2023API治理應(yīng)用案例匯編

四、附錄:API治理應(yīng)用案例匯編（七）醫(yī)療行業(yè)（八）汽車行業(yè)（九）物流運輸行業(yè)2前言數(shù)字化時代下，API（ApplicationProgrammingInterface，應(yīng)用程序接口）作為連接各種應(yīng)用和系統(tǒng)間的橋梁，已經(jīng)成為企業(yè)實現(xiàn)業(yè)務(wù)上云、提高業(yè)務(wù)效率、拓展攻擊者也針對其開放性和普遍性的特質(zhì)展開威脅和攻擊，導(dǎo)致重大的安全隱患和數(shù)據(jù)泄露風(fēng)險，對企業(yè)造成嚴(yán)重?fù)p失。為了應(yīng)對層出不窮的新型攻擊手段和各類安全API治理是指對企業(yè)內(nèi)部和外部的應(yīng)用程序接口進行規(guī)劃、監(jiān)控、管理和控制的過程。通過API治理，企業(yè)一方面能夠提升業(yè)務(wù)創(chuàng)新效率，另一方面可以確保數(shù)字化在此背景下，中國信息通信研究院云計算開源產(chǎn)業(yè)聯(lián)盟編寫《API治理應(yīng)用案例匯編（2023）》，聚焦API治理實踐經(jīng)驗，從需求分析、API治理具體方案、應(yīng)用成效等方面出發(fā)匯集我國企業(yè)目前API治理應(yīng)用的優(yōu)秀實踐案例，跨越金融、通信、能源、軟件和信息服務(wù)等多個領(lǐng)域。最后，期待本案例集能夠為業(yè)界提供深度洞察和參考，為企業(yè)決策者和從業(yè)者提供實踐經(jīng)驗，助理企業(yè)更好地運用API治理，從而推3一、API治理背景及發(fā)展現(xiàn)狀分析（一）云計算時代下，API已成為數(shù)字化轉(zhuǎn)型的重要抓手API作為企業(yè)數(shù)字化轉(zhuǎn)型的重要抓手，不僅是系統(tǒng)連接間的工具，提高效率和改善用戶體驗的關(guān)鍵因素。隨著數(shù)字化轉(zhuǎn)型的不斷深入，API的作用和重治理和管理視作戰(zhàn)略性工具，加強API治理以全面發(fā)揮其在數(shù)字化轉(zhuǎn)型中的1數(shù)字化進程不斷加速，API數(shù)量急劇增長。API作為連接不同軟件應(yīng)用的關(guān)鍵橋梁，為數(shù)據(jù)的傳輸和共享提供了便捷途徑，從而推動了數(shù)字化生態(tài)系統(tǒng)的構(gòu)建和發(fā)展。隨著企業(yè)越來越多地采用云計算、大數(shù)2API為企業(yè)數(shù)字化轉(zhuǎn)型提供靈活性和可拓展性。API可為開發(fā)團隊提供已有的功能模塊，從而幫助企業(yè)快速開發(fā)部署新功能，避免重復(fù)工作。此外，API還可使企業(yè)在不影響現(xiàn)有業(yè)務(wù)系統(tǒng)的情況下，靈活地進行業(yè)務(wù)拓展，探索最新市場機會。通過API的集成，企業(yè)能夠更加便捷地構(gòu)建和優(yōu)化其數(shù)3API可促進跨平臺和跨系統(tǒng)互聯(lián)互通。API作為連接不同系統(tǒng)和應(yīng)用程序間的通信橋梁，可賦能不同平臺和系統(tǒng)間數(shù)據(jù)及功能的互聯(lián)互通，從而實現(xiàn)信息的共享交互。在數(shù)字化轉(zhuǎn)型的過程中，企業(yè)需將現(xiàn)有業(yè)務(wù)和系統(tǒng)遷移上云，API的存在打破了信息孤島，數(shù)據(jù)能夠更為流暢地在平臺間傳輸，使得系統(tǒng)間的協(xié)同工作更為通暢，從而提升業(yè)務(wù)效4API可助力優(yōu)化用戶體驗。通過API的功能集成，用戶可在不同設(shè)備和渠道中獲得一致的用戶體驗，無論是網(wǎng)頁、移動應(yīng)用或是其他平臺，都能享受相似的功能服務(wù)。除此之外，API還可滿足個性化的定制需求，用戶可根據(jù)個人偏好定制服務(wù)，從而獲取更加符合需求的功能體驗。個性化服務(wù)可大幅提升用戶滿意度和客戶粘度。4一、API治理背景及發(fā)展現(xiàn)狀分析（二）API治理可保障企業(yè)數(shù)字化轉(zhuǎn)型的順暢與安全，通過規(guī)范化管理降本增效，賦能業(yè)務(wù)創(chuàng)新API治理是現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型不可或缺的一部分，涉及規(guī)劃、管理和控制企業(yè)內(nèi)部和外部的應(yīng)用程序接口。API治理有諸多好處，對企業(yè)的發(fā)展和運作產(chǎn)生深遠影1提升數(shù)據(jù)安全性API治理可通過鑒權(quán)管理、權(quán)限控制、審計與監(jiān)控管理、漏洞修補與更新等多種方式，全面提升數(shù)據(jù)安全性。此類治理措施可有效降低數(shù)據(jù)泄露、未經(jīng)授權(quán)訪問或者惡意攻擊竊取數(shù)據(jù)的風(fēng)險，為企業(yè)的數(shù)據(jù)安2提升API資產(chǎn)可見性API資產(chǎn)數(shù)量多、變化快，導(dǎo)致企業(yè)API資產(chǎn)梳理困難。隨著信息化建設(shè)的深入和業(yè)務(wù)介入渠道的豐富，企業(yè)內(nèi)部API數(shù)量龐大且分散。與此同時，快速更迭的業(yè)務(wù)形態(tài)也導(dǎo)致API頻繁變化。API治理可以提升API資產(chǎn)的可見性，對數(shù)量龐大且分散、變化頻繁、監(jiān)控復(fù)雜的應(yīng)用程序接口進行統(tǒng)一梳理，幫助企業(yè)了解掌控其API的使用情況、性能表現(xiàn)和變更的詳細信息。3提升威脅防護能力API的爆發(fā)式增長在為企業(yè)提供更強大、靈活的數(shù)據(jù)交換和功能擴展能力、創(chuàng)造更多商業(yè)機會的同時，也帶來了新的安全挑戰(zhàn)。API接口數(shù)量的增加擴大了網(wǎng)絡(luò)受攻擊范圍，導(dǎo)致風(fēng)險傳導(dǎo)路徑增多。企業(yè)原有的防護邊界和手段難以應(yīng)對新型威脅。API治理一方面可以助力企業(yè)采取多層次的安全策略和措施抵御新興威脅，另一方面可以通過定期培訓(xùn)提升安全意識，降低威脅攻擊發(fā)生概率。4降低開發(fā)和維護成本通過API治理，企業(yè)可以管理標(biāo)準(zhǔn)化的API接口文檔，使不同團隊間能夠更簡易地理解和使用API，從而降低開發(fā)新功能和新服務(wù)的成本。與此同時，企業(yè)內(nèi)部不同團隊和項目間可以共享API資源，避免重復(fù)開5一、API治理背景及發(fā)展現(xiàn)狀分析（三）API治理面臨多重難點API治理可助力企業(yè)高效管理API資產(chǎn)，解決API繁雜等問題，通過加強針對API的安全管控，加速企業(yè)數(shù)字化轉(zhuǎn)型的步伐。然而，企業(yè)在落地API治理時仍面臨眾多1技術(shù)復(fù)雜性高企業(yè)內(nèi)部通常存在多種使用不同協(xié)議和數(shù)據(jù)格式的API。統(tǒng)一管理和整合此類API，從技術(shù)角度出發(fā)對企業(yè)而言難度較大，從管理角度出發(fā)則較為復(fù)雜。例如，企業(yè)內(nèi)部不同的API往往采用不同的協(xié)議或架構(gòu)風(fēng)格，包括但不限于REST、SOAP、gRPC等等，因此需要較高的API治理技術(shù)對不同類型的API進行統(tǒng)一管理和整合。此外，云時代的API通常涉及復(fù)雜的業(yè)務(wù)邏輯和數(shù)據(jù)模型，需要與繁多的系統(tǒng)和數(shù)據(jù)庫進行頻繁交互。為了保障敏感數(shù)據(jù)的安全，需要企業(yè)持續(xù)對API進行監(jiān)控。如何統(tǒng)一API的規(guī)范和標(biāo)準(zhǔn)成為了現(xiàn)代企業(yè)落地API治理的一大難點，需要具備多種技術(shù)能力和管理工具對API進行監(jiān)控和統(tǒng)一管控。2跨團隊協(xié)調(diào)溝通難度大企業(yè)內(nèi)部進行API治理往往需要涉及多團隊運維團隊、安全團隊、業(yè)務(wù)團隊等。各團隊有不同的專業(yè)領(lǐng)域、工作目標(biāo)和工作優(yōu)先級，因此在進行企業(yè)級API治理時難以確保所有團隊協(xié)同工作。首先，不同團隊間的技術(shù)棧存在差異。例如，開發(fā)團隊關(guān)注重點為編寫高質(zhì)量代碼和新功能的實現(xiàn)，而運維團隊則專注于系統(tǒng)的穩(wěn)定性和性能優(yōu)化，導(dǎo)致團隊間在API治理的目標(biāo)和方法上存在分歧。其次，團隊間的溝通協(xié)作機制亟需完善。由于缺乏有效的溝通渠道和工具，不同團隊間可能存在信息不透明和溝通不順暢的情況，導(dǎo)致API治理過程中的決策和執(zhí)行出現(xiàn)延誤或錯誤，進而影響項目進展。此外，不同團隊的訴求和追求目如何協(xié)調(diào)團隊間的合作溝通成為了企業(yè)級API治理的一大難點，需要構(gòu)建良好的協(xié)作6一、API治理背景及發(fā)展現(xiàn)狀分析3版本迭代速度快維護和管理不斷更新迭代的API版本對企業(yè)落地API治理是一項不容小覷的挑戰(zhàn)。隨著新興技術(shù)的不斷發(fā)展和市場需求的不斷變化，API版本迭代速度越來越快，版本的快速迭代使得API治理變得更加復(fù)雜和困難。不同版本涉及新功能引入、修改現(xiàn)有功能或修復(fù)錯誤，需要企業(yè)持續(xù)跟蹤并管理，對API的文檔、測試和部署進行相應(yīng)更新。同時，不同版本之間的兼容性和互操作性也需要納入考量范圍內(nèi)，確保版本更新后系統(tǒng)的穩(wěn)定性和可靠性。其次，在追求快速迭代的過程中，企業(yè)可能忽略重要的測試和驗證步驟，導(dǎo)致新版本的API存在缺陷，引發(fā)故障或中斷。如何保證迭代后業(yè)務(wù)的穩(wěn)定和可用性，成為企業(yè)落地API治理的難點之一，需要投入額外的資源和時4API資產(chǎn)梳理困難API治理中尤為重要的一步便是對企業(yè)擁有的API資產(chǎn)進行全面梳理。然而企業(yè)內(nèi)部API數(shù)量眾多，且往往以不同格式、協(xié)議和技術(shù)標(biāo)準(zhǔn)存在，使得整合和梳理困難重重。企業(yè)在API資產(chǎn)梳理方面缺乏成熟的工具和方法支持，導(dǎo)致企業(yè)在進行API資產(chǎn)梳理時無法快速準(zhǔn)確地識別和跟蹤API的詳細信息，包括API的功能、接口定義、請求和響應(yīng)格式等。缺乏有效的管理工具和方法使得API資產(chǎn)梳理成為企業(yè)落地API5API新興威脅難以防護API治理成功與否的關(guān)鍵考量因素之一便是針對威脅攻擊的安全防護能力是否到位。API的開放性和互聯(lián)性使攻擊者可以利用漏洞和缺陷進行攻擊。此外，由于API技術(shù)的快速發(fā)展和變化，API所面臨的攻擊手段也呈多樣化發(fā)展，常見威脅包括但不限于未經(jīng)授權(quán)訪問、DDoS攻擊、惡意代碼注入等等。API安全防護手段相對滯后，傳統(tǒng)的安全防護方法往往不能及時應(yīng)對新的威脅和攻擊方式。如何針對多樣的威脅進行有效防護，也成為企業(yè)進行API治理的一大難點問題。