1、 1 20222022 年中国网络安全行业年中国网络安全行业 APIAPI 安全产品及服务����购买指南安全产品及服务购买指南 20222022 年年 9 9 月发布版月发布版 1 目录 前言.1 Akamai 阿卡迈.8 北京安华金和科技有限公司.12 北京从云科技有限公司.25 北京长亭科技有限公司.30 深圳红途科技有限公司.35 北京九州云腾科技有限公司.39 上海派拉软件股份有限公司.43 全知科技(杭州)有限责任公司.60 瑞数信息技术(上海)有限公司.68 北京三江信达信息科技有限责任公司.72 杭州世平信息科技有��������限公司.78 思睿嘉得信息技术有限公司.81 薮猫科技有限公司.83 北
2、京芯盾时代科技有限公司.86 北京星阑科技有限公司.89 杭州亿格云科技有限公司.96 深圳永安在线科技有限公司.99 1 前言 API 安全是当下企业和互联网面临的最严峻的网络安全挑战之一,根据 Gartner 的研究,2022 年,超过九成 Web 应用�������程序遭到的攻击来自 API,而不是人类用户界面。API 安全问题正给企业带来巨大损失,除了数据泄露、品牌与合规风险外������,API 安全问题可导致新产品或服务的发布延期甚至取消,企业创新被遏制,数字化转型受挫;大规模数据泄露或业务中断甚至会对关键基础设施和数字经济造成严重威胁和损失。API 安全的难点或者说悖论在于,尽管大多数安全专业人士建议隐藏
3、资源减少暴露面和攻击面,但业务上成功部署的 API 却倾向使资源更加开放和可用。API 的安全困局实际上也是现代 IT 面临的一个共性问题。对于安全团队而言,这意味着选择合适 API 安全产品方案并制定平衡的、良好的 API 风险缓解策略尤为重要。API 安全已经失控 根据 Akamai 的一项统计,API 请求已占所有应用请求的 83%,预计 2024 年������ API 请求命中数将达到 42 万亿次,但 API 安全威胁却比 API 调用增长更迅猛。安全问题在 API 项目关注的名单中名列前茅,很少有受访者认为他们有信心识别和阻止 API 攻击。API 安全已经濒临失控,主要表现为以下几个方面:
4、API 攻击暴增。过去的 12 个月中,API 攻击增加了 681%,而整体 API 流量也增加了 321%。根据 Gartner 的数据,到 2024 年 API 攻击还将加速并翻一番。Salt Security 的调查显示,超过三分之二的企业缺少基本的 API 安全策略。2 企业的 API 安全管理未能覆盖 SDLC 生命周期,往往只是作为马后炮和附属品。安全团队普遍缺乏�������专业的 A�����PI 管理工具和安全防护。随着新技术(例如 REST/GraphQL)的普及和新业务的发展,API 数量不断增长,API 管理正变得更加困难。独特的安全挑战 API 安全同时也是非常独特的挑战。首先,API 是与
5、企业业务关联最紧密,暴露和攻击风险最高,防护难度最大的技术组件之一。其次,API 带来了很多传统安全技术无法解决的挑战,例如 API 没有客户端组件,因此传统的防御技术������(如 Captchas 或 JavaScript)和移动 SDK 工具无法有效地防止自动攻击。最后,随着企业数字化转型进入深水区,API 数量不断增长,与此同时 API 每天都不断地被启动、更新或替换,这些都给 API 安全运营管理带来极大挑战。无数 API 安全事件表明,企业仅仅依赖互联网边界安全工具(例如 WAF)和云负载保护平台已经无法有效应对 API威胁的快速增长。正因为其紧迫性、独特性和重要性,API 安全正在被作为一
6、个独立的安��������全项目和技术领域被企业和网络安全业界广泛重视,Gartner(WAAP)和 OWASP 都为 API 安全创建了单独的分类和威胁列表。虽然目前市场上已经有大量网络安全厂商能够提供 API 安全相关产品方案,但对于企业用 3 户来说,了解并选择适合自身需求的 AP�������I 安全产品方案本身依然颇具挑战性。API 安全解决方案的选型 随着对 API 安全问题逐步重视、国家已经陆续出台多部数据接口有关的标准规范,对数据接口在不同领域的应用、部署、管理、防护进行了规范,API 安全技术也得到大力发展,当前常见的技术从功能上看包含了 API 发现、API 身份与访问控制、API 消息安全、API 传
7、输安全、威胁缓解、API 威胁检测、API 安全审计、API 监测与跟踪、API 管理等几个方面。从企业和供应商角度来看,API 安全解决方案应遵循持续“发现、库存、合规、检测、防护�����/响应、测试”的安全生命周期模型进行开发和部署:发现������:持续自动化的 API 发现,识别影子 API、无记录 API 和过期 API;识别 API配置错误及敏感数据泄露;API 漏洞发现,开源组件漏洞发现等。管理:统一管理 API 库存资产。4 合规:确保遵循相关政策法规与风险治理策略和最佳安全实践 检测:攻击者识别与关联;不依赖威胁情报等静态元数据;行为检测与异常检测;数据泄露检测。防护:身份与访问控制;攻击防护(
8、例如 OWASP API TOP10);应用层 DDoS(限速限流);凭证填充与暴力攻击;恶意请求,例如 API 流量分析与业务逻辑攻击。响应:与 SIEM 和 SOAR 集成;攻击与泄密的溯源和追责。测试:新 API 上线前检测、审计,从源头减少配置错误和安全漏洞。在市场细分方面,API 安全产品和解决方案主要分为 CDN(不提供端到端安全性)和纯 API安全两大类,本指南收录的 API 安全方案大多属于纯 API 安全管控平台。目前市场上的纯 API 安全产品和方案的常见功能和卖点如下:可视化的统一管理与监控 业务零摩擦 发现内部、外�������部、僵尸、未知和影子 API 监控攻击者侦察活动 阻止单
9、个 API 攻击 阻止有针对性的 API 攻击 防范业务逻辑攻击 修补开发过程中的 API 漏洞 左移保护:在开发期间扫描和测试 API 安全性(应用程序开发)运行时保护 5 防止数据泄露 识别错误配置的 API 识别 API 中的漏洞并进行修复 基于机器学习的威胁防护 大数据和机器学习驱动的数据分析与优化 API������ 安全产品方案的重点选型基准如下:1.基于云原生架构(例如存储和分析),并面向微服务、容器技术等现代异构环境的 API安全需求。2.API 资产发现与管理。支持多种终端、架构、环境和协议的全域多维 API 资产发现能力,杜绝带病 API(例如缺乏安全配置或配置错误的 API)、影子
10、API、过期 API和意外暴露 API(例��������如预生产 API)。3.与访问控制和运营系统的集成性。API 安全最大的威胁之一就是用户身份滥用导致的攻击。因此 API 解决方案与 IAM 集成、零信任集成的能力非常重要,IAM 和微分段可以极大提高资产库存准确性,避免系统性的网络瘫痪。API 安全架构还应支持与其他网络组件,例如 API 管理平台、负载均������衡、API 网关、WAF 等集成,以及与 SIEM 和 SOAR 等安全运营平台流程与组件的集成,提供端到端的安全防护,提高生产力降低运营成本。4.左移覆盖。API 安全在开发生命周期“左移”,覆盖从 API 设计到发布和运维的 SDLC全生命周期
11、。5.基于行为检测的 API 监控��������。日志记录和监控可以发现 API 错误和恶意 API 活动。应使用与标准安全工具兼容的日志格式,并且 API 日志数据应作为敏感数据传输和存 6 储。6.基于人工智能和机器学习的数据分析,持续提升检测和响应能力。为了帮助甲方做好 API 安全产品和服务的购买选型,推动甲方与安全厂商的互动交流,GoUpSec 特发起了API 安全产品及服务购买决策参考报告调研,我们深入了解调研了各厂商 API 安全产品及服务、产品功能、应用行业、成功案例、安全策略等维度,整理形成了API 安全产品及服务购买决策参考。本次报告共收录 17 家网络安全厂商,所涉及 A�������PI 安全产品
12、及服务成功实施案例 45 例,分别来自政府、通信、公安、金融、银行、证券、汽车、医疗、保险、物流、安全、电商、商 7 旅、航空等重点行业。以下位 17 家网络安全厂商 API 安全产品及服务详情,排名按照字母顺序。8 Akamai 阿卡迈 1.产品名称:AAP(Application ����and API Protector)2.产品特点及优势:产品特点:基于 Akamai 边缘云安全解决方案 产品优势:优势 A:防护多种 API 攻击类型 优势 B:API 主动防御模型 优势 C:API 发现 优势 D:AP�������I 防护+API 管理 优势 E:自适应防护引擎,自动化升级,全球互联网威胁情报 3.成功
13、案例:Akamai App&API Protector 致力于全面保护 Web 和 API 资产,为此提供了一整套强大的保护措施,这些保护措施专为实现“以客户为中心”的自动化和简单性而构建。App&API Protector 在新的自适应安全引擎的支持下������,依靠 Akamai 全球部署的边缘节点,从云端提供 Web App 和 AP�����I 的安全防护服务,包括 Web 应用程序防火墙、爬虫程序抵御、API 安全和 DDoS 防护等领域的核心技术。9 Akamai App&API Protector 通过Web流量自动发现各种已知、未知和不断变化的API,包括其端点、定义和流量概况。对于 API 的监
14、测能力有助于防范隐秘的攻击、发现错误并揭示意外的更改。此外,您只需点击几下鼠标,就能轻松登记新发现 API。而最大的优点莫过于:无论您是否选择登记 API 请求,该产品会自动检查所有 API 请求,确定其中是否存在恶意代码,从而默认提供高度可靠的 API 安全性。而如果您登记了 API,还可以通过高级安全管理选项得益于其他形式的保护,例如在边缘强制执行 API 规范。Akamai App&API Protector 产品对于不同行业、不同 API 应用场景都有成功的案例。案例 1:电商行业,有很多针对 API 接����口的注入式攻击,在传统的������防火墙中并不能有效检测API 的 payload,而 Ak
15、amai 的 AAP 产品可以深度核查 URL,甚至解析 Base64 编码,从而有效发现隐藏在 API 中的各种攻击。AAP 的机器学习��������的引擎可以自动化识别各种攻击类型,自动升级防护引擎并且有效利用全球的威胁情报系统进行多维度判断。案例 2:数字货币和支付行业,由于此类客户的 API 接口非常多,实时性要求非常高,API的业务也都是他们关键业务,对于 DDoS 的攻击非常敏感。AAP 产品有针对 API 的 DDoS攻击的有效解决方案,通过精准识别和流量限速功能,从而抵御攻击。案例 3:商旅客户,某商旅客户的 API login 服务经常受到撞库类型的攻击,使得 login 服务的响应速度慢
16、,还会带来客户隐私数据泄露的风险。API positive security 的功能,可以精确匹配 API 访问字段的格式,从而过滤掉非法的攻击请求,使得客户恢复正常业务。Akamai 拥有全面的 API 解决方案,对于 API 进行全面的防护、管理和优化。AAP(App&API Protector)可以对上述多种 API 威胁进行防护;API GW(API Gateway)可以加强API 的认证和授权管理,同时������可以对 API 的访问进行速率控制,减少流量攻击的威胁;APIX 10(API Acceleration)是基于 Akamai 全球 CDN 平台的加速产品,专门适用对 API 请求的
