,然后确定API资产风险类别以及各API资产风险类别在当前API资产安全类别下的风险等级,再根据各风险等级以及风险等级与风险控制组件的映射关系,调用与当前各风险等级对应的风险控制组件,最后基于风险控制组件对API资产风险进行控制。本申请所提供的API资产风险控制方法以API资产安全类别为基础,通过风险识别、风险分析以及风险控制,制定出API资产风险的动态控制策略,进而可对API资产风险进行动态控制,相对于传统的静态控制,更能够适应当前生态模式下需求的动态变化,实现切实有效地风险管控。
在其中一个实施例中,在步骤S200,即获取业务活动对应的API资产安全类别的步骤之前,本实施例提供的资产风险控制方法还包括:
步骤S110、根据业务活动的范围以及业务活动各个类别的安全属性,对业务活动的API资产安全类别进行划分,形成业务活动与API资产安全类别的映射关系。
本实施例中,可以基于开放银行的业务活动的范围,并结合业务活动对应的各个类别的安全属性,对各业务活动所属的API资产安全类别进行划分,并形成业务活动与API资产安全类别的映射关系,以便后续调用,根据该映射关系以及当前业务活动可确定出当前业务活动对应的API资产安全类别。
在其中一个实施例中,安全属性的类别可以包括数据敏感度、资金流动范围、数据安全性中的至少一个。
其中,数据敏感度指的是根据国家规定的敏感信息、业务数据的敏感信息以及个人金融信息的敏感信息等,确定通过API接口进行业务活动是否涉及敏感数据;资金流动范围指的是通过API接口进行业务活动时涉及的资金流动范围为我行自主账户体系流动,或出账和入账中的二者之一是我行账户,或出账和入账均为其他行账户;数据安全性指的是根据数据类型、数据内容、数据规模、数据来源和业务特点等因素,评估其遭到破坏后可能造成的危害、损失或潜在风险等。
具体地,可以根据各业务活动的数据敏感度进行API资产安全类别的划分,也可以根据各业务活动的资金流动范围进行划分,还可以同时结合数据敏感度、资金流动范围以及数据安全性进行API资产安全类别的划分。优选地,为了进行更细粒度的分析,本实施例中同时结合数据敏感度、资金流动范围以及数据安全性进行API资产安全类别的划分。
在其中一个实施例中,如下表1所示,划分得到的API资产安全类别可以包括资金无限制流动操作、资金有限制流动操作、资金仅在客户自主账户体系内流动操作、资金无限流动产品或服务申请类操作、资金有限制流动产品或服务申请类操作、资金仅在客户账户体系内流动的产品或服务的申请类操作、不涉及资金流动的产品或服务申请类操作、信用担保类金融操作、其他金融类操作、非金融场景下涉及客户敏感信息的操作、金融场景下涉及客户敏感信息的查询、非金融场景下涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的操作、金融场景下不涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的查询、通用金融信息查询、通用非金融信息查询中的至少两个。
表1
例如,根据资金流动范围进行划分,可分为资金无限制流动操作、资金有限制流动操作、资金仅在客户自主账户体系内流动操作、资金无限流动产品或服务申请类操作、资金有限制流动产品或服务申请类操作、资金仅在客户账户体系内流动的产品或服务的申请类操作以及不涉及资金流动的产品或服务申请类操作这7种API资产安全类别。
根据数据敏感度进行划分,可分为非金融场景下涉及客户敏感信息的操作、金融场景下涉及客户敏感信息的查询、非金融场景下涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的操作、金融场景下不涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的查询这6种API资产安全类别。
根据数据安全性进行划分,可分为信用担保类金融操作、其他金融类操作、通用金融信息查询、通用非金融信息查询这4种API资产安全类别。
以网络贷场景下的API接口为例,查询LPR利率属于“通用金融信息查询”这一API资产安全类别,网贷准入校验属于“其他金融类操作”这一API资产安全类别,网贷授信申请属于“信用担保类金融操作”这一API资产安全类别,网贷申请列表查询属于“金融场景下涉及客户敏感信息的查询”这一API资产安全类别。
而传统方案中仅将API资产安全类别划分为金融产品和服务信息查询应用类接口、资金交易与账户信息查询应用类接口这两种安全类别,划分颗粒度较粗,难以适应开放银行模式下的生态资源的划分。相比于传统方案,本申请结合业务活动的范围和各类别的安全属性,对API资产安全类别进行更细粒度的划分,有助于提高后续针对不同API资产安全类别的风险分析的精度和动态风险控制的有效性。