7二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（一）API治理應(yīng)用推動因素及關(guān)注重點目前，金融、通信、醫(yī)療、政務(wù)、基礎(chǔ)設(shè)施、汽車作。根據(jù)案例收集結(jié)果顯示，不同行業(yè)在API戰(zhàn)略和規(guī)金融、政務(wù)行業(yè)受到監(jiān)管指引和法規(guī)要求的推動，更注重API風(fēng)險管理和數(shù)據(jù)安全，確保安全合規(guī)。通信、軟件和信息服務(wù)行業(yè)往往需要承載和處理大量數(shù)據(jù)，能源行業(yè)受上層決策部署驅(qū)動，需實現(xiàn)綠色數(shù)字化轉(zhuǎn)型，汽車行業(yè)中的API往往更注重安全和功能性要求，例如車輛8二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（二）API治理關(guān)鍵技術(shù)應(yīng)用情況分析企業(yè)在落地API治理時往往根據(jù)不同需求選擇不同的技術(shù)。常見的關(guān)鍵技術(shù)包括1基于智能識別的API資產(chǎn)管理基于智能識別的API資產(chǎn)管理利用人工智能、機器學(xué)習(xí)和自動化技術(shù)，以更高效的方式對API資產(chǎn)進行全面梳理，實現(xiàn)對API資產(chǎn)的掌握。機器學(xué)習(xí)和自然語言處理等技術(shù)可以根據(jù)API的特征、用途和結(jié)構(gòu)將其分類，使得后續(xù)管理更為便捷。在自動識別API資產(chǎn)的同時，還可根據(jù)API的屬性特征差異對各API進行分類，并對同類資產(chǎn)進行統(tǒng)一管控。通過智能識別，API治理平臺或解決方案可以自動掃描并識別企業(yè)內(nèi)部隱藏、未經(jīng)授權(quán)，或零散存在的API資產(chǎn)。除此之外，還可以幫助企業(yè)更加全面地了解其API生態(tài)系統(tǒng)，對API的類型、功能、使用情況和版本信息有全面的掌控。2API標(biāo)準(zhǔn)化文檔管理通過實現(xiàn)API接口的標(biāo)準(zhǔn)化，保障相互關(guān)聯(lián)的系統(tǒng)能夠在同一平臺的規(guī)定范圍內(nèi)進行操作，從而推動相關(guān)開發(fā)和測試的順利進行，并提高接口信息交互效率。關(guān)鍵管理步驟包括制定規(guī)范的文檔格式、進行版本控制、進行文檔權(quán)限控制。制定規(guī)范的文檔格式是指確定并規(guī)范化API文檔的格式和結(jié)構(gòu)，例如使用OpenAPI規(guī)范或Swagger等標(biāo)準(zhǔn)格式，從而使得文檔風(fēng)格統(tǒng)一，提高文檔的可讀性和可維護性。版本控制是指搭建版本控制系統(tǒng)對API文檔進行管理。每次更新或修改API文檔時，都需要提交至版本控制系統(tǒng)，從而確保文檔的歷史版本可追溯和恢復(fù)。文檔權(quán)限控制是指設(shè)定權(quán)限機制，確保只有授權(quán)人員可以訪問和編輯API文檔，有助于保護文檔的安3流量審計及監(jiān)控管理借助流量解析和審計技術(shù)，識別出流轉(zhuǎn)其中的敏感數(shù)據(jù)信息，全面追蹤敏感數(shù)助企業(yè)及時發(fā)掘潛在的安全隱患。具體實施技術(shù)包括實時流量監(jiān)控、性能分析優(yōu)化、異常檢測和告警等三方面。實時流量監(jiān)控是指通過監(jiān)視API的訪問模式、請求量、響9二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察應(yīng)時間等指標(biāo)及時發(fā)現(xiàn)異常問題。性能和分析優(yōu)化是指利用流量監(jiān)控數(shù)據(jù)進行分析，通過分析API響應(yīng)時間、請求量等指標(biāo)，發(fā)現(xiàn)性能瓶頸，從而有針對性的進行優(yōu)化。異常檢測和報警是指API出現(xiàn)異常錯誤或者超出預(yù)設(shè)閾值時，系統(tǒng)能夠及時發(fā)現(xiàn)并進4高效全面的API管理平臺API管理平臺可對從設(shè)計、開發(fā)、測試、發(fā)布、監(jiān)控到下線各個生命階段的接口進行治理，通過搭建全流程規(guī)范體系，提供豐富的API管理工具，幫助企業(yè)高效管理API，降低管理成本。搭建全面高效的API管理平臺包括以下五個關(guān)鍵步驟。首先是制定清晰的API戰(zhàn)略和規(guī)劃。企業(yè)在進行API治理前需要制定與業(yè)務(wù)目標(biāo)和技術(shù)愿景相符合的API戰(zhàn)略，為平臺建設(shè)提供指導(dǎo)。第二是設(shè)計合理的API架構(gòu)，使得API能夠適應(yīng)不同的業(yè)務(wù)場景和需求。第三是持續(xù)的性能優(yōu)化和監(jiān)控，實時追蹤API運行狀態(tài)，確保安全性和穩(wěn)定性。第四是強化安全和合規(guī)性，通過身份認(rèn)證、訪問控制、數(shù)據(jù)加密等措施，確保數(shù)據(jù)安全和合規(guī)性，保護重要數(shù)據(jù)不泄露。第五是持續(xù)改進和創(chuàng)新，根據(jù)用戶反饋和市場變化，優(yōu)化API性能。二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（三）API治理產(chǎn)業(yè)發(fā)展展望在數(shù)字化浪潮下，企業(yè)加速轉(zhuǎn)型步伐，API已成為軟件應(yīng)用間必不可缺的橋梁。而API治理作為確保API安全、高效運行的保障手段，正逐漸成為企業(yè)IT戰(zhàn)略的核心。從安全性到智能化，API治理在未來將持續(xù)創(chuàng)新和進步，為企業(yè)提供更高效、更安全的API管理體驗。新形勢下，對于API治理產(chǎn)業(yè)?治理手段向智能化和自動化方向邁進隨著API數(shù)量的增多，傳統(tǒng)的人工管理方式難以及時對變化中的API資產(chǎn)進行全面管控，API治理手段的自動化和智能化發(fā)展將成為未來發(fā)展趨勢。人工智能和機器學(xué)習(xí)技術(shù)的發(fā)展使得API治理能夠借助更多智能手段，包括智能識別API資產(chǎn)、自動化監(jiān)控和安全審計、智能優(yōu)化API，從而提高治理效率和精度。首先，API治理工具將實現(xiàn)對API的自動化發(fā)現(xiàn)和監(jiān)控，從而減少人工干預(yù)，提高管理效率。其次，智能化API治理將運用機器學(xué)習(xí)和人工智能技術(shù)，自動識別和修復(fù)API的安全漏洞，預(yù)測潛在風(fēng)險，實現(xiàn)智能防護，從而降低數(shù)據(jù)泄露的風(fēng)險。綜上所述，在新興技術(shù)的不斷發(fā)展下，API治理手段也將向智能化和自動化方向邁進，賦能企業(yè)更快速更精準(zhǔn)地管理所有API接口，顯著提高效率，降低通過API治理構(gòu)建更全面的安全防護能力企業(yè)業(yè)務(wù)上云為API治理帶來不容小覷的挑戰(zhàn)，具體挑戰(zhàn)包括授權(quán)和訪問控制難度增大、一致性和標(biāo)準(zhǔn)化挑戰(zhàn)增高、暴露面增多等多個方面。API作為企業(yè)關(guān)鍵信息流動的通道，若不加以有效管理，或?qū)⒊蔀楹诳凸艉蛿?shù)據(jù)泄露的切入點。未來，API治理將不僅局限于性能和可用性管理，更將深入到安全防護層面。一是可以采用API網(wǎng)關(guān)技術(shù)對調(diào)用進行實時監(jiān)控分析，攔截惡意請求。二是結(jié)合身份和訪問管理解決方案，對API訪問實現(xiàn)最小權(quán)限原則。三是借助安全信息和事件管理（SIEM）系統(tǒng)，對安全事件進行集中管理、響應(yīng)和告警，迅速發(fā)現(xiàn)潛在安全威脅。綜上所述，API治理在未來將融合多種手段形成完備的解決方案，為企業(yè)的API進行全方位防護。二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察?API治理戰(zhàn)略重點依據(jù)行業(yè)特點而差異化發(fā)展API治理的戰(zhàn)略關(guān)注重點受到行業(yè)特性和業(yè)務(wù)需求影響，將差異化發(fā)展。API涉及客戶數(shù)據(jù)、交易信息和資金流動等高度敏感內(nèi)容，金融業(yè)對于API的依賴程度不斷加深。金融業(yè)API治理的發(fā)展方向?qū)⒏幼⒅匕踩?、合?guī)性和隱私保護。一方面，金融機構(gòu)需加強API安全防護，采用加密技術(shù)和身份驗證機制確保API調(diào)用過程和使用過程安全。另一方面，需嚴(yán)格遵守法律法規(guī)并滿足API的使用符合監(jiān)管要求。u通信業(yè)擁有海量的用戶數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)，API通常涉及到網(wǎng)絡(luò)傳輸和數(shù)據(jù)處理。隨著5G、邊緣計算等新技術(shù)的發(fā)展，通信網(wǎng)絡(luò)復(fù)雜性日益增高，通信業(yè)API治理的未來發(fā)展方向?qū)⒏幼⒅乜缙脚_互操作性、數(shù)據(jù)隱私保護和開放合作生態(tài)。一方面，API治理將幫助通信企業(yè)實現(xiàn)跨網(wǎng)絡(luò)、跨平臺的服務(wù)互通，另一方面，通信業(yè)的API治理需保障海量數(shù)據(jù)的傳輸安全，保障重要API治理將更加關(guān)注生態(tài)合作與開放創(chuàng)新，通過開放API推動生態(tài)系統(tǒng)的建設(shè)和發(fā)展，激發(fā)創(chuàng)新活力，推動能源行業(yè)的數(shù)字化轉(zhuǎn)型和可持續(xù)發(fā)展。u汽車業(yè)未來API治理趨勢將一方面關(guān)注用戶體驗與個性化服務(wù)，通過API提供的個性化接口服務(wù)，提升用戶體驗，另一方面關(guān)注數(shù)據(jù)安全，保障通過推進API治理標(biāo)準(zhǔn)化建設(shè)，深入實施高質(zhì)量發(fā)展建立基于不同行業(yè)需求的API治理體系標(biāo)準(zhǔn)。在引導(dǎo)和鼓勵企業(yè)深化數(shù)字化業(yè)務(wù)的同時，還應(yīng)鼓勵企業(yè)加快針對API治理新技術(shù)新方法的研究與實踐，推動API治理三、中國信通院API治理相關(guān)工作匯總隨著云計算、大數(shù)據(jù)、人工智能的蓬勃發(fā)展，越來越多的應(yīng)用開發(fā)深度依賴于API之間的相互調(diào)用，API治理受到廣泛重視。與此同時，API也正成為攻擊者重點光顧的目標(biāo)，通過攻擊API來破壞信息系統(tǒng)和竊取數(shù)據(jù)，將成為數(shù)字時代黑產(chǎn)活動最成熟度要求，從API開發(fā)、測試、上線、運維、迭代、下線等各個階段規(guī)范接口安全管理能力，對助力企業(yè)不斷優(yōu)化升級安全技術(shù)，落地API全生命周期安全防護體系具在此背景下，中國信通院云計算標(biāo)準(zhǔn)和開源推進委員會啟動《應(yīng)用程序接口全生命周期安全管理要求》標(biāo)準(zhǔn)編撰工作，該標(biāo)準(zhǔn)適用于發(fā)布、運維、迭代、下線六個方面對安全能力做出規(guī)范要求。