17、加速。Akamai API 安全整体方案架构请见下图。4.适用行业:电商�������,游戏,高科技,媒体、互联网金融 5.写给甲方的寄语(甲方选购理由):医疗客户:“Akamai 是边缘安全领域的金牌标准。十多年来,他们一直为我们提供保护,产品创新和改进从未间断过。部署的 WAF 产品像瑞士军刀一样,可实现第 7 层保护。保证我们API 应用的安全性,包括 API,REST API,Json,XML 等协议,也帮助我们阻断爬虫攻击和大流量的攻击。”Gartner Peer Insights Voice of the Customer-Web Application Firewalls 11 非常感谢那些信
18、任我们并将应用程序和业务交由我们来保护的客户。Akamai 致力于不断创新和改进 WAAP 产品,以抢先一步防范威胁,同时提供部署和使用方面的无缝体验。我们认为,客户对我们成功的认可不仅进一步激励了我们,而且佐证了我们战略的正确性。Akamai 区域副总裁暨大中华区总经理李昇 6.联系人信息�������:姓名:刘炅 职位:产品市场经理 电话: 12 北京安华金和科技有限公司 1.产品名称:安华金和应用系统安全审计系统(DBSec Application Security Audit System,简称 AAS)2.产品特点及优势:产品特点:全面梳理;全面监测;全面留痕�������;全面可视 产品
19、优势:优势 A:了解自身应用资产情况,防护重要敏感资产 优势 B:掌握敏感数据访问全貌 优势 C:应用接口脆弱性体检,发现易出问题暴露面 优势 D:感知风险、规避风险、减少损失 优势 E:重点监测跨境数据,保卫国家数据安全;数据泄露事件全面线索分析;实现隐私数据管理政策合规;积累多年的行业敏感信息特征库;大屏数据可视化展厅效果 3.成功案例:案例:中美联泰 背景 �������13 随着云计算、大数据、人工智能�������等技术的蓬勃发展,移动互联网、物联网产业加速创新,Web应用、移动应用已融入生产生活的各个领域。这一过程中,尤其是应用程序接口作为数据传输流转的重要通道发挥着举足轻重的作用,其不仅帮助企业建立与客户沟
20、通的桥梁,还承担着不同复杂系统环境、组织机构之间的数据交互、传输的重任。然而,在 Web 应用及 API技术带来上述积极作用的同时,相关的数据安全问题也日益凸显。近年来,国内外曝出多起与 Web 应用及 API 相关的数据安全事件,严重损害了相关企业、用户的合法权益。我国多个行业已出台相关规范性文件,覆盖通信、金融、交通等诸多领域,对 Web 应用及 API 安全提出了一定要求,对其技术部署、安全管理等进行规�����范。同时,以敏感数据暴露、敏感数据非法出境、脱敏异常为代表的数据泄露事件频频发生,第三方异常调用、账号共用/多账号、特权账号滥用、频次攻击、授权访问异常等行为异常造成的损失也越来越大,这些
21、问题对公民以及社会造成了不可忽视的负面影响与危害。应用场景 1)重点不明 面对大量的 Web 应用及接口,无从下手,无法了解哪些 Web 应用及接口存在潜在安全风险,哪些 Web 应用哪些接口流出了多少敏感数据。2)资产不明 用户环境复杂、不同时期不同业务的 Web 应用及接口众多;同时存在很多提供给第三方开发商以及很多临时需求产生的 API,使用后无人管理,用户没有途径了解自己有多少应用及接口。无论是数据安全管理者或是使����用者都无法对应用及接口资产做到全量的盘点梳理。3)流向不明 14 大量应用和大量接口每天发生的�����海量的数据行为。用户目前缺乏统一的方式方法了解应用数据行为全貌,尤其是无法掌握涉
22、及敏感信息的应用数据行为情况,无法了解产生敏感数据行为的人群主体。4)风险不明 当用户知道敏感信息泄露事件发生时,时间往往比较滞后并已产生损失。用户需要在大量合法涉敏行为中发现敏感信息泄露风险,并及时预警,避免风险事件发生同时减�����少用户损失。5)泄露不明 当威胁来自于信任时,内部威胁导致的数据泄露在当今已非常普遍,且难以杜绝。同时因为拥有敏感数据权限的员工众多,造成企业无法定位追责。解决方案 1)全面梳理 全面梳理发现敏感数据。定位敏感数据所在的应用资产。2)全面监测 敏感数据行为监测、敏感数据泄露风险监测,接口脆弱性监测。敏感数据流向监�������测、敏感数据跨境监测。应用监测、接口监测、账户监测、访问
23、IP 监测。3)全面留痕 15 针对敏感数据行为全程留痕、多维度可查、可分析、可追溯。应用行为画像、接口行为画像、账户行为画像、访问 IP 行为画像。详细记录所有敏感行为访问数据,按国家相关要求保存,满足国家法规和监管机构对日志审计的要求。4)全面可视 集合多种分析数据源的整合,加上炫酷直观的可视化展厅效果设计,为企业带来全方位的数据可视化管理��������。基于丰富的敏感行为统计分析功能,让用户能够了解掌握自身敏感行为的特征分布以及敏感人群,在敏感行为全过程的各个节点加以监测和防护,提升用户敏感数据安全性。功能展示 1)流量解析 支持 HTTP 协议解析,完整还原 HTTP 事件的请求和返回内容。16 支
24、持解析的内容格式包含:JSON,XML,HTML,JSONP,SOAP 等。支持对文件内容的识别,文件格式包括 xls,xlsx,doc,docx,txt,pdf,csv,zip,rar等。支持以响应状态码或响应内容关键字过滤流量事件数据,对无效扫描流量进行过滤。2)实时监测敏感数据行为 通过对用户环境网络流量的实时分析,实时监测发生的包含敏感数据的行为,并实时分析,对于命中敏感数据泄露风险规则的行为,实时报警;同步记录下所有发生敏感数据的行为,通过可视化敏感数据行为地图和行为画像的方式展示给用户,也为后续弱点分析,事件溯源等功能提供基础明细数据。3)敏感数据自动发��������现 能够按�����照用户指定的一部分
25、敏感数据规则或预定义的敏感数据特����征,对网络流量中的数据进行自动的识别,发现敏感数据,并自动地根据规则对发现的敏感数据推荐最匹配的敏感算法,准确识别出敏感数据内容 17 识别常规敏感数据:客户信息、交易信息等,例如身份证、地址、电话号码、邮件地址、银行账号、信用卡号等。识别特殊敏感数据:具有企业、行业的业务特点的敏感数据,例如配方、供应商等。4)敏感数据分类分级 数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法,依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类,可以全面清晰地厘清
26、数据资产,对数据资产实现规范化管理,并有利于数据的维护和扩充。数据分类为数据分级管理奠定基础。数据分级是以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别。数据分级有助于行业机构根据数据不同级别,确定������数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性。系统帮助用户实现敏感数据分类分级管理,确定数据重要性和敏感度。通过分类分级可以有针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。5)涉敏应用自动发
27、现 能够自动发现用户环境中涉及到敏感数据流动的应用,具体识别出应用所属域名、部署 IP敏感数据标签等信息,并统计出每个应用敏感数据种类的分布情况以及所有应用中敏感数据量最多的应用。18 让用户能够了解自身哪些应用会产生敏感数据泄露风险;了解每个应用产生哪类敏感数据比较多;了解哪些应用的敏感数据流量比较大,从而帮��������助用户既掌握了自身应用的整体涉敏情况,又帮用户找出了需重点关注的涉敏应用。6)涉敏接口自动发现 大部分用户对于自身存在多少接口,哪些接口会产生哪些数据都无法做到全面了解,我们通过对网络流量的分析,以及敏感数据的识别,能够帮用户自动发现用户环境中存在的大量接口里涉及敏感数据的接口,具体能够
28、识别接口的 IP 地址、接口属于哪个应用、接口的功能类型、����������接口的资源类型、接口产生的敏感数据类型等。帮助用户了解自身环境里所有敏感接口的分布情况,详细的了解每个涉敏接口的具体指标,帮助用户在解决敏感数据泄露问题时提供针对性接口情况。7)泄露风险自动发现 自动发现风险 根据内置安华金和敏感数据泄露风险规则,以及不断学习的日常行为模型波动情况,进行有效的风险分析和深入的挖掘,实时发现敏感数据的泄露风险。并根据行业特征及业务自定规则判定风险等级。包括能够识别发生风险类型,风险涉及的接口地址,分线涉及的应用名称,风险涉及的账户,风险涉及的客户端 IP 等信息。风险实时预警 根据风险风险的级别,通过各种
29、报警渠道主动预警用户。目前预警方式支持微信、短信、邮件、钉钉等主流方式。提醒用户有敏感数据泄露的风险。19 风险统计分析及可视化展示 针对已发现的风险情况,提供������多条件的检索能力及各维度统计分析。包含风险等级占比、风险类型分布、风险规则统计等。8)接口弱点自动发现 自动发现弱点 通过安华金和多年积累的安全特征引擎,对于用户复杂环境下的各种应用,以及每个应用下的大量不同类型的接口进行全面安全脆弱性检测,发现敏感数据泄露安全脆弱性较低的接口。弱点修复建议 针对已发现的弱点情况,基于安华金和多年积累的数据安全经验,提供有针对性的弱点修复建议,帮助用户提升应用接口安全程度。弱点统计分析及可视化展示 针对
30、已发现的弱点情况,提供多条件的检索能力及各维度统计分析。包含弱点等级占比、弱点类型分布、弱点规则统计等。9)梳理应用及接口资产 资产定位及自动发现 自动发现用户环境分布的应用及接口资产。并根据敏感数据流出的应�����用和接口,以及用户自身业务������特性,对资产进行打标和分类。资产生命周期关注 20 对于应用和接口资产的状态持续关注。对于状态发生变化的资产,例如发生变更或长时间失活的资产,及时更新资产状态。10)风险事件追踪溯源 针对已发生的某个风险事件,分析风险事件的疑似接口、疑似账户、疑似 IP,为事件追责缩小范围,并提供原始证据链条。针对需要重点监控人员或重要数据,提供其行为轨迹画像作为定责的重要依据。
31、可以根据多个疑似线索或风险事件,关联分析出共性特征,提供丰富证据素材。部署方������式 1)物理部署 21 2)虚拟化部署 产品价值 1)了解自身应用资产情况,防护重要敏感资产 用户环境复杂、每个应用的不同历史时期的接口众多。无论是数据安全管理者或是使用者都无法对应用及接口资产做到全量的梳理。本系统基于网络流量分析技术以及协议解析技术,可以帮助用户自动发现及梳理应用及接口资产清单、管理应用及接口资产基础信息、提供应用及接口资产的敏感标签管理以及提供敏感数据资产的使用和分布情况,使用户能够了解自身哪些接口存在潜在安全风险,哪些接口会流出敏感数据,由此�����进行针对性的重点关注和防护。2)掌握敏感数据访问全貌
