在数字技术的驱动下，企业以应用程序接口（API）为资源连接器，实现场景联通、数据贯通、能力互通，构建共生共赢的价值网络。API经济模式也为金融机构获得互联网业务能力、捕捉互联网用户需求、融入互联网生态提供了更为快速和灵活的途径。与此同时，金融业面临的安全挑战也将更加复杂。为此，我们特专访“2021创业之星”星阑科技CEO王郁，听他与我们分享一下他的创业经历以及他的一些安全理念。

本期分享嘉宾：王郁，北京星阑科技有限公司创始人、CEO、“2021创业之星”

嘉宾简介：清华大学网络空间研究院网络空间安全专业硕士；曾在阿里、华为等甲方知名企业参与网络安全体系建设，并在绿盟、长亭等乙方企业具备优秀的实践经验；网络安全战队蓝莲花、Tea Deliverers的核心成员，多次带队参与国内外安全赛事，HITCON、GEEKPWN国际冠军选手，具有丰富的实战和团队协作经验。曾担任多个国际级赛事命题人及赛事裁判，多个Cyber Security研究成果发表于CCS等顶级会议，具有扎实的专业知识；作为CEO了解公司团队每一个核心成员，斩获创青春-中关村U30 2020年度优胜者，成功入选创业邦“2021年30位30岁以下创业新贵”成为中国高精尖领域最年轻的创业者；荣获ISC 2021创新独角兽沙盒大赛冠军，成功入驻未来数字安全名人堂，成为引领网络安全未来发展的“明日之星”；荣获“2021创业之星”。

本文逻辑：

01 创业，有无限可能

02 后疫情时代，网安行业机遇与挑战并存

03 API安全建设的需求与实践

04 构建金融机构的安全之路

（正文3900字，8-10分钟）

01

创业，有无限可能

谈到为什么创业，王郁表示：选择创业这条道路首先与我的个人经历有关，因为个人兴趣，我从十几岁就开始自学计算机技术，高中时打了第一场CTF比赛，当时很幸运取得了全国第五名的成绩，这对当时的我来说像是打开了一个崭新的世界，让自己的兴趣变得更加有意义。后来本硕也都选择了信息安全专业，当时做了很多网络安全相关的研究，同时也国内外打黑客竞赛，在这个过程中会接触到很多有意思的人。比如，比赛中遇到的一些黑客天才，让我深刻地明白了网络安全不止在课堂上，还在实践过程中。有一次去北美做交换生，参观了一些湾区的Cyber Security公司，发现他们都在做一些创新的事情，很有意思又很酷，给了我很大的触动，也让我自己萌生了创业的想法。

其次，就是受身边一些人的影响，因为在学校时，身边有一大批前辈、学长都是非常优秀的创业者，他们在做着非常有想象力的事情，是在用很高端的格局，去拥抱一个不一样的世界，他们这种选择给了王郁非常强烈的震撼，最终也让他做出了创业的选择。

关于创业，王郁的愿望一直都是，动员或者带领一群人去做一些他认为正确的一些事情。鲁迅先生曾说过，中国青年都摆脱冷气，只是向上走。不要听自暴自弃者的话，能做事的做事，能发声的发声。有一份光，发一份热。就令萤火一般，也可以在黑暗里发一点光。不必等候炬火。所以星阑科技的一款API安全产品就取名为“萤火”，他希望公司的产品可以细粒度守护每一个API、每一个微服务、每一次后端通信，点亮复杂业务内部的盲点，从内而外保护应用安全。

关于为什么选择API安全作为公司的主要方向，王郁告诉我们，这是团队经过调研和讨论后的结果。我们一直相信安全是依附于IT基础设施的，IT基础设施的发展必定会为安全带来增量市场。之前在云厂商的时候看到容器落地的趋势，推动了容器安全产品的从0到1，也是基于这个基本逻辑。而容器的下一站就是API，我们看到目前云计算、边缘计算、容器化等技术的落地，企业IT基础设施逐步由垂直中心化转向云边端的大规模分布式，这个过程中各个业务组件中需要数据传递，API在其中扮演了非常重要的角色。我们也从数据中找到了先验指标，API通信和API基础设施的增长非常迅速。尽管安全行业的推动力有很多，如国际形势、事件影响、热点概念、创新技术的应用等，但是基础设施发展的逻辑更加长期主义，因此我们选择了API安全这个新兴赛道。

02

后疫情时代，网安行业机遇与挑战并存

网络安全所展现的不单单是技术问题，更是经济问题。随着网络安全上升到国家战略层面，国家已经先后发布了一系列政策保障中国网络安全产业的发展。中国网络安全产业发展的繁荣稳定关系到我国网络空间安全战略目标的实现和国家的长治久安。而2020年突如其来的新冠疫情彻底打乱了人们的日常生活，全球的网络安全也因此深受影响。在数字时代，疫情、网情、舆情多重因素交织，在物理域、信息域和认知域三重空间中扩散蔓延，增加了疫情传播的烈度、速度和防控难度。新冠疫情在带给全球网络安全与日俱增威胁的同时，也为网络安全技术带来创新发展动力，正所谓是机遇与挑战并存。