標(biāo)準(zhǔn)重點關(guān)注運維階段的API安全，共分為資產(chǎn)管理、安全監(jiān)測、安全防護、API審計四大安全模塊。中國信通院依據(jù)標(biāo)準(zhǔn)《應(yīng)用程序接口全生命周期安全管理要求》開展評估，評估共分為三個等級，分別為基礎(chǔ)級、增強級、先進級。評估可助力企業(yè)識別API管理薄弱環(huán)節(jié)，梳理API安全風(fēng)險，從而提升API安全管理能力，維護企業(yè)信息安全和平穩(wěn)運行。三、中國信通院API治理相關(guān)工作匯總在《應(yīng)用程序接口全生命周期安全管理要求》的基礎(chǔ)上，中國信通院進一步拓寬標(biāo)準(zhǔn)范圍，撰寫了《API治理能力成熟度評價方法》。API治理包含在包含API安全的基礎(chǔ)上，進一步從人員、決策、管理制度、技術(shù)等層面出發(fā)進行能力規(guī)范。未收錄案例總覽中金財富API協(xié)同治理平臺中國中金財富證券有限公司Eolink（深圳市銀云信息技術(shù)有限公司）申能集團API安全治理項目申能（集團）有限公司上海派拉軟件股份有限公司全省一體化API數(shù)據(jù)安全管控某省大數(shù)據(jù)中心五色石（杭州）數(shù)據(jù)技術(shù)有限公司寧波機場智慧飛行區(qū)寧波機場集團有限公司杭州大拙信息技術(shù)有限公司韻達API治理項目上海韻達貨運有限公司瑞數(shù)信息技術(shù)（上海）有限公司平安銀行Arena開發(fā)者平臺平安銀行股份有限公司上汽大眾API統(tǒng)一管理平臺上汽大眾汽車有限公司上海派拉軟件股份有限公司杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項目杭州市臨平區(qū)數(shù)據(jù)資源管理局杭州美創(chuàng)科技股份有限公司智慧醫(yī)院對外服務(wù)API安全持續(xù)改進項目蘇州大學(xué)附屬第一醫(yī)院樂信API安全管控與治理深圳樂信軟件技術(shù)有限公司深圳永安在線科技有限公司蘇州銀行API數(shù)字化治理平臺蘇州銀行股份有限公司Eolink（深圳市銀云信息技術(shù)有限公司）外部數(shù)據(jù)管理平臺國銀金融租賃股份有限公司天聚地合（蘇州）科技股份有限公司API敏感信息風(fēng)險識別某銀行全知科技（杭州）有限責(zé)任公司國投證券服務(wù)化基礎(chǔ)平臺API治理系統(tǒng)國投證券股份有限公司Eolink（深圳市銀云信息技術(shù)有限公司）天翼數(shù)生API資產(chǎn)治理項目天翼數(shù)字生活科技有限公司杭州安恒信息技術(shù)股份有限公司中移在線廣東分公司API安全治理項目中移在線服務(wù)有限公司廣東分公司杭州安恒信息技術(shù)股份有限公司充電業(yè)務(wù)API安全防護國網(wǎng)智慧車聯(lián)網(wǎng)技術(shù)有限公司北京安勝華信科技有限公司風(fēng)控系統(tǒng)接口安全治理上海維信薈智金融科技有限公司全知科技（杭州）有限責(zé)任公司MagADN互聯(lián)網(wǎng)APP零信任建設(shè)方案叮當(dāng)快藥鼐特（北京）信息技術(shù)有限公司商業(yè)銀行API安全監(jiān)測與防護體系某銀行自適應(yīng)云原生API安全治理某公司廣西移動API安全治理案例中國移動通信集團廣西有限公司瑞數(shù)信息技術(shù)（上海）有限公司一、中金財富API協(xié)同治理平臺（深圳市銀云信息技術(shù)有限公司）推公司數(shù)字化轉(zhuǎn)型發(fā)展，如何科學(xué)合理的管理API即變成了一大重要挑戰(zhàn)。為主要面臨的API治理難題理面臨的核心需求點為了解決API管理的問題，中金財富采購API接口管發(fā)建設(shè)，通過該平臺實現(xiàn)統(tǒng)一API管理平臺、API資產(chǎn)管理，API資產(chǎn)開放1.上線統(tǒng)一API管理平臺，建立內(nèi)部項目管控體系一、中金財富API協(xié)同治理平臺2.建設(shè)企業(yè)內(nèi)部API接口規(guī)范，建立API接口模板根據(jù)API接口設(shè)計契約化、重用性、冪等性、事務(wù)最終一致性、可管控、可監(jiān)控原則，通過征求內(nèi)部意見，設(shè)立內(nèi)部的API接口規(guī)范，同時，在API管理平臺API接口模板，不僅提高設(shè)計API文檔的效率，也幫助公司統(tǒng)-規(guī)范了接口的開發(fā)方3.利用平臺功能在線完成接口評審，助力團隊高效協(xié)作借助API管理平臺的評論、變更通知觸發(fā)功能，在線即可完成接口評審。根據(jù)不同角色，平臺支持配置狀態(tài)流轉(zhuǎn)時的通知，狀態(tài)流轉(zhuǎn)到對接，前端可以和后端聯(lián)調(diào)，流轉(zhuǎn)到完成，測試人員可以執(zhí)行測試用例，驗證功能。接口設(shè)計、評審?fù)瓿珊蠛蠖恕⑶岸司梢圆⑿型瓿筛髯缘墓ぷ鳎岸碎_發(fā)人員可以選擇Mock進行測試，測試人員就可以開始編寫接口規(guī)范性的用例，無需相互等待，有效提高團隊4.借助平臺建設(shè)企業(yè)內(nèi)部API開放平臺，提高API資源利用率接口，初步形成API內(nèi)部資產(chǎn)開放，AP（1）有效提升內(nèi)部數(shù)據(jù)和服務(wù)管理的能力。將原本分散在Word、Excel、Swagger等不同工具/平臺的接口信口管理平臺中，管理人員可以了解各個系統(tǒng)的接口統(tǒng)計信息（包括API的數(shù)量/分布/（2）加強敏捷組織協(xié)同，接口開發(fā)更為敏捷。公司各團隊可以使用同一個平臺進行開發(fā)協(xié)作，并基于內(nèi)部的API接口文題，使團隊精力更加專注在了API研發(fā)上，極大降低了團隊溝（3）有效實現(xiàn)了公司API的開放共享。（4）公司內(nèi)部系統(tǒng)API借助內(nèi)部開放平臺共享共建，實現(xiàn)多種層級、一鍵式二、平安銀行Arena開發(fā)者平臺近年來，隨著平安銀行云原生轉(zhuǎn)型的持續(xù)推進，微服務(wù)應(yīng)用量快速上升，API管理的溝通成本與管理成本急劇增高，建立統(tǒng)一API管理平臺，落地API管理需求和規(guī)范的需求更加迫切。為此，平安銀行需要以微服務(wù)框架和網(wǎng)關(guān)為抓手，對服務(wù)的全主要需求4.幫助各研發(fā)團隊實現(xiàn)技術(shù)服務(wù)能力開放可見，避免資源浪費平臺建設(shè)目標(biāo)3.提供低代碼能力，實現(xiàn)標(biāo)準(zhǔn)化及模塊化，提高開發(fā)4.提供在線編碼能力，支持多平臺服務(wù)開發(fā)流程Arena定位為面向全行的一站式云原生開發(fā)者平臺，其通過覆蓋應(yīng)用服務(wù)及組件等資產(chǎn)的全行級API管控，統(tǒng)一規(guī)劃，快速共享；進而建設(shè)全行級的云原生二、平安銀行Arena開發(fā)者平臺平臺主要能力Arena平臺整合納管全行API資源，內(nèi)嵌規(guī)范，打通工作。通過設(shè)計、開發(fā)兩個設(shè)計平臺從契約設(shè)計、應(yīng)用設(shè)計、系統(tǒng)管理三個方面為應(yīng)用系統(tǒng)的設(shè)建立基礎(chǔ)，架構(gòu)人員、開發(fā)人員通過這種標(biāo)準(zhǔn)化、規(guī)范化的設(shè)計，使系統(tǒng)間、系統(tǒng)內(nèi)部的關(guān)系更加清晰，變更更加及時、可見。開發(fā)平臺包含：插件端（基于IDEA）WEB端兩個模塊，使應(yīng)用系統(tǒng)的開發(fā)更加容易，使開發(fā)人員聚焦于業(yè)務(wù)邏輯實現(xiàn)。特點及創(chuàng)新點3.基于微服務(wù)框架進行的功能建設(shè)，實現(xiàn)管理研發(fā)過程組件及SDK累計2萬+；管理架構(gòu)共享能力（200+）服務(wù)，平臺價值三、國投證券服務(wù)化基礎(chǔ)平臺API治理系統(tǒng)（深圳市銀云信息技術(shù)有限公司）系統(tǒng)擁有的API數(shù)量眾多，總API數(shù)量預(yù)計超內(nèi)部API治理工作難題：3.API治理體系不夠全面4.AP求，希望建設(shè)領(lǐng)先的API管理平臺，實現(xiàn)API全生命周期和協(xié)作效率，提升API的安全性與穩(wěn)定性，并且在后續(xù)能夠與國核心需求點此次在國投證券的“平臺化工程”云原生技術(shù)底座AX-PaaS平臺中，Eolink作為一級功能模塊嵌入其中，并且充分利用了國投證券PaaS平臺的接入了鏈路追蹤系統(tǒng)、運維監(jiān)控系統(tǒng)、統(tǒng)一用戶中心等，并且基于分布式架器化部署，為國投全公司IT團隊提供API治理、API對接、API單元測試、A理管理、API調(diào)用鏈路追蹤等功能。為了加速平臺落地及保障實施效果，國投證券梳理當(dāng)前內(nèi)部API治理的情況，將API生命周期劃分為設(shè)計，開發(fā)，對接，測試，發(fā)布三、國投證券服務(wù)化基礎(chǔ)平臺API治理系統(tǒng)在設(shè)計API的階段，平臺將原本線下的API設(shè)計評審會議通過產(chǎn)品功能轉(zhuǎn)變?yōu)榫€上進行，國投團隊的研發(fā)人員可以直接在線發(fā)表評審建議，平臺會知給對應(yīng)的開發(fā)負(fù)責(zé)人上來完善API的設(shè)計。通過在線的方式減少線在開發(fā)、對接階段，因為API資產(chǎn)統(tǒng)一托管在平臺上，因此可以通過API文檔快速生成MockAPI，前端開發(fā)人員只需要通過MockAPI就可以快速對接后端在測試階段，測試人員可以基于API文檔快速創(chuàng)建單元測試用例，API文檔和測用例，并且可以與CI/CD流程結(jié)合，實現(xiàn)單元測試用例的自動化回歸測試工作，并5.可視化讓管理者掌握風(fēng)險信息6.構(gòu)建規(guī)范7.規(guī)范化研發(fā)流程全面提升效能四、維信金科風(fēng)控系統(tǒng)接口安全治理維護。這使得業(yè)務(wù)系統(tǒng)的復(fù)雜度在急劇上升。多元化、復(fù)雜消費金融行業(yè)趨勢，越來越多場景中的應(yīng)用架構(gòu)中采用應(yīng)用些傳輸往往采用API接口的進行對接，一些老舊的信息系失鑒權(quán)，明文傳輸敏感數(shù)據(jù)，加密算法不夠安全等問題，存險，因此維信金科需要工具實現(xiàn)自動化的API接口資產(chǎn)盤等管理，以及通過對API接口的行為審計，建設(shè)對異常數(shù)據(jù)高API接口的安全能力，從而保障業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運3.異常行為快速追溯4.數(shù)據(jù)訪問行為日四、維信金科風(fēng)控系統(tǒng)接口安全治理1.基于HTTP流量自動化的賬號解析通過接口特征自動學(xué)習(xí)出賬號和憑證路徑，根據(jù)對應(yīng)關(guān)2.API接口調(diào)用路徑異常的檢測持續(xù)地從大量的正常用戶的訪問路徑中提取API的調(diào)用關(guān)系，集合；使用異常檢測方法，找出異常的調(diào)用路徑。