32、22 面对用�������户环境下的大量应用和大量接�������口每天发生的海量的数据行为。本系统基于安华金和多年积累的行业敏感数据特征和高准确率的敏感信息识别技术,从海量的应用数据行为中精准定位敏感信息,并记录下整个敏感行为全过程,同时提供全维度的条件检索,让用户可以精准的找到每一条敏感行为记录。3)应用接口脆弱性体检,发现易出问题暴露面 通过安华金和多年积累的安全特征引擎,对于用户复杂环境下的各种应用,以及每个应用下的大量不同类型的接口进行全面安全脆弱性检测,发现敏感数据泄露安全脆弱性较低的接口,帮用户找出最容易出问题暴露面,并根据安华金和多年积累的数据安全行业经验,针对发现的问题给出解决建议,帮助用户积极预防敏感
33、数据泄露,具备抗外界病毒侵扰的强壮体魄。4)感知风险、规避风险、减少损失 用户需要在����大量合法涉敏行为中发现敏感信息泄露风险,并及时预警,避免风险事件发生同时减少用户损失。本系统基于主体在复杂业务环境下的所有敏感行为,针对所有主体,应用、接口、账户、IP建立行为习惯模型,并通过安华智能行为分析引擎不断自学习完善用户行为模型。能够分离出主体正常的敏感行为,精准的定位到对于不同主体异常的敏感数据行为风险,并自动分析风险级别,可根据用户自定义告警策略,及时将敏感行为风险预警通知用户,使用户能够将敏感信息泄露风险遏制在萌芽阶段,减少敏感信息泄露造成的损失。5)重点监测跨境数据,保卫国家数据安全 23 随
34、着中国的日益强大以及全球对数据价值的认识日益������增强,数据跨境越来越受到关注。一方面,数据跨境是经济全球化和数字经济发展的必由之路;另一方面,数据跨境有可能危害国家数据安全。我们通过安华倾力打造的跨境数据安全引擎对合理的数据跨境和恶意的、有害的数据跨境进行区分和监测,及时发现跨境数据泄露风险,避大量敏感数据跨境泄露。6)数据泄露事件全面线索分析 当威胁来自于信任时,造成的数据泄露可能会持续数月甚至数年都不会引起管理者的注意。内部威胁导致的数据泄露在当今已非常普遍,且难以杜绝。同时因为拥有敏感数据权限的员工众多,造成企业无法定位追责。针对已发生的某个风险事件,从等多个维度进行深度分析,支持数十种检索
35、条件,多重钻取分析,帮助用户追溯风险来源,分析风险事件的疑似责任主体,为事件追责缩小范围,并提供原始证据链条。7)实现隐私数据管理政策合规 随着数据安全法的颁布施行,对个人隐私数据的保护已经上升到法律层面。传统的应用系统普遍缺少对个人隐私数据的保护措施。通过本产品,可以有效防止企业内部及外部对隐私数据的滥用,防止隐私数据在未经脱敏的情况下从企业流出。满足企业既要保护隐私数据,同时又保持监管合规的双重需求。4.适用行业:政府、金融、能源、医疗、教育、企业及运营商等 5.写给甲方的寄语(甲方选购理由):24 API 安全产品的敏感信息识别能力是敏感信息监测系统所有功能的基础,只��有在海量的�����信息流中准
36、确的发现识别敏感信息才能够在此基础上展开各种其他功能,而安华金和的敏感信息识别引擎是基于十多年的行业敏感信息特征积累和技术能力,帮助用户全面掌握敏感数据使用状况,及时防控敏感数据行为风险,针对数据泄露事件进行有效溯源,快速梳理业务应用接口资产,从根本上保障数据安全。作为中国专业的数据安全产品与解决方案提供商,安华金和多年来坚持自主研发与创新,坚持”让数据使用自由而安全“。安华金和 6.联系人信息:姓名:白倩 职位:市场经理 电话: 25 北京从云科技有限公司 1.产品名称:DAS API 访问控制系统 2.产品������特点及优势:产品特点:不改造业务系统,以�������终端、份、时间等为授权
37、维度,实现用户自定义的数据动态脱敏。产品优势:优势 A:API 梳理:通过主动学习智能梳理所有 A������PI 接口������,并对 API 接口所有字段分类分级。优势 B:细粒度数据保护:打破传统的只能基于 IP 和服务为维度的数据保护,自适应细粒度动态权限策略引擎,实现细粒度字段级管控。优势 C:可视化运维:智能梳理、呈现、检索 API 接口,洞悉风险,可视化呈现,帮助管理人员快速精准的配置访问策略,实现高效运维。优势 D:自定义脱敏算法:多种多样的脱敏算法,轻松定义访问权限和数据脱敏具体字段;智能适配脱敏算法,实现脱敏工作自动化、动态化。26 3.成功案例:案例 A:深圳某合资保险公司 案例 B:众安在线
38、 案例:某合资保险公司敏感数据访问控制案例:方案背景:信息化、数字化时代,保单以电子下单为主,信息泄露事件层出不穷。保单需要人名、身份证、工作单位、手机号等个人重要且敏感信息,存在客户信息被任意下载、内部人员泄露敏感信息等风险。深圳某合资保险公司十分重视用户隐私信息的保护,采用先进的技术及安全管理制度落实中华人民共和国个人信息保护法的相关规定,重视对数据安全的保护,在充分考虑业务系统数量多、访问关系复杂、升级迭代易说难行、系统改造成本高起等困难,风控部门联合IT 部门选择了基于 API 字段的敏�����感数据访问控制的零信任安全防护体系的建设方案,并引入从云科技作为零信任数据安全供应商。方案概述和应用
39、场景:基������于零信任的理念,本次方案突出“永不信任、始终验证”,在业务访问的全流程中引入身份认证的能力,对管控的对象“用户”、“终端”的身份进行持续校验,并针对防护的数据,实现“先认证、再授权、再访问”的管控逻辑,规避敏感信息的暴露。让������数据可用不可拿。27 1、零信任控制平台:作为零信任架构中的中枢,控制器,负责零信任体系内访问控制策略的制定和 API 安全网关的控制。根据公司业务需求对公司内部人员进行权限分组,通过与零信任 API 网关的安全联动,实现对多有要保护的信息脱敏访问。2.零信任 API 网关:作为零信任架构中的策略执行点,以“默认拒绝”的模式对所有业务系统的访问请求,仅可以通过统一控
40、制台验证的合法请求,针对每条请求进行身份鉴别和权限鉴别,确保资源可访问,可使用,不同组别权限的使用者对敏感信息的可见程度不同。优势特点和应用价值:统一身份,持续确认:对接入人员身份、终端等提供多因子认证,�����接入业务系统的用户在通过统一认证的合法性校验后将会生成包含用户、应用身份唯一信息的访问令牌,作为获得后续访问资源的授权凭证。28 资源隐藏,减少暴露:安全网关默认拒绝所有请求。�������只有通过 SPA 敲门认证后才可以建立安全连接,同时在应用层叠加用户身份凭证的验证,杜绝非法用户的非法访问,实现合法用户的可控访问。敏感信息动态脱敏:在对业务系统“0”改造的情况下,通过对用户分类及控制器的策略配置,实现
41、不同人员对保单等业务资源上的用户身份、住址、手机等字段信息脱敏访问。4.适用行业:金融、政府、医疗、教育 5.写给甲方的寄语(甲方选购理由):个人信息贯穿了保单销售、理赔、续约全生命周期,是保险公司经营的重要生产要素,涉及的敏感信息非常多,数据的合规与安全是企业安全运营的底座。从云科技打造的 DAS 访问控制系统,保障数据的安全流动,释放数据价值。实现数据可用不可拿。从云科技解决方案总监贾保元 6.填写人信息:姓名:秦忠鹏 29 职位:市场部经理 电话: 30 北京长亭科技有限公司 1.产品������名称:长亭 API 安全产品 2.产品特点及优势:产品特点:API 智能发现聚合:
42、产品内置基于统计学的聚合模型,可根据业务系统 API 访问情况,对满足条件的 A����PI 请求 URL 做自动聚合处理,可解决不同客户或者不同业务部门对API 的定义不同的问题,实现在初始化阶段就基于客户预期去自动发现聚合 API。产品优势:优势 A:API 数据全渠道识别:产品除了支持传统正则表达式匹配之外,针对业务系统脱敏后的数据,支持 K-V 等多种数据识别技术,不仅仅可对请求、响应中的 JSON、XML 等半结构化数据的敏感数据检测,还支持对 API 上传下载接口中的非结构化数据进行扫描,在数据扫描性能上,依托于长亭科技一贯的技术底蕴,也是遥遥领先。优势 B:从容监测 API 攻击风险:基
43、于全球首款长亭 WAF 语义引擎升级而来的 API 语义分析引擎,通过对 API 的载荷内容进行深度解码后,按照其语言类型匹配相应语法编译器,匹配威胁模型得到威胁评级,可从容应对 OWASP API 安全 Top 10 的安全威胁。优势 C:自动梳理 API 被访问关系,并深度解析访问请求及内容闭环的 API 脆弱性管理机 31 制:产品可持续对 API 进行脆弱性监测,并可将扫描结果自动同步给长亭洞鉴安全评估系统,在测试与仿真环境下持续构造 Payload,进一步做������脆弱点的主动验证工作,形成自动发现应用 API 脆弱点、自动验证应用 API 脆弱点风险、自动生成脆弱点严重�����性、触发工单业务流的
44、 API 脆弱性全闭环管理。优势 D:丰富的 API 资产画像:产品内置行为分析引擎,可对不同业务的 API 接口进行参数特征学习,查看参数信息是否合规,输出每个 API 业务分类的概率与标签。并自动生成基于 API、人员、以及群体的多维度行为基线和时序图谱,并支持客户基于历史行为情况配置相关策略,有效应对恶意 API 调用行为。3.成功案例:案例 A:某世界五百强企业 API 安全项目 客户背景:作为世界知名的五百强企业,业务覆盖消费、健康等多个领域。由于集团业务的快速发展,企业数字化转型业务的不断推进,数据中台、微�������服务、云服务的不断普及,外部接入渠道的不断丰富,集团业务不断交互带来的复杂和
45、更多业务的对外开放,API 已成为集团数字化转型业务的核心。因此充分考虑集团现有 API 面临的安全风险,构建一套既具有易扩展能力,又能兼容企业发展的 API 安全防护体系至关重要。客户需求:(1)日益增加的 API 资产:在集团信息化建设推进过程中,大�������量 API 在历史的不断积累下,集团现有 API 数量已非常庞大,但记录在案的 API 却寥寥无几,提升集团安全部门对未知API 梳理刻不容缓。(2)数据传输是否合规无法知晓:API 作为集团重要的数据传输媒介,尤其内部东西向流量传 32 输数据合规问题日益凸显。(3)API 安全与否无从感知:大量 API 资产在安全视线之外,例如:有些 AP
46、I 没有经过 WAF或 API 网关,还有历史遗留下来的僵尸 API,由于缺乏安全防护容易被攻击,集团无法全��������面感知 API 面临的风险。解决方案:图 1:功能架构图 核心功能:(1)API 资产自动梳理:通过系统内置发现聚合引擎,全面、持续清点 API 接口并进行可视化展示。(2)敏感数据发现:自动识别 API 传输的敏感数据,并对敏感数据 API 进行自动分类标记,自动按照用户 UA 等身份信息,聚合生成全网数据资产流转视图。(3)API 风险感知:基于语义分析引擎,全面监测 OWASP API Top10 安全问题,持续评������估未知 API 攻击风险,为提升集团 WAF 防护策略覆盖面提供详细
47、日志支撑。33 图 2:部署示意图 方案�����价值:利用长亭科技 API 安全产品强大的 API 资产发现、风险监测和响应能力,确保整个集团信息系统中的所有 API 及传输数据的可知、可见、可控,解决了集团影子 API 所带来的合规风险、安全风险和业务风险。系�������统上线后,已累计发现了 10000+未知 API,发现 API 明文传输数据等脆弱点 100+,并针对性优化了集团 WAF 的防护策略,建立了全集团 API 资产画像,提升了集团安全部门对 API 的可见性。4.适用行业:金融、互联网、政府、高校 5.写给甲方的寄语(甲方选购理由):随着企业信息化建设的不断深入,API 逐渐成为数字业务的核心,