步骤S200,即获取业务活动对应的API资产安全类别的步骤包括:基于业务活动与API资产安全类别的映射关系,确定与当前业务活动对应的API资产安全类别。
当确定了当前的业务活动,则可以根据预存的业务活动与API资产安全类别的映射关系,确定与当前业务活动对应的API资产安全类别。例如,当前业务活动为网贷申请列表查询,则确定其对应的API资产安全类别为“金融场景下涉及客户敏感信息的查询”。
在其中一个实施例中,在步骤S110,即对业务活动的API资产安全类别进行划分的步骤之后,本实施例提供的API资产风险控制方法还包括:
步骤S120、确定各API资产安全类别下存在的API资产风险类别。
在全景银行生态中,主要存在的风险可以有多种,不同的API资产安全类别下存在的API资产风险类别往往存在区别。即,首先需要结合各API资产安全类别的特点确定其存在的API资产风险类别。
其中,API资产风险类别可以包括隐私与数据泄露风险、技术风险、洗钱风险、欺诈风险、法律合规风险、合作方信用风险中的至少两种。
下表2中包含了对各类API资产风险类别的定义:
表2
例如,在API资产安全类别“资金无限制流动操作”下,涵盖了上述6种API资产风险类别;在API资产安全类别“不涉及资金流动的产品或服务申请类操作”下,主要存在隐私与数据泄露、技术风险、法律合规风险以及合作方信用风险,洗钱风险和欺诈风险的风险较小;在API资产安全类别“通用金融信息查询”下,主要存在技术风险,其他风险较小。
步骤S130、确定各API资产安全类别下,每个API资产风险类别的风险等级。
由于各API资产安全类别具有不同的属性,因此,其下存在的每种API资产风险类别的风险等级不尽相同,同一种API资产风险类别在不同的API资产安全类别下的风险等级也不尽相同。
下表3示出了一种实施例中各API资产安全类别下存在的API资产风险类别及其风险等级:
表3
其中,5表示风险等级为5级,4表示风险等级为4级,3表示风险等级为3级,2表示风险等级为2级,1表示风险等级为1级,风险等级5级>风险等级4级>风险等级3级>风险等级2级>风险等级1级。
由上表3可知,在同一API资产安全类别下,各API资产风险类别的风险级别可以根据该API资产风险类别所造成的影响或损失的大小而定,若造成的影响或损失较大,则风险等级较高,若造成的影响或损失较小,则风险等级较低。且同一个API资产风险类别在不同API资产安全类别下的风险等级也是与该API资产风险类别所造成的影响或损失的大小而定。
步骤S140、形成各API资产安全类别的风险等级映射关系,风险等级映射关系表征各API资产安全类别下,API资产风险类别与风险等级的对应关系。
形成风险等级映射关系后,在后续实际应用时可直接调用风险等级映射关系,提高风险识别和分析的效率,进而提高风险管控效率。
本实施例中,可以针对每个API资产安全类别,分别形成对应的动态风险雷达图,以用于直观清晰地表示每个API资产安全类别下,存在的API资产风险类别以及各API资产风险类别的风险等级。图2示出了API资产安全类别“其他金融类操作”对应的动态风险雷达图。
当然,也可以采用其他表征方式,只要能够保证用户在业务活动的过程中风险轮廓的动态变化即可。
步骤S400,即根据API资产安全类别,确定API资产风险类别,以及各API资产风险类别在当前API资产安全类别下所对应的风险等级的步骤包括:
步骤S410、确定当前API资产安全类别所对应的风险等级映射关系。
步骤S420、基于风险等级映射关系,确定当前API资产安全类别下存在的API资产风险类别以及各API资产风险类别的风险等级。
当确定了当前业务活动对应的API资产安全类别后,即可调用预先存储的该API资产安全类别对应的风险等级映射关系,进而确定该API资产安全类别下存在的API资产风险类别及其风险等级,即实现对当前业务活动的风险分析。
在其中一个实施例中,步骤S130,即确定各API资产安全类别下,每个API资产风险类别的风险等级的步骤之后,本实施例提供的API资产风险控制方法还包括:
步骤S150、根据各API资产风险类别的不同风险等级,确定不同等级的风险控制措施。
当API资产风险类别处于不同风险等级时,其所对应的风险控制措施不同,一般地,风险等级越高,风险控制措施越复杂。
本实施例中,风险控制措施可以包括静态控制措施和动态控制措施,静态控制措施用于防范风险的通用要求,适用于所有API资产安全类别,不随场景的转移而发生变化,动态控制措施是随着API资产安全类别的变化而变化,且随着风险等级的提升逐步增量,以应对用户业务活动中快速变化的风险类别及其风险等级。
下表4示出了一个具体示例中,业务活动中隐私与数据泄露风险的不同风险等级所对应的不同的风险控制措施:
表4