針對每個應(yīng)用，從大量數(shù)取頻繁調(diào)用路徑，構(gòu)成調(diào)用路徑集合；對調(diào)用路徑序列，使用ngram方法抽取特征，并使用異常檢測算法，識別異常的調(diào)用路徑；持續(xù)地從大量正常的調(diào)用路徑抽取調(diào)用路徑關(guān)系，構(gòu)建調(diào)用關(guān)系集合，然后使用機器學(xué)習(xí)方法，檢測異常路徑，并結(jié)合調(diào)用關(guān)系集合對異常調(diào)用路徑進行再次確認(rèn)，3.基于機器學(xué)習(xí)技術(shù)的數(shù)據(jù)泄漏風(fēng)險檢測4.基于接口畫像的水平越權(quán)訪問敏感數(shù)據(jù)風(fēng)險的檢測在實際業(yè)務(wù)應(yīng)用環(huán)境中，并非所有的API接口都存在水平越權(quán)測性能及告警準(zhǔn)確性，本產(chǎn)品程依據(jù)水平越權(quán)接口的訪問特征，平越權(quán)風(fēng)險的接口及其調(diào)用上下文信息。實時風(fēng)險檢測過程將基基于API風(fēng)險監(jiān)測系統(tǒng)的項目建設(shè)，維信金科共識別發(fā)現(xiàn)619個未接入API網(wǎng)控的影子接口，其中包含40個API接口存在鑒權(quán)隱患。另外發(fā)現(xiàn)有7個短信通知接口整個項目完成上線后，截止2023年11月過持續(xù)運營和接口審計，對業(yè)務(wù)系統(tǒng)和第三方合作系統(tǒng)進行持續(xù)地安全防護，有效五、蘇州銀行API數(shù)字化治理平臺（深圳市銀云信息技術(shù)有限公司)時代的步伐，蘇州銀行內(nèi)部正加快API管理和治理規(guī)范體系的建設(shè)。蘇州銀管理的探討在某種程度上起源于對ESB接口治理的探索。ESB接口架構(gòu)主通訊和協(xié)議轉(zhuǎn)換為導(dǎo)向。鑒于行內(nèi)存在各類系統(tǒng)，涵蓋接口與源碼基線梳接口平臺化流程、EDAS分布式微服務(wù)治理以及建設(shè)安全高效的系統(tǒng)間訪問第三方系統(tǒng)對接等方面，蘇州銀行研發(fā)管理團隊迫切需要一個統(tǒng)一而高效的面臨難題行內(nèi)各類系統(tǒng)，包括接口與源碼基線梳理，同時梳理ESB接口平臺化流程、EDA布式微服務(wù)治理，滿足《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》的標(biāo)準(zhǔn)規(guī)范。方接口的標(biāo)準(zhǔn)化等功能，使得任何互相關(guān)聯(lián)的系統(tǒng)都能在平臺規(guī)則內(nèi)使用。實現(xiàn)所有系統(tǒng)的開發(fā)、測試都能在一個統(tǒng)一平臺上協(xié)作，進行關(guān)聯(lián)開發(fā)與測試，提高接口五、蘇州銀行API數(shù)字化治理平臺API管理、研發(fā)、測試和接口治理、發(fā)布流程。3、API數(shù)字化治理平臺圍繞API文檔，進行開發(fā)AP和運維一體化管理；實現(xiàn)與Devops系統(tǒng)打通，實現(xiàn)接口的自動化與測試數(shù)據(jù)管理平臺、缺陷管理平臺打通，實現(xiàn)A1、API資產(chǎn)統(tǒng)一數(shù)字化管理。API數(shù)字化管理完成蘇州銀行API資產(chǎn)的全面梳理2、API全生命周期統(tǒng)一線上化管理。平臺的場景覆蓋了API的設(shè)計、開放、對組通過規(guī)范化接口過程，補充接口樣例報文13000多個，下線廢棄400多3、API層標(biāo)準(zhǔn)化敏捷研發(fā)能力。構(gòu)建了系統(tǒng)間消費訂閱關(guān)系關(guān)聯(lián)，接口變更導(dǎo)致關(guān)聯(lián)系統(tǒng)影響面分析一目了然；支持線上接口版本對照變更差異能力，以版度的變更直接通知接口消費方；支持接口代碼進行線上開發(fā)、調(diào)試及自動化4、API的平臺化管理優(yōu)化接口研發(fā)流程，圍繞API基線可以拓展便接口自動化5、統(tǒng)一API治理規(guī)范和接入流程。六、國銀金租外部數(shù)據(jù)管理平臺國銀金融租賃股份有限公司天聚地合（蘇州）科技股份有限公司面對金融業(yè)越來越多的外部數(shù)據(jù)接入及管理具體難點一、在數(shù)據(jù)接入方面，無通用性、自動化配置接入功能；開發(fā)人員手工硬編碼方式開發(fā)和調(diào)試接口；接口和接口交互困難；不具有擴展性，不能自適應(yīng)；二、在數(shù)據(jù)加工方面，數(shù)據(jù)庫架構(gòu)由開發(fā)人員根據(jù)經(jīng)驗進行設(shè)計；報文或數(shù)據(jù)字典需要開發(fā)人員解析，需要手工建庫；不支持自動化報開發(fā)人員逐層分析；不支持自動化校驗，只能根據(jù)運行日三、在統(tǒng)一管理層面和重復(fù)接入方面，如業(yè)務(wù)系統(tǒng)自己接入某外部接口，一旦此接口其他業(yè)務(wù)系統(tǒng)也需要，又要接入一次，引入外數(shù)平臺可以很據(jù)接口，形成內(nèi)外部都需要經(jīng)過外數(shù)平臺，也可以很輕松的對所有建立統(tǒng)一的外部數(shù)據(jù)集中管理模式，即“統(tǒng)一采購、統(tǒng)一登記、統(tǒng)一接入、統(tǒng)一資源，重建外部數(shù)據(jù)管理機制，梳理外部數(shù)據(jù)服務(wù)流程，在安全合規(guī)的大前提下，將外部數(shù)據(jù)應(yīng)用于智能營銷、智能運營、智能決策等業(yè)務(wù)場景，充六、國銀金租外部數(shù)據(jù)管理平臺基于分布式而非集中式的計算架構(gòu)，能有效確保整個平臺的吞吐性能、可擴展性、可維護性。通過負(fù)載均衡、異步轉(zhuǎn)發(fā)、高速緩存等技術(shù)，解決性能問題。通過IP限定或密鑰機制，在不增加過高復(fù)雜性的條件下，解決高性能要求下的安全問題。通過高速緩存技術(shù)，將符合權(quán)限條件的數(shù)據(jù)緩存起來，解決復(fù)雜邏輯問題。外部數(shù)據(jù)管理的核心功能需求，包括外源數(shù)理、預(yù)警通知、監(jiān)控統(tǒng)計、數(shù)據(jù)管理、基礎(chǔ)數(shù)據(jù)管理、任務(wù)管理、系統(tǒng)管理等功能系統(tǒng)實現(xiàn)零編碼快速接入，簡化后對內(nèi)標(biāo)準(zhǔn)形成外部數(shù)據(jù)快速接入、快速共享的整體流程，為下游客戶解決企業(yè)內(nèi)部與外部數(shù)據(jù)間的系統(tǒng)互聯(lián)互通問題，快速響應(yīng)業(yè)務(wù)需求，統(tǒng)一下游調(diào)用方式，降低運營成本。通過建設(shè)外部數(shù)據(jù)平臺，一方面提升了公司在外部數(shù)據(jù)的統(tǒng)一管理能力，減少運營投入。二是有效控制和減少了外部數(shù)據(jù)調(diào)用的費用。也為國銀數(shù)字化建設(shè)、數(shù)據(jù)資產(chǎn)化做出積極推進作用，賦能金融機構(gòu)風(fēng)控和營銷能力，提升公司的盈利能力。七、商業(yè)銀行API安全監(jiān)測與防護體系在金融領(lǐng)域，開放銀行服務(wù)模式通過開放API接口，將金融服場景中。在這一背景驅(qū)動之下，金融機構(gòu)API的數(shù)量急劇增長，商業(yè)銀行AP邊界已經(jīng)從封閉的局域網(wǎng)絡(luò)擴展到開放的互聯(lián)網(wǎng)，與之相關(guān)的安全風(fēng)險也在同通過眾多標(biāo)準(zhǔn)化的API來推動銀客互聯(lián)，一般來說開放的接成熟。場景金融的發(fā)展使得API應(yīng)用更加廣泛，其帶來的資資產(chǎn)安全風(fēng)險（2）API資產(chǎn)數(shù)量多、變化快的特點導(dǎo)致資產(chǎn)梳理困難。（一）API安全監(jiān)測與防護體系的功能架構(gòu)為了補充對商業(yè)銀行對互聯(lián)網(wǎng)API資產(chǎn)的識別和風(fēng)險安全監(jiān)測和防護體系，為整體縱深防御體系填補數(shù)據(jù)傳輸層面的安全檢測能力，同時使得傳統(tǒng)IP維度的攻擊行為防護細化到API維度。API安全監(jiān)測與防護體系涵蓋了API資產(chǎn)管理、API安全監(jiān)測和API安全（二）API安全監(jiān)測與防護體系的關(guān)鍵技術(shù)特點API安全資產(chǎn)識別是API資產(chǎn)管理的基石，API監(jiān)測與防護體系對API訪問流量進行解碼分析，通過對HTTP協(xié)議接口的識別，將HTTP流量包進度對API資產(chǎn)進行識別，同時結(jié)合API請求和應(yīng)答雙向數(shù)據(jù)包進行分析，最七、商業(yè)銀行API安全監(jiān)測與防護體系關(guān)鍵技術(shù)之二：基于會話聚合的API異常行為監(jiān)測API會話聚合為API異常監(jiān)測中的關(guān)鍵步驟，通過解析會話中的數(shù)據(jù)、分析對應(yīng)規(guī)則來完成API聚合，從而實現(xiàn)對API關(guān)鍵技術(shù)之三：基于內(nèi)容的API安全風(fēng)險監(jiān)測絡(luò)攻擊，通過解析API內(nèi)容能夠識別并阻止針對API協(xié)議的關(guān)鍵技術(shù)之四：基于動態(tài)防御技術(shù)的API自動化攻擊防護部署應(yīng)用安全動態(tài)防護手段，區(qū)別于依賴特征碼、閾值、補丁、策略測運行環(huán)境，有效識別并精準(zhǔn)阻斷Bots機器人攻擊、信息爬取創(chuàng)新實踐之一：管理和技術(shù)雙管齊下，有機協(xié)同配合API資產(chǎn)作為安全資產(chǎn)的重要組成部分，納入到整體安全資產(chǎn)管理的工作中。從安全資產(chǎn)管理組織、安全資產(chǎn)管理制度、API安全技術(shù)多個與防護體系。將專業(yè)的API安全技術(shù)手段和覆蓋API全生創(chuàng)新實踐之二：基于縱深防御體系下的API安全技術(shù)架構(gòu)針對重點網(wǎng)絡(luò)區(qū)域、重點業(yè)務(wù)系統(tǒng)、重點API進行層層布控，覆蓋API資產(chǎn)識別、活躍度監(jiān)控、API異常監(jiān)測、API攻擊監(jiān)測、API安全安全技術(shù)平臺和安全工具可相互配合滿足多種不同創(chuàng)新實踐之三：豐富的實戰(zhàn)化經(jīng)驗不斷轉(zhuǎn)換補充API安全監(jiān)測和防御體系，在實踐過程中，不斷總結(jié)提煉實踐經(jīng)驗，改進、調(diào)整API安全監(jiān)測和防護的策略，實現(xiàn)動態(tài)的API安全監(jiān)測和防護體系，適應(yīng)持續(xù)演變的（一）提升API安全資產(chǎn)管理能力控API的活躍度，清理僵尸API或影子API，有效收斂某銀行的資產(chǎn)（二）提升API安全監(jiān)測和防護能力構(gòu)建了更細粒度的API數(shù)據(jù)安全和業(yè)務(wù)安全風(fēng)險監(jiān)測場景，持續(xù)開展測規(guī)則優(yōu)化，實現(xiàn)web攻擊類、數(shù)據(jù)泄露類、賬號安全類告警八、API敏感信息風(fēng)險識別用程序接口安全管理規(guī)范》，該《規(guī)范》規(guī)定了商業(yè)銀行應(yīng)用程序接口的類型全級別、安全設(shè)計、安全部署、安全集成、安全運維、服務(wù)終止與系統(tǒng)下線、管理等安全技術(shù)與安全保障要求。