48、各种规模的企业都采用 API 来改善连接性并构建可组合的产品架构和业务生态,API 的商业重要性正大幅提升。然而 API 就像硬币的两面一样,为企业提供商业价值的同时,也给企业带来了严峻的安全 34 挑战,传统 API 管理工具已经不能�������应对日益凸显的 API 安全问题。长亭科技的 API 安全产品,以实战攻防为切入点并兼顾业务诉求,在降低 API 安全风险的同时保障 API 价值,是解决 API 安全问题的首选产品。产品研发中心负责人������� 刘金钊 6.填写人信息:姓名:温娜 职位:市场 电话: 35 深圳红途科技有限公司 1.产品名称:数据隐私合规管理平台 2.产品特点及优势
49、:产品特点:1)数据隐私治理:梳理全域数据属性、流转及使用情况,全面掌握数据资产 2)数据隐私运营:体系化构建数据隐私运营能力 3)数据隐私风险:多维度监测分析,实现应用侧数据泄露风险预警 4)数据隐私处理记录:高效实现处理活动记录,构建四层审计、双向溯源 产品优势:优势 A:全链路追踪技术全域数据流转链路智能跟踪 优势 B:全类型数据分类分级覆盖更全面,且资产可持续运营动态更新 优势 C:全场景实现从数据隐私治理、合规、风险和审计的多层联动管控 3.成功案例:案例一:36 客户行业:寄递物流�������� 客户痛点:1)数据安全缺乏整体规划:具��������备一定信息安全能力,但是缺乏数据安全整体规划,急需快速提升整体
50、水位 2)跨境业务缺乏合规遵从:全球化业务,需要准确解读多国/地区法律法规要求,有效搭建合规能力 3)数据安全面临较大挑战:敏感数据如何自动化分类分级、敏感数据不可见、数据在应用间及接口间如何流转无法知晓、核心数据都面临着哪些风险,如何建立一个多维度/多视角的风险管理地图 解决方案和价值:1)信息安全咨询服务:完成数据安全管理体系建设,在组织管理、业务流程和技术等方面具备 有效且可持续运营、符合国������际标准的安全风险和隐私信息的管控能力 2)数据合规咨询服务:多国法律法规精准解读,基于业务场景和数据场景构建完整的、动态更新的数据合规能力 3)数据安全管控落地:通过部署数据安全平台,实现数据分类分级
51、,数据资产及数据可视化、数据审计及数据溯源、数据风险管理及可视化 案例二:客户行业:医疗科技 37 客户痛点:1)信息安全基础薄弱:信息安全建设起步不久,管理制度缺失,技术防护手段一穷二白 2)隐私保护监管严格:监管要求不明确,数据安全体系建设思路和方向缺失,急需建立完善的数据安全管理体系和������技术体系 3)敏感数据信息不明:业务过程中收集个人信息如何合法化、如何最小化收集、数据全生命周期的安全防护要求如何落地,科技制造业工控设备的安全性如何保障 解决方案和价值:1)数据安全咨询服务:通过 ISO27001/27701 体系建设和认证,快速构建信息安全和隐私管理体系框架,明确管理要求和组织运�����作 2
52、)数据合规及技术规划:基于医疗行业监管要求以及业务场景构建合规能力,满足数据合规遵从;基于风险评估,构建 2-3 年技术规划和项目分解 3)数据安全管控落地:基于业务场景和数据全生命周期,开展全面的安全风险和隐私影响评估,形成可落地的解决建议;落地建设数据安全流程和技术防护项目 4、适用行业:金融,互联网,运营商,政府,智能制造,交通运输 5、写给甲方的寄语(甲方选购理由):在产业数字化转型和数据合规监管的背景下,数据隐私合规成为各行各业关注的重点。红途科技基于 API �������级数据全链路流转追踪能力,构建了以法律法规为牵引,帮助企业打造以数据隐私治理为底盘,集数据隐私合规运营、风险管理和审计记录为
53、一体的数据隐私合规科技能力,助力企业数据隐私合规遵从。38 红途科技 创始人、总经理 刘新凯 6、联系人信息:姓名:杨姗 职位:市场经理 电话: 39 北京九州云腾科技有限公司 1.产品名称:API 安全认证网关 2.产品特点及优势:产品特点:完善的泛身份账户体系,基于身份保障 API 安全 产品优势:优势 A:支持多种强化认证方式,安全可信 优势 B:并发能力强,集群支持动态扩容 优势 C:插件化机制,支持快速扩展分析、控制能���力 3.成功案例:案例 A:某市公安零信任 案例 B:某海关 API 业务网关 案例 C:某政府机构双通道 案例 D:��������某企业微服务网关 客户所属行
54、业?1)政府、大型企业 40 客户需求是什么?多个 API 对外提供服务,但目前缺少安全防护手段,甚至有不少调用是直接查询数据库的操作,在管理上和安全上,都存在的巨大的风险。1)为面向上下游生态的 API 业务提供安�����全保护 2)解决跨部门、跨网域数据交换的安全性 3)解决�������企业内部应用/服务之间的业务联动安全性。解决了客户什么问题?1)统一的 API 账户管理(增删改,秘钥可见性和秘钥轮转等)2)集中的 API 账户认证、授权鉴权管理 3)收束流量,建立逻辑边界,实现动态最小权限 4)动态访问策略控制,基于行为的威胁识别 部署完产品/服务产生了什么效果?具体用例描述、方案示意图等。41 如上图,
55、产品在客户侧交付部署完成后,实现了统一的 API 身份管理和权限管理,集中的认证,一致的逻辑边界、最小权限、动态策略控制、流量审计等效果。4.适用行业:政府、大型企业 5.写给甲方的寄语(甲方选购理由):九州云腾 API 安全认证网关,基于九州云腾在身份认证及安全领域的多年积累,通过对 API账户的细粒度管理,严格控制哪些用户/应用可以获取哪些数据,从而实现对 API 的安全防护。同时,基于 API 的实际情况,提供了负载均衡、健康检查、SSL 卸载,协议������转换等一系列能力,助力企业打造高效安全的 API 生态体系。九州云腾产研总监 王越 42 6.联系人信息:姓名:王建军 职位:产品市场经理
56、电话: 43 上海派拉软件股份有限公司 1.产品名称:API 管理平台、API 安全网关、API 安全监测 2.产品特点及优势:产品特点:完善的 API 生命周期管理;网关混合云部署,实现分布式集群统一管理;基于发现、监测、防护、响应 实现一体化数字化安全;IAM 无缝集成;零信任无缝整合 产品优势:优势 A:架构领先,�����基于云原生、微服务等技术架构 优势 B:强大的安全防护。动态感知的资源访问安全,�����智能流量控制的访问安全,接口访问的身份安全,数据脱敏和数据加密的传输安全 优势 C:完善 API 生命周期管理。实现 API 设计、开发、测试、部署、发布、运维的一体化管理,实
57���������、现 API 可配置的审批流程 优势 D:监控告警。实现端到云的链路追踪管理,实现大数据日志分析管理,根据技术响应码和业务响应码实现智能告警能力 优势 E:监测防护响应一体化保障。以 AI 风险监测为核心解决 API 交互安全,解决风险动态感知、策略精准下发、API 实时防护,解决 API 安全一体化保障 44 3.成功案例:案例 A:某汽车领导厂商 案例 B:某金融企业 案例 C:某银行联盟 案例 D:某头部保险公司 案例 E:某头部运营商 案例 F:某征信企业 案例 A:某银行联盟开放平台 公司背景介绍 随着互联网企业的飞速发展,传统金融行业面临巨大的挑战,银行如何构建 B 端企业金融服务生
58、态,把账户、支付等金融能力包装成 API 供企业自行调�����用,以开放 API 为技术、以数据共享为本质、以金融服务云平台合作为模式,因此开放金融服务云��������平台、API Bank 应运而生。开放金融服务云平台带来银行三种模式,提升银行的竞争力:以客户为中心模式,通过开放 API 将金融服务嵌入到客户衣、食、住、行等生活场景中。通过提供综合服务,获得更多客户,提高客户粘性,增加与客户在生活中的触点,积累数据资产,解决银客脱媒问题。金融科技创新模式。银行通过开放 API 与创新科技公司合作,提升自身技术创新能力和效率。利用人工智能、物联网等领先科技,降低银行运营成本、扩大数据积累、提升客户体验,以科技为驱动
59、解决客户痛点。金融业务服务金融服务云平台化模式,银行通过 API 和微服务等技术重构内部系统,打造服务和数据的开放金融服务云平台,对内对外提升协同效率。45 项目系统架构 业务架构方案 逻辑部署架构图 微服务组件成员行授权用户Nginx集群多租户门户前端�����httpSSL加速F5httpsNginx集群运营中心开发者用户用户httphttpF5注册中心认证中心分布式序列MySQLRedisKafka认证、服务注册发现、配置获取与更新数据存取网关微服务监控服务器预警数据存取资源发������布服务器监控关联系统:资产管理系统、支付系统、短信平台等服务注册发现、配置获取与更新生产内管后台开放平台微服务门户Port
60、al沙箱内管后台服务注册发现、配置获取与更新资源发布联盟授权用户http资源发布异步数据静态资源前端程序数据拉取数据拉取分布式文件 46 实施效果图 企业应用价值 1.建设 API 网关金融服务云平台,统一外部应用调用入口,通过 API 鉴权、������安全认证、流量控制,保证服务调用的合法性和服务的正���������常运行。2.保证 API 调用安全,实现态势感知、主动防御、调查响应的防护安全。47 3.打通移动 APP、微信小程序、第三方合作伙伴和企业内部应用的数据互联互通,整合内外部服务能力,敏捷应对业务变化 4.降低银行运营成本、扩大数据积累、提升客户体验,以科技为驱动解决客户痛点。案例 B:某金融企业 API
61、 网关 公司背景介绍 上汽通用汽车金融还将在信息科技方面着力业务的数字化转型规划和 IT 数字化能力建设,包括:引入人工智能机器人流程自动化解决方案,解放人力资源;搭建企业级数据仓库,提升企业整体的数据分析应用能力;IT 数字����化能力的搭建则涵盖了“产品与敏捷交付能力”、“微服务企业架构能力”、“开发运维一体化交付能力”,为前端业务系统的迭代交付提供稳定、快速的输出,及时响应客户与市场的需求。三大核心业务系统:新零售信贷审批系统,经销商展厅移动应用,批发信贷车辆审批系统。48 项目系统架构 产品主要分为 API 网关、API 监控、API 门户三部分,整体架构如下:总体视图架构 49 实施效果图
62、 监控图:50 企业应用价值 实现 API 盈利,产生收入 通过免费、免费增值、购买、订阅或消费模式的任意组合,实现包装、价格及销售数据驱动的产品或服务,为车金融领域服务商的提供增值服务。构建数字化生态系统以强化业务价值 将 API 用作促进数字化生态系统发展的通道,让数字化生态系统丰富业�����务功能,覆盖来自多样化合作伙伴的金融服务云平台和应用。通过 API 管理保持颗粒化控制、合规与安全,建设金融生态圈。通过分析与优化实现效果 通过使用 API 交付数据与服务,构建效率更高、性能更理想的可扩展数字化生态系统。51 �����案例 C:某汽车领导厂商开放平台 公司背景介绍 项目系统架构 数字化转型规划如下:
63、功能架构图:52 53 实施效果图 54 企业应用价值 1、建设 API 网关金融服务云平台,统一外部应用调用入口,通过 API 鉴权、安全认证、流量控制,保证服务调用的合法性和服务的正常运行。2、保证 API 调用安全,实现态势感知、主动防御、调查响应的防护安全。3、打通移动 APP、微信小程序、第三方合作伙伴和企业内部应用的数据互联互通,整合内外部服务能力,敏捷应对业务变化 4、降低运营成本、扩大数据积累、提升客户体验,以科技为驱动解决客户痛点。案例 D:某头部保险公司 API 安全平台 公司背景介绍 随着新数字化经济的转型,特别是云原生、微服务架构、移动 APP����� 的发展,导�������致传统网络的边
64、界������安全基本消失,需要通过 AI 风险监测,实时监控系统交互过程中的 API 数据流动风险,例如:缺乏安全可视化、多种攻击隐患、敏感数据泄露的风险。项目系统架构 项目体系如下:55 通过大数据统计分析和多模态算法建模形成资产画像(应用/API/IP/账号),实现风险事件全链路的数据溯源,查询账号数据行为轨迹,解决风险责任人定位和追踪。56 �����企业应用价值 57 58 4.适用行业:金融 整车 制造 医疗 教育 运营商 政府 地产 科研院所等所有行业 5.写给甲方的寄语(甲方选购理由):网络安全边界逐渐瓦解,企业业务系统的逐渐微服务化,API 的数量也在成指数级的增长,59 内外网的 API 交互会
65、越来越多,企业不再是个单独的个体。派�������拉 API 安全产品具备高性能、易扩展、稳定可靠、产品概念良好的特性。通过对企业业务流程的全面风险控制、数据分析和优化,建立更广阔的合作伙伴和能力开放生态系统借力工具,降低移动应用交付周期,同时 API 管理平台与 API 网关的高度融合,为企业提供端到端的身份安全、数据安全、安全防护方案,建设数字生态系统,真正意义上的、更满足数据安全体系下的 API 解决方案,助力提高企业生产力,降低运营成本,增强业务价值。API 产品总�����监郭利民 5.联系人信息:姓名:郭梦奂 职位:市场 电话: 60 全知科技(杭州)有限责任公司 1.产品名称:知影
66、-API 风险监测系统 2.产品特点及优势:产品特点:API 风������险监测系统,是以数据为中心,通过对 Web、APP、小程序、LoT 等应用进行流量分析,从而实现 API 数������据暴露面的治理和数据攻击行为的持续发现。产品优势:优势 A:是国内首家推出的 API 数据安全产品。优势 B:不同于传统偏攻防研究,知影 API 风险监测系统以数据为中心进行研究,可以发现更多更全的业务和数据上的风险场景。优势 C:根据 API 的原始请求,不仅发现全量的 API,更能发现和识别 API 弱点并提供相应的整改意见,及时修复,规避风险。优势 D:API 风险监测系统,基于上下文的数据风险规则,发现风险,精准定位
67、泄露源头,并通过无监督学习算法,对 API 接口进行攻击学习,识别扫描风险。优势 E:产品应用广泛,客户覆盖广。3.成功案例:案例 A:某股份制商业银行 API 安全资产和监控项目 61 案例 B:某高校 API 数据安全治理建设项目 案例 C:某电子政务外网系统����� API 数据安全监测项目 案例 D:某市电信���������数据安全 API 风险监测项目 所属行业:金融-银行 一、民生银行面临的数据安全挑战 近年来,银行等金融机构在业务快速发展过程中,积累了海量的客户数据、交易数据、外部数据。这些金融数据逐渐发展为金融机构的重要资产和核心竞争力,用数据驱动业务发展,提高经营质效,对推动金融机构的数字化转型具有
68、重要意义。与此同时,金融机构受到的安全威胁也越来越严重,数据泄露和被滥用的事件屡见不鲜,数据安全保护面临严峻挑战。如何收集、使用个人金融信息,既事关金融机构业务的正常开展,也涉及客户信息、个人隐私的保护。在此背景下,中华人民共和国数据安全法的发布,体现了国家立法层面对数据安全的高度重视。民生银行严格落实各项法律法规的要求,切实做好数据安全保障工作,将个人金融信息等数据保护作为���维护国家安全和保障广大人民群众权益的重要工作,建立了行之有效的数据安全管理体系,针对金融数据的各个生命周期实施了安全管控措施,牢牢守住数据安全风险防范底线。近年的新冠疫情在给社会经济带来巨大冲击的同时,也让人们看到了数据在
69、疫情监测、分析、病毒溯源、防控就治、资源调配等方面发挥的支撑作用。但大数据的��������应用仍然存在滥用和用户隐私保护的担忧,疫情期间匆忙上线的信息系统也可能存在安全漏洞,大量用户信息肯定也会成为黑客攻击的目标,存在泄露个人信息的可能。因此各金融机构应进一步加强协同合作,采取数据安全管理与技术措施综合施治,以应对不�������断出现的新问题和新挑战。62 民生银行为切实加强金融数据安全保护,制定了符合法律法规要求和自身发展需求的数据安全保障框架。在制度建设方面,民生银行已经指定并发布了中国民生银行数据分级管理办法 中国民生银行数据需求管理办法 中国民生银行外部数据资源管理办法 中国民生银行客户信息安全管理办法等十余项
70、数据安全相关制度。在组织管理责任方面,明确了数据安全的保护责任。金融机构数据安全保护工作涉及众多主体及部门,为落实好行内制度规范的要求,民生银行根据数据访问关系,将数据资产关系人分为责任归属人、数据管理及数据使用人。在数据安全教育方面,对相关人员不断进行法律法规和流程规范的贯宣,防范人员操作风险。同时加强关键岗位的数据安全管理,开展客户信息安全风险检查,重点排查违规保存在终端上的客户信息、通过邮件违规外发及对敏感类文件进行操作等行为,以发现违规事件为驱动力,使员工充分认识数据安全工作重要意义������,不断提升员工数据安全风险防范意识。二、民生银行 API 数据安全实践 全知科技是国内领先的数据安全解决
71、方案提供商,在金融行业有着丰富的经验。全知科技认为,API 安全制度规范是保障金融机构应用数据��������安全的基础和前提。随着互联网应用的多元化复杂化,应用服务化成为显著的趋势,越来越多场景中的应用架构中采用应用编程接口(API)作为应用间的数据传输和控制。同时 API 接口负责传输数据的��������数据量以及敏感性也在增加。因此针对 API 的攻击已经变得越来越频繁和多样,API 安全逐渐成为当今不少公司的主要关注点。在过去的几年时间里,API 面临的风险和攻击正在逐步增长,不仅出现了 FaceBook、T-Mobile 等公司的 API 违规事件,也出现了美国邮政服务(USPS)和 Google+的最新漏洞事件
72、,而且在所有的安全报告中,其中披露的十大漏洞中有 9 个与 API 安全相关。63 之所以 API 的关注度在不断提升,主要有如下原因:API 接口的数量在急剧增加 早期的 Web 系统(如采用 ASP、JSP 技术),服务器端负责逻辑处理,将渲染好的页面返回到客户端。但是随着 AJAX 技术、移动应用的兴起,当前主要的应用框架都是富客户端模式,服务器端更像是数据源,客户端通过在请求中携带参数从服务器的响应中接收原始数据,由客户端进行一定的数据处理。这就导致服务�������器端需要暴露大量的 API 接口。业务的不断变化更是让管理变得复杂。传统的安全测试工具遭遇瓶颈 当前企业的安全团队,安全测试(渗透测试
73、)往往是工作的一个重点,但是当前线上到底还有多少“活着”的接口(API),往往没有手段能够得知。同时现有的扫描器在针对新技术架构的扫描上,表现并不好。如扫描爬虫无法针对 APP 类的程序进行链接爬取。对于新�����增的API,只能通过强制的安全审批流程才有可能在上线前确保都能得到测试,但这实际在企业中实施成本较高。数据安全在监管层面的重视度在不断提高 自欧盟的 GDPR 实施以来,数据安全在整个社会的重视度在不断增加。我国也相继出台了个人信息安全规范 重要数据管理办法以及个人信息保护法和数据安全法。网信办、工信部等监管部门也在不断对数据安全问题进行治理。64 而民生银行作为国内股份制头部银行,是业内首
74、批进行 API 应用实践的金融机构,在多年的实践中,已经建立并完善了 API 安全管理体系,对 API 全生命周期进行管理。民生银行建立了金融数据资产管理制度,包括了将对通过金融 API 进行传输的数据进行识别,目前已支持识别包括关键商业数据、敏感明细数据、非敏感明细数据、汇总共享数据、公开数据等金融数据。民生银行还针对 API 接口进行了分级管理机制,针对不同安全级 在 API 安全建设方面,民生银行在较早的时候便已经开始进行 API 接口安全建设,在行业内其他公司都在建设传统安全时,民生银行已经提出了业务接口安全�������相关概念,并开始相关系统建设工作。一开始由业务需求方带着开发进行系统建设,从业
75、务角度出发进行建设,关注业务可用性、可靠性、业务接口数量、响应时延、响应失败率等领域。早期系统建设时,业务开放与安全之间并不是十分契合。存在业务接口安全监控的主导权划分不明确和系统建设需求与建成业务系统实际效果存在一定差异等痛点。例如 1:业务接��������口安全监控的主导权在业务部门,并不在安全部门;痛点 2:安全部门����系统建设需求与现建成的业务系统实际效果存在一定差异 基于上述问题,全知科技提出了以数据为中心的 API 风险监测方案,帮助民生银行从 2020年开始打造基于接口安全的 API 监控体系。65 民生银行科技部门按照集中化和本地化相结合的思路,制订了“网络安全保护“实战化、体系化、常态化”和“
76、动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”目标,并开展了如下实践探索。1.������建立 API 数据台账:基于底层数据和业务资产,梳理业务 API 接口资产清单,建立 IT 和业务统一 API 资产数据库;通过对应用和 API 进行持续梳理,自动识别应用系统,梳理应用的部署域、访问域、涉及的个人信息等,形成应用清单。通过自动化接口发现技术,能够将网络流量中大量的 URL 进行聚合归类,然后提取参数配置,还原接口的技术设计形式。通过结合数据识别技术可对接口进行分类,包括登录接口、文件上传接口、文件下载接口、数据采集接口、数据使用接口等。帮助企业掌握个人信息的采集、使用等情
77、况。2.实现 API 全链路监控:基于 API 资产数据库,建立可保障全行业务和安全需求的监控模型,确保 API 的调用链和调用数据类型的完整性。通过对接口状态的持续监测,识别新增、变更、失活等变化,保留个人信息接口的历史信息,通过图表的形式,展示个人信息安全治理的进程,简化安全运营工作,提�����升运营效率并及时发现异常情况。如针对个人信息使用的 API 接口治理,通过监测接口活跃状态和脱敏状态,展示治理趋势。3.实时 API 流动风险发现:建立以数据为中心的流动风险识别和发现。以短信访问接口调用为例,对比接口访问调用次数及频率,结合�������业务验证逻辑,建立监测是否存在短信绕过(验证次数少于登陆次数)、或
78、者短信炸弹(暴力破解、脚本爬虫)等的模型;4.API 的 Soar 的应急处置:基于发现的流动风险,结合防火墙、业务账号、WAF等安全产品及安全运营 SOC 平台,打通各类威胁的自动化处置策略。66 民生银行 API 安全的技术策略选择及实践能够有效地保证业务的安全运行,但技术策略只是数据 API 安全性解决方案的一个方面,要全面达到监管要求,更需要企业在业务经营战略中明确数据保护政策,从业务管理、制度流程、人员架构等方面建立全面的数据流动管理机制。首先,企业高管层要高度重视确定数据流动中的数据保护政策、营造数据保护责任意识。�������多层次建立数据保护制度,形成企业内部各部门数据保护责任和规则体系,明