由上表4可看出,当隐私与数据泄露风险的风险等级为1-2级时,采用基础的静态控制措施即可;当隐私与数据泄露风险的风险等级为3-4级时,在基础的静态控制措施之外,还包括进阶的动态控制措施;当隐私与数据泄露风险的风险等级为5级时,在基础的静态控制措施和进阶的动态控制措施之外,还包括高阶的动态控制措施,通过层层增量控制,进而可针对不同等级的风险进行应对和控制,确保控制效果和API资产的安全性。
步骤S160、确定各等级的风险控制措施对应的风险控制组件。
在确定了各等级的风险控制措施之后,即可确定各等级的风险控制措施所需使用到的风险控制组件。例如,风险控制措施中包括报文加密、身份双向认证、生物特征等,即需确定报文加密所对应的加密组件,身份双向认证对应的身份认证组件以及生物特征对应的生物特征识别组件等。
步骤S170、形成各API资产风险类别的风险等级与风险控制组件的映射关系。
由于预存了各API资产风险类别的风险等级与风险控制组件之间的映射关系,因此,在步骤S400,即根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级的步骤之后,即可直接调用相对应的风险控制组件,以便实施风险控制。
在其中一个实施例中,步骤S800,即基于风险控制组件,对API资产风险进行控制的步骤包括:
步骤S810、结合业务活动的流程,确定风险控制组件的生效时间点和生效位置。
步骤S820、控制风险控制组件在生效时间点和生效位置,对API资产风险进行控制。
以网络贷场景为例,如上文所说,其包含的业务活动可以有多种,分别为查询LPR利率、网贷准入检验、网贷授信申请、网贷申请列表查询等,其多种业务活动往往是依次执行,每一种业务活动均具有其对应的风险控制组件,因此,需要结合各个业务活动的流程,明确当前业务活动的风险控制组件在何时生效以及生效的位置,进而针对每个业务活动,均可通过同样的方式确定各个业务活动的风险控制组件的生效时间点和生效位置,进而在对应的生效时间点和生效位置,控制风险控制组件对API资产风险实施控制。
其中,生效位置指的是风险控制组件的配置位置,可以根据需求配置至合作方侧或银行侧;生效时间点指的是风险控制组件在用户旅程(即用户的操作流程)中的生效节点。
应该理解的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,提供了一种API资产风险控制装置,该API资产风险控制装置用于对用户利用API接口进行业务活动所产生的风险进行控制。
参照图3,本实施例所提供的API资产风险控制装置包括获取模块200、第一确定模块400、调用模块600以及风险控制模块800。其中:
获取模块200用于获取业务活动对应的API资产安全类别;
第一确定模块400用于根据API资产安全类别,确定API资产风险类别,以及各API资产风险类别在当前API资产安全类别下所对应的风险等级;
调用模块600用于根据各风险等级,以及预存的风险等级与风险控制组件的映射关系,调用与当前的各风险等级对应的风险控制组件;
风险控制模块800用于基于风险控制组件,对API资产风险进行控制。
上述API资产风险控制装置,首先获取用户当前进行的业务活动所对应的API资产安全类别,然后确定API资产风险类别以及各API资产风险类别在当前API资产安全类别下的风险等级,再根据各风险等级以及风险等级与风险控制组件的映射关系,调用与当前各风险等级对应的风险控制组件,最后基于风险控制组件对API资产风险进行控制。本申请所提供的API资产风险控制装置以API资产安全类别为基础,通过风险识别、风险分析以及风险控制,制定出API资产风险的动态控制策略,进而可对API资产风险进行动态控制,相对于传统的静态控制,更能够适应当前生态模式下需求的动态变化,实现切实有效地风险管控。
在其中一个实施例中,本实施例所提供的API资产风险控制装置还包括划分模块,划分模块用于根据业务活动的范围以及业务活动各个类别的安全属性,对业务活动的API资产安全类别进行划分,形成业务活动与API资产安全类别的映射关系。获取模块用于基于业务活动与API资产安全类别的映射关系,确定与当前业务活动对应的API资产安全类别。
在其中一个实施例中,安全属性的类别包括数据敏感度、资金流动范围、数据安全性中的至少一个。
在其中一个实施例中,API资产安全类别包括资金无限制流动操作、资金有限制流动操作、资金仅在客户自主账户体系内流动操作、资金无限流动产品或服务申请类操作、资金有限制流动产品或服务申请类操作、资金仅在客户账户体系内流动的产品或服务的申请类操作、不涉及资金流动的产品或服务申请类操作、信用担保类金融操作、其他金融类操作、非金融场景下涉及客户敏感信息的操作、金融场景下涉及客户敏感信息的查询、非金融场景下涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的操作、金融场景下不涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的查询、通用金融信息查询、通用非金融信息查询中的至少两个。