某銀行為滿足業(yè)務(wù)發(fā)展和監(jiān)管要求，需API監(jiān)測和敏感信息泄露保護軟件產(chǎn)品。API接口作為網(wǎng)絡(luò)攻擊的主要切入點，在安全攻防中是至關(guān)重要的資產(chǎn)信息，只有對其進行針對性的持續(xù)監(jiān)測與有效防護，才能有效控制AP案采用的知影-API風(fēng)險監(jiān)測系統(tǒng)可以為客戶提供一整套的安全評估、風(fēng)險監(jiān)測、數(shù)據(jù)保護和審計溯源的解決方案，實聯(lián)網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)、測試網(wǎng)的全面覆蓋，能夠快速部署在幾乎所有的網(wǎng)中，滿足行方不同的管理模式需求。為行方提供全生命周期安全管理的核心力支撐，幫助行方增強API資產(chǎn)梳理、API風(fēng)險識別、監(jiān)測能力，提升關(guān)鍵技術(shù)與核心優(yōu)勢部署方案服務(wù)器上部署Agent方式，采集流量至知（2）敏感數(shù)據(jù)識別（4）應(yīng)用層賬號解析八、API敏感信息風(fēng)險識別通過上述解決方案的落地，某國有行已上線5套API風(fēng)險區(qū)與外聯(lián)網(wǎng)區(qū)進出口流量，覆蓋手機銀行、個人網(wǎng)銀、X行（1）掌握互聯(lián)網(wǎng)區(qū)、外聯(lián)網(wǎng)區(qū)API接口現(xiàn)狀，形成全面、準(zhǔn)確、最新的API資產(chǎn)清單：結(jié)合個人網(wǎng)銀、手機銀行等主要系統(tǒng)的業(yè)務(wù)屬性，根據(jù)交易代碼TX_CO對API進行精準(zhǔn)識別，通過識別策略發(fā)現(xiàn)了2000+個通過TX_CODE定義的不同（2）掌握數(shù)據(jù)暴露情況，形成敏感數(shù)據(jù)暴露面清單：通過對應(yīng)敏感接口的定義手機號、銀行卡號、身份證號4元組數(shù)據(jù)標(biāo)簽的數(shù)據(jù)（3）掌握API接口漏洞情況，形成API脆弱性清單，并推動業(yè)務(wù)部門及時整改通過產(chǎn)品的持續(xù)運行，共計發(fā)現(xiàn)100+個API脆弱性問題，并得（4）定制越權(quán)場景監(jiān)測模型，精準(zhǔn)發(fā)現(xiàn)數(shù)起接口上的越權(quán)行為。（5）構(gòu)建API接口生命周期管理、高級風(fēng)險檢測等能力，實現(xiàn)行方業(yè)務(wù)系統(tǒng)在運營過程中的全面的安全防護與預(yù)警，提升銀行業(yè)務(wù)資產(chǎn)的安全系數(shù)和（6）構(gòu)建體系化的數(shù)據(jù)安全保護機制，降低法律法規(guī)合規(guī)風(fēng)險，加強培訓(xùn)教九、廣西移動API安全治理案例隨著數(shù)字化建設(shè)的推進，中國移動通信集團廣西有限公司基于API技術(shù)的業(yè)務(wù)極為廣泛，直接與互聯(lián)網(wǎng)對接的應(yīng)用系統(tǒng)，例如官方網(wǎng)站、網(wǎng)上營業(yè)廳、網(wǎng)上商城、第三方支付、微信小程序和公眾號移動類應(yīng)用等，在數(shù)據(jù)流動、交互過程中使用了API接口作為功能接口，提供數(shù)據(jù)服務(wù)。然而實際應(yīng)用過程中，數(shù)據(jù)的流動、交互在帶來巨大便利的同時也面臨著嚴(yán)重的安全風(fēng)險。存在以下API安全問題：3.API敏感數(shù)據(jù)分級分類困難API安全管控系統(tǒng)通過反向代理模式部署，使用集群模式實現(xiàn)高可用，從API資產(chǎn)發(fā)現(xiàn)、安全檢測、行為檢測、數(shù)據(jù)合規(guī)、統(tǒng)計分析、聯(lián)防聯(lián)控等維度實現(xiàn)API數(shù)據(jù)關(guān)鍵技術(shù)特點主要功能API安全管控系統(tǒng)集以API資產(chǎn)管理為重點、API安全審計為核心，幫助企業(yè)自審計API訪問行為、識別API應(yīng)用缺陷九、廣西移動API安全治理案例主要功能1.資產(chǎn)發(fā)現(xiàn)2.安全檢測支持從Swagger文件、表格等導(dǎo)入API資產(chǎn)，支持對OWASPAPISecurityTop10安全攻擊也可以通過對API流量分析，自動發(fā)現(xiàn)流量中的網(wǎng)站、端口、API資產(chǎn)和敏感接口等，支持自定義API接口規(guī)則，快速、精準(zhǔn)地進行API資產(chǎn)發(fā)現(xiàn)并提供API接口可視化展示。3.行為檢測對API接口的請求、響應(yīng)、參數(shù)和返回值等進行記錄和分析，建立API訪問基線，識別偏離基線和異常的訪問行為。同時，自動識別Bot訪問行為，對Bot類型進行分類，更有效地實現(xiàn)訪問行為審計。5.統(tǒng)計分析API安全管控系統(tǒng)內(nèi)置豐富的API安全報表，底層提供大數(shù)據(jù)分析平臺，無需二次開發(fā)，根據(jù)用戶的個性化需求，快速生成報表，所見即所得。的檢測，從海量訪問中快速發(fā)現(xiàn)和定位安全風(fēng)險事件；，內(nèi)置各種業(yè)務(wù)威脅模型，快速應(yīng)對諸如爬蟲、撞庫等各類業(yè)務(wù)威脅。4.數(shù)據(jù)合規(guī)6.聯(lián)防聯(lián)控API安全管控系統(tǒng)提供了豐富的API接口，同時支持與kafka對接，實現(xiàn)與安全設(shè)備的聯(lián)動，達到聯(lián)防聯(lián)控的目的。1.全方位的威脅與違規(guī)行為發(fā)現(xiàn)能力基于隨機采集多種組合信息，包括設(shè)備指紋、瀏覽器特征，用戶輸入事件等，建模描繪用戶畫像基線發(fā)現(xiàn)未知異常行為，結(jié)合預(yù)置常用業(yè)務(wù)威脅模型和違規(guī)記錄訓(xùn)練精準(zhǔn)識別已知違規(guī)行為，可識別或阻攔絕大多數(shù)惡意請求，實現(xiàn)異常行為監(jiān)測，告警準(zhǔn)確率高達80%，具備告警準(zhǔn)確性自提升能力。2.先進的敏感特征識別能力基于機器學(xué)習(xí)和AI判斷的敏感數(shù)據(jù)識別算法，提高了對敏感數(shù)據(jù)識別的精準(zhǔn)度。默認(rèn)自帶有多種類的敏感數(shù)據(jù)識別策略，覆蓋運營商行業(yè)幾十種常見敏感數(shù)據(jù)的識別，針對性業(yè)務(wù)特點進行敏感數(shù)據(jù)自定義標(biāo)簽化數(shù)據(jù)，幫助用戶快速識別敏感數(shù)據(jù)。1.透視API常見的業(yè)務(wù)威脅，如撞庫、爬蟲等，精準(zhǔn)、快速地識別各類攻擊。防護期間，API安全管控系統(tǒng)梳理并確認(rèn)1500多個API資產(chǎn)，其中被攻擊資2.敏感信息進行自動分級及實時洞察，方便運營商對數(shù)據(jù)及時實施保護措施來降低數(shù)據(jù)的泄露風(fēng)險，加強對數(shù)據(jù)隱私保護。防護期間，API安全管控系統(tǒng)識別到400多個資產(chǎn)存在敏感數(shù)據(jù)，敏感資產(chǎn)占比3.滿足運營商在安全合規(guī)方面的相關(guān)技術(shù)要求，提升在運營商行業(yè)的整體數(shù)據(jù)安全建設(shè)影響力。十、天翼數(shù)生API資產(chǎn)治理項目天翼數(shù)生承載和處理數(shù)以億計的用戶敏感數(shù)據(jù)，如電話號碼、地址信息、賬單數(shù)據(jù)等。API是訪問這些數(shù)據(jù)的主要通道。不合適的API管理可能導(dǎo)致數(shù)據(jù)泄露，影合規(guī)運營的關(guān)鍵所在。然而，天翼數(shù)生API安全治理過程中，面臨1.API數(shù)量激增導(dǎo)致管理困難當(dāng)前的梳理資產(chǎn)的手段主要為業(yè)務(wù)部門通過OA人工上報。由于API數(shù)量非常龐大，新的API頻繁添加，舊的API可能會進行修改或移除，人工上報會消耗大量的時間和人力資源，且容易出現(xiàn)疏漏或錯誤，可能2.API存在可被利用的脆弱性由于API資產(chǎn)數(shù)量龐大且其業(yè)務(wù)相關(guān)性強、變動性大，安全管理部門的運營人員API與應(yīng)用系統(tǒng)安全審計系統(tǒng)彌補了API數(shù)據(jù)安全解決方案的缺失。要確保API的安全，必須先解決API資產(chǎn)管理的問題。API資產(chǎn)管理是指管理API資源和相關(guān)數(shù)據(jù)的過程，在實際應(yīng)用中，由于API數(shù)量的增加和復(fù)雜性的提高，API資產(chǎn)管理變得越來越困難。安恒信息的API與應(yīng)用系統(tǒng)安全審計系統(tǒng)是一款集簡單易用、風(fēng)險監(jiān)測十、天翼數(shù)生API資產(chǎn)治理項目1.從資產(chǎn)梳理的角度看API與應(yīng)用系統(tǒng)安全審計系統(tǒng)填補API數(shù)據(jù)安全解決方案的缺失，能夠自動化、動態(tài)地對Web應(yīng)用資產(chǎn)進行梳理，自動和動態(tài)梳理API可以更好地理解API的結(jié)構(gòu)和功能，并識別API的安全風(fēng)險，幫助企業(yè)更好地保護其API，避免安全漏洞和風(fēng)險?；贏PI劃分引擎，結(jié)合上下文分析自動區(qū)分機機交互的“應(yīng)用API”和人機交互的“應(yīng)用URl”，聚焦傳輸數(shù)據(jù)的API，去除靜態(tài)資源的噪音，識別劃分準(zhǔn)確度達到95%以上，有效提升了API資產(chǎn)的純凈度，使得安全人員更容易運營和管理其API資2.從脆弱性評估的角度看當(dāng)前評估主要依賴掃描器，但是隨著前后端分離、APP等形式的興起，掃描器的覆蓋率和效果都在急劇下降。無法確認(rèn)是否對所有的重要接口都做了必要的安全評估。而API與應(yīng)用系統(tǒng)安全審計系統(tǒng)能夠自動、動態(tài)、全面的對敏感數(shù)據(jù)訪問接口進行多維度的脆弱性評估及風(fēng)險識別，包括但不限于認(rèn)證權(quán)限風(fēng)險、批量操作風(fēng)險、暴露面風(fēng)險、脫敏風(fēng)險等。實時監(jiān)控接口運行中的單因素認(rèn)證、弱密碼、密碼明文統(tǒng)。同時，也對本地業(yè)務(wù)的API網(wǎng)關(guān)的日志進行接入。系統(tǒng)能夠自動梳理API資產(chǎn)，并通過KAFKA推送到公司總部的數(shù)據(jù)安全管理平臺在脆弱性風(fēng)險，發(fā)現(xiàn)了20類主要的脆弱性風(fēng)險。這些風(fēng)險包括但不限于：敏感接口未經(jīng)鑒權(quán)、認(rèn)證令牌有效期過長、水平權(quán)限越界、脫敏策略不一致、敏感接口參數(shù)可遍歷、任意文件讀取、源代碼泄漏、系統(tǒng)信息泄露以及敏感文件3.