79、确数据收集、转移、存储、使用等各环节的具体安全管理要求。其次,要加强数据安全监测,定期开展跨境数据合规性安全检查,及时发现数据保护方面的漏洞并加以改进,防范数据安全风险。方案部署图 4.适用行业:政务,金融,互联网,教育,医疗,电力,物流等 5.写给甲方的寄语(��������甲方选购理由):全知科技是一家专注于流动数据安全治理的数据安全服务厂商,是国内首家推出 API 安全产品企业。凭借着自身不断突破的技术创新,深厚扎实的服务能力,深度剖析不同行业各大计费系统CRM系统爱运维系统大渠道系统第三方代理商内部人员内部人员.浏览器访问API访问数据拉取流量镜像风险分析和审计溯源风险分析和审计溯源系统系统https
80、httphttp核心系统核心系统应用数据安全探头应用数据安全探头 67 企事业单位实际情况落地数安法的管理与技术体系的框架,为政企提供智能、高效、专业、全面的数据安全治理产品与服������务,为行��������业和社会做出自己的贡献。产品市场总监-申杰 6.联系人信息:姓名:胡艳 职位:市场专员 电话: 68 瑞数信息技术(上海)有限公司 1.产品名称:API 安全管控平台(API BotDefender)2.产品特点及优势:产品特点:传统 API 安全网关部署与维护成本过高,而且无法有效防护新兴自动化工具威胁。瑞数信息创新推出 API 安全管控平台(API BotDefender),平台包括
81、API 资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为 API 接口提供完整的安全管控方案,从而解决 API 面临的各种安全风险与挑战。产品优势:优势 A:瑞数 API 安全管控���平台(API BotDefender),为 API 接口提供了完整的安全解决方案。优势 B:API 多维度感知:通过 JS 和 SDK、流量分析,感知环境信息、API 账号信息等。优势 C:API 全自动发现:自动发现 API 清单,显示 API 列表、访问情况等,实现 API 资产管理。优势 D:构建 API 画像:构建 API“画像”,快速预��������览各个业务的 API 情况,使用情况、异常情况、访问来源等。6
82、9 优势 E:动态�������响应:根据分析的结果或指定条件,进行动态拦截。3.成功案例:案例一:某知名零售连锁企业 某知名零售连锁企业,拥有过亿的全球用户,其线上应用日活已超 3000 万。基于行业领先的 IT 建设,该企业采用了主流的动静分离架构,核心业务都在 API 接口上,为了保证业务安全,很早就部署了传统 API 关、WAF、风控等安全产品。虽然该企业已有 API 网关,但更多的是在鉴权层面起到作用,缺少 API 安全层面的发现和管控。而传统 WAF 基于规则库,对于该企业来说是个黑盒子,只能看到拦截效果,无法透视业务威胁,也无法从业务角度进行安全分析。风控产品则缺乏和安全平台的联动,无法帮助该
83、企业识别恶意行为。在采用瑞数 API 安全管控平台(API BotDefender)后,该企业很快发现了一批未被清点、临时接口未被关闭的 API 资产,更发现了大量异常行为和背后的异常账号设备,����施了批量封堵处理。根据瑞数 API 安全管控平台(API BotDefender)的溯源显示,某用户通过手机号在 APP上点单后,凭下单凭证去门店取单,取货手机号就是下单手机号。然而,该手机号在 24 小时内已经下单超过 50 次,这显然不符合正常用户使用逻辑。同时,瑞数 API 安全管控平台(API������� BotDefender)发现涉及这种异常行为的设备高达 230 个,有 80 个设备在 1 小时内 7
84、0 使用 5 个以上的账号进行下单,涉及以上行为的总共 1540 个手机号,这些传统安全产品法识别的异常行为,都在瑞数 API 安全管控平台上清晰地展示出来,并能够被时拦截。除了 API 资产管理和 API 异常行为管控之外,瑞数 API 安全管控平�����台还为该企业提供了全生命周期的 API 安全能力,不仅覆盖 OWASP API Top10 的攻击防御,且通过 API 业务威胁模型,可以速应对 API 的业务安全攻击,如爬虫、撞库等。案例二:某保健美容零售连锁企业 某知名健康美容零售连锁企业在全球拥有数千万活跃会员,庞大的业务体量使得该企业一直将信息安全作为其 IT 建设中的重中之重。为了保护线
85、上业务安全,该企业自 2017 年起一直采用瑞数动态应用保护系统 Botgate,对大量机器人攻击行为、薅羊毛、安全攻击等行为进行了有效防护。随着该企业更多的业务交易从线下转移到线上,数字化营销程度不断深入,微信小程序成为其开展业务和营销活动的主要线上渠道之一,API 接口数量随之迅速增长,通过 API 接口发起的攻击也越来越多。攻击者试图通过 API 越权访问会员信息,批量获取用户隐私信息,这让该企业意识到应迅速加强 API 防护。2022 年,该企业在原有的瑞数动态应用保护系���统基础上,扩展了瑞数 API 安全管控平台(API BotDefender)模块,补充 API 防护能力,获得了立竿
86、见影的效果:一是对 API 接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险;71 二是对 API 异常访问行为进行管控,对异常设备和账号做实时处置;三是基于单个 API 接口访问次数进行限频,防止 CC 攻击造成业务瘫痪;四是针对地域营销活动中黑产使用虚假定位软件的问题,进行有效的人机识别和虚假定位识别,阻挡薅羊毛行为。4.适用行业:政府、金融、电信、零售、医疗等行业 5、写给甲方的寄语(甲方选购理由):数字化趋势下,企������业正越来越多地将包括核心业务在内的大部分业务都迁移至了线上,并越来越依赖 API 整合大量系统,实现业务彼此之间的交互。但同时������,通过 API 获取数据的攻击也越来越受到
87、黑客的欢迎,传统安全产品在应对新型 API 攻击时也逐渐力不从心。为了解决 API 面临的各种安全风险与挑战,弥补传统安全产品的不足,瑞数信息推出瑞数API 安������全管控平台(API BotDefender),从 API 的资产管理、敏感数据管控、访问行为管控、API 风险识别与管控等维度,体系化保障 API 安全,有效保护企业的业务安全和数据安全。瑞数信息技术总监 吴剑刚 6.联系人信息:姓名:许芃 职位:市场经理 电话: 72 北京三江信达信息科技有限责任公司 1.产品名称:赛沃 API 安全平台 2.产品特点及优势:产品特点:全应用、全业务,全链路自闭环,通过对于客户端
88、设备,网络,访问行为,业务数据的全链条监测,实现 API 的实时防护,适用于原生 APP,H5,小程序,公众号,融合了 H5/小程序的超级 APP,以及第三方 API 等各种应用形态。产品优势:优势 A:云原生,全容器集群部署,适用于本地数据中心,私有云,公有云,以及各类混合云。优势 B:微服务架构,转发,计算,管理节点������分离,各节点可按需水平扩展,弹性满足云原生高性能和复杂计算的需求。优势 C:流量处理结合专利的 API 安全大数据平台,可实时阻断恶意流量,自闭环实现 API实时防护;轻量级高性能,一键部署,运维方便。优势 D:遵循零信任安全理念,采�������用零信任架构,场景化解决客户 API 运行时
89、的数据/应用/业务现实安全问题。73 优势 E:客户端设备探针全覆盖,全面解决 API 访问者设备身份及环境识别难题。3.成功案例:案例 A:互联网金融公司超大规模 API 业务安全网关,集群插件模式部署 客户:XX 集团-互联网金融上市公司 所属行业:互联网,泛金融 项目名称:API 业务安全网关 客户痛点:客户拥有庞大的风控团队处理业务数据,也已部署防火墙,WAF,API 网关等多种网络安全设备,但缺乏从单一系统上,对于 API 全量访问数据,包括设备,网络以及业务数据的全链路监测,以及实时防护能力。风险场景:爬虫,撞库,薅羊毛,越权,跳����步和其它未知业务安全风险。建设目标:API 客户端风
90、险可感知;API 实时访�������问风险可识别;对于针对 API 业务逻辑漏洞进行的攻击,可方便地定制策略进行防护;所有风险访问可全量数据溯源,可实时阻断;API 业务梳理,建立 API 访问基线;对于缺乏鉴权机制的 API 提供动态令牌功能支持;开放式系统,可输入输出威胁情报。业务规模:APP/H5/小程序,三方 API,日均 20 亿请求,上百个站点,上千个业务,峰值50,000QPS。部署方式:多节点虚机集群部署,插件方式逻辑串联,接入上百个负载均衡流量。防护效果:达到预期建设目标,客户高度评价。案例 B:航空公司全流量 API 业务风控系统 客户:XX 航空等 5 家航空公司 74 所属行业:交
91、通运输 项目名称:API 业务风控�����系统 客户痛点:近年来航空公司客票销售提直降代,全面走向线上�������销售,但是面临电子黄牛猖獗的局面。查订比超高,每年面临中航信巨额罚款;优惠航线被黄牛占座,造成大量经济利益损失;航司处于数字化转型期间,缺乏业务风控能力,传统 WAF 又无法防护,急需轻量级业务风控解决方案。风险场景:客票价格自动化爬取,电子黄牛恶意占座,非法注册,促销活动被薅羊毛。建设目标:全渠道 API 业务风控,零误杀实时阻断,自闭环 API 风险处置;支持验证码,重定向,蜜罐,无感验证等多种软阻断措施;基于策略的 API 个性化防护,风险可视化,全量数据溯源。业务规模:APP/H5/小程序/公
92、众号,会员通道,三方 API,100+API,峰值 2000QPS。部署方式:多节点虚机集群部署,反代模式逻辑串联。防护效果:查订比降到 200 以内,占座行为得到控制,客户高度认同。案例 C:银行 H5/小程序/公众号 API 风险监测系统 客户:XX 银行等 4 家国有大行及股份制银行 所属行业:银行 项目名称:H5/小程序/公众号 API 风险监测系统 客户痛点:近年来客户移动端业务越来越多转向 H5/小程序以及公����众号,行里已经部署的APP 威胁感知系统无法防护这些新����应用,尤其 H5 的 API 防护是业界公认难点。对于这些新的应用形态,客户需要厂商提供具备从客户端到服务端 API 进行
93、全面风险监测的安全产品。75 风险场景:恶意自动化注册,薅羊毛,撞库。建设目标:H5/小程序/公众号客户端环境风险监测,服务端 API 运行风险监测,风险标签实时输出。业务规模:H5/小程序/公众号,首期试点峰值 1000QPS,远期目标全业务 30000QPS。部署方式:镜像流量旁路部署,多节点虚机集���群部署。防护效果:为客户业务风控服务,效果显著。案例 D:运营商外发 H5 业务 API 风险监测系统 客户:XXX 移动运营商 所属行业:运营商 项目名称:外发 H5 业务 API 风险监测系统 客户痛点:客户已经部署外发计费 APP SDK 的威胁监测系统,但是缺乏对于外发 H5 计费页面的