随着疫情在全球范围持续蔓延，促使线上办公与互联网服务需求不断激增，而业务与工作重心的转移也为不法分子与攻击事件提供了温床。网络空间威胁和风险不断增大，全球的网络攻击事件数量也不断增加，与疫情相关的网络欺诈、勒索病毒攻击层出不穷，针对医疗、公共卫生服务机构、能源等关键信息基础设施的网络攻击持续高发，以及疫情催化的新兴应用场景数据安全和用户隐私保护挑战加大。

但新冠疫情推动了我国多个行业、产业转型线上化、云端化、机器化、智能化，更多的线上服务、线上协同，甚至无人系统提供服务，都可能变成新的服务模式和手段，IT世界的任何升级转型都会伴随着网络安全威胁和风险，因此各行各业纷纷加大对网络安全的投入，加大网络安全排查、检测和事后应急工作，也给网络安全企业带来了新的机遇。

与此同时，在疫情期间，基于大数据的疫情分析、轨迹追踪、健康码、疫情决策对疫情的防控起到了关键的作用。这其中，数据利用过程中的安全和隐私风险也备受关注，所以疫情环境下的数据和个人信息保护安全备受重视。近年来，国家先后出台了《数据安全法》、《个人信息保护法》等法律法规，促使数据安全将成为社会关注的焦点之一，从而为提供数据安全、用户隐私保护产品或服务的企业创造发展机遇。

03

API安全建设的需求与实践

随着数字经济不断深化发展，API越来越受到世界各地组织机构的青睐，其数量呈现出爆炸性的增长，与此同时安全问题也随之而来。Imperva发布的一项新研究揭示，易受攻击或不安全 API 的全球成本不断上升。对近 117,000 起独特的网络安全事件的分析估计，API 安全隐患每年会导致 41-750 亿美元的损失。

如今在数据安全加紧落地的大背景下，从数据的生命周期来讲，API关注的是数据传输和数据使用两个角度的问题。以前的数据泄露事件大多是数据库入侵，而近年来的大规模数据泄露事件有很大一部分都是从API直接泄露。当前，大量企业存在API业务，但是缺少系统性的API安全建设。基础的API安全管理从技术角度首先应该自动化实现API的资产梳理，摸清家底；然后是对攻击事件、使用行为的监测能力；同时还需关注API中敏感数据的使用情况和流动方向。传统基于数据统计的API管理技术方案有其局限性，沉淀数据和分析经验的同时，不断探索与应用新生代前沿技术是安全产品必经的技术路径。

为此，星阑科技一直致力于帮助企业建立API全生命周期安全防护，在各个位点植入安全能力，从而全面提升整体API安全水位，即围绕API的“设计、开发、测试、运行、下线”等不同阶段建立API全生命周期安全技术能力，以技术工具辅助企业建立API安全生产管理制度与流程加以管控。

为辅助企业落实API数据安全监管、API攻击防护效果，星阑科技研发的“萤火”API安全平台，可以为企业提供API资产梳理、API威胁检测、API数据管理能力，缓解企业的API风险。该产品还可以充分适配传统IT架构及云原生容器化、微服务架构，可以和API网关、API开放平台等新兴的API生态解决方案融合，全面覆盖企业API安全风险。

04

构建金融机构的安全之路

关于金融机构的安全之路，王郁表示，随着科技在金融行业的快速应用，大量业务由线下转到线上，金融交易链条不断延伸，交易主体间的连接日益复杂，金融机构与外部合作机构之间的信息交互也日益频繁，金融行业面临的网络安全风险更加多元。

除此以外，监管部门对于金融网络安全问题高度重视，要求金融机构加强风险防范，提高数据治理能力，并提交风险自查和评估报告，以确保数据、网络和信息系统安全。先后推出了《个人金融信息保护技术规范》《移动金融客户端应用软件安全管理规范》《商业银行应用程序接口安全管理规范》等法规及标准。针对金融行业网络安全保护已不仅仅是个人权益的保障和企业义务的履行，也是维护国家安全、社会秩序、市场稳定的重要条件。

近年来，在数字技术的驱动下，金融机构以API（应用程序接口）为资源连接器，实现场景联通、数据贯通、能力互通，构建共生共赢的价值网络。API经济模式也为金融机构获得互联网业务能力、捕捉互联网用户需求、融入互联网生态提供了更为快速和灵活的途径。API技术使得数据、服务的调用更加方便，前端界面与后端服务器的数据交互更加便捷的同时，金融业面临的安全挑战也将更加复杂。根据2021年2月底Akamai的数据，在针对金融服务业发起的撞库攻击中，高达75%的攻击直接以API为目标，促使金融行业对API安全愈发重视。

当前，网络安全已贯穿到金融机构规划、设计、开发、测试、运维等业务运营的全生命周期。因此，对于金融行业企业来讲，无论是网络安全还是API安全都应基于整个生命周期进行安全防护，从创建、链接到停用和退役都需要对敏感数据进行交互监测和风险识别，只有如此，才能打好金融行业网络安全“持久战”。