在其中一个实施例中,本实施例所提供的API资产风险控制装置还包括第二确定模块、第三确定模块以及第一生成模块。其中,
第二确定模块用于确定各API资产安全类别下存在的API资产风险类别;
第三确定模块用于确定各API资产安全类别下,每个API资产风险类别的风险等级;
第一生成模块用于形成各API资产安全类别的风险等级映射关系,风险等级映射关系表征各API资产安全类别下,API资产风险类别与风险等级的对应关系。
第一确定模块用于确定当前API资产安全类别所对应的风险等级映射关系;并基于风险等级映射关系,确定当前API资产安全类别下存在的API资产风险类别以及各API资产风险类别的风险等级。
在其中一个实施例中,API资产风险类别包括隐私与数据泄露风险、技术风险、洗钱风险、欺诈风险、法律合规风险、合作方信用风险中的至少两种。
在其中一个实施例中,本实施例所提供的API资产风险控制装置还包括第四确定模块、第五确定模块以及第二生成模块。其中,
第四确定模块用于根据各API资产风险类别的不同风险等级,确定不同等级的风险控制措施;
第五确定模块用于确定各等级的风险控制措施对应的风险控制组件;
第二生成模块用于形成各API资产风险类别的风险等级与风险控制组件的映射关系。
在其中一个实施例中,风险控制模块包括确定单元和控制单元,确定单元用于结合业务活动的流程,确定风险控制组件的生效时间点和生效位置;控制单元用于控制风险控制组件在生效时间点和生效位置,对API资产风险进行控制。
关于API资产风险控制装置的具体限定可以参见上文中对于API资产风险控制方法的限定,在此不再赘述。上述API资产风险控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储API资产风险控制方法涉及到的各类数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种API资产风险控制方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对控制所述风险控制组件在所述生效时间点和生效位置,对所述API资产风险进行控制专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (12)
1.一种API资产风险控制方法,对用户利用API接口进行业务活动所产生的风险进行控制;其特征在于,所述API资产风险控制方法包括:
获取所述业务活动对应的API资产安全类别;
根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级;
根据各所述风险等级,以及预存的风险等级与风险控制组件的映射关系,调用与当前的各所述风险等级对应的风险控制组件;
基于所述风险控制组件,对API资产风险进行控制。
2.根据权利要求1所述的API资产风险控制方法,其特征在于,在所述获取所述业务活动对应的API资产安全类别的步骤之前,所述资产风险控制方法还包括:
根据业务活动的范围以及所述业务活动各个类别的安全属性,对所述业务活动的API资产安全类别进行划分,形成业务活动与API资产安全类别的映射关系;
所述获取所述业务活动对应的API资产安全类别的步骤包括:基于所述业务活动与所述API资产安全类别的映射关系,确定与当前业务活动对应的API资产安全类别。
3.根据权利要求2所述的API资产风险控制方法,其特征在于,所述安全属性的类别包括数据敏感度、资金流动范围、数据安全性中的至少一个。
4.根据权利要求3所述的API资产风险控制方法,其特征在于,所述API资产安全类别包括资金无限制流动操作、资金有限制流动操作、资金仅在客户自主账户体系内流动操作、资金无限流动产品或服务申请类操作、资金有限制流动产品或服务申请类操作、资金仅在客户账户体系内流动的产品或服务的申请类操作、不涉及资金流动的产品或服务申请类操作、信用担保类金融操作、其他金融类操作、非金融场景下涉及客户敏感信息的操作、金融场景下涉及客户敏感信息的查询、非金融场景下涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的操作、金融场景下不涉及客户敏感信息的查询、非金融场景下不涉及客户敏感信息的查询、通用金融信息查询、通用非金融信息查询中的至少两个。
5.根据权利要求2所述的API资产风险控制方法,其特征在于,在所述对所述业务活动的API资产安全类别进行划分的步骤之后,所述API资产风险控制方法还包括:
确定各所述API资产安全类别下存在的API资产风险类别;
确定各所述API资产安全类别下,每个所述API资产风险类别的风险等级;
形成各所述API资产安全类别的风险等级映射关系,所述风险等级映射关系表征各所述API资产安全类别下,API资产风险类别与风险等级的对应关系;