天翼數(shù)生通過對API資產(chǎn)的清晰梳理和脆弱性評估，及時發(fā)現(xiàn)和解決API中可能存在的安全隱患，有效預(yù)防數(shù)據(jù)泄露，從而大大提高企業(yè)的數(shù)據(jù)安全性，同時滿十一、中移在線廣東分公司API安全治理項目作為一家服務(wù)全網(wǎng)超過9.25億客戶的公司，中移在線擁有大量敏行嚴(yán)格的API安全治理可以有效防止這些數(shù)據(jù)被非法訪問或泄露。然而，中移在線在API安全治理過程中，面臨兩個主要的挑戰(zhàn)：1.提高數(shù)據(jù)泄漏事件應(yīng)急響應(yīng)效率中移在線承擔(dān)著處理用戶在接受電信服務(wù)過程中與電信業(yè)務(wù)經(jīng)營者發(fā)生的爭議的責(zé)任。因此，如何有效處理用戶投訴，特別是涉及個人信息泄露等敏感問題，成為了中移亟待解決的一個重要2.API調(diào)用角色權(quán)限梳理不清隨著企業(yè)的不斷發(fā)展，業(yè)務(wù)系統(tǒng)的復(fù)雜性也隨之增加，并且隨著企業(yè)規(guī)模的擴張，組織結(jié)構(gòu)、崗位和角色也變得越來越復(fù)雜，中移在線同時存在內(nèi)部員工、外包員工、三方合作公司等多個角色。能否有效地監(jiān)測角色的API調(diào)用行為，防止權(quán)限濫用和內(nèi)部數(shù)據(jù)泄露，則成為了一個迫切的需求。杭州安恒信息技術(shù)股份有限公司的API與應(yīng)用系統(tǒng)安全審計系統(tǒng)充分考慮了中移在線在數(shù)據(jù)安全和風(fēng)險管理方面的實際需求，能夠為其提供全面、有效的API數(shù)據(jù)保護，從而極大地提高其業(yè)務(wù)運營效率和AP十一、中移在線廣東分公司API安全治理項目關(guān)鍵功能1.全流量審計與高效溯源數(shù)據(jù)和操作賬號，關(guān)聯(lián)賬號身份和組織架構(gòu)信息，可以追蹤敏感數(shù)據(jù)的來源和去向，以及與敏感數(shù)據(jù)相關(guān)的用戶和組織，這種數(shù)據(jù)監(jiān)控功能可以幫助企業(yè)識別潛在的安中移在線一天核心API的審計日志量達到1億條，如果不對數(shù)據(jù)做截斷處理，在有限的資源情況下難以存儲180+的日志。該系統(tǒng)能夠在不丟失有用信息的前提下壓縮數(shù)據(jù)，能夠用更少空間對原有數(shù)據(jù)進行存儲，提高存儲效率，從而有效的、完整同時系統(tǒng)基于大數(shù)據(jù)分析引擎，通過數(shù)據(jù)預(yù)處理、向量化、標(biāo)準(zhǔn)化和預(yù)聚合等操作，實現(xiàn)了數(shù)據(jù)“隨用隨取”的能力。通過跟蹤用戶操作行為，智能分析當(dāng)前用戶的需求，實現(xiàn)了“按需查詢”和“智能調(diào)度”，在把數(shù)據(jù)快速呈現(xiàn)給用戶的同時，2.數(shù)據(jù)權(quán)限梳理與風(fēng)險監(jiān)測系統(tǒng)通過使用用戶實體行為分析技術(shù)（UEBA）監(jiān)測人員數(shù)號自動解析技術(shù)，自動識別流量中的操作日志用戶身份（IP、賬號），關(guān)聯(lián)賬號身中移在線使用以主體為維度的風(fēng)險監(jiān)測，監(jiān)測主體短時間內(nèi)大量獲取敏感數(shù)據(jù)、訪問頻次異常、異常時間獲取敏感數(shù)據(jù)、數(shù)據(jù)違規(guī)出境、違規(guī)跨域訪問等異常調(diào)用API、客戶信息查詢API，用于發(fā)現(xiàn)API濫用的問題。使用數(shù)據(jù)為維度進行風(fēng)險監(jiān)測，主要以數(shù)據(jù)為線索關(guān)聯(lián)分析相關(guān)API、相關(guān)應(yīng)用、相關(guān)主體等內(nèi)容，自動繪制API風(fēng)險鏈路關(guān)系，結(jié)合線索關(guān)聯(lián)排名分析，可推測出可疑的數(shù)據(jù)泄露路徑，主要用于洞察二次封裝風(fēng)險或者核心數(shù)據(jù)監(jiān)測場景。定位泄漏源API和訪問賬號，并根據(jù)產(chǎn)品的賬號關(guān)聯(lián)定位到個人，實現(xiàn)24H內(nèi)定位泄漏源，顯著提高了公司的應(yīng)急響應(yīng)效率和AP2.治理方案動態(tài)梳理企業(yè)API資產(chǎn)及員工賬號的訪問權(quán)限，發(fā)現(xiàn)未經(jīng)授權(quán)的訪問API20+、非最小化訪問賬號50+，后期通過升級業(yè)務(wù)系統(tǒng)修復(fù)問題，和收斂員工賬號的訪問權(quán)限的方式，有效地降低了API數(shù)據(jù)泄露的風(fēng)險。十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項目杭州市臨平區(qū)數(shù)據(jù)資源管理局杭州美創(chuàng)科技股份有限公司依照浙江省及杭州市相關(guān)規(guī)劃部署，臨平區(qū)初步部署一系列數(shù)據(jù)安全相關(guān)技術(shù)能力，但多以平臺側(cè)安全管理為出發(fā)點，缺少數(shù)據(jù)使用側(cè)監(jiān)管，賦能數(shù)據(jù)運維開發(fā)使一、API接口使用側(cè)監(jiān)管1.數(shù)據(jù)流量獲取由于云環(huán)境無法直接鏡像流量，因此最為有效的流量獲取方式是在部門應(yīng)用服務(wù)2.甄別共享數(shù)據(jù)接口申請方授權(quán)應(yīng)用通過API接口請求數(shù)據(jù)時，API安全監(jiān)測系統(tǒng)通過AP關(guān)Agent劫持返回數(shù)據(jù)，并在返回數(shù)據(jù)中插入具有數(shù)源單位3.用戶畫像通過深度網(wǎng)絡(luò)流量分析技術(shù)對賬戶、IP進行畫像，行為畫像的維度如下：資產(chǎn)維度、身份維度、訪問上下文、數(shù)據(jù)使用方訪4.異常行為識別API安全監(jiān)測系統(tǒng)與API接口網(wǎng)關(guān)對接token解析所需密鑰，agent獲取API流量中5.數(shù)據(jù)泄露風(fēng)險預(yù)警通過Agent獲取各節(jié)點流量后，依托API接口水印識別共享數(shù)據(jù)，依托用戶畫像和6.脆弱性評估規(guī)則自動發(fā)現(xiàn)并展示相關(guān)接口的脆弱性。脆弱性評估包含各API接口是否存在未鑒權(quán)、偽脫敏、可遍歷、過度開放、密碼安全等方面，基于數(shù)據(jù)安全視角，評估接口可能7.異常調(diào)用攔截當(dāng)未授權(quán)應(yīng)用服務(wù)調(diào)用API接口時，對返回內(nèi)容進行分析，通過Agent劫持返回流量，識別返回流量數(shù)據(jù)報文中的數(shù)據(jù)內(nèi)容是否包含水印信息，最終實現(xiàn)攔截未授權(quán)十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項目二、批量數(shù)據(jù)使用側(cè)監(jiān)管3.通過數(shù)盾ETL能力搭載降敏算法完成數(shù)據(jù)降敏服務(wù)，并將數(shù)據(jù)load至降敏數(shù)據(jù)4.部門需回流批量數(shù)據(jù)至本地生產(chǎn)環(huán)境進行數(shù)據(jù)比對、數(shù)據(jù)分析、數(shù)據(jù)建模的先自主通過同步工具回流降敏數(shù)據(jù)，然后按需提交復(fù)敏申請，經(jīng)流程審批后由數(shù)盾5.數(shù)盾完成復(fù)敏操作后，通過消息接口將表結(jié)構(gòu)字段名稱同步至云原生加密引擎，由云原生加密系統(tǒng)執(zhí)行復(fù)敏數(shù)據(jù)加密，并對指定應(yīng)用和工具設(shè)置明文訪問權(quán)限。6.通過權(quán)限管控系統(tǒng)數(shù)據(jù)識別、數(shù)據(jù)管理模塊按建立共享數(shù)據(jù)資產(chǎn)集合，并對集合數(shù)據(jù)進行標(biāo)識化管理，標(biāo)注數(shù)源單位、數(shù)據(jù)使用方信息，并按照申請時遞交的7.依托權(quán)限管控系統(tǒng)數(shù)據(jù)動態(tài)脫敏模塊，實現(xiàn)共享數(shù)據(jù)查詢過程中的隱私化處理，防止數(shù)據(jù)運維、數(shù)據(jù)治理等相關(guān)技術(shù)人員查詢真實數(shù)據(jù)時，數(shù)據(jù)緩存至終端被8.共享數(shù)據(jù)需離線使用時，由數(shù)據(jù)申請人在權(quán)限管控平臺中提交申請，由數(shù)管局人員審核應(yīng)用場景是否合規(guī)后，平臺授權(quán)其共享數(shù)據(jù)的導(dǎo)出權(quán)限并對導(dǎo)出數(shù)據(jù)進行加密保護，同時在數(shù)據(jù)導(dǎo)出申請時簽發(fā)解密密鑰并綁定申請人終端，避免申請人9.當(dāng)共享數(shù)據(jù)以文件形式落地至申請人終端后，申請人通過權(quán)限管控平臺數(shù)據(jù)文件保護模塊，執(zhí)行數(shù)據(jù)文件的加殼處理，按需設(shè)置數(shù)據(jù)文件的使用權(quán)限并通過浙1.非法（未授權(quán)）應(yīng)用智能識別2.接口二次封裝、轉(zhuǎn)發(fā)識別與攔截能力3.共享開放數(shù)據(jù)多節(jié)點密態(tài)存儲4.有效限制批量共享數(shù)據(jù)非法使用十三、某省一體化API數(shù)據(jù)安全管控全省一體化數(shù)據(jù)基礎(chǔ)平臺是某省的資源中樞和能力底座，由省級統(tǒng)籌建設(shè)，省市分級部署，覆蓋省市縣鄉(xiāng)村五級應(yīng)用。一體化平臺圍繞“1+3+3”架構(gòu)體系設(shè)計，即建設(shè)1個統(tǒng)一資源管理平臺，構(gòu)建云管、數(shù)管和用管3個子平臺，健全安全保障、運維運營和標(biāo)準(zhǔn)規(guī)范3個保障支撐體系，并配套完成軟件、硬件及相關(guān)系統(tǒng)集成，建一體化數(shù)據(jù)基礎(chǔ)平臺中，數(shù)據(jù)大多通過接口等方式實現(xiàn)交互應(yīng)用，那么此時就需要對數(shù)據(jù)交互過程進行安全審計和管控，確保數(shù)據(jù)流邊界出口的安全、合規(guī)，實現(xiàn)數(shù)據(jù)交換、交互和流動過程中的可管、可控、可視、可追溯，對數(shù)據(jù)使用方的調(diào)用請求和數(shù)據(jù)提供方的響應(yīng)數(shù)據(jù)進行記錄，對數(shù)據(jù)交互過程進行審計和管控，檢查數(shù)據(jù)使用者的身份識別信息，對于數(shù)據(jù)推送給未知的、未授權(quán)的數(shù)據(jù)使用方進行監(jiān)管等，加強數(shù)據(jù)的有效、安全的應(yīng)用。因此，需要建設(shè)一套數(shù)據(jù)交換共享場景下的通過數(shù)據(jù)探針或者采集鏡像數(shù)據(jù)流量，深度分析數(shù)據(jù)報文，自主發(fā)現(xiàn)數(shù)據(jù)流動十三、某省一體化API數(shù)據(jù)安全管控主要功能通過API數(shù)據(jù)安全管控平臺主動監(jiān)控數(shù)據(jù)交換過程中的應(yīng)用/API中的所有接口，并依據(jù)接口是否包含敏感數(shù)據(jù)，將接口自動分類為普通接口和敏感接口。通過API數(shù)據(jù)安全管控平臺設(shè)定的行為基線、用戶基線、數(shù)據(jù)內(nèi)容基線、協(xié)議基線，自動分析識別異常事件，記錄異常詳情，一旦發(fā)現(xiàn)異常訪問行為、異常數(shù)據(jù)，能夠記錄事件安全能力6.訪實時檢視和風(fēng)險研判7.數(shù)據(jù)字段內(nèi)容審計8.高可用及擴展性9.訪問審計創(chuàng)新點1.無死角無盲區(qū)監(jiān)管根據(jù)部署網(wǎng)絡(luò)節(jié)點（層級）不同，可以采集到不同范圍的網(wǎng)絡(luò)數(shù)據(jù)鏡像流量。聯(lián)合串聯(lián)設(shè)備，可以實現(xiàn)無死角、全鏈路數(shù)據(jù)流轉(zhuǎn)安全監(jiān)管與防護能力。3.字段內(nèi)容驗明正身可以深入接口字段內(nèi)容，對接口的每一個字段進行審計，確保所有字段內(nèi)容合規(guī)合法，確保數(shù)據(jù)需方“業(yè)務(wù)可用”。2.情境驅(qū)動的審計策略基于實際數(shù)據(jù)流動過程中可能存在的異常場景，設(shè)置審計策略，實時監(jiān)控網(wǎng)絡(luò)中流動數(shù)據(jù)的合規(guī)合法性，異常情況能及時發(fā)現(xiàn)并告警、4.數(shù)據(jù)流轉(zhuǎn)態(tài)勢感知動態(tài)實時展示數(shù)據(jù)流動的情況。資產(chǎn)情況可視化、數(shù)據(jù)流動可視化、異常情況可視化、敏感數(shù)據(jù)可視化、溯源分析等內(nèi)容，以讓管理5.基于用戶權(quán)限的資產(chǎn)管理與訪問控制根據(jù)不同的用戶管理權(quán)限，設(shè)置不同的功能和資產(chǎn)權(quán)限。確保不同用戶僅能訪問自己權(quán)限范1.保護業(yè)務(wù)及數(shù)據(jù)安全利用大數(shù)據(jù)流量分析技術(shù)，主動識別敏感數(shù)據(jù)泄露風(fēng)險及常見Web/API攻擊行為，并根據(jù)定義的處置策略進行告警、阻斷，有效預(yù)防或阻止來自內(nèi)外部攻擊，減少損失。3.協(xié)助客戶滿足合規(guī)要求通過自動識別API接口中的各類敏感數(shù)據(jù)，生成敏感數(shù)據(jù)API接口資產(chǎn)地圖，讓管理者及時了解敏感數(shù)據(jù)風(fēng)險態(tài)勢，及時阻止敏感數(shù)據(jù)外泄。同時可按照應(yīng)用、API、IP等維度生成審計報表，讓用戶能及時了解應(yīng)用服務(wù)整體運行與分析狀況，幫助客戶滿足監(jiān)管單位的合規(guī)要求。2.降低API管理成本系統(tǒng)自動并持續(xù)地發(fā)現(xiàn)所有內(nèi)部、外部和第三方應(yīng)用、API，大幅減少人工統(tǒng)計及參與成本，幫助掌握全局應(yīng)用、API資產(chǎn)，降低用戶方管理成本。4.高效溯源審計能力系統(tǒng)記錄完整的數(shù)據(jù)交互日志、異常事件信息，幫助客戶實現(xiàn)數(shù)據(jù)交互及異常事件的全鏈路審計溯源；對風(fēng)險IP進行訪問軌跡追蹤，可全局查看訪問軌跡、訪問數(shù)據(jù)情況，便于分析數(shù)據(jù)泄露情況及攻擊方向；水印溯源能有效進行事后溯源，定位責(zé)任人，震懾不法分子。5.基于用戶權(quán)限的資產(chǎn)管理與訪問控制根據(jù)不同的用戶管理權(quán)限，設(shè)置不同的功能和業(yè)務(wù)數(shù)據(jù)權(quán)限。確保不同用戶僅能訪問自己權(quán)限范圍內(nèi)的功能和相應(yīng)的業(yè)務(wù)數(shù)據(jù)。十四、寧波機場智慧飛行區(qū)飛行區(qū)運行管理中主要存在“四個不夠高效”和“數(shù)據(jù)流轉(zhuǎn)過程中的安全隱患”：一是協(xié)同聯(lián)動不夠高效，二是應(yīng)急處置不夠高效，三是資源調(diào)配不夠高效，1）協(xié)同聯(lián)動不夠高效系統(tǒng)運行孤立化，系統(tǒng)獨立現(xiàn)象嚴(yán)重；信息交互中心化，AOC二傳手現(xiàn)象嚴(yán)重。2）應(yīng)急處置不夠高效3）資源調(diào)配不夠高效保障資源調(diào)度依賴人工，保障效率低，工作差錯高；保障進程管控依賴人工，4）運行監(jiān)管不夠高效人工監(jiān)管為主，缺乏監(jiān)管的廣度、監(jiān)管的深度；事后監(jiān)管為主，缺乏事前的監(jiān)API作為本項目中數(shù)據(jù)流轉(zhuǎn)的主要方式和基礎(chǔ)設(shè)施，在歷來其它項目中被忽視。本次項目建設(shè)除了網(wǎng)絡(luò)安全等級保護三級（單獨項目）外，特意提出使用API安全管通過數(shù)據(jù)探針或者采集鏡像數(shù)據(jù)流量，深度分析數(shù)據(jù)報文，自主發(fā)現(xiàn)數(shù)據(jù)流動基于寧波機場現(xiàn)有網(wǎng)絡(luò)架構(gòu)及統(tǒng)一基礎(chǔ)設(shè)施平臺之上，采用API安全管控系統(tǒng)，建設(shè)實施寧波櫟社國際機場統(tǒng)一數(shù)據(jù)API網(wǎng)關(guān)及管控系統(tǒng)，為機場飛行區(qū)的智慧化管理提供基礎(chǔ)支撐。形成寧波機場各個業(yè)務(wù)系統(tǒng)API資源的統(tǒng)一管理標(biāo)準(zhǔn)與制度，有效API安全管控系統(tǒng)采用分布式架構(gòu)，利用AI/ML、大數(shù)據(jù)和行為關(guān)聯(lián)分算法和技術(shù)打造，由API全生命周期管理、API的數(shù)據(jù)安全管理、API安十四、寧波機場智慧飛行區(qū)主要能力創(chuàng)新點1）基于流量分析的智能API發(fā)現(xiàn)和注冊系統(tǒng)提供內(nèi)置的流量分析模塊，能夠自動檢測部署環(huán)境中的網(wǎng)絡(luò)流量，從中分2）基于人工智能的API自動分類分級系統(tǒng)提供基于樸素貝葉斯算法依據(jù)[分類、標(biāo)簽、敏進行分級概率的計算，實現(xiàn)API智能分類功能，極大提高分類分級的準(zhǔn)確3）基于分級的智能API動態(tài)防護基于業(yè)務(wù)場景經(jīng)驗及相關(guān)的分級規(guī)范，根據(jù)API不同的分級，提供不同的安全防4）基于零信任的API訪問控制提供全局零信任管理機制，一鍵開啟，全局API安全5）基于分類分級和自動化標(biāo)簽的API快速檢索提供基于平臺內(nèi)針對API的分類、分級、標(biāo)簽三要素條件，提供API快速檢索能6）基于API健康信息的自動化限流和熔斷技術(shù)基于API實時健康監(jiān)測情況，提供單個API粒度的流量控制能力，防止由于突發(fā)理清API資產(chǎn)，實現(xiàn)了API的可管可控。納管API：380個。協(xié)同聯(lián)動效率增長：7.23%應(yīng)急處置效率增長：5.82%資源調(diào)配效率增長：4.72%運行監(jiān)管效率增長：10.98%十五、申能集團API安全治理項目鑒于申能集團當(dāng)前數(shù)字化轉(zhuǎn)型及上述API資源現(xiàn)狀，API治理方案的目標(biāo)是建立一套全面、高效、安全的API管理體系，以提升集團信息化建設(shè)水平，優(yōu)化企業(yè)運營1.API資產(chǎn)梳理不清2.API資產(chǎn)缺乏全生命周期管理3.API資產(chǎn)利用率偏低4.API資產(chǎn)調(diào)用無鑒別5.API資源通訊無防護6.API資產(chǎn)風(fēng)險無管控7.API資源服務(wù)無監(jiān)管整體設(shè)計基于微服務(wù)架構(gòu)規(guī)劃，具備AI智能風(fēng)險檢測、易擴展、穩(wěn)定可靠、服檢測、安全行為分析共4大模塊，以API安全為核心，完善API資產(chǎn)發(fā)現(xiàn)、API風(fēng)險檢測、API響應(yīng)處置、API分析溯源等全生命周期安全管控。同時通過完善申能集團內(nèi)部異構(gòu)服務(wù)的接口標(biāo)準(zhǔn)化和統(tǒng)一化，確保接入及訪問API資產(chǎn)的用戶、應(yīng)用身份安全可控，從而實現(xiàn)申能集團對數(shù)據(jù)資源治理、防護十五、申能集團API安全治理項目關(guān)鍵技術(shù)特點API發(fā)現(xiàn)、檢測、防護、響應(yīng)一體化API安全治理：將身份治理與API安全訪問進行結(jié)合，實現(xiàn)API資產(chǎn)的全方位自動識別發(fā)現(xiàn)，API資產(chǎn)自動梳理，對異常行為、威脅行為及敏感字符進行全面的安全檢測，同時自動梳理API資產(chǎn)的風(fēng)險暴露面，形成主要能力創(chuàng)新點1.基于智能風(fēng)險評估模型、大數(shù)據(jù)、網(wǎng)關(guān)引擎，結(jié)合風(fēng)險合規(guī)基線制定，達到風(fēng)險動態(tài)感知、策略精準(zhǔn)下發(fā)、API實時防護，強化企業(yè)對內(nèi)/對外的API接口及服務(wù)，實現(xiàn)網(wǎng)絡(luò)入侵檢測防御、數(shù)據(jù)泄露檢測防御、漏洞利用檢測防御等安全風(fēng)險，建立健全API安全一體化安全保障。2.通過大數(shù)據(jù)統(tǒng)計分析和多模態(tài)算法建模形成資產(chǎn)畫像，利用高級規(guī)則引擎、機器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù)實時探測API輸入數(shù)據(jù)信息，快速發(fā)現(xiàn)API中的敏感數(shù)據(jù)，并對其整體掃描、分類、分級，賦能于數(shù)據(jù)泄露的威脅檢測分析。按周期展示活躍時間分布，按日統(tǒng)計訪問接口數(shù)、使用IP數(shù)、訪問次數(shù)、獲取的去重敏感數(shù)據(jù)量，以及關(guān)聯(lián)的風(fēng)險告警。實現(xiàn)風(fēng)險事件全鏈路的數(shù)據(jù)溯源，查詢賬號數(shù)據(jù)行為軌跡，解決風(fēng)險責(zé)任人定位和追蹤。3.通過AI智能建模、風(fēng)險評估、行為分析相結(jié)合，實時監(jiān)控系統(tǒng)交互過程中的API數(shù)據(jù)流動風(fēng)險，實現(xiàn)API安全異常行為分析和漏洞檢測、入侵檢測、人員風(fēng)險檢測、數(shù)據(jù)風(fēng)險檢測。例如：缺乏安全可視化、多種攻擊隱患、敏感數(shù)據(jù)泄露的風(fēng)險。助力申能集團數(shù)據(jù)安全治理：實時監(jiān)控傳輸過程中的敏感/標(biāo)記/涉密數(shù)據(jù)的泄露/濫用情況，進一步加強對數(shù)據(jù)資產(chǎn)的安全防護，防止敏感數(shù)據(jù)泄露、監(jiān)控數(shù)據(jù)使用情況、及時發(fā)現(xiàn)數(shù)據(jù)濫用行為，幫助企業(yè)完善數(shù)據(jù)管理策略與數(shù)據(jù)資產(chǎn)應(yīng)用體系，十六、國網(wǎng)智慧充電業(yè)務(wù)API安全防護國網(wǎng)智慧車聯(lián)網(wǎng)技術(shù)有限公司北京安勝華信科技有限公司“e充電”是車網(wǎng)公司為用戶精心打造的車生活生態(tài)服務(wù)智能平臺，覆蓋了全國的充電網(wǎng)絡(luò)，提供智能找樁、掃碼充電、行程規(guī)劃、評論互動、即插即充、車電服務(wù)包等多種服務(wù)。隨著“e充電”業(yè)務(wù)的快速發(fā)展，用戶數(shù)及業(yè)務(wù)量的增長迅速，充電業(yè)務(wù)涉及到用戶信息和資金交易，面臨著復(fù)雜多樣的網(wǎng)絡(luò)攻擊風(fēng)險，存在較多的數(shù)據(jù)安全隱患。面臨安全風(fēng)險主要包含：1.業(yè)務(wù)前端攻擊風(fēng)險近年來各種高級逆向技術(shù)都可能導(dǎo)致原有的安全加固防護手段失效，導(dǎo)致APP關(guān)2.交易業(yè)務(wù)篡改風(fēng)險e充電應(yīng)用中存在資金交易業(yè)務(wù)，容易遭受網(wǎng)絡(luò)攻擊、用戶賬戶被盜刷、交易金3.業(yè)務(wù)欺詐風(fēng)險為推廣公司業(yè)務(wù)，e充電各應(yīng)用平臺經(jīng)常會上線促銷業(yè)務(wù)。這部分活動經(jīng)常會遭通過部署API業(yè)務(wù)安全平臺，針對e充電提供APP/小程序/H5客戶端全應(yīng)用渠道的安全監(jiān)測，接入e充電互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用層流量，分析業(yè)務(wù)交互過程中的運行數(shù)據(jù)，實1.在應(yīng)用客戶端部署APP/小程序/H5前端探針，監(jiān)測應(yīng)用運行環(huán)境風(fēng)險，如：應(yīng)用被破解，加解2.在業(yè)務(wù)后臺通過分析業(yè)務(wù)流量，監(jiān)測訪問異常的業(yè)務(wù)請求，如：越權(quán)訪問，認(rèn)證業(yè)務(wù)邏輯被繞過，充值行為異常，業(yè)務(wù)訪問序列異常等，實時發(fā)現(xiàn)安全風(fēng)險。十六、國網(wǎng)智慧充電業(yè)務(wù)API安全防護關(guān)鍵技術(shù)特點及能力1.全渠道應(yīng)用威脅感知通過全應(yīng)用探針技術(shù)，實現(xiàn)全渠道應(yīng)用前端風(fēng)險感知。能夠?qū)崟r感知APP，H5，公眾號，小程序，Web瀏覽器等前端應(yīng)用面臨的安全風(fēng)險，及時發(fā)現(xiàn)惡意訪問行為；同時具備前端設(shè)備標(biāo)識能力，結(jié)合網(wǎng)絡(luò)身份以及用戶身份，解決API訪問身份識別難2.業(yè)務(wù)API安全管理通過自動化技術(shù)手段，對在線業(yè)務(wù)API進行全面資產(chǎn)梳理，根據(jù)其運行時參數(shù)及業(yè)務(wù)數(shù)據(jù)敏感度定義API屬性，標(biāo)記API所屬的系統(tǒng)、網(wǎng)絡(luò)，終端環(huán)境、業(yè)務(wù)類型、3.訪問風(fēng)險實時檢測遵照零信任的安全理念，建立API運行安全基線，從設(shè)備，網(wǎng)絡(luò)，用戶以及訪問參數(shù)各個維度對含敏感信息的API進行運行時風(fēng)險監(jiān)控，形成有效告警機制，建立細通過前端風(fēng)險感知，訪問行為大數(shù)據(jù)分析，AI自動學(xué)習(xí)等先進技術(shù)手段對API進行全方位實時監(jiān)測，有效防止爬蟲，撞庫等惡意自動化具備針對關(guān)鍵業(yè)務(wù)的深度參數(shù)解析及關(guān)聯(lián)接口分析能力，可以有針對性的對越權(quán)，業(yè)務(wù)繞過等典型業(yè)務(wù)邏輯攻擊進行實時防護，保障4.安全風(fēng)險實時處置及審計溯源從運維成本以及安全管理角度出發(fā)，本方案提供自閉環(huán)的安全處置能力，對于檢測到的API安全風(fēng)險，能夠提供多樣化的處置方式，應(yīng)對多樣化的應(yīng)用場景需求，支持如直接阻斷，黑白名單，驗證碼，重定向，蜜罐數(shù)據(jù)等多種處置手段。項目實施部署上線之后，發(fā)現(xiàn)、識別e充電業(yè)務(wù)在線運行API資產(chǎn)共計500+項。API業(yè)務(wù)安全平臺自動化進行了業(yè)務(wù)類型識別、分組；針對每個分組，所監(jiān)測到的典型安全風(fēng)險包括：賬號參數(shù)異常，批量訪問，非活躍/未納管API資產(chǎn)，應(yīng)用APP運行十七、樂信API安全管控與治理樂信業(yè)務(wù)系統(tǒng)繁多，不同類型的系統(tǒng)API資產(chǎn)分散在多套網(wǎng)關(guān)或不經(jīng)過網(wǎng)關(guān)。多套網(wǎng)關(guān)平臺由不同業(yè)務(wù)部門管理，未做統(tǒng)一有效的管理，缺乏安全監(jiān)測及缺陷風(fēng)險分析能力。前期針對API敏感數(shù)據(jù)明文傳輸、未授權(quán)訪問、偽脫敏、弱密碼等風(fēng)險進行定位及溯源過程中，依賴人工排查風(fēng)險的工作量大、成本高且覆因此需要建設(shè)一套用于全流量API動態(tài)風(fēng)險分析和監(jiān)測的平臺，通過接入全流量動態(tài)分析出域名、站點、API的資產(chǎn)，能實時監(jiān)測及檢測API的缺陷和攻擊風(fēng)險并預(yù)載在API之上的涉敏數(shù)據(jù)，并對數(shù)據(jù)進行分級分類，幫助企業(yè)形成清晰的API及數(shù)據(jù)資產(chǎn)視圖，實時評估API存在的缺陷，并結(jié)合外部威情報能力與行為特征規(guī)則分析，幫助企業(yè)感知業(yè)務(wù)API在使用過程中的數(shù)據(jù)泄露及業(yè)務(wù)風(fēng)險事件，并進行及時預(yù)警，提供全流程溯源分析及審計能力，對內(nèi)外部風(fēng)險進行排查、提供依據(jù)，助力企業(yè)實1.API資產(chǎn)可視化-API資產(chǎn)持續(xù)發(fā)現(xiàn)：系統(tǒng)通過對接入流量數(shù)據(jù)進行解析，持續(xù)發(fā)現(xiàn)內(nèi)部、外部及第-API資產(chǎn)智能提?。菏褂脠D模型技術(shù)，對流量中的URL請求進行路徑轉(zhuǎn)義歸類，完十七、樂信API安全管控與治理-涉敏數(shù)據(jù)有效識別：內(nèi)置涉敏數(shù)據(jù)檢測引擎，支持自動識別涉敏數(shù)據(jù)，并進行實2.缺陷評估-缺陷自動評估：構(gòu)建API缺陷檢測引擎，對API交互流量持續(xù)采樣分析，自動發(fā)現(xiàn)-缺陷有效運營：提供缺陷詳情:缺陷說明、缺陷危害、缺陷修復(fù)建議、缺陷觸發(fā)特3.風(fēng)險發(fā)現(xiàn)-風(fēng)險閉環(huán)管理：針對不同類型風(fēng)險提供風(fēng)險詳情，包含事件說明、觸發(fā)規(guī)則、處4.數(shù)據(jù)溯源-系統(tǒng)支持對IP及賬號的訪問日志進行實時查詢，實現(xiàn)安全審計5.數(shù)據(jù)同步-系統(tǒng)支持與第三方平臺進行無縫對接，支持將系統(tǒng)的資產(chǎn)、缺陷事件、風(fēng)險事件6.數(shù)據(jù)概覽-提供多維度的數(shù)據(jù)概覽或者統(tǒng)計功能，包含首頁概覽、API資產(chǎn)統(tǒng)計、賬號資產(chǎn)統(tǒng)計、IP資產(chǎn)統(tǒng)計、缺陷事件統(tǒng)計、風(fēng)險事件統(tǒng)計、預(yù)警事件統(tǒng)計及數(shù)據(jù)溯源統(tǒng)計等。7.事件預(yù)警8.運營報告-系統(tǒng)支持根據(jù)自定義時間段生成API安全運營報告，報告內(nèi)容包含系統(tǒng)總體安全運1.避免API管理盲區(qū)，提升管理效率自動化梳理API22000+，識別涉敏數(shù)據(jù)并建立全量API清單，幫助企業(yè)監(jiān)測2.快速感知未知風(fēng)險，預(yù)防泄密風(fēng)險自動發(fā)現(xiàn)未授權(quán)、越權(quán)訪問、數(shù)據(jù)過度暴露等API安全缺陷，結(jié)合業(yè)內(nèi)領(lǐng)先報和高細粒度的內(nèi)部行為審計，精準(zhǔn)識別API外部攻擊和內(nèi)部員工異常行為，幫助企3.溯源分析攻擊事件，提供有效依據(jù)幫助企業(yè)快速定位內(nèi)部泄密員工使用的泄密通道、泄密內(nèi)容及泄密詳細情況；基于十八、自適應(yīng)云原生API安全治理隨著公司的研發(fā)逐漸向云原生轉(zhuǎn)變，內(nèi)部業(yè)務(wù)的容器微服務(wù)應(yīng)用占比持續(xù)提高，API資產(chǎn)數(shù)量爆發(fā)式增長，帶來管理、安全主要功能API安全治理中心作為上層管理界面，將API安全治理業(yè)務(wù)作為頂層設(shè)計的依據(jù)，以滿足實際業(yè)務(wù)中的風(fēng)險監(jiān)測、安全防護、管理制度、管理規(guī)范、監(jiān)管合規(guī)等需求。各核心功能原子化模塊化，并在agent端進行拓展，其能力涵蓋了API生命周期管理、API資產(chǎn)發(fā)現(xiàn)與識別、業(yè)務(wù)安全、內(nèi)容安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全六個層面功能，各十八、自適應(yīng)云原生API安全治理關(guān)鍵技術(shù)特點主要能力介紹-API生命周期管理。提供API創(chuàng)建、-身份認(rèn)證。內(nèi)置多種身份認(rèn)證方式，包括APIKey、JWT、用戶名密碼等，可根據(jù)安全-行為異常監(jiān)測。以API訪問主體及其訪問行為為監(jiān)測對象，利用行為分析引擎，基于API訪問的上下文情況持續(xù)構(gòu)建API訪問行為基線，對偏離基線的異常請求進行-流量精細控制。對API調(diào)用方按天、小時、分鐘、秒級的時間粒度配置精細化流量控-數(shù)據(jù)合規(guī)監(jiān)測。通過敏感數(shù)據(jù)識別規(guī)則比對方式，監(jiān)測、識別分析敏感數(shù)據(jù)未經(jīng)脫命令執(zhí)行等惡意攻擊，同時對OWASPTop10風(fēng)險進行監(jiān)測-審計與追溯取證。支持從網(wǎng)絡(luò)安全防護、業(yè)務(wù)安全、異常行為、數(shù)據(jù)安全等角度進行審計分析。對API接口業(yè)務(wù)行為進行記錄，方便企業(yè)管理人員進通過實時監(jiān)測API使用情況，識別上線業(yè)務(wù)存在敏感數(shù)據(jù)的API，及時發(fā)現(xiàn)可疑的數(shù)據(jù)泄露、違規(guī)傳輸、異常訪問行為并告警或阻斷，提升公司整體業(yè)務(wù)API的安全性。通過云化交付，靈活對多地資源池進行即開即用部署，較傳統(tǒng)廠商線下交付方式，部十九、叮當(dāng)快藥MagADN互聯(lián)網(wǎng)APP零信任建設(shè)方案叮當(dāng)快藥用戶全國分布廣泛，主要集中在北上廣地區(qū)。數(shù)據(jù)傳輸安全是叮當(dāng)快藥最重視的問題，叮當(dāng)快藥希