94、风险感知能力,业务方已经察觉有黑产在利用外发 H5 计费页面进���行欺诈,非法获利,急需外发 H5 计费页面以及相应服务端 API 运行风险的监测和防护。风险场景:外发计费 H5 页面遭破解,服务端 API 被恶意调用,被非法获利。建设目标:外发 H5 计费页面环境风险监测,服务端 API 运行风险监测,风险标签实时输出。业务规模:试点业务峰值 50 QPS,全面业务规划 1000QPS。部署方式:镜像流量旁路部署,多节点虚机集群部署。防护效果:为客户业务风控服务,效果显著。76 案例 E:头部医疗设备厂商电商平台 API 业务风控 客户:XX 医疗 医疗器械上市公司 所属行业:电商 项目名称:电
95、商平台 API 业务风控系统 客户痛点:客户处于数字化转型当中,产品销售全面转向线上,但是缺乏业务风控能力,几次线上促销活动被大量薅����羊毛,急需建设自闭环,轻量级 API 业务风控系统。风险场景:自动化恶意注册,促销活动被薅羊毛。建设目标:APP/H5/小程序全渠道 API 业务风控,自闭环 API 风险处置;支持验证码,无感验证等多种软阻断措施;定制风控策略进行 API 个性化防护,风险可视化,全量数据可溯源。业务规模:APP/H5/小程序/公众号,100+API,峰值 1000QPS。部署方式:多节点虚机集群部署,反代模式逻辑串联。防护效果:风控效果明显,客户高度评价。4.适用行业:泛金融,
96、运营商,互������联网,航旅,电商,政务,医疗 5.写给甲方的寄语(甲方选购理由):赛沃安全成立于 2018 年 2 月,获得北极光等著名 VC 联合投资,公司创始团队由来自美国 Netscreen,Juniper,American Express 等知名企业安全专家组成,具备深厚的企业安全产品技术背景。公司聚焦于企业 API 安全,涵盖业务安全,数据安全以及应用安全的防护。其赛沃安全系列 77 产品从零信任的安全理念出发,通过广义的身份识别,客户端风险检测,实时流量分析及深度业务感知,运用专利的 AI 大数据平台技术,致力于为企业提供专业的 API 实时防护服务,解决企业客户在线业务面临的业务欺诈,
97、敏感信息泄露,恶意爬虫,数据资产流失等问题,保障客户互联网业务以及对外 API 服务的安全。公司目前推出的几款产品都已经在行业头部客户生产网顺利上线运行,因部署简单,运维方便,防护效果突出获得了客户良好的口碑,为企业 API 的实时动态防护树立了新的行业标������杆。创新和服务是公司宗旨,客户满意度是公司最高目标,希望用我们的产品和服务能帮助到广大的企业客户。联合创始人 李沙浪 6.联系人信息:姓名:李沙浪 职位������:联合创始人 电话: 78 杭州世平信息科技有限公司 1.产品名称:数据安全 API 网关平台 2.产品特点及优势:解决企业资产自动发现、梳理形成资产列表,对异常行为、威
98、胁行为、敏感字符进行安全检测,根据检测结果形成安全报告,并将安全策略下发给 API �������网关进行防护,发现问题并及时告警,形成 API 安全一体化防护方案。将传统的数据库安全前移到 API 安全,提前阻断风险发生。功能及优势:API 发现 1.API 资产识别 2.API 暴露面识别 3.API 漏洞发现 4.开源组件漏洞发现 API 防护 1.攻击防护 79 2.策略管控 3.认证和授权 4.敏感数据加密解密 5.限速限流熔断 API 检测 1.攻击行为检测 2.异常行为检测 3.数�����据泄露检测 API 响应 1.异常行为分析告警 2.对泄密进行溯源和追责 3.攻击威胁、漏洞管理和响应 3.成功案
99、例:案例 A:XX 银行 案例 B:XX 公安厅 4.适用行业:金融、政府 5.写给甲方的寄语(甲方选购理由):世平数据安全 API 网关平台,打破数据孤岛,实现内外业务系统互联互通,多种安全策略守护 API 安全。80 副总裁 范仲辉 6.联系人信息:姓名:范仲辉 职位:副总裁 电话;138 0132 5381 81 思睿嘉得信息技术有限公司 1.产品名称:APIDR 2.产品特点及优势:产品特点:攻防能力强,综合效果好 产品优势:语义识别能力强,积累多 3.成功案例:案例 A:作业����帮 apidr 项目 所属行业:在线教育行业 客户需求:公司存在被竟对频繁直接进行客户拉取的情况,需要对于数据
100、泄漏源进行定位和治理;部署完产生的效果:APIDR 产品可以有效的审计敏感数据存储和透出下载的情况,发现内鬼和外部泄露 4.适用行业:全行业,数据安全 82 5.写给甲方的寄语(甲方选购理由):数据安全方兴未艾,API 更是数据安全赛道中最热闹的一块,各家厂商纷纷杀入求分得一杯羹,期望 API 安全的厂商可以不断深耕,提升敏感数据的识别能力,攻击和泄露行为的发现能力,以及与其他安全产品的联动能力。思睿嘉得在 DLP 赛道积累多年,期待产品先不断扩展,研发出更多有竞争力的������产品。6������.联系人信息:姓名:张博 职位:安全负责人 电话: 83 薮猫科技有限公司 1.产品名称:飒露紫
101、 ADR 2.产品特点及�����优势:产品特点:飒露紫 ADR(API Detection and Response)为企业提供专业的 API 安全解决方案。基于高性能流量采集引擎及多维检测策略,对业务应用流量,进行动态画像,及全场景式流量清洗,充分发现 API 攻击事件、业务风险及行为异常等安全问题,保障企业应用������的每一次 API 调用。产品优势:优势 A:流量画像 模式识别基于持续变化的业务和应用流量,通过模式识别方法和策略,关联多维特征,全方位构建业务流量画像,为后续异常检测做前置铺垫 优势 B:敏感数据 链路追踪具备近百项主流敏感数据类型的检测能力,深度检测结构化和半结构化 敏感数据,快速回溯追
102、踪具体泄露数据点位,帮助企业更精准地进行修复,降低数据泄露风险 优势 C:异常检测 动态防御构建行为基线,结合离群/孤立点等异常检测策略,运用机器学习自动化,检������测流量潜在异常风险,实时感知,并进行动态防御,帮助客户在第一时间收敛风险 84 优势 D:攻击识别 风险溯源结合多种攻击识别手段,全方位检测 API 行为潜在的安全风险问题,并能自动化分析风险根因,帮助客户第一时间修复和止损 3.成功案例:暂无 4.适用行��������业:金融、通信、互联网、新经济等 5.写给甲方的寄语(甲方选购理由):近年来,随着 API 巨大价值的体现,API 逐渐成为网络攻击者利用最频繁的载体,攻击呈现指数级的增长趋势,严重危
103、害了企业的发展。薮猫科技依托多年云计算安全检测的经验,及端侧安全能力建设积累,基于数据分析及智能检测技术,研发的下一代 API 安全威胁检测产������品飒露紫 ADR,围绕检测及响应核心安全处置流程,帮助企业更快更准地检测 API 应用入侵和数据泄露行为,有效预防并解决如数据风险、攻击风险、漏洞风险、账号风险等问题,全链路保护企业数据安全。薮猫科技产品总监 周阳 6.联系人信息:姓名:傅娅兰 职位:品牌市场 电话: 85 86 北京芯盾时代科技有限公司 1.产品名称:安全 API 网关(ZAG)2.产品特点及优势:产品特点:智能分析高敏感 API 资产,可�����实现细粒度的 API 访
104、问权限控制,管控数据下载.产品优势:优势 A:精细化流控:采用同步+异步混合流控的方式,通过多种算法,实现精细化的秒级流控,同时提供灵活自定义的流量控制策略,保障 API 服务的稳定性和连续性。优势������ B:可视化监控:提供仪表盘对 API 调用情况进行统计并监控,包括调用量、调用状态、成功率、访������问源等,快速了解当前 API 情况.优势 C:开箱即用服务:只需要在管理控制台中配置,即可快速创建 API;提供页面调试工具,简化 API 开发;可同时发布一个 API 到多个环境,快速迭代、测试 API。优势 D:多层安全防护:提供了 API 认证、参数过滤、访问控制、流量控制、内网访问等多种安全机制,
105、形成全链路 API 安全保障�����方案。3.成功案例:案例 A:某大型企业 API 安全访问项目:87 客户背景:某大型国企集团,已经建设大量信息化系统,且大量 API 接口暴露在外网区域,访问人员众多,管理难度大,复杂度高。客户需求:1、某大型企业采用前后端分离架构,API 无权限校验,数据访问控制无法保障;2、存在多业务系统,数据格式未统一,业务联调测试复杂度高。解决问题:1、API 生命周期管理,包含 API 查询、发布、版本切换、下线、删除等;2、统一鉴权授权管理,为 API 消费者授予不同 API 的调用权限及调用动作限制;3、协议转换,支持 API 接口转换,统一 API 出口,提升开发
106、测试效率�����;4、API 服务治理,提供流量控制及熔断控制等能力。解决方案:芯盾时代 API 安全网关为企业提供 API 接口的统一代理、访问认证、数据加密、安全防护、应用审计等能力,具体如下:1、API 网关提供统一的认证鉴权服务,API 消费者通过 API 网关访问具体的业务数据;2、用户访问时采用 JWT 方式进行身份校验;3、提供协议转换能力,统一 API 出口,提升开发测试效率。此项目建设后,大幅提升某大型企业的业务安全维护效率。实现效果:1、安全性高:通过安全 API 网关限制内网业务的访问,提升系统的安全性;2、零改造:在不改造管理系统的基础上进行产品的部署与上线;3、可移植性强:可
107、直接对接众多业务系统,对场景条件的要求低。88 4.适用行业:全行业如金融,政府,运营商,大型企业等 5.写给甲方的寄语(甲方选购理由):我国的数字经济蓬勃发展,正加速推动各行各业的数字化转型,随着企业越来越多的依托互联网开展业务,企业需要一种高效的方式实现内部数据安全管理,降低信息泄露以及������被攻击的风险。安全 API �����网关方便企业以 API 的方式管理业务资产以及实现企业内外的服务共享,快速实现 IT 能力。市场总监-郭伟怡 6.联系人信息:姓名:王雪 职位:市场主管 电话: 89 北京星阑科技有限公司 1.产品名称:萤火 API 安全平台(API Intelligenc
108、e)2.产品特点及优势:产品特点:辅助企业落实 API 数据安全监管、建立 API 攻击监测体系 产品优势:优势 A:为企业提供 API 资产梳理、�������API 威胁检测、API 数据泄露检测能力。优势 B:解决企业的合规问题和 API 入侵问题 优势 C:以 API 为流量入口,构建解决不同场景问题的 API 的安全应用和服务 优势 D:纵向转化成不同场景下的安全价值,最终解决数据安全、应用安全的问题 3.成功案例:案例 A:金融行业 API 安全解决方案 90 在金融数字化快速发展的背景下,传统的金融服务模式已经不能匹配最新的数字化需求,在线化、智能化、场景化等数字金融生态变得随处可见;金融科技
109、的创新发展也给金融行业的数据安全带来了不可想象的压力。从金融生态开放的角度看,金融数据的交互、传输、共享等往往有多方参与,涉及到品牌方、渠道商、供应商等多个主体,由此使得数据泄露风险点激增,风险环境愈发复杂。针对该银行客户的需求,经过业务深入理解和调研讨论,星阑科技建立了 API 安全管理体系,形成 API 全生命周期模型,在各个位点植������入安全能力,从而全面提升整体 API 安全水位,围绕 API 的“设计、开发、运行、下线”等不同阶段建立 API 全生命周期安全技术能力,同时建立 API 安全生产管理制度与流程加以管控。91 案例 B:互联网行业 API 安全解决方案 某互联网公司云平台有多个
110、对外商业化 SaaS 业务,API 访问量极大,内网网络拓扑复杂。公司自建了 API 网关,公司外部、内部定期组织攻防演练,API 成为主要攻击面。在此背景下,公司需要通过网关层持续发现未纳入安全管控的影子 API。同时,建立持续�������化 API 攻击监测及溯源能��������力。92 星阑科技通过软件部署模式,针对两种 API 数据采集点位,以自建 API 网关进行导流,分别进行七层日志实时分析、小时级 pcap 分析。部署完成后,由客户红队安全工程师模拟多种攻击方式,对比同类产品检出率最高。案例 C:企业应用 API 安全解决方案 企业在 API 安全建设的过程中有三大难点:资产理不清、链路看不见、滥用管不住
111、。首先,企业应明确每个 API 的生命周期,从开发到测试到线上应用以及对外开放的过程中存在哪些风险;其次,企业应对每个 API����� 的通信过程有良好的管理和监控,以便第一时间发现攻击�������者的行为;最终,企业应有足够的数据分析和威胁建模能力来识别每一次针对 API 的入侵事件以及数据泄露、滥用事件,即使阻断或响应威胁。93 因此,基于大数据技术和智能分析的 API 威胁检测产品应运而生。星阑科技推出萤火 API 安全分析平台,旨在协助企业更快更准地检测 API 应用入侵和数据泄露行为,从而减少企业造成的损失。案例 D:电信行业 API 安全解决方案 随着行业云的成熟及其在电信领域落地,针对运营商复杂的业
112、务系统以及能力平台、数据平台的统一数据开放共享需要。一方面,电信行业在能力、数据开放的过程中面对安全相关监管合规要求复杂;另一方面,系统及业务间存在大量的 API 数据交换,难以理清并管控。在此背景下,星阑科技结合电信行业云的架构特点和业务特点,提出了混合云多资产统一 API安全管控解决方案,兼顾云上云下的多个业务系统。94 随着 API 的使用场景和频率的持续增加,API 平台�����(解决方案)厂商、APM 厂商,研发效能厂商、云厂商与新一代 API Infra 厂商构建了 API 基础设施体系,并由 API 服务商、API 平台提供者、DevOps 融合、API 安全厂商在其上提供相应的附加能力
113、。通过底层基础设施+上层应用的方式,形成了贯穿整个 API 流程的基础设施生态体系。4.适用行业:全行业 API 安全 5.写给甲方的寄语(甲方选购理由):在企业数字化转型过程中,随着 API 资产增加与数据安全合规要求的日趋成熟,企业安全建设的难点已经由关注资产、漏洞转为关注应用、业务。星阑科技作为国内首批专注于 ������API安全领域的厂商,依托深入的攻防能力和数据智能,为企业提供 API 资产管理、API 威胁监测、API 数据安全的一体化解决方案。该方案已在金融、运营商、互联网、政府等数十个大型企业得到验证。未来我们将持续深耕安全技术,赋能更多企业完成数字化安全建设。星阑科技 CTO-徐越 9
114、5 6.联系人信息:姓名:郝明 职位:市场总监 电话: 96 杭州亿格云科技有限公司 1.产品名称:亿格云枢 2.产品特点及优势:产品特点:基于零信任 SASE 架构的平台级 API 安全访问决策中心 产品优势:优势 A:免改造应用,快速实现业务与安全融合 优势 B:基于零信任理念,无任何 AP�����I 资产暴露 优势 C:自动梳理 API 被访问关系,并深度解析访问请求及内容,进行 API 敏感画像 优势 D:智能分析高敏感 API 资产,可实现细粒度的 API 访问权限控制,管控数据下载 优势 E:对 API 涉及到的高敏感结构化数据进行动态脱敏、数据混淆等处置 优势 F:
115、对访问 API 下载的非结构化敏感数据进行 DLP 识别、数据打标等处置 97 3.成功案例:案例 A:某智能制造大型企业办公应用 API 访问控制项����目 案例 B:某物联网科技平台企业业务 API 零信任访问控制项目 4.适用行业:互联网、金融、教�����育、零售电商、智能制造、企业服务、游戏娱乐、汽车 5.写给甲方的寄语(甲方选购理由):亿格云是红杉中国唯一投资的零信任 SASE 安全厂商,一体化的 SASE 架构打破了企业需要部署 10 多个安全产品且产品间孤立的现状,将 API 安全能力无缝融合在网络访问过程中,并与零信任访问、DLP 能力结合发挥最大价值,提高安全效果并降低运营成本。核心团队人
116、员来自阿里云安全的产品和业务骨干,打造过多个亿级安全产品线,曾服务超过 10 万+企业,拥有丰富的网络安全从业经验。公司已获得 AIOT、零售、电商、金融、教育、游戏等行业的几十家头部企业客户的认可。亿格云联合创始人 叶敏 6.联系人信息:姓名:王璐瑶 职位:市场品牌 电话: 98 99 深圳永安在线科技有限��������公司 1.产品名称:API 安全管控平台 2.产品特点及优势:产品特点:1.API 资产动态梳理:自研的专利技术实现自动化梳理 API 资产台账,帮助企业发现所有API,对 API 进行场景分类与风险等级评估,实现 API 资产的可视化管理。2.涉敏数据梳理审计:支持
117、 84+类涉敏数据的识别与自定义数据分级分类,检测涉敏数据的流动,审计涉敏数据出境情况,有效评估合规风险。3.API 缺陷持续评估:基于风险情报和攻防驱动,全面持续评估 API 缺陷,支持 7 大类、54+项的缺陷监测,通过样例可视化和自动化验证提升缺陷修复效率。4.API 攻击精准感知:自研的专利技术,基于风险情报构建 API 行为基线,持续发现 API 攻击风险,支持输出多维度 IOC 指标,联动实现风险自动化阻断。5.数�������据合规审计溯源:记录访问者操作日志,提供审计依据,支持批量涉敏数据溯源,感知泄露源头。6.系统访问账号管理:持续动态的梳理访问账号,审计账号访问行为,监测敏感数据的访问
118、100情况,及时掌握账号异常风险。7.系统访问 IP 管理:持续动态梳理访问 IP,提供地域、类型、情报等多维度分析,监测敏感数据的访问情况、路径扫描、漏洞扫描等攻击风险,全面直观的了解访问 IP 的行为和风险。8.风险情报溯源:结合风险情报,对攻击流量进行溯���源分析,提炼攻击者的来源和攻击特征,提高攻防响应的效率。产品优势:优势 A:业务零干扰:采用旁路部署模式,不需要更改现有网络架构,不影响业务连续性。优势 B:识别高精准:基于专利和情报技术的 API 资产梳理、API 漏洞检测、API 风险监测的能力,识别精准度高,平均准确率达 97.8%。优势 C:范围覆盖全:支持���� 84+类敏感数据识别
119、、54+项缺陷评估、27+种风险检测,检测引擎动态更新。优势 D:高效自动化:资产梳理自动化,资产管理可视化,缺陷验证自动化,风险情报秒级更新。3.成功案例:案例 A:互联网客户案例 客户背景:某互联网综合平台,随着业务规模的拓展,经常出现针对账号的攻击、用户数据泄露事件,安全部门希望在安全治理方向做进一步的提升。101问题与挑战:1、有大规模 API 资产,缺乏有效的管控手段:业务所涉及到的 API 很多,很多老系统,没有台账心里也没底,人����工梳理难度高,不知道如何切入;2、对 API 资产的状态、缺陷等情况,缺乏有效的监控措施:新增了多少 API、哪些 API 失活该下线、哪些 API 输出
120、了敏感数据,哪些 API 有漏洞,不清楚;3、由 API 安全导致的数据额泄露事件,缺少有效的发现机制:发生过数据泄露事件,攻击者通过哪些����� API 爬取数据、攻击特征和手法,不清楚。产品价值:API安全管控平台帮助客户实现资产台账可见,整理出API 36000+,出站涉敏API 2400+,涉及敏感数据类型 21 类,每周新增的 API 梳理 250+,僵尸 API30+;累计发现和修复 API缺陷 3000+个,涉及未授权、越权访问、数据过度暴露、弱密码等高危缺陷 400+;累计发现被攻击 API 事件 100+,检测到数据爬虫、账号恶意注册、薅羊毛攻击、IP 漏洞扫描等攻击事件,并协助客户
121、联动 WAF 对攻击流量进行了阻断。案例 B:金融客户案例 客户背景:某证券客户,因为涉及到大量的人工客服和经纪人,经常会出������现内鬼导致的数据泄露事件,安全部门希望做好数据安全的审计和治理,在护网中不被攻击。问题与挑战:1、有大规模 API 资产,账号,缺乏有效的管��������控手段:内部人员众多,角色多,运营系统多,内部运营系统 API 梳理和账号访问审计,不知道如何切入;1022、对 API 资产的状态、缺陷等情况,缺乏有效的监控措施:新增了多少 API、哪些 API 输出了敏感数据,哪些 API 有未授权的漏洞,不清楚;3、内鬼导致数据额泄露事件,缺少有效的发现机制:发生过数据泄露事件,什么内部人员违
122、规操作哪些 API 获取数据,不清楚。产品价值:API 安全管控平台帮助客户实现资产台账可见,整理出 API 2600+,出站涉敏 API 390+,涉及敏感数据类型 19 类。关联员工账号 1370+,僵尸账号 10+。累计发现和修复 API 缺陷 770+个,涉及未授权、越权访问、数据伪脱敏、数据明文传输等高危缺陷 190+累计发现内部数据泄露账号 5 个,违规借用账号 8 个。累计发现 API 被攻击事件 30+起,涉及账号撞库、漏洞扫描、短信 API 滥用等风险。案例 C:政企客户案例 客户背景:某政务系统供应商的服务器私自与政务平台某接口持续通信,长时间慢速调取公民信��������息,包括公民姓名
123、、身份证号、地址等,政务数据在共享过程中数据状况难看清、数据风险难监测、数据泄密难溯源成为政府数据安全建设的重点关注内容。问题挑战:1、对于政务共享过程中的数据状况难看清:政务共享数据有非常多开放的共享接口,对于这类接多少,那些接口有问题是不清楚的;2、数据业务流程长,接触人员变多,流动数据难检测:������业务有办公、研发、第三方人员访问,访问的人员非常多,对于其中流动的数据非常难检测;1033、共享接口引发的数据泄露事件,缺少有效检测机制:对于业务的异常通信行为,缺乏有效的检测溯源机制。产品价值:API 安全管控平台帮助客户实现资产台账可见,整理出 API 500+,逐一排查下线掉不符合企业安全规范
124、的 API,例如发现的僵尸、多版本、重复功能等的 API;出站涉敏API 150+,涉及敏感数据类型 7 类,包括密码,账号,姓名等;累计发现 85+个 API 存在安全缺陷,发现存在泄露�������风险被攻击的 API 共 14 个,累计发现异常的违规借用账号 8 个。4.适用行业:互联网、金融(保险、证券、银行)、政企、传媒、零售、餐饮、物流、能源企业等 5.写给甲方的寄语(甲方选购理由):与传统基于规则引擎的 Web 应用网关等产品不同,永安在线 API 安全管控平台基于情报(如攻击者利用的 IP、自动化工具等资源)为企业的业务建立 API 安全基线,能更有效地发现 API 攻击和数据泄漏风险。同时,基于情报能力可以持续跟踪攻击者如何利用新型漏洞来进行攻击,提取和分析新型攻击面和攻击特征,持续优化 API 漏洞检测引擎,从而覆盖更多业务场景下 API 的逻辑漏洞及开源系统 API 的未授权漏洞等。永安在线 CEO 毕裕 6.联系人信息:姓名:胡佩佩 职位:品宣负责人 104电话:
sgpjbg002
工作日 8:30 - 17:30
报告分类