所述根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级的步骤包括:
确定当前API资产安全类别所对应的所述风险等级映射关系;
基于所述风险等级映射关系,确定当前API资产安全类别下存在的API资产风险类别以及各API资产风险类别的风险等级。
6.根据权利要求5所述的API资产风险控制方法,其特征在于,所述API资产风险类别包括隐私与数据泄露风险、技术风险、洗钱风险、欺诈风险、法律合规风险、合作方信用风险中的至少两种。
7.根据权利要求5所述的API资产风险控制方法,其特征在于,所述确定各所述API资产安全类别下,每个所述API资产风险类别的风险等级的步骤之后,所述API资产风险控制方法还包括:
根据各所述API资产风险类别的不同风险等级,确定不同等级的风险控制措施;
确定各等级的风险控制措施对应的风险控制组件;
形成各所述API资产风险类别的风险等级与风险控制组件的映射关系。
8.根据权利要求1所述的API资产风险控制方法,其特征在于,所述基于所述风险控制组件,对API资产风险进行控制的步骤包括:
结合所述业务活动的流程,确定所述风险控制组件的生效时间点和生效位置;
控制所述风险控制组件在所述生效时间点和生效位置,对所述API资产风险进行控制。
9.一种API资产风险控制装置,对用户利用API接口进行业务活动所产生的风险进行控制;其特征在于,所述API资产风险控制装置包括:
获取模块,用于获取所述业务活动对应的API资产安全类别;
第一确定模块,用于根据所述API资产安全类别,确定API资产风险类别,以及各所述API资产风险类别在当前所述API资产安全类别下所对应的风险等级;
调用模块,用于根据各所述风险等级,以及预存的风险等级与风险控制组件的映射关系,调用与当前的各所述风险等级对应的风险控制组件;
风险控制模块,用于基于所述风险控制组件,对API资产风险进行控制。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的API资产风险控制方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的API资产风险控制方法的步骤。
12.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至8中任一项所述的API资产风险控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111114621.9A CN113919664A (zh) | 2021-09-23 | 2021-09-23 | Api资产风险控制方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111114621.9A CN113919664A (zh) | 2021-09-23 | 2021-09-23 | Api资产风险控制方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113919664A true CN113919664A (zh) | 2022-01-11 |
Family
ID=79235858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111114621.9A Pending CN113919664A (zh) | 2021-09-23 | 2021-09-23 | Api资产风险控制方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113919664A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070656A (zh) * | 2022-01-18 | 2022-02-18 | 江苏苏宁银行股份有限公司 | 一种商业银行开放api接口异常监测方法和装置 |
| CN116975856A (zh) * | 2023-09-22 | 2023-10-31 | 北京天融信网络安全技术有限公司 | Api接口的安全管理方法及系统 |
-
2021
- 2021-09-23 CN CN202111114621.9A patent/CN113919664A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070656A (zh) * | 2022-01-18 | 2022-02-18 | 江苏苏宁银行股份有限公司 | 一种商业银行开放api接口异常监测方法和装置 |
| CN114070656B (zh) * | 2022-01-18 | 2022-03-25 | 江苏苏宁银行股份有限公司 | 一种商业银行开放api接口异常监测方法和装置 |
| CN116975856A (zh) * | 2023-09-22 | 2023-10-31 | 北京天融信网络安全技术有限公司 | Api接口的安全管理方法及系统 |
| CN116975856B (zh) * | 2023-09-22 | 2024-02-02 | 北京天融信网络安全技术有限公司 | Api接口的安全管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11281798B2 (en) | System and method of filtering consumer data | |
| CN108389121B (zh) | 贷款数据处理方法、装置、计算机设备和存储介质 | |
| CN108876133A (zh) | 基于业务信息的风险评估处理方法、装置、服务器和介质 | |
| CN109345374A (zh) | 风险控制方法、装置、计算机设备和存储介质 | |
| US20190109837A1 (en) | Systems and methods of user authentication for data services | |
| CN113919664A (zh) | Api资产风险控制方法、装置、计算机设备和存储介质 | |
| CN108416665B (zh) | 数据交互方法、装置、计算机设备和存储介质 | |
| CN110619065A (zh) | 资源调度业务处理方法、装置、计算机设备和存储介质 | |
| CN112232818A (zh) | 数据对账方法、装置、计算机设备和存储介质 | |
| US20190354993A1 (en) | System and method for generation of case-based data for training machine learning classifiers | |
| CN113689284B (zh) | 一种基于大数据风控与行为分析的信贷管理系统及方法 | |
| US20130218630A1 (en) | Method and system for analyzing and optimizing distribution of work from a plurality of queues | |
| CN110570188A (zh) | 用于处理交易请求的方法和系统 | |
| CN113888299A (zh) | 风控决策方法、装置、计算机设备和存储介质 | |
| US20160117781A1 (en) | Inferred matching of payment card accounts by matching to common mobile device via time and location data analysis | |
| CN113077331A (zh) | 一种基于大数据的个人金融信用评价系统及方法 | |
| CN113918660A (zh) | Api资产管理方法、装置、计算机设备及存储介质 | |
| CN110827142A (zh) | 用户信用评估方法、系统、服务器及存储介质 | |
| US20220292596A1 (en) | Optimizing loan opportunities in a loan origination computing environment | |
| CN113506164B (zh) | 一种风控决策方法、装置、电子设备及机器可读存储介质 | |
| CN107516213B (zh) | 风险识别方法及装置 | |
| US20230125814A1 (en) | Credit score management apparatus, credit score management method, and computer readable recording medium | |
| US20180034744A1 (en) | System for prediction of resource allocation | |
| CN113687800A (zh) | 文件打印处理方法、装置、计算机设备和存储介质 | |
| Ben Rejeb | Volatility Spillover between Islamic and conventional stock markets: evidence from Quantile Regression analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |