四、附錄:API治理應(yīng)用案例匯編（七）醫(yī)療行業(yè)（八）汽車行業(yè)（九）物流運(yùn)輸行業(yè)2前言數(shù)字化時(shí)代下，API（ApplicationProgrammingInterface，應(yīng)用程序接口）作為連接各種應(yīng)用和系統(tǒng)間的橋梁，已經(jīng)成為企業(yè)實(shí)現(xiàn)業(yè)務(wù)上云、提高業(yè)務(wù)效率、拓展攻擊者也針對其開放性和普遍性的特質(zhì)展開威脅和攻擊，導(dǎo)致重大的安全隱患和數(shù)據(jù)泄露風(fēng)險(xiǎn)，對企業(yè)造成嚴(yán)重?fù)p失。為了應(yīng)對層出不窮的新型攻擊手段和各類安全API治理是指對企業(yè)內(nèi)部和外部的應(yīng)用程序接口進(jìn)行規(guī)劃、監(jiān)控、管理和控制的過程。通過API治理，企業(yè)一方面能夠提升業(yè)務(wù)創(chuàng)新效率，另一方面可以確保數(shù)字化在此背景下，中國信息通信研究院云計(jì)算開源產(chǎn)業(yè)聯(lián)盟編寫《API治理應(yīng)用案例匯編（2023）》，聚焦API治理實(shí)踐經(jīng)驗(yàn)，從需求分析、API治理具體方案、應(yīng)用成效等方面出發(fā)匯集我國企業(yè)目前API治理應(yīng)用的優(yōu)秀實(shí)踐案例，跨越金融、通信、能源、軟件和信息服務(wù)等多個(gè)領(lǐng)域。最后，期待本案例集能夠?yàn)闃I(yè)界提供深度洞察和參考，為企業(yè)決策者和從業(yè)者提供實(shí)踐經(jīng)驗(yàn)，助理企業(yè)更好地運(yùn)用API治理，從而推3一、API治理背景及發(fā)展現(xiàn)狀分析（一）云計(jì)算時(shí)代下，API已成為數(shù)字化轉(zhuǎn)型的重要抓手API作為企業(yè)數(shù)字化轉(zhuǎn)型的重要抓手，不僅是系統(tǒng)連接間的工具，提高效率和改善用戶體驗(yàn)的關(guān)鍵因素。隨著數(shù)字化轉(zhuǎn)型的不斷深入，API的作用和重治理和管理視作戰(zhàn)略性工具，加強(qiáng)API治理以全面發(fā)揮其在數(shù)字化轉(zhuǎn)型中的1數(shù)字化進(jìn)程不斷加速，API數(shù)量急劇增長。API作為連接不同軟件應(yīng)用的關(guān)鍵橋梁，為數(shù)據(jù)的傳輸和共享提供了便捷途徑，從而推動(dòng)了數(shù)字化生態(tài)系統(tǒng)的構(gòu)建和發(fā)展。隨著企業(yè)越來越多地采用云計(jì)算、大數(shù)2API為企業(yè)數(shù)字化轉(zhuǎn)型提供靈活性和可拓展性。API可為開發(fā)團(tuán)隊(duì)提供已有的功能模塊，從而幫助企業(yè)快速開發(fā)部署新功能，避免重復(fù)工作。此外，API還可使企業(yè)在不影響現(xiàn)有業(yè)務(wù)系統(tǒng)的情況下，靈活地進(jìn)行業(yè)務(wù)拓展，探索最新市場機(jī)會(huì)。通過API的集成，企業(yè)能夠更加便捷地構(gòu)建和優(yōu)化其數(shù)3API可促進(jìn)跨平臺(tái)和跨系統(tǒng)互聯(lián)互通。API作為連接不同系統(tǒng)和應(yīng)用程序間的通信橋梁，可賦能不同平臺(tái)和系統(tǒng)間數(shù)據(jù)及功能的互聯(lián)互通，從而實(shí)現(xiàn)信息的共享交互。在數(shù)字化轉(zhuǎn)型的過程中，企業(yè)需將現(xiàn)有業(yè)務(wù)和系統(tǒng)遷移上云，API的存在打破了信息孤島，數(shù)據(jù)能夠更為流暢地在平臺(tái)間傳輸，使得系統(tǒng)間的協(xié)同工作更為通暢，從而提升業(yè)務(wù)效4API可助力優(yōu)化用戶體驗(yàn)。通過API的功能集成，用戶可在不同設(shè)備和渠道中獲得一致的用戶體驗(yàn)，無論是網(wǎng)頁、移動(dòng)應(yīng)用或是其他平臺(tái)，都能享受相似的功能服務(wù)。除此之外，API還可滿足個(gè)性化的定制需求，用戶可根據(jù)個(gè)人偏好定制服務(wù)，從而獲取更加符合需求的功能體驗(yàn)。個(gè)性化服務(wù)可大幅提升用戶滿意度和客戶粘度。4一、API治理背景及發(fā)展現(xiàn)狀分析（二）API治理可保障企業(yè)數(shù)字化轉(zhuǎn)型的順暢與安全，通過規(guī)范化管理降本增效，賦能業(yè)務(wù)創(chuàng)新API治理是現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型不可或缺的一部分，涉及規(guī)劃、管理和控制企業(yè)內(nèi)部和外部的應(yīng)用程序接口。API治理有諸多好處，對企業(yè)的發(fā)展和運(yùn)作產(chǎn)生深遠(yuǎn)影1提升數(shù)據(jù)安全性API治理可通過鑒權(quán)管理、權(quán)限控制、審計(jì)與監(jiān)控管理、漏洞修補(bǔ)與更新等多種方式，全面提升數(shù)據(jù)安全性。此類治理措施可有效降低數(shù)據(jù)泄露、未經(jīng)授權(quán)訪問或者惡意攻擊竊取數(shù)據(jù)的風(fēng)險(xiǎn)，為企業(yè)的數(shù)據(jù)安2提升API資產(chǎn)可見性API資產(chǎn)數(shù)量多、變化快，導(dǎo)致企業(yè)API資產(chǎn)梳理困難。隨著信息化建設(shè)的深入和業(yè)務(wù)介入渠道的豐富，企業(yè)內(nèi)部API數(shù)量龐大且分散。與此同時(shí)，快速更迭的業(yè)務(wù)形態(tài)也導(dǎo)致API頻繁變化。API治理可以提升API資產(chǎn)的可見性，對數(shù)量龐大且分散、變化頻繁、監(jiān)控復(fù)雜的應(yīng)用程序接口進(jìn)行統(tǒng)一梳理，幫助企業(yè)了解掌控其API的使用情況、性能表現(xiàn)和變更的詳細(xì)信息。3提升威脅防護(hù)能力API的爆發(fā)式增長在為企業(yè)提供更強(qiáng)大、靈活的數(shù)據(jù)交換和功能擴(kuò)展能力、創(chuàng)造更多商業(yè)機(jī)會(huì)的同時(shí)，也帶來了新的安全挑戰(zhàn)。API接口數(shù)量的增加擴(kuò)大了網(wǎng)絡(luò)受攻擊范圍，導(dǎo)致風(fēng)險(xiǎn)傳導(dǎo)路徑增多。企業(yè)原有的防護(hù)邊界和手段難以應(yīng)對新型威脅。API治理一方面可以助力企業(yè)采取多層次的安全策略和措施抵御新興威脅，另一方面可以通過定期培訓(xùn)提升安全意識(shí)，降低威脅攻擊發(fā)生概率。4降低開發(fā)和維護(hù)成本通過API治理，企業(yè)可以管理標(biāo)準(zhǔn)化的API接口文檔，使不同團(tuán)隊(duì)間能夠更簡易地理解和使用API，從而降低開發(fā)新功能和新服務(wù)的成本。與此同時(shí)，企業(yè)內(nèi)部不同團(tuán)隊(duì)和項(xiàng)目間可以共享API資源，避免重復(fù)開5一、API治理背景及發(fā)展現(xiàn)狀分析（三）API治理面臨多重難點(diǎn)API治理可助力企業(yè)高效管理API資產(chǎn)，解決API繁雜等問題，通過加強(qiáng)針對API的安全管控，加速企業(yè)數(shù)字化轉(zhuǎn)型的步伐。然而，企業(yè)在落地API治理時(shí)仍面臨眾多1技術(shù)復(fù)雜性高企業(yè)內(nèi)部通常存在多種使用不同協(xié)議和數(shù)據(jù)格式的API。統(tǒng)一管理和整合此類API，從技術(shù)角度出發(fā)對企業(yè)而言難度較大，從管理角度出發(fā)則較為復(fù)雜。例如，企業(yè)內(nèi)部不同的API往往采用不同的協(xié)議或架構(gòu)風(fēng)格，包括但不限于REST、SOAP、gRPC等等，因此需要較高的API治理技術(shù)對不同類型的API進(jìn)行統(tǒng)一管理和整合。此外，云時(shí)代的API通常涉及復(fù)雜的業(yè)務(wù)邏輯和數(shù)據(jù)模型，需要與繁多的系統(tǒng)和數(shù)據(jù)庫進(jìn)行頻繁交互。為了保障敏感數(shù)據(jù)的安全，需要企業(yè)持續(xù)對API進(jìn)行監(jiān)控。如何統(tǒng)一API的規(guī)范和標(biāo)準(zhǔn)成為了現(xiàn)代企業(yè)落地API治理的一大難點(diǎn)，需要具備多種技術(shù)能力和管理工具對API進(jìn)行監(jiān)控和統(tǒng)一管控。2跨團(tuán)隊(duì)協(xié)調(diào)溝通難度大企業(yè)內(nèi)部進(jìn)行API治理往往需要涉及多團(tuán)隊(duì)運(yùn)維團(tuán)隊(duì)、安全團(tuán)隊(duì)、業(yè)務(wù)團(tuán)隊(duì)等。各團(tuán)隊(duì)有不同的專業(yè)領(lǐng)域、工作目標(biāo)和工作優(yōu)先級，因此在進(jìn)行企業(yè)級API治理時(shí)難以確保所有團(tuán)隊(duì)協(xié)同工作。首先，不同團(tuán)隊(duì)間的技術(shù)棧存在差異。例如，開發(fā)團(tuán)隊(duì)關(guān)注重點(diǎn)為編寫高質(zhì)量代碼和新功能的實(shí)現(xiàn)，而運(yùn)維團(tuán)隊(duì)則專注于系統(tǒng)的穩(wěn)定性和性能優(yōu)化，導(dǎo)致團(tuán)隊(duì)間在API治理的目標(biāo)和方法上存在分歧。其次，團(tuán)隊(duì)間的溝通協(xié)作機(jī)制亟需完善。由于缺乏有效的溝通渠道和工具，不同團(tuán)隊(duì)間可能存在信息不透明和溝通不順暢的情況，導(dǎo)致API治理過程中的決策和執(zhí)行出現(xiàn)延誤或錯(cuò)誤，進(jìn)而影響項(xiàng)目進(jìn)展。此外，不同團(tuán)隊(duì)的訴求和追求目如何協(xié)調(diào)團(tuán)隊(duì)間的合作溝通成為了企業(yè)級API治理的一大難點(diǎn)，需要構(gòu)建良好的協(xié)作6一、API治理背景及發(fā)展現(xiàn)狀分析3版本迭代速度快維護(hù)和管理不斷更新迭代的API版本對企業(yè)落地API治理是一項(xiàng)不容小覷的挑戰(zhàn)。隨著新興技術(shù)的不斷發(fā)展和市場需求的不斷變化，API版本迭代速度越來越快，版本的快速迭代使得API治理變得更加復(fù)雜和困難。不同版本涉及新功能引入、修改現(xiàn)有功能或修復(fù)錯(cuò)誤，需要企業(yè)持續(xù)跟蹤并管理，對API的文檔、測試和部署進(jìn)行相應(yīng)更新。同時(shí)，不同版本之間的兼容性和互操作性也需要納入考量范圍內(nèi)，確保版本更新后系統(tǒng)的穩(wěn)定性和可靠性。其次，在追求快速迭代的過程中，企業(yè)可能忽略重要的測試和驗(yàn)證步驟，導(dǎo)致新版本的API存在缺陷，引發(fā)故障或中斷。如何保證迭代后業(yè)務(wù)的穩(wěn)定和可用性，成為企業(yè)落地API治理的難點(diǎn)之一，需要投入額外的資源和時(shí)4API資產(chǎn)梳理困難API治理中尤為重要的一步便是對企業(yè)擁有的API資產(chǎn)進(jìn)行全面梳理。然而企業(yè)內(nèi)部API數(shù)量眾多，且往往以不同格式、協(xié)議和技術(shù)標(biāo)準(zhǔn)存在，使得整合和梳理困難重重。企業(yè)在API資產(chǎn)梳理方面缺乏成熟的工具和方法支持，導(dǎo)致企業(yè)在進(jìn)行API資產(chǎn)梳理時(shí)無法快速準(zhǔn)確地識(shí)別和跟蹤API的詳細(xì)信息，包括API的功能、接口定義、請求和響應(yīng)格式等。缺乏有效的管理工具和方法使得API資產(chǎn)梳理成為企業(yè)落地API5API新興威脅難以防護(hù)API治理成功與否的關(guān)鍵考量因素之一便是針對威脅攻擊的安全防護(hù)能力是否到位。API的開放性和互聯(lián)性使攻擊者可以利用漏洞和缺陷進(jìn)行攻擊。此外，由于API技術(shù)的快速發(fā)展和變化，API所面臨的攻擊手段也呈多樣化發(fā)展，常見威脅包括但不限于未經(jīng)授權(quán)訪問、DDoS攻擊、惡意代碼注入等等。API安全防護(hù)手段相對滯后，傳統(tǒng)的安全防護(hù)方法往往不能及時(shí)應(yīng)對新的威脅和攻擊方式。如何針對多樣的威脅進(jìn)行有效防護(hù)，也成為企業(yè)進(jìn)行API治理的一大難點(diǎn)問題。7二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（一）API治理應(yīng)用推動(dòng)因素及關(guān)注重點(diǎn)目前，金融、通信、醫(yī)療、政務(wù)、基礎(chǔ)設(shè)施、汽車作。根據(jù)案例收集結(jié)果顯示，不同行業(yè)在API戰(zhàn)略和規(guī)金融、政務(wù)行業(yè)受到監(jiān)管指引和法規(guī)要求的推動(dòng)，更注重API風(fēng)險(xiǎn)管理和數(shù)據(jù)安全，確保安全合規(guī)。通信、軟件和信息服務(wù)行業(yè)往往需要承載和處理大量數(shù)據(jù)，能源行業(yè)受上層決策部署驅(qū)動(dòng)，需實(shí)現(xiàn)綠色數(shù)字化轉(zhuǎn)型，汽車行業(yè)中的API往往更注重安全和功能性要求，例如車輛8二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（二）API治理關(guān)鍵技術(shù)應(yīng)用情況分析企業(yè)在落地API治理時(shí)往往根據(jù)不同需求選擇不同的技術(shù)。常見的關(guān)鍵技術(shù)包括1基于智能識(shí)別的API資產(chǎn)管理基于智能識(shí)別的API資產(chǎn)管理利用人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化技術(shù)，以更高效的方式對API資產(chǎn)進(jìn)行全面梳理，實(shí)現(xiàn)對API資產(chǎn)的掌握。機(jī)器學(xué)習(xí)和自然語言處理等技術(shù)可以根據(jù)API的特征、用途和結(jié)構(gòu)將其分類，使得后續(xù)管理更為便捷。在自動(dòng)識(shí)別API資產(chǎn)的同時(shí)，還可根據(jù)API的屬性特征差異對各API進(jìn)行分類，并對同類資產(chǎn)進(jìn)行統(tǒng)一管控。通過智能識(shí)別，API治理平臺(tái)或解決方案可以自動(dòng)掃描并識(shí)別企業(yè)內(nèi)部隱藏、未經(jīng)授權(quán)，或零散存在的API資產(chǎn)。除此之外，還可以幫助企業(yè)更加全面地了解其API生態(tài)系統(tǒng)，對API的類型、功能、使用情況和版本信息有全面的掌控。2API標(biāo)準(zhǔn)化文檔管理通過實(shí)現(xiàn)API接口的標(biāo)準(zhǔn)化，保障相互關(guān)聯(lián)的系統(tǒng)能夠在同一平臺(tái)的規(guī)定范圍內(nèi)進(jìn)行操作，從而推動(dòng)相關(guān)開發(fā)和測試的順利進(jìn)行，并提高接口信息交互效率。關(guān)鍵管理步驟包括制定規(guī)范的文檔格式、進(jìn)行版本控制、進(jìn)行文檔權(quán)限控制。制定規(guī)范的文檔格式是指確定并規(guī)范化API文檔的格式和結(jié)構(gòu)，例如使用OpenAPI規(guī)范或Swagger等標(biāo)準(zhǔn)格式，從而使得文檔風(fēng)格統(tǒng)一，提高文檔的可讀性和可維護(hù)性。版本控制是指搭建版本控制系統(tǒng)對API文檔進(jìn)行管理。每次更新或修改API文檔時(shí)，都需要提交至版本控制系統(tǒng)，從而確保文檔的歷史版本可追溯和恢復(fù)。文檔權(quán)限控制是指設(shè)定權(quán)限機(jī)制，確保只有授權(quán)人員可以訪問和編輯API文檔，有助于保護(hù)文檔的安3流量審計(jì)及監(jiān)控管理借助流量解析和審計(jì)技術(shù)，識(shí)別出流轉(zhuǎn)其中的敏感數(shù)據(jù)信息，全面追蹤敏感數(shù)助企業(yè)及時(shí)發(fā)掘潛在的安全隱患。具體實(shí)施技術(shù)包括實(shí)時(shí)流量監(jiān)控、性能分析優(yōu)化、異常檢測和告警等三方面。實(shí)時(shí)流量監(jiān)控是指通過監(jiān)視API的訪問模式、請求量、響9二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察應(yīng)時(shí)間等指標(biāo)及時(shí)發(fā)現(xiàn)異常問題。性能和分析優(yōu)化是指利用流量監(jiān)控?cái)?shù)據(jù)進(jìn)行分析，通過分析API響應(yīng)時(shí)間、請求量等指標(biāo)，發(fā)現(xiàn)性能瓶頸，從而有針對性的進(jìn)行優(yōu)化。異常檢測和報(bào)警是指API出現(xiàn)異常錯(cuò)誤或者超出預(yù)設(shè)閾值時(shí)，系統(tǒng)能夠及時(shí)發(fā)現(xiàn)并進(jìn)4高效全面的API管理平臺(tái)API管理平臺(tái)可對從設(shè)計(jì)、開發(fā)、測試、發(fā)布、監(jiān)控到下線各個(gè)生命階段的接口進(jìn)行治理，通過搭建全流程規(guī)范體系，提供豐富的API管理工具，幫助企業(yè)高效管理API，降低管理成本。搭建全面高效的API管理平臺(tái)包括以下五個(gè)關(guān)鍵步驟。首先是制定清晰的API戰(zhàn)略和規(guī)劃。企業(yè)在進(jìn)行API治理前需要制定與業(yè)務(wù)目標(biāo)和技術(shù)愿景相符合的API戰(zhàn)略，為平臺(tái)建設(shè)提供指導(dǎo)。第二是設(shè)計(jì)合理的API架構(gòu)，使得API能夠適應(yīng)不同的業(yè)務(wù)場景和需求。第三是持續(xù)的性能優(yōu)化和監(jiān)控，實(shí)時(shí)追蹤API運(yùn)行狀態(tài)，確保安全性和穩(wěn)定性。第四是強(qiáng)化安全和合規(guī)性，通過身份認(rèn)證、訪問控制、數(shù)據(jù)加密等措施，確保數(shù)據(jù)安全和合規(guī)性，保護(hù)重要數(shù)據(jù)不泄露。第五是持續(xù)改進(jìn)和創(chuàng)新，根據(jù)用戶反饋和市場變化，優(yōu)化API性能。二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（三）API治理產(chǎn)業(yè)發(fā)展展望在數(shù)字化浪潮下，企業(yè)加速轉(zhuǎn)型步伐，API已成為軟件應(yīng)用間必不可缺的橋梁。而API治理作為確保API安全、高效運(yùn)行的保障手段，正逐漸成為企業(yè)IT戰(zhàn)略的核心。從安全性到智能化，API治理在未來將持續(xù)創(chuàng)新和進(jìn)步，為企業(yè)提供更高效、更安全的API管理體驗(yàn)。新形勢下，對于API治理產(chǎn)業(yè)?治理手段向智能化和自動(dòng)化方向邁進(jìn)隨著API數(shù)量的增多，傳統(tǒng)的人工管理方式難以及時(shí)對變化中的API資產(chǎn)進(jìn)行全面管控，API治理手段的自動(dòng)化和智能化發(fā)展將成為未來發(fā)展趨勢。人工智能和機(jī)器學(xué)習(xí)技術(shù)的發(fā)展使得API治理能夠借助更多智能手段，包括智能識(shí)別API資產(chǎn)、自動(dòng)化監(jiān)控和安全審計(jì)、智能優(yōu)化API，從而提高治理效率和精度。首先，API治理工具將實(shí)現(xiàn)對API的自動(dòng)化發(fā)現(xiàn)和監(jiān)控，從而減少人工干預(yù)，提高管理效率。其次，智能化API治理將運(yùn)用機(jī)器學(xué)習(xí)和人工智能技術(shù)，自動(dòng)識(shí)別和修復(fù)API的安全漏洞，預(yù)測潛在風(fēng)險(xiǎn)，實(shí)現(xiàn)智能防護(hù)，從而降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。綜上所述，在新興技術(shù)的不斷發(fā)展下，API治理手段也將向智能化和自動(dòng)化方向邁進(jìn)，賦能企業(yè)更快速更精準(zhǔn)地管理所有API接口，顯著提高效率，降低通過API治理構(gòu)建更全面的安全防護(hù)能力企業(yè)業(yè)務(wù)上云為API治理帶來不容小覷的挑戰(zhàn)，具體挑戰(zhàn)包括授權(quán)和訪問控制難度增大、一致性和標(biāo)準(zhǔn)化挑戰(zhàn)增高、暴露面增多等多個(gè)方面。API作為企業(yè)關(guān)鍵信息流動(dòng)的通道，若不加以有效管理，或?qū)⒊蔀楹诳凸艉蛿?shù)據(jù)泄露的切入點(diǎn)。未來，API治理將不僅局限于性能和可用性管理，更將深入到安全防護(hù)層面。一是可以采用API網(wǎng)關(guān)技術(shù)對調(diào)用進(jìn)行實(shí)時(shí)監(jiān)控分析，攔截惡意請求。二是結(jié)合身份和訪問管理解決方案，對API訪問實(shí)現(xiàn)最小權(quán)限原則。三是借助安全信息和事件管理（SIEM）系統(tǒng)，對安全事件進(jìn)行集中管理、響應(yīng)和告警，迅速發(fā)現(xiàn)潛在安全威脅。綜上所述，API治理在未來將融合多種手段形成完備的解決方案，為企業(yè)的API進(jìn)行全方位防護(hù)。二、我國企業(yè)API治理及應(yīng)用現(xiàn)狀洞察?API治理戰(zhàn)略重點(diǎn)依據(jù)行業(yè)特點(diǎn)而差異化發(fā)展API治理的戰(zhàn)略關(guān)注重點(diǎn)受到行業(yè)特性和業(yè)務(wù)需求影響，將差異化發(fā)展。API涉及客戶數(shù)據(jù)、交易信息和資金流動(dòng)等高度敏感內(nèi)容，金融業(yè)對于API的依賴程度不斷加深。金融業(yè)API治理的發(fā)展方向?qū)⒏幼⒅匕踩?、合?guī)性和隱私保護(hù)。一方面，金融機(jī)構(gòu)需加強(qiáng)API安全防護(hù)，采用加密技術(shù)和身份驗(yàn)證機(jī)制確保API調(diào)用過程和使用過程安全。另一方面，需嚴(yán)格遵守法律法規(guī)并滿足API的使用符合監(jiān)管要求。u通信業(yè)擁有海量的用戶數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)，API通常涉及到網(wǎng)絡(luò)傳輸和數(shù)據(jù)處理。隨著5G、邊緣計(jì)算等新技術(shù)的發(fā)展，通信網(wǎng)絡(luò)復(fù)雜性日益增高，通信業(yè)API治理的未來發(fā)展方向?qū)⒏幼⒅乜缙脚_(tái)互操作性、數(shù)據(jù)隱私保護(hù)和開放合作生態(tài)。一方面，API治理將幫助通信企業(yè)實(shí)現(xiàn)跨網(wǎng)絡(luò)、跨平臺(tái)的服務(wù)互通，另一方面，通信業(yè)的API治理需保障海量數(shù)據(jù)的傳輸安全，保障重要API治理將更加關(guān)注生態(tài)合作與開放創(chuàng)新，通過開放API推動(dòng)生態(tài)系統(tǒng)的建設(shè)和發(fā)展，激發(fā)創(chuàng)新活力，推動(dòng)能源行業(yè)的數(shù)字化轉(zhuǎn)型和可持續(xù)發(fā)展。u汽車業(yè)未來API治理趨勢將一方面關(guān)注用戶體驗(yàn)與個(gè)性化服務(wù)，通過API提供的個(gè)性化接口服務(wù)，提升用戶體驗(yàn)，另一方面關(guān)注數(shù)據(jù)安全，保障通過推進(jìn)API治理標(biāo)準(zhǔn)化建設(shè)，深入實(shí)施高質(zhì)量發(fā)展建立基于不同行業(yè)需求的API治理體系標(biāo)準(zhǔn)。在引導(dǎo)和鼓勵(lì)企業(yè)深化數(shù)字化業(yè)務(wù)的同時(shí)，還應(yīng)鼓勵(lì)企業(yè)加快針對API治理新技術(shù)新方法的研究與實(shí)踐，推動(dòng)API治理三、中國信通院API治理相關(guān)工作匯總隨著云計(jì)算、大數(shù)據(jù)、人工智能的蓬勃發(fā)展，越來越多的應(yīng)用開發(fā)深度依賴于API之間的相互調(diào)用，API治理受到廣泛重視。與此同時(shí)，API也正成為攻擊者重點(diǎn)光顧的目標(biāo)，通過攻擊API來破壞信息系統(tǒng)和竊取數(shù)據(jù)，將成為數(shù)字時(shí)代黑產(chǎn)活動(dòng)最成熟度要求，從API開發(fā)、測試、上線、運(yùn)維、迭代、下線等各個(gè)階段規(guī)范接口安全管理能力，對助力企業(yè)不斷優(yōu)化升級安全技術(shù)，落地API全生命周期安全防護(hù)體系具在此背景下，中國信通院云計(jì)算標(biāo)準(zhǔn)和開源推進(jìn)委員會(huì)啟動(dòng)《應(yīng)用程序接口全生命周期安全管理要求》標(biāo)準(zhǔn)編撰工作，該標(biāo)準(zhǔn)適用于發(fā)布、運(yùn)維、迭代、下線六個(gè)方面對安全能力做出規(guī)范要求。標(biāo)準(zhǔn)重點(diǎn)關(guān)注運(yùn)維階段的API安全，共分為資產(chǎn)管理、安全監(jiān)測、安全防護(hù)、API審計(jì)四大安全模塊。中國信通院依據(jù)標(biāo)準(zhǔn)《應(yīng)用程序接口全生命周期安全管理要求》開展評估，評估共分為三個(gè)等級，分別為基礎(chǔ)級、增強(qiáng)級、先進(jìn)級。評估可助力企業(yè)識(shí)別API管理薄弱環(huán)節(jié)，梳理API安全風(fēng)險(xiǎn)，從而提升API安全管理能力，維護(hù)企業(yè)信息安全和平穩(wěn)運(yùn)行。三、中國信通院API治理相關(guān)工作匯總在《應(yīng)用程序接口全生命周期安全管理要求》的基礎(chǔ)上，中國信通院進(jìn)一步拓寬標(biāo)準(zhǔn)范圍，撰寫了《API治理能力成熟度評價(jià)方法》。API治理包含在包含API安全的基礎(chǔ)上，進(jìn)一步從人員、決策、管理制度、技術(shù)等層面出發(fā)進(jìn)行能力規(guī)范。未收錄案例總覽中金財(cái)富API協(xié)同治理平臺(tái)中國中金財(cái)富證券有限公司Eolink（深圳市銀云信息技術(shù)有限公司）申能集團(tuán)API安全治理項(xiàng)目申能（集團(tuán)）有限公司上海派拉軟件股份有限公司全省一體化API數(shù)據(jù)安全管控某省大數(shù)據(jù)中心五色石（杭州）數(shù)據(jù)技術(shù)有限公司寧波機(jī)場智慧飛行區(qū)寧波機(jī)場集團(tuán)有限公司杭州大拙信息技術(shù)有限公司韻達(dá)API治理項(xiàng)目上海韻達(dá)貨運(yùn)有限公司瑞數(shù)信息技術(shù)（上海）有限公司平安銀行Arena開發(fā)者平臺(tái)平安銀行股份有限公司上汽大眾API統(tǒng)一管理平臺(tái)上汽大眾汽車有限公司上海派拉軟件股份有限公司杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目杭州市臨平區(qū)數(shù)據(jù)資源管理局杭州美創(chuàng)科技股份有限公司智慧醫(yī)院對外服務(wù)API安全持續(xù)改進(jìn)項(xiàng)目蘇州大學(xué)附屬第一醫(yī)院樂信API安全管控與治理深圳樂信軟件技術(shù)有限公司深圳永安在線科技有限公司蘇州銀行API數(shù)字化治理平臺(tái)蘇州銀行股份有限公司Eolink（深圳市銀云信息技術(shù)有限公司）外部數(shù)據(jù)管理平臺(tái)國銀金融租賃股份有限公司天聚地合（蘇州）科技股份有限公司API敏感信息風(fēng)險(xiǎn)識(shí)別某銀行全知科技（杭州）有限責(zé)任公司國投證券服務(wù)化基礎(chǔ)平臺(tái)API治理系統(tǒng)國投證券股份有限公司Eolink（深圳市銀云信息技術(shù)有限公司）天翼數(shù)生API資產(chǎn)治理項(xiàng)目天翼數(shù)字生活科技有限公司杭州安恒信息技術(shù)股份有限公司中移在線廣東分公司API安全治理項(xiàng)目中移在線服務(wù)有限公司廣東分公司杭州安恒信息技術(shù)股份有限公司充電業(yè)務(wù)API安全防護(hù)國網(wǎng)智慧車聯(lián)網(wǎng)技術(shù)有限公司北京安勝華信科技有限公司風(fēng)控系統(tǒng)接口安全治理上海維信薈智金融科技有限公司全知科技（杭州）有限責(zé)任公司MagADN互聯(lián)網(wǎng)APP零信任建設(shè)方案叮當(dāng)快藥鼐特（北京）信息技術(shù)有限公司商業(yè)銀行API安全監(jiān)測與防護(hù)體系某銀行自適應(yīng)云原生API安全治理某公司廣西移動(dòng)API安全治理案例中國移動(dòng)通信集團(tuán)廣西有限公司瑞數(shù)信息技術(shù)（上海）有限公司一、中金財(cái)富API協(xié)同治理平臺(tái)（深圳市銀云信息技術(shù)有限公司）推公司數(shù)字化轉(zhuǎn)型發(fā)展，如何科學(xué)合理的管理API即變成了一大重要挑戰(zhàn)。為主要面臨的API治理難題理面臨的核心需求點(diǎn)為了解決API管理的問題，中金財(cái)富采購API接口管發(fā)建設(shè)，通過該平臺(tái)實(shí)現(xiàn)統(tǒng)一API管理平臺(tái)、API資產(chǎn)管理，API資產(chǎn)開放1.上線統(tǒng)一API管理平臺(tái)，建立內(nèi)部項(xiàng)目管控體系一、中金財(cái)富API協(xié)同治理平臺(tái)2.建設(shè)企業(yè)內(nèi)部API接口規(guī)范，建立API接口模板根據(jù)API接口設(shè)計(jì)契約化、重用性、冪等性、事務(wù)最終一致性、可管控、可監(jiān)控原則，通過征求內(nèi)部意見，設(shè)立內(nèi)部的API接口規(guī)范，同時(shí)，在API管理平臺(tái)API接口模板，不僅提高設(shè)計(jì)API文檔的效率，也幫助公司統(tǒng)-規(guī)范了接口的開發(fā)方3.利用平臺(tái)功能在線完成接口評審，助力團(tuán)隊(duì)高效協(xié)作借助API管理平臺(tái)的評論、變更通知觸發(fā)功能，在線即可完成接口評審。根據(jù)不同角色，平臺(tái)支持配置狀態(tài)流轉(zhuǎn)時(shí)的通知，狀態(tài)流轉(zhuǎn)到對接，前端可以和后端聯(lián)調(diào)，流轉(zhuǎn)到完成，測試人員可以執(zhí)行測試用例，驗(yàn)證功能。接口設(shè)計(jì)、評審?fù)瓿珊蠛蠖?、前端均可以并行完成各自的工作，前端開發(fā)人員可以選擇Mock進(jìn)行測試，測試人員就可以開始編寫接口規(guī)范性的用例，無需相互等待，有效提高團(tuán)隊(duì)4.借助平臺(tái)建設(shè)企業(yè)內(nèi)部API開放平臺(tái)，提高API資源利用率接口，初步形成API內(nèi)部資產(chǎn)開放，AP（1）有效提升內(nèi)部數(shù)據(jù)和服務(wù)管理的能力。將原本分散在Word、Excel、Swagger等不同工具/平臺(tái)的接口信口管理平臺(tái)中，管理人員可以了解各個(gè)系統(tǒng)的接口統(tǒng)計(jì)信息（包括API的數(shù)量/分布/（2）加強(qiáng)敏捷組織協(xié)同，接口開發(fā)更為敏捷。公司各團(tuán)隊(duì)可以使用同一個(gè)平臺(tái)進(jìn)行開發(fā)協(xié)作，并基于內(nèi)部的API接口文題，使團(tuán)隊(duì)精力更加專注在了API研發(fā)上，極大降低了團(tuán)隊(duì)溝（3）有效實(shí)現(xiàn)了公司API的開放共享。（4）公司內(nèi)部系統(tǒng)API借助內(nèi)部開放平臺(tái)共享共建，實(shí)現(xiàn)多種層級、一鍵式二、平安銀行Arena開發(fā)者平臺(tái)近年來，隨著平安銀行云原生轉(zhuǎn)型的持續(xù)推進(jìn)，微服務(wù)應(yīng)用量快速上升，API管理的溝通成本與管理成本急劇增高，建立統(tǒng)一API管理平臺(tái)，落地API管理需求和規(guī)范的需求更加迫切。為此，平安銀行需要以微服務(wù)框架和網(wǎng)關(guān)為抓手，對服務(wù)的全主要需求4.幫助各研發(fā)團(tuán)隊(duì)實(shí)現(xiàn)技術(shù)服務(wù)能力開放可見，避免資源浪費(fèi)平臺(tái)建設(shè)目標(biāo)3.提供低代碼能力，實(shí)現(xiàn)標(biāo)準(zhǔn)化及模塊化，提高開發(fā)4.提供在線編碼能力，支持多平臺(tái)服務(wù)開發(fā)流程Arena定位為面向全行的一站式云原生開發(fā)者平臺(tái)，其通過覆蓋應(yīng)用服務(wù)及組件等資產(chǎn)的全行級API管控，統(tǒng)一規(guī)劃，快速共享；進(jìn)而建設(shè)全行級的云原生二、平安銀行Arena開發(fā)者平臺(tái)平臺(tái)主要能力Arena平臺(tái)整合納管全行API資源，內(nèi)嵌規(guī)范，打通工作。通過設(shè)計(jì)、開發(fā)兩個(gè)設(shè)計(jì)平臺(tái)從契約設(shè)計(jì)、應(yīng)用設(shè)計(jì)、系統(tǒng)管理三個(gè)方面為應(yīng)用系統(tǒng)的設(shè)建立基礎(chǔ)，架構(gòu)人員、開發(fā)人員通過這種標(biāo)準(zhǔn)化、規(guī)范化的設(shè)計(jì)，使系統(tǒng)間、系統(tǒng)內(nèi)部的關(guān)系更加清晰，變更更加及時(shí)、可見。開發(fā)平臺(tái)包含：插件端（基于IDEA）WEB端兩個(gè)模塊，使應(yīng)用系統(tǒng)的開發(fā)更加容易，使開發(fā)人員聚焦于業(yè)務(wù)邏輯實(shí)現(xiàn)。特點(diǎn)及創(chuàng)新點(diǎn)3.基于微服務(wù)框架進(jìn)行的功能建設(shè)，實(shí)現(xiàn)管理研發(fā)過程組件及SDK累計(jì)2萬+；管理架構(gòu)共享能力（200+）服務(wù)，平臺(tái)價(jià)值三、國投證券服務(wù)化基礎(chǔ)平臺(tái)API治理系統(tǒng)（深圳市銀云信息技術(shù)有限公司）系統(tǒng)擁有的API數(shù)量眾多，總API數(shù)量預(yù)計(jì)超內(nèi)部API治理工作難題：3.API治理體系不夠全面4.AP求，希望建設(shè)領(lǐng)先的API管理平臺(tái)，實(shí)現(xiàn)API全生命周期和協(xié)作效率，提升API的安全性與穩(wěn)定性，并且在后續(xù)能夠與國核心需求點(diǎn)此次在國投證券的“平臺(tái)化工程”云原生技術(shù)底座AX-PaaS平臺(tái)中，Eolink作為一級功能模塊嵌入其中，并且充分利用了國投證券PaaS平臺(tái)的接入了鏈路追蹤系統(tǒng)、運(yùn)維監(jiān)控系統(tǒng)、統(tǒng)一用戶中心等，并且基于分布式架器化部署，為國投全公司IT團(tuán)隊(duì)提供API治理、API對接、API單元測試、A理管理、API調(diào)用鏈路追蹤等功能。為了加速平臺(tái)落地及保障實(shí)施效果，國投證券梳理當(dāng)前內(nèi)部API治理的情況，將API生命周期劃分為設(shè)計(jì)，開發(fā)，對接，測試，發(fā)布三、國投證券服務(wù)化基礎(chǔ)平臺(tái)API治理系統(tǒng)在設(shè)計(jì)API的階段，平臺(tái)將原本線下的API設(shè)計(jì)評審會(huì)議通過產(chǎn)品功能轉(zhuǎn)變?yōu)榫€上進(jìn)行，國投團(tuán)隊(duì)的研發(fā)人員可以直接在線發(fā)表評審建議，平臺(tái)會(huì)知給對應(yīng)的開發(fā)負(fù)責(zé)人上來完善API的設(shè)計(jì)。通過在線的方式減少線在開發(fā)、對接階段，因?yàn)锳PI資產(chǎn)統(tǒng)一托管在平臺(tái)上，因此可以通過API文檔快速生成MockAPI，前端開發(fā)人員只需要通過MockAPI就可以快速對接后端在測試階段，測試人員可以基于API文檔快速創(chuàng)建單元測試用例，API文檔和測用例，并且可以與CI/CD流程結(jié)合，實(shí)現(xiàn)單元測試用例的自動(dòng)化回歸測試工作，并5.可視化讓管理者掌握風(fēng)險(xiǎn)信息6.構(gòu)建規(guī)范7.規(guī)范化研發(fā)流程全面提升效能四、維信金科風(fēng)控系統(tǒng)接口安全治理維護(hù)。這使得業(yè)務(wù)系統(tǒng)的復(fù)雜度在急劇上升。多元化、復(fù)雜消費(fèi)金融行業(yè)趨勢，越來越多場景中的應(yīng)用架構(gòu)中采用應(yīng)用些傳輸往往采用API接口的進(jìn)行對接，一些老舊的信息系失鑒權(quán)，明文傳輸敏感數(shù)據(jù)，加密算法不夠安全等問題，存險(xiǎn)，因此維信金科需要工具實(shí)現(xiàn)自動(dòng)化的API接口資產(chǎn)盤等管理，以及通過對API接口的行為審計(jì)，建設(shè)對異常數(shù)據(jù)高API接口的安全能力，從而保障業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)3.異常行為快速追溯4.數(shù)據(jù)訪問行為日四、維信金科風(fēng)控系統(tǒng)接口安全治理1.基于HTTP流量自動(dòng)化的賬號解析通過接口特征自動(dòng)學(xué)習(xí)出賬號和憑證路徑，根據(jù)對應(yīng)關(guān)2.API接口調(diào)用路徑異常的檢測持續(xù)地從大量的正常用戶的訪問路徑中提取API的調(diào)用關(guān)系，集合；使用異常檢測方法，找出異常的調(diào)用路徑。針對每個(gè)應(yīng)用，從大量數(shù)取頻繁調(diào)用路徑，構(gòu)成調(diào)用路徑集合；對調(diào)用路徑序列，使用ngram方法抽取特征，并使用異常檢測算法，識(shí)別異常的調(diào)用路徑；持續(xù)地從大量正常的調(diào)用路徑抽取調(diào)用路徑關(guān)系，構(gòu)建調(diào)用關(guān)系集合，然后使用機(jī)器學(xué)習(xí)方法，檢測異常路徑，并結(jié)合調(diào)用關(guān)系集合對異常調(diào)用路徑進(jìn)行再次確認(rèn)，3.基于機(jī)器學(xué)習(xí)技術(shù)的數(shù)據(jù)泄漏風(fēng)險(xiǎn)檢測4.基于接口畫像的水平越權(quán)訪問敏感數(shù)據(jù)風(fēng)險(xiǎn)的檢測在實(shí)際業(yè)務(wù)應(yīng)用環(huán)境中，并非所有的API接口都存在水平越權(quán)測性能及告警準(zhǔn)確性，本產(chǎn)品程依據(jù)水平越權(quán)接口的訪問特征，平越權(quán)風(fēng)險(xiǎn)的接口及其調(diào)用上下文信息。實(shí)時(shí)風(fēng)險(xiǎn)檢測過程將基基于API風(fēng)險(xiǎn)監(jiān)測系統(tǒng)的項(xiàng)目建設(shè)，維信金科共識(shí)別發(fā)現(xiàn)619個(gè)未接入API網(wǎng)控的影子接口，其中包含40個(gè)API接口存在鑒權(quán)隱患。另外發(fā)現(xiàn)有7個(gè)短信通知接口整個(gè)項(xiàng)目完成上線后，截止2023年11月過持續(xù)運(yùn)營和接口審計(jì)，對業(yè)務(wù)系統(tǒng)和第三方合作系統(tǒng)進(jìn)行持續(xù)地安全防護(hù)，有效五、蘇州銀行API數(shù)字化治理平臺(tái)（深圳市銀云信息技術(shù)有限公司)時(shí)代的步伐，蘇州銀行內(nèi)部正加快API管理和治理規(guī)范體系的建設(shè)。蘇州銀管理的探討在某種程度上起源于對ESB接口治理的探索。ESB接口架構(gòu)主通訊和協(xié)議轉(zhuǎn)換為導(dǎo)向。鑒于行內(nèi)存在各類系統(tǒng)，涵蓋接口與源碼基線梳接口平臺(tái)化流程、EDAS分布式微服務(wù)治理以及建設(shè)安全高效的系統(tǒng)間訪問第三方系統(tǒng)對接等方面，蘇州銀行研發(fā)管理團(tuán)隊(duì)迫切需要一個(gè)統(tǒng)一而高效的面臨難題行內(nèi)各類系統(tǒng)，包括接口與源碼基線梳理，同時(shí)梳理ESB接口平臺(tái)化流程、EDA布式微服務(wù)治理，滿足《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》的標(biāo)準(zhǔn)規(guī)范。方接口的標(biāo)準(zhǔn)化等功能，使得任何互相關(guān)聯(lián)的系統(tǒng)都能在平臺(tái)規(guī)則內(nèi)使用。實(shí)現(xiàn)所有系統(tǒng)的開發(fā)、測試都能在一個(gè)統(tǒng)一平臺(tái)上協(xié)作，進(jìn)行關(guān)聯(lián)開發(fā)與測試，提高接口五、蘇州銀行API數(shù)字化治理平臺(tái)API管理、研發(fā)、測試和接口治理、發(fā)布流程。3、API數(shù)字化治理平臺(tái)圍繞API文檔，進(jìn)行開發(fā)AP和運(yùn)維一體化管理；實(shí)現(xiàn)與Devops系統(tǒng)打通，實(shí)現(xiàn)接口的自動(dòng)化與測試數(shù)據(jù)管理平臺(tái)、缺陷管理平臺(tái)打通，實(shí)現(xiàn)A1、API資產(chǎn)統(tǒng)一數(shù)字化管理。API數(shù)字化管理完成蘇州銀行API資產(chǎn)的全面梳理2、API全生命周期統(tǒng)一線上化管理。平臺(tái)的場景覆蓋了API的設(shè)計(jì)、開放、對組通過規(guī)范化接口過程，補(bǔ)充接口樣例報(bào)文13000多個(gè)，下線廢棄400多3、API層標(biāo)準(zhǔn)化敏捷研發(fā)能力。構(gòu)建了系統(tǒng)間消費(fèi)訂閱關(guān)系關(guān)聯(lián)，接口變更導(dǎo)致關(guān)聯(lián)系統(tǒng)影響面分析一目了然；支持線上接口版本對照變更差異能力，以版度的變更直接通知接口消費(fèi)方；支持接口代碼進(jìn)行線上開發(fā)、調(diào)試及自動(dòng)化4、API的平臺(tái)化管理優(yōu)化接口研發(fā)流程，圍繞API基線可以拓展便接口自動(dòng)化5、統(tǒng)一API治理規(guī)范和接入流程。六、國銀金租外部數(shù)據(jù)管理平臺(tái)國銀金融租賃股份有限公司天聚地合（蘇州）科技股份有限公司面對金融業(yè)越來越多的外部數(shù)據(jù)接入及管理具體難點(diǎn)一、在數(shù)據(jù)接入方面，無通用性、自動(dòng)化配置接入功能；開發(fā)人員手工硬編碼方式開發(fā)和調(diào)試接口；接口和接口交互困難；不具有擴(kuò)展性，不能自適應(yīng)；二、在數(shù)據(jù)加工方面，數(shù)據(jù)庫架構(gòu)由開發(fā)人員根據(jù)經(jīng)驗(yàn)進(jìn)行設(shè)計(jì)；報(bào)文或數(shù)據(jù)字典需要開發(fā)人員解析，需要手工建庫；不支持自動(dòng)化報(bào)開發(fā)人員逐層分析；不支持自動(dòng)化校驗(yàn)，只能根據(jù)運(yùn)行日三、在統(tǒng)一管理層面和重復(fù)接入方面，如業(yè)務(wù)系統(tǒng)自己接入某外部接口，一旦此接口其他業(yè)務(wù)系統(tǒng)也需要，又要接入一次，引入外數(shù)平臺(tái)可以很據(jù)接口，形成內(nèi)外部都需要經(jīng)過外數(shù)平臺(tái)，也可以很輕松的對所有建立統(tǒng)一的外部數(shù)據(jù)集中管理模式，即“統(tǒng)一采購、統(tǒng)一登記、統(tǒng)一接入、統(tǒng)一資源，重建外部數(shù)據(jù)管理機(jī)制，梳理外部數(shù)據(jù)服務(wù)流程，在安全合規(guī)的大前提下，將外部數(shù)據(jù)應(yīng)用于智能營銷、智能運(yùn)營、智能決策等業(yè)務(wù)場景，充六、國銀金租外部數(shù)據(jù)管理平臺(tái)基于分布式而非集中式的計(jì)算架構(gòu)，能有效確保整個(gè)平臺(tái)的吞吐性能、可擴(kuò)展性、可維護(hù)性。通過負(fù)載均衡、異步轉(zhuǎn)發(fā)、高速緩存等技術(shù)，解決性能問題。通過IP限定或密鑰機(jī)制，在不增加過高復(fù)雜性的條件下，解決高性能要求下的安全問題。通過高速緩存技術(shù)，將符合權(quán)限條件的數(shù)據(jù)緩存起來，解決復(fù)雜邏輯問題。外部數(shù)據(jù)管理的核心功能需求，包括外源數(shù)理、預(yù)警通知、監(jiān)控統(tǒng)計(jì)、數(shù)據(jù)管理、基礎(chǔ)數(shù)據(jù)管理、任務(wù)管理、系統(tǒng)管理等功能系統(tǒng)實(shí)現(xiàn)零編碼快速接入，簡化后對內(nèi)標(biāo)準(zhǔn)形成外部數(shù)據(jù)快速接入、快速共享的整體流程，為下游客戶解決企業(yè)內(nèi)部與外部數(shù)據(jù)間的系統(tǒng)互聯(lián)互通問題，快速響應(yīng)業(yè)務(wù)需求，統(tǒng)一下游調(diào)用方式，降低運(yùn)營成本。通過建設(shè)外部數(shù)據(jù)平臺(tái)，一方面提升了公司在外部數(shù)據(jù)的統(tǒng)一管理能力，減少運(yùn)營投入。二是有效控制和減少了外部數(shù)據(jù)調(diào)用的費(fèi)用。也為國銀數(shù)字化建設(shè)、數(shù)據(jù)資產(chǎn)化做出積極推進(jìn)作用，賦能金融機(jī)構(gòu)風(fēng)控和營銷能力，提升公司的盈利能力。七、商業(yè)銀行API安全監(jiān)測與防護(hù)體系在金融領(lǐng)域，開放銀行服務(wù)模式通過開放API接口，將金融服場景中。在這一背景驅(qū)動(dòng)之下，金融機(jī)構(gòu)API的數(shù)量急劇增長，商業(yè)銀行AP邊界已經(jīng)從封閉的局域網(wǎng)絡(luò)擴(kuò)展到開放的互聯(lián)網(wǎng)，與之相關(guān)的安全風(fēng)險(xiǎn)也在同通過眾多標(biāo)準(zhǔn)化的API來推動(dòng)銀客互聯(lián)，一般來說開放的接成熟。場景金融的發(fā)展使得API應(yīng)用更加廣泛，其帶來的資資產(chǎn)安全風(fēng)險(xiǎn)（2）API資產(chǎn)數(shù)量多、變化快的特點(diǎn)導(dǎo)致資產(chǎn)梳理困難。（一）API安全監(jiān)測與防護(hù)體系的功能架構(gòu)為了補(bǔ)充對商業(yè)銀行對互聯(lián)網(wǎng)API資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)安全監(jiān)測和防護(hù)體系，為整體縱深防御體系填補(bǔ)數(shù)據(jù)傳輸層面的安全檢測能力，同時(shí)使得傳統(tǒng)IP維度的攻擊行為防護(hù)細(xì)化到API維度。API安全監(jiān)測與防護(hù)體系涵蓋了API資產(chǎn)管理、API安全監(jiān)測和API安全（二）API安全監(jiān)測與防護(hù)體系的關(guān)鍵技術(shù)特點(diǎn)API安全資產(chǎn)識(shí)別是API資產(chǎn)管理的基石，API監(jiān)測與防護(hù)體系對API訪問流量進(jìn)行解碼分析，通過對HTTP協(xié)議接口的識(shí)別，將HTTP流量包進(jìn)度對API資產(chǎn)進(jìn)行識(shí)別，同時(shí)結(jié)合API請求和應(yīng)答雙向數(shù)據(jù)包進(jìn)行分析，最七、商業(yè)銀行API安全監(jiān)測與防護(hù)體系關(guān)鍵技術(shù)之二：基于會(huì)話聚合的API異常行為監(jiān)測API會(huì)話聚合為API異常監(jiān)測中的關(guān)鍵步驟，通過解析會(huì)話中的數(shù)據(jù)、分析對應(yīng)規(guī)則來完成API聚合，從而實(shí)現(xiàn)對API關(guān)鍵技術(shù)之三：基于內(nèi)容的API安全風(fēng)險(xiǎn)監(jiān)測絡(luò)攻擊，通過解析API內(nèi)容能夠識(shí)別并阻止針對API協(xié)議的關(guān)鍵技術(shù)之四：基于動(dòng)態(tài)防御技術(shù)的API自動(dòng)化攻擊防護(hù)部署應(yīng)用安全動(dòng)態(tài)防護(hù)手段，區(qū)別于依賴特征碼、閾值、補(bǔ)丁、策略測運(yùn)行環(huán)境，有效識(shí)別并精準(zhǔn)阻斷Bots機(jī)器人攻擊、信息爬取創(chuàng)新實(shí)踐之一：管理和技術(shù)雙管齊下，有機(jī)協(xié)同配合API資產(chǎn)作為安全資產(chǎn)的重要組成部分，納入到整體安全資產(chǎn)管理的工作中。從安全資產(chǎn)管理組織、安全資產(chǎn)管理制度、API安全技術(shù)多個(gè)與防護(hù)體系。將專業(yè)的API安全技術(shù)手段和覆蓋API全生創(chuàng)新實(shí)踐之二：基于縱深防御體系下的API安全技術(shù)架構(gòu)針對重點(diǎn)網(wǎng)絡(luò)區(qū)域、重點(diǎn)業(yè)務(wù)系統(tǒng)、重點(diǎn)API進(jìn)行層層布控，覆蓋API資產(chǎn)識(shí)別、活躍度監(jiān)控、API異常監(jiān)測、API攻擊監(jiān)測、API安全安全技術(shù)平臺(tái)和安全工具可相互配合滿足多種不同創(chuàng)新實(shí)踐之三：豐富的實(shí)戰(zhàn)化經(jīng)驗(yàn)不斷轉(zhuǎn)換補(bǔ)充API安全監(jiān)測和防御體系，在實(shí)踐過程中，不斷總結(jié)提煉實(shí)踐經(jīng)驗(yàn)，改進(jìn)、調(diào)整API安全監(jiān)測和防護(hù)的策略，實(shí)現(xiàn)動(dòng)態(tài)的API安全監(jiān)測和防護(hù)體系，適應(yīng)持續(xù)演變的（一）提升API安全資產(chǎn)管理能力控API的活躍度，清理僵尸API或影子API，有效收斂某銀行的資產(chǎn)（二）提升API安全監(jiān)測和防護(hù)能力構(gòu)建了更細(xì)粒度的API數(shù)據(jù)安全和業(yè)務(wù)安全風(fēng)險(xiǎn)監(jiān)測場景，持續(xù)開展測規(guī)則優(yōu)化，實(shí)現(xiàn)web攻擊類、數(shù)據(jù)泄露類、賬號安全類告警八、API敏感信息風(fēng)險(xiǎn)識(shí)別用程序接口安全管理規(guī)范》，該《規(guī)范》規(guī)定了商業(yè)銀行應(yīng)用程序接口的類型全級別、安全設(shè)計(jì)、安全部署、安全集成、安全運(yùn)維、服務(wù)終止與系統(tǒng)下線、管理等安全技術(shù)與安全保障要求。某銀行為滿足業(yè)務(wù)發(fā)展和監(jiān)管要求，需API監(jiān)測和敏感信息泄露保護(hù)軟件產(chǎn)品。API接口作為網(wǎng)絡(luò)攻擊的主要切入點(diǎn)，在安全攻防中是至關(guān)重要的資產(chǎn)信息，只有對其進(jìn)行針對性的持續(xù)監(jiān)測與有效防護(hù)，才能有效控制AP案采用的知影-API風(fēng)險(xiǎn)監(jiān)測系統(tǒng)可以為客戶提供一整套的安全評估、風(fēng)險(xiǎn)監(jiān)測、數(shù)據(jù)保護(hù)和審計(jì)溯源的解決方案，實(shí)聯(lián)網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)、測試網(wǎng)的全面覆蓋，能夠快速部署在幾乎所有的網(wǎng)中，滿足行方不同的管理模式需求。為行方提供全生命周期安全管理的核心力支撐，幫助行方增強(qiáng)API資產(chǎn)梳理、API風(fēng)險(xiǎn)識(shí)別、監(jiān)測能力，提升關(guān)鍵技術(shù)與核心優(yōu)勢部署方案服務(wù)器上部署Agent方式，采集流量至知（2）敏感數(shù)據(jù)識(shí)別（4）應(yīng)用層賬號解析八、API敏感信息風(fēng)險(xiǎn)識(shí)別通過上述解決方案的落地，某國有行已上線5套API風(fēng)險(xiǎn)區(qū)與外聯(lián)網(wǎng)區(qū)進(jìn)出口流量，覆蓋手機(jī)銀行、個(gè)人網(wǎng)銀、X行（1）掌握互聯(lián)網(wǎng)區(qū)、外聯(lián)網(wǎng)區(qū)API接口現(xiàn)狀，形成全面、準(zhǔn)確、最新的API資產(chǎn)清單：結(jié)合個(gè)人網(wǎng)銀、手機(jī)銀行等主要系統(tǒng)的業(yè)務(wù)屬性，根據(jù)交易代碼TX_CO對API進(jìn)行精準(zhǔn)識(shí)別，通過識(shí)別策略發(fā)現(xiàn)了2000+個(gè)通過TX_CODE定義的不同（2）掌握數(shù)據(jù)暴露情況，形成敏感數(shù)據(jù)暴露面清單：通過對應(yīng)敏感接口的定義手機(jī)號、銀行卡號、身份證號4元組數(shù)據(jù)標(biāo)簽的數(shù)據(jù)（3）掌握API接口漏洞情況，形成API脆弱性清單，并推動(dòng)業(yè)務(wù)部門及時(shí)整改通過產(chǎn)品的持續(xù)運(yùn)行，共計(jì)發(fā)現(xiàn)100+個(gè)API脆弱性問題，并得（4）定制越權(quán)場景監(jiān)測模型，精準(zhǔn)發(fā)現(xiàn)數(shù)起接口上的越權(quán)行為。（5）構(gòu)建API接口生命周期管理、高級風(fēng)險(xiǎn)檢測等能力，實(shí)現(xiàn)行方業(yè)務(wù)系統(tǒng)在運(yùn)營過程中的全面的安全防護(hù)與預(yù)警，提升銀行業(yè)務(wù)資產(chǎn)的安全系數(shù)和（6）構(gòu)建體系化的數(shù)據(jù)安全保護(hù)機(jī)制，降低法律法規(guī)合規(guī)風(fēng)險(xiǎn)，加強(qiáng)培訓(xùn)教九、廣西移動(dòng)API安全治理案例隨著數(shù)字化建設(shè)的推進(jìn)，中國移動(dòng)通信集團(tuán)廣西有限公司基于API技術(shù)的業(yè)務(wù)極為廣泛，直接與互聯(lián)網(wǎng)對接的應(yīng)用系統(tǒng)，例如官方網(wǎng)站、網(wǎng)上營業(yè)廳、網(wǎng)上商城、第三方支付、微信小程序和公眾號移動(dòng)類應(yīng)用等，在數(shù)據(jù)流動(dòng)、交互過程中使用了API接口作為功能接口，提供數(shù)據(jù)服務(wù)。然而實(shí)際應(yīng)用過程中，數(shù)據(jù)的流動(dòng)、交互在帶來巨大便利的同時(shí)也面臨著嚴(yán)重的安全風(fēng)險(xiǎn)。存在以下API安全問題：3.API敏感數(shù)據(jù)分級分類困難API安全管控系統(tǒng)通過反向代理模式部署，使用集群模式實(shí)現(xiàn)高可用，從API資產(chǎn)發(fā)現(xiàn)、安全檢測、行為檢測、數(shù)據(jù)合規(guī)、統(tǒng)計(jì)分析、聯(lián)防聯(lián)控等維度實(shí)現(xiàn)API數(shù)據(jù)關(guān)鍵技術(shù)特點(diǎn)主要功能API安全管控系統(tǒng)集以API資產(chǎn)管理為重點(diǎn)、API安全審計(jì)為核心，幫助企業(yè)自審計(jì)API訪問行為、識(shí)別API應(yīng)用缺陷九、廣西移動(dòng)API安全治理案例主要功能1.資產(chǎn)發(fā)現(xiàn)2.安全檢測支持從Swagger文件、表格等導(dǎo)入API資產(chǎn)，支持對OWASPAPISecurityTop10安全攻擊也可以通過對API流量分析，自動(dòng)發(fā)現(xiàn)流量中的網(wǎng)站、端口、API資產(chǎn)和敏感接口等，支持自定義API接口規(guī)則，快速、精準(zhǔn)地進(jìn)行API資產(chǎn)發(fā)現(xiàn)并提供API接口可視化展示。3.行為檢測對API接口的請求、響應(yīng)、參數(shù)和返回值等進(jìn)行記錄和分析，建立API訪問基線，識(shí)別偏離基線和異常的訪問行為。同時(shí)，自動(dòng)識(shí)別Bot訪問行為，對Bot類型進(jìn)行分類，更有效地實(shí)現(xiàn)訪問行為審計(jì)。5.統(tǒng)計(jì)分析API安全管控系統(tǒng)內(nèi)置豐富的API安全報(bào)表，底層提供大數(shù)據(jù)分析平臺(tái)，無需二次開發(fā)，根據(jù)用戶的個(gè)性化需求，快速生成報(bào)表，所見即所得。的檢測，從海量訪問中快速發(fā)現(xiàn)和定位安全風(fēng)險(xiǎn)事件；，內(nèi)置各種業(yè)務(wù)威脅模型，快速應(yīng)對諸如爬蟲、撞庫等各類業(yè)務(wù)威脅。4.數(shù)據(jù)合規(guī)6.聯(lián)防聯(lián)控API安全管控系統(tǒng)提供了豐富的API接口，同時(shí)支持與kafka對接，實(shí)現(xiàn)與安全設(shè)備的聯(lián)動(dòng)，達(dá)到聯(lián)防聯(lián)控的目的。1.全方位的威脅與違規(guī)行為發(fā)現(xiàn)能力基于隨機(jī)采集多種組合信息，包括設(shè)備指紋、瀏覽器特征，用戶輸入事件等，建模描繪用戶畫像基線發(fā)現(xiàn)未知異常行為，結(jié)合預(yù)置常用業(yè)務(wù)威脅模型和違規(guī)記錄訓(xùn)練精準(zhǔn)識(shí)別已知違規(guī)行為，可識(shí)別或阻攔絕大多數(shù)惡意請求，實(shí)現(xiàn)異常行為監(jiān)測，告警準(zhǔn)確率高達(dá)80%，具備告警準(zhǔn)確性自提升能力。2.先進(jìn)的敏感特征識(shí)別能力基于機(jī)器學(xué)習(xí)和AI判斷的敏感數(shù)據(jù)識(shí)別算法，提高了對敏感數(shù)據(jù)識(shí)別的精準(zhǔn)度。默認(rèn)自帶有多種類的敏感數(shù)據(jù)識(shí)別策略，覆蓋運(yùn)營商行業(yè)幾十種常見敏感數(shù)據(jù)的識(shí)別，針對性業(yè)務(wù)特點(diǎn)進(jìn)行敏感數(shù)據(jù)自定義標(biāo)簽化數(shù)據(jù)，幫助用戶快速識(shí)別敏感數(shù)據(jù)。1.透視API常見的業(yè)務(wù)威脅，如撞庫、爬蟲等，精準(zhǔn)、快速地識(shí)別各類攻擊。防護(hù)期間，API安全管控系統(tǒng)梳理并確認(rèn)1500多個(gè)API資產(chǎn)，其中被攻擊資2.敏感信息進(jìn)行自動(dòng)分級及實(shí)時(shí)洞察，方便運(yùn)營商對數(shù)據(jù)及時(shí)實(shí)施保護(hù)措施來降低數(shù)據(jù)的泄露風(fēng)險(xiǎn)，加強(qiáng)對數(shù)據(jù)隱私保護(hù)。防護(hù)期間，API安全管控系統(tǒng)識(shí)別到400多個(gè)資產(chǎn)存在敏感數(shù)據(jù)，敏感資產(chǎn)占比3.滿足運(yùn)營商在安全合規(guī)方面的相關(guān)技術(shù)要求，提升在運(yùn)營商行業(yè)的整體數(shù)據(jù)安全建設(shè)影響力。十、天翼數(shù)生API資產(chǎn)治理項(xiàng)目天翼數(shù)生承載和處理數(shù)以億計(jì)的用戶敏感數(shù)據(jù)，如電話號碼、地址信息、賬單數(shù)據(jù)等。API是訪問這些數(shù)據(jù)的主要通道。不合適的API管理可能導(dǎo)致數(shù)據(jù)泄露，影合規(guī)運(yùn)營的關(guān)鍵所在。然而，天翼數(shù)生API安全治理過程中，面臨1.API數(shù)量激增導(dǎo)致管理困難當(dāng)前的梳理資產(chǎn)的手段主要為業(yè)務(wù)部門通過OA人工上報(bào)。由于API數(shù)量非常龐大，新的API頻繁添加，舊的API可能會(huì)進(jìn)行修改或移除，人工上報(bào)會(huì)消耗大量的時(shí)間和人力資源，且容易出現(xiàn)疏漏或錯(cuò)誤，可能2.API存在可被利用的脆弱性由于API資產(chǎn)數(shù)量龐大且其業(yè)務(wù)相關(guān)性強(qiáng)、變動(dòng)性大，安全管理部門的運(yùn)營人員API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)彌補(bǔ)了API數(shù)據(jù)安全解決方案的缺失。要確保API的安全，必須先解決API資產(chǎn)管理的問題。API資產(chǎn)管理是指管理API資源和相關(guān)數(shù)據(jù)的過程，在實(shí)際應(yīng)用中，由于API數(shù)量的增加和復(fù)雜性的提高，API資產(chǎn)管理變得越來越困難。安恒信息的API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)是一款集簡單易用、風(fēng)險(xiǎn)監(jiān)測十、天翼數(shù)生API資產(chǎn)治理項(xiàng)目1.從資產(chǎn)梳理的角度看API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)填補(bǔ)API數(shù)據(jù)安全解決方案的缺失，能夠自動(dòng)化、動(dòng)態(tài)地對Web應(yīng)用資產(chǎn)進(jìn)行梳理，自動(dòng)和動(dòng)態(tài)梳理API可以更好地理解API的結(jié)構(gòu)和功能，并識(shí)別API的安全風(fēng)險(xiǎn)，幫助企業(yè)更好地保護(hù)其API，避免安全漏洞和風(fēng)險(xiǎn)?；贏PI劃分引擎，結(jié)合上下文分析自動(dòng)區(qū)分機(jī)機(jī)交互的“應(yīng)用API”和人機(jī)交互的“應(yīng)用URl”，聚焦傳輸數(shù)據(jù)的API，去除靜態(tài)資源的噪音，識(shí)別劃分準(zhǔn)確度達(dá)到95%以上，有效提升了API資產(chǎn)的純凈度，使得安全人員更容易運(yùn)營和管理其API資2.從脆弱性評估的角度看當(dāng)前評估主要依賴掃描器，但是隨著前后端分離、APP等形式的興起，掃描器的覆蓋率和效果都在急劇下降。無法確認(rèn)是否對所有的重要接口都做了必要的安全評估。而API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)能夠自動(dòng)、動(dòng)態(tài)、全面的對敏感數(shù)據(jù)訪問接口進(jìn)行多維度的脆弱性評估及風(fēng)險(xiǎn)識(shí)別，包括但不限于認(rèn)證權(quán)限風(fēng)險(xiǎn)、批量操作風(fēng)險(xiǎn)、暴露面風(fēng)險(xiǎn)、脫敏風(fēng)險(xiǎn)等。實(shí)時(shí)監(jiān)控接口運(yùn)行中的單因素認(rèn)證、弱密碼、密碼明文統(tǒng)。同時(shí)，也對本地業(yè)務(wù)的API網(wǎng)關(guān)的日志進(jìn)行接入。系統(tǒng)能夠自動(dòng)梳理API資產(chǎn)，并通過KAFKA推送到公司總部的數(shù)據(jù)安全管理平臺(tái)在脆弱性風(fēng)險(xiǎn)，發(fā)現(xiàn)了20類主要的脆弱性風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括但不限于：敏感接口未經(jīng)鑒權(quán)、認(rèn)證令牌有效期過長、水平權(quán)限越界、脫敏策略不一致、敏感接口參數(shù)可遍歷、任意文件讀取、源代碼泄漏、系統(tǒng)信息泄露以及敏感文件3.天翼數(shù)生通過對API資產(chǎn)的清晰梳理和脆弱性評估，及時(shí)發(fā)現(xiàn)和解決API中可能存在的安全隱患，有效預(yù)防數(shù)據(jù)泄露，從而大大提高企業(yè)的數(shù)據(jù)安全性，同時(shí)滿十一、中移在線廣東分公司API安全治理項(xiàng)目作為一家服務(wù)全網(wǎng)超過9.25億客戶的公司，中移在線擁有大量敏行嚴(yán)格的API安全治理可以有效防止這些數(shù)據(jù)被非法訪問或泄露。然而，中移在線在API安全治理過程中，面臨兩個(gè)主要的挑戰(zhàn)：1.提高數(shù)據(jù)泄漏事件應(yīng)急響應(yīng)效率中移在線承擔(dān)著處理用戶在接受電信服務(wù)過程中與電信業(yè)務(wù)經(jīng)營者發(fā)生的爭議的責(zé)任。因此，如何有效處理用戶投訴，特別是涉及個(gè)人信息泄露等敏感問題，成為了中移亟待解決的一個(gè)重要2.API調(diào)用角色權(quán)限梳理不清隨著企業(yè)的不斷發(fā)展，業(yè)務(wù)系統(tǒng)的復(fù)雜性也隨之增加，并且隨著企業(yè)規(guī)模的擴(kuò)張，組織結(jié)構(gòu)、崗位和角色也變得越來越復(fù)雜，中移在線同時(shí)存在內(nèi)部員工、外包員工、三方合作公司等多個(gè)角色。能否有效地監(jiān)測角色的API調(diào)用行為，防止權(quán)限濫用和內(nèi)部數(shù)據(jù)泄露，則成為了一個(gè)迫切的需求。杭州安恒信息技術(shù)股份有限公司的API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)充分考慮了中移在線在數(shù)據(jù)安全和風(fēng)險(xiǎn)管理方面的實(shí)際需求，能夠?yàn)槠涮峁┤?、有效的API數(shù)據(jù)保護(hù)，從而極大地提高其業(yè)務(wù)運(yùn)營效率和AP十一、中移在線廣東分公司API安全治理項(xiàng)目關(guān)鍵功能1.全流量審計(jì)與高效溯源數(shù)據(jù)和操作賬號，關(guān)聯(lián)賬號身份和組織架構(gòu)信息，可以追蹤敏感數(shù)據(jù)的來源和去向，以及與敏感數(shù)據(jù)相關(guān)的用戶和組織，這種數(shù)據(jù)監(jiān)控功能可以幫助企業(yè)識(shí)別潛在的安中移在線一天核心API的審計(jì)日志量達(dá)到1億條，如果不對數(shù)據(jù)做截?cái)嗵幚?，在有限的資源情況下難以存儲(chǔ)180+的日志。該系統(tǒng)能夠在不丟失有用信息的前提下壓縮數(shù)據(jù)，能夠用更少空間對原有數(shù)據(jù)進(jìn)行存儲(chǔ)，提高存儲(chǔ)效率，從而有效的、完整同時(shí)系統(tǒng)基于大數(shù)據(jù)分析引擎，通過數(shù)據(jù)預(yù)處理、向量化、標(biāo)準(zhǔn)化和預(yù)聚合等操作，實(shí)現(xiàn)了數(shù)據(jù)“隨用隨取”的能力。通過跟蹤用戶操作行為，智能分析當(dāng)前用戶的需求，實(shí)現(xiàn)了“按需查詢”和“智能調(diào)度”，在把數(shù)據(jù)快速呈現(xiàn)給用戶的同時(shí)，2.數(shù)據(jù)權(quán)限梳理與風(fēng)險(xiǎn)監(jiān)測系統(tǒng)通過使用用戶實(shí)體行為分析技術(shù)（UEBA）監(jiān)測人員數(shù)號自動(dòng)解析技術(shù)，自動(dòng)識(shí)別流量中的操作日志用戶身份（IP、賬號），關(guān)聯(lián)賬號身中移在線使用以主體為維度的風(fēng)險(xiǎn)監(jiān)測，監(jiān)測主體短時(shí)間內(nèi)大量獲取敏感數(shù)據(jù)、訪問頻次異常、異常時(shí)間獲取敏感數(shù)據(jù)、數(shù)據(jù)違規(guī)出境、違規(guī)跨域訪問等異常調(diào)用API、客戶信息查詢API，用于發(fā)現(xiàn)API濫用的問題。使用數(shù)據(jù)為維度進(jìn)行風(fēng)險(xiǎn)監(jiān)測，主要以數(shù)據(jù)為線索關(guān)聯(lián)分析相關(guān)API、相關(guān)應(yīng)用、相關(guān)主體等內(nèi)容，自動(dòng)繪制API風(fēng)險(xiǎn)鏈路關(guān)系，結(jié)合線索關(guān)聯(lián)排名分析，可推測出可疑的數(shù)據(jù)泄露路徑，主要用于洞察二次封裝風(fēng)險(xiǎn)或者核心數(shù)據(jù)監(jiān)測場景。定位泄漏源API和訪問賬號，并根據(jù)產(chǎn)品的賬號關(guān)聯(lián)定位到個(gè)人，實(shí)現(xiàn)24H內(nèi)定位泄漏源，顯著提高了公司的應(yīng)急響應(yīng)效率和AP2.治理方案動(dòng)態(tài)梳理企業(yè)API資產(chǎn)及員工賬號的訪問權(quán)限，發(fā)現(xiàn)未經(jīng)授權(quán)的訪問API20+、非最小化訪問賬號50+，后期通過升級業(yè)務(wù)系統(tǒng)修復(fù)問題，和收斂員工賬號的訪問權(quán)限的方式，有效地降低了API數(shù)據(jù)泄露的風(fēng)險(xiǎn)。十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目杭州市臨平區(qū)數(shù)據(jù)資源管理局杭州美創(chuàng)科技股份有限公司依照浙江省及杭州市相關(guān)規(guī)劃部署，臨平區(qū)初步部署一系列數(shù)據(jù)安全相關(guān)技術(shù)能力，但多以平臺(tái)側(cè)安全管理為出發(fā)點(diǎn)，缺少數(shù)據(jù)使用側(cè)監(jiān)管，賦能數(shù)據(jù)運(yùn)維開發(fā)使一、API接口使用側(cè)監(jiān)管1.數(shù)據(jù)流量獲取由于云環(huán)境無法直接鏡像流量，因此最為有效的流量獲取方式是在部門應(yīng)用服務(wù)2.甄別共享數(shù)據(jù)接口申請方授權(quán)應(yīng)用通過API接口請求數(shù)據(jù)時(shí)，API安全監(jiān)測系統(tǒng)通過AP關(guān)Agent劫持返回?cái)?shù)據(jù)，并在返回?cái)?shù)據(jù)中插入具有數(shù)源單位3.用戶畫像通過深度網(wǎng)絡(luò)流量分析技術(shù)對賬戶、IP進(jìn)行畫像，行為畫像的維度如下：資產(chǎn)維度、身份維度、訪問上下文、數(shù)據(jù)使用方訪4.異常行為識(shí)別API安全監(jiān)測系統(tǒng)與API接口網(wǎng)關(guān)對接token解析所需密鑰，agent獲取API流量中5.數(shù)據(jù)泄露風(fēng)險(xiǎn)預(yù)警通過Agent獲取各節(jié)點(diǎn)流量后，依托API接口水印識(shí)別共享數(shù)據(jù)，依托用戶畫像和6.脆弱性評估規(guī)則自動(dòng)發(fā)現(xiàn)并展示相關(guān)接口的脆弱性。脆弱性評估包含各API接口是否存在未鑒權(quán)、偽脫敏、可遍歷、過度開放、密碼安全等方面，基于數(shù)據(jù)安全視角，評估接口可能7.異常調(diào)用攔截當(dāng)未授權(quán)應(yīng)用服務(wù)調(diào)用API接口時(shí)，對返回內(nèi)容進(jìn)行分析，通過Agent劫持返回流量，識(shí)別返回流量數(shù)據(jù)報(bào)文中的數(shù)據(jù)內(nèi)容是否包含水印信息，最終實(shí)現(xiàn)攔截未授權(quán)十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目二、批量數(shù)據(jù)使用側(cè)監(jiān)管3.通過數(shù)盾ETL能力搭載降敏算法完成數(shù)據(jù)降敏服務(wù)，并將數(shù)據(jù)load至降敏數(shù)據(jù)4.部門需回流批量數(shù)據(jù)至本地生產(chǎn)環(huán)境進(jìn)行數(shù)據(jù)比對、數(shù)據(jù)分析、數(shù)據(jù)建模的先自主通過同步工具回流降敏數(shù)據(jù)，然后按需提交復(fù)敏申請，經(jīng)流程審批后由數(shù)盾5.數(shù)盾完成復(fù)敏操作后，通過消息接口將表結(jié)構(gòu)字段名稱同步至云原生加密引擎，由云原生加密系統(tǒng)執(zhí)行復(fù)敏數(shù)據(jù)加密，并對指定應(yīng)用和工具設(shè)置明文訪問權(quán)限。6.通過權(quán)限管控系統(tǒng)數(shù)據(jù)識(shí)別、數(shù)據(jù)管理模塊按建立共享數(shù)據(jù)資產(chǎn)集合，并對集合數(shù)據(jù)進(jìn)行標(biāo)識(shí)化管理，標(biāo)注數(shù)源單位、數(shù)據(jù)使用方信息，并按照申請時(shí)遞交的7.依托權(quán)限管控系統(tǒng)數(shù)據(jù)動(dòng)態(tài)脫敏模塊，實(shí)現(xiàn)共享數(shù)據(jù)查詢過程中的隱私化處理，防止數(shù)據(jù)運(yùn)維、數(shù)據(jù)治理等相關(guān)技術(shù)人員查詢真實(shí)數(shù)據(jù)時(shí)，數(shù)據(jù)緩存至終端被8.共享數(shù)據(jù)需離線使用時(shí)，由數(shù)據(jù)申請人在權(quán)限管控平臺(tái)中提交申請，由數(shù)管局人員審核應(yīng)用場景是否合規(guī)后，平臺(tái)授權(quán)其共享數(shù)據(jù)的導(dǎo)出權(quán)限并對導(dǎo)出數(shù)據(jù)進(jìn)行加密保護(hù)，同時(shí)在數(shù)據(jù)導(dǎo)出申請時(shí)簽發(fā)解密密鑰并綁定申請人終端，避免申請人9.當(dāng)共享數(shù)據(jù)以文件形式落地至申請人終端后，申請人通過權(quán)限管控平臺(tái)數(shù)據(jù)文件保護(hù)模塊，執(zhí)行數(shù)據(jù)文件的加殼處理，按需設(shè)置數(shù)據(jù)文件的使用權(quán)限并通過浙1.非法（未授權(quán)）應(yīng)用智能識(shí)別2.接口二次封裝、轉(zhuǎn)發(fā)識(shí)別與攔截能力3.共享開放數(shù)據(jù)多節(jié)點(diǎn)密態(tài)存儲(chǔ)4.有效限制批量共享數(shù)據(jù)非法使用十三、某省一體化API數(shù)據(jù)安全管控全省一體化數(shù)據(jù)基礎(chǔ)平臺(tái)是某省的資源中樞和能力底座，由省級統(tǒng)籌建設(shè)，省市分級部署，覆蓋省市縣鄉(xiāng)村五級應(yīng)用。一體化平臺(tái)圍繞“1+3+3”架構(gòu)體系設(shè)計(jì)，即建設(shè)1個(gè)統(tǒng)一資源管理平臺(tái)，構(gòu)建云管、數(shù)管和用管3個(gè)子平臺(tái)，健全安全保障、運(yùn)維運(yùn)營和標(biāo)準(zhǔn)規(guī)范3個(gè)保障支撐體系，并配套完成軟件、硬件及相關(guān)系統(tǒng)集成，建一體化數(shù)據(jù)基礎(chǔ)平臺(tái)中，數(shù)據(jù)大多通過接口等方式實(shí)現(xiàn)交互應(yīng)用，那么此時(shí)就需要對數(shù)據(jù)交互過程進(jìn)行安全審計(jì)和管控，確保數(shù)據(jù)流邊界出口的安全、合規(guī)，實(shí)現(xiàn)數(shù)據(jù)交換、交互和流動(dòng)過程中的可管、可控、可視、可追溯，對數(shù)據(jù)使用方的調(diào)用請求和數(shù)據(jù)提供方的響應(yīng)數(shù)據(jù)進(jìn)行記錄，對數(shù)據(jù)交互過程進(jìn)行審計(jì)和管控，檢查數(shù)據(jù)使用者的身份識(shí)別信息，對于數(shù)據(jù)推送給未知的、未授權(quán)的數(shù)據(jù)使用方進(jìn)行監(jiān)管等，加強(qiáng)數(shù)據(jù)的有效、安全的應(yīng)用。因此，需要建設(shè)一套數(shù)據(jù)交換共享場景下的通過數(shù)據(jù)探針或者采集鏡像數(shù)據(jù)流量，深度分析數(shù)據(jù)報(bào)文，自主發(fā)現(xiàn)數(shù)據(jù)流動(dòng)十三、某省一體化API數(shù)據(jù)安全管控主要功能通過API數(shù)據(jù)安全管控平臺(tái)主動(dòng)監(jiān)控?cái)?shù)據(jù)交換過程中的應(yīng)用/API中的所有接口，并依據(jù)接口是否包含敏感數(shù)據(jù)，將接口自動(dòng)分類為普通接口和敏感接口。通過API數(shù)據(jù)安全管控平臺(tái)設(shè)定的行為基線、用戶基線、數(shù)據(jù)內(nèi)容基線、協(xié)議基線，自動(dòng)分析識(shí)別異常事件，記錄異常詳情，一旦發(fā)現(xiàn)異常訪問行為、異常數(shù)據(jù)，能夠記錄事件安全能力6.訪實(shí)時(shí)檢視和風(fēng)險(xiǎn)研判7.數(shù)據(jù)字段內(nèi)容審計(jì)8.高可用及擴(kuò)展性9.訪問審計(jì)創(chuàng)新點(diǎn)1.無死角無盲區(qū)監(jiān)管根據(jù)部署網(wǎng)絡(luò)節(jié)點(diǎn)（層級）不同，可以采集到不同范圍的網(wǎng)絡(luò)數(shù)據(jù)鏡像流量。聯(lián)合串聯(lián)設(shè)備，可以實(shí)現(xiàn)無死角、全鏈路數(shù)據(jù)流轉(zhuǎn)安全監(jiān)管與防護(hù)能力。3.字段內(nèi)容驗(yàn)明正身可以深入接口字段內(nèi)容，對接口的每一個(gè)字段進(jìn)行審計(jì)，確保所有字段內(nèi)容合規(guī)合法，確保數(shù)據(jù)需方“業(yè)務(wù)可用”。2.情境驅(qū)動(dòng)的審計(jì)策略基于實(shí)際數(shù)據(jù)流動(dòng)過程中可能存在的異常場景，設(shè)置審計(jì)策略，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中流動(dòng)數(shù)據(jù)的合規(guī)合法性，異常情況能及時(shí)發(fā)現(xiàn)并告警、4.數(shù)據(jù)流轉(zhuǎn)態(tài)勢感知?jiǎng)討B(tài)實(shí)時(shí)展示數(shù)據(jù)流動(dòng)的情況。資產(chǎn)情況可視化、數(shù)據(jù)流動(dòng)可視化、異常情況可視化、敏感數(shù)據(jù)可視化、溯源分析等內(nèi)容，以讓管理5.基于用戶權(quán)限的資產(chǎn)管理與訪問控制根據(jù)不同的用戶管理權(quán)限，設(shè)置不同的功能和資產(chǎn)權(quán)限。確保不同用戶僅能訪問自己權(quán)限范1.保護(hù)業(yè)務(wù)及數(shù)據(jù)安全利用大數(shù)據(jù)流量分析技術(shù)，主動(dòng)識(shí)別敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)及常見Web/API攻擊行為，并根據(jù)定義的處置策略進(jìn)行告警、阻斷，有效預(yù)防或阻止來自內(nèi)外部攻擊，減少損失。3.協(xié)助客戶滿足合規(guī)要求通過自動(dòng)識(shí)別API接口中的各類敏感數(shù)據(jù)，生成敏感數(shù)據(jù)API接口資產(chǎn)地圖，讓管理者及時(shí)了解敏感數(shù)據(jù)風(fēng)險(xiǎn)態(tài)勢，及時(shí)阻止敏感數(shù)據(jù)外泄。同時(shí)可按照應(yīng)用、API、IP等維度生成審計(jì)報(bào)表，讓用戶能及時(shí)了解應(yīng)用服務(wù)整體運(yùn)行與分析狀況，幫助客戶滿足監(jiān)管單位的合規(guī)要求。2.降低API管理成本系統(tǒng)自動(dòng)并持續(xù)地發(fā)現(xiàn)所有內(nèi)部、外部和第三方應(yīng)用、API，大幅減少人工統(tǒng)計(jì)及參與成本，幫助掌握全局應(yīng)用、API資產(chǎn)，降低用戶方管理成本。4.高效溯源審計(jì)能力系統(tǒng)記錄完整的數(shù)據(jù)交互日志、異常事件信息，幫助客戶實(shí)現(xiàn)數(shù)據(jù)交互及異常事件的全鏈路審計(jì)溯源；對風(fēng)險(xiǎn)IP進(jìn)行訪問軌跡追蹤，可全局查看訪問軌跡、訪問數(shù)據(jù)情況，便于分析數(shù)據(jù)泄露情況及攻擊方向；水印溯源能有效進(jìn)行事后溯源，定位責(zé)任人，震懾不法分子。5.基于用戶權(quán)限的資產(chǎn)管理與訪問控制根據(jù)不同的用戶管理權(quán)限，設(shè)置不同的功能和業(yè)務(wù)數(shù)據(jù)權(quán)限。確保不同用戶僅能訪問自己權(quán)限范圍內(nèi)的功能和相應(yīng)的業(yè)務(wù)數(shù)據(jù)。十四、寧波機(jī)場智慧飛行區(qū)飛行區(qū)運(yùn)行管理中主要存在“四個(gè)不夠高效”和“數(shù)據(jù)流轉(zhuǎn)過程中的安全隱患”：一是協(xié)同聯(lián)動(dòng)不夠高效，二是應(yīng)急處置不夠高效，三是資源調(diào)配不夠高效，1）協(xié)同聯(lián)動(dòng)不夠高效系統(tǒng)運(yùn)行孤立化，系統(tǒng)獨(dú)立現(xiàn)象嚴(yán)重；信息交互中心化，AOC二傳手現(xiàn)象嚴(yán)重。2）應(yīng)急處置不夠高效3）資源調(diào)配不夠高效保障資源調(diào)度依賴人工，保障效率低，工作差錯(cuò)高；保障進(jìn)程管控依賴人工，4）運(yùn)行監(jiān)管不夠高效人工監(jiān)管為主，缺乏監(jiān)管的廣度、監(jiān)管的深度；事后監(jiān)管為主，缺乏事前的監(jiān)API作為本項(xiàng)目中數(shù)據(jù)流轉(zhuǎn)的主要方式和基礎(chǔ)設(shè)施，在歷來其它項(xiàng)目中被忽視。本次項(xiàng)目建設(shè)除了網(wǎng)絡(luò)安全等級保護(hù)三級（單獨(dú)項(xiàng)目）外，特意提出使用API安全管通過數(shù)據(jù)探針或者采集鏡像數(shù)據(jù)流量，深度分析數(shù)據(jù)報(bào)文，自主發(fā)現(xiàn)數(shù)據(jù)流動(dòng)基于寧波機(jī)場現(xiàn)有網(wǎng)絡(luò)架構(gòu)及統(tǒng)一基礎(chǔ)設(shè)施平臺(tái)之上，采用API安全管控系統(tǒng)，建設(shè)實(shí)施寧波櫟社國際機(jī)場統(tǒng)一數(shù)據(jù)API網(wǎng)關(guān)及管控系統(tǒng)，為機(jī)場飛行區(qū)的智慧化管理提供基礎(chǔ)支撐。形成寧波機(jī)場各個(gè)業(yè)務(wù)系統(tǒng)API資源的統(tǒng)一管理標(biāo)準(zhǔn)與制度，有效API安全管控系統(tǒng)采用分布式架構(gòu)，利用AI/ML、大數(shù)據(jù)和行為關(guān)聯(lián)分算法和技術(shù)打造，由API全生命周期管理、API的數(shù)據(jù)安全管理、API安十四、寧波機(jī)場智慧飛行區(qū)主要能力創(chuàng)新點(diǎn)1）基于流量分析的智能API發(fā)現(xiàn)和注冊系統(tǒng)提供內(nèi)置的流量分析模塊，能夠自動(dòng)檢測部署環(huán)境中的網(wǎng)絡(luò)流量，從中分2）基于人工智能的API自動(dòng)分類分級系統(tǒng)提供基于樸素貝葉斯算法依據(jù)[分類、標(biāo)簽、敏進(jìn)行分級概率的計(jì)算，實(shí)現(xiàn)API智能分類功能，極大提高分類分級的準(zhǔn)確3）基于分級的智能API動(dòng)態(tài)防護(hù)基于業(yè)務(wù)場景經(jīng)驗(yàn)及相關(guān)的分級規(guī)范，根據(jù)API不同的分級，提供不同的安全防4）基于零信任的API訪問控制提供全局零信任管理機(jī)制，一鍵開啟，全局API安全5）基于分類分級和自動(dòng)化標(biāo)簽的API快速檢索提供基于平臺(tái)內(nèi)針對API的分類、分級、標(biāo)簽三要素條件，提供API快速檢索能6）基于API健康信息的自動(dòng)化限流和熔斷技術(shù)基于API實(shí)時(shí)健康監(jiān)測情況，提供單個(gè)API粒度的流量控制能力，防止由于突發(fā)理清API資產(chǎn)，實(shí)現(xiàn)了API的可管可控。納管API：380個(gè)。協(xié)同聯(lián)動(dòng)效率增長：7.23%應(yīng)急處置效率增長：5.82%資源調(diào)配效率增長：4.72%運(yùn)行監(jiān)管效率增長：10.98%十五、申能集團(tuán)API安全治理項(xiàng)目鑒于申能集團(tuán)當(dāng)前數(shù)字化轉(zhuǎn)型及上述API資源現(xiàn)狀，API治理方案的目標(biāo)是建立一套全面、高效、安全的API管理體系，以提升集團(tuán)信息化建設(shè)水平，優(yōu)化企業(yè)運(yùn)營1.API資產(chǎn)梳理不清2.API資產(chǎn)缺乏全生命周期管理3.API資產(chǎn)利用率偏低4.API資產(chǎn)調(diào)用無鑒別5.API資源通訊無防護(hù)6.API資產(chǎn)風(fēng)險(xiǎn)無管控7.API資源服務(wù)無監(jiān)管整體設(shè)計(jì)基于微服務(wù)架構(gòu)規(guī)劃，具備AI智能風(fēng)險(xiǎn)檢測、易擴(kuò)展、穩(wěn)定可靠、服檢測、安全行為分析共4大模塊，以API安全為核心，完善API資產(chǎn)發(fā)現(xiàn)、API風(fēng)險(xiǎn)檢測、API響應(yīng)處置、API分析溯源等全生命周期安全管控。同時(shí)通過完善申能集團(tuán)內(nèi)部異構(gòu)服務(wù)的接口標(biāo)準(zhǔn)化和統(tǒng)一化，確保接入及訪問API資產(chǎn)的用戶、應(yīng)用身份安全可控，從而實(shí)現(xiàn)申能集團(tuán)對數(shù)據(jù)資源治理、防護(hù)十五、申能集團(tuán)API安全治理項(xiàng)目關(guān)鍵技術(shù)特點(diǎn)API發(fā)現(xiàn)、檢測、防護(hù)、響應(yīng)一體化API安全治理：將身份治理與API安全訪問進(jìn)行結(jié)合，實(shí)現(xiàn)API資產(chǎn)的全方位自動(dòng)識(shí)別發(fā)現(xiàn)，API資產(chǎn)自動(dòng)梳理，對異常行為、威脅行為及敏感字符進(jìn)行全面的安全檢測，同時(shí)自動(dòng)梳理API資產(chǎn)的風(fēng)險(xiǎn)暴露面，形成主要能力創(chuàng)新點(diǎn)1.基于智能風(fēng)險(xiǎn)評估模型、大數(shù)據(jù)、網(wǎng)關(guān)引擎，結(jié)合風(fēng)險(xiǎn)合規(guī)基線制定，達(dá)到風(fēng)險(xiǎn)動(dòng)態(tài)感知、策略精準(zhǔn)下發(fā)、API實(shí)時(shí)防護(hù)，強(qiáng)化企業(yè)對內(nèi)/對外的API接口及服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測防御、數(shù)據(jù)泄露檢測防御、漏洞利用檢測防御等安全風(fēng)險(xiǎn)，建立健全API安全一體化安全保障。2.通過大數(shù)據(jù)統(tǒng)計(jì)分析和多模態(tài)算法建模形成資產(chǎn)畫像，利用高級規(guī)則引擎、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù)實(shí)時(shí)探測API輸入數(shù)據(jù)信息，快速發(fā)現(xiàn)API中的敏感數(shù)據(jù)，并對其整體掃描、分類、分級，賦能于數(shù)據(jù)泄露的威脅檢測分析。按周期展示活躍時(shí)間分布，按日統(tǒng)計(jì)訪問接口數(shù)、使用IP數(shù)、訪問次數(shù)、獲取的去重敏感數(shù)據(jù)量，以及關(guān)聯(lián)的風(fēng)險(xiǎn)告警。實(shí)現(xiàn)風(fēng)險(xiǎn)事件全鏈路的數(shù)據(jù)溯源，查詢賬號數(shù)據(jù)行為軌跡，解決風(fēng)險(xiǎn)責(zé)任人定位和追蹤。3.通過AI智能建模、風(fēng)險(xiǎn)評估、行為分析相結(jié)合，實(shí)時(shí)監(jiān)控系統(tǒng)交互過程中的API數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)，實(shí)現(xiàn)API安全異常行為分析和漏洞檢測、入侵檢測、人員風(fēng)險(xiǎn)檢測、數(shù)據(jù)風(fēng)險(xiǎn)檢測。例如：缺乏安全可視化、多種攻擊隱患、敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。助力申能集團(tuán)數(shù)據(jù)安全治理：實(shí)時(shí)監(jiān)控傳輸過程中的敏感/標(biāo)記/涉密數(shù)據(jù)的泄露/濫用情況，進(jìn)一步加強(qiáng)對數(shù)據(jù)資產(chǎn)的安全防護(hù)，防止敏感數(shù)據(jù)泄露、監(jiān)控?cái)?shù)據(jù)使用情況、及時(shí)發(fā)現(xiàn)數(shù)據(jù)濫用行為，幫助企業(yè)完善數(shù)據(jù)管理策略與數(shù)據(jù)資產(chǎn)應(yīng)用體系，十六、國網(wǎng)智慧充電業(yè)務(wù)API安全防護(hù)國網(wǎng)智慧車聯(lián)網(wǎng)技術(shù)有限公司北京安勝華信科技有限公司“e充電”是車網(wǎng)公司為用戶精心打造的車生活生態(tài)服務(wù)智能平臺(tái)，覆蓋了全國的充電網(wǎng)絡(luò)，提供智能找樁、掃碼充電、行程規(guī)劃、評論互動(dòng)、即插即充、車電服務(wù)包等多種服務(wù)。隨著“e充電”業(yè)務(wù)的快速發(fā)展，用戶數(shù)及業(yè)務(wù)量的增長迅速，充電業(yè)務(wù)涉及到用戶信息和資金交易，面臨著復(fù)雜多樣的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，存在較多的數(shù)據(jù)安全隱患。面臨安全風(fēng)險(xiǎn)主要包含：1.業(yè)務(wù)前端攻擊風(fēng)險(xiǎn)近年來各種高級逆向技術(shù)都可能導(dǎo)致原有的安全加固防護(hù)手段失效，導(dǎo)致APP關(guān)2.交易業(yè)務(wù)篡改風(fēng)險(xiǎn)e充電應(yīng)用中存在資金交易業(yè)務(wù)，容易遭受網(wǎng)絡(luò)攻擊、用戶賬戶被盜刷、交易金3.業(yè)務(wù)欺詐風(fēng)險(xiǎn)為推廣公司業(yè)務(wù)，e充電各應(yīng)用平臺(tái)經(jīng)常會(huì)上線促銷業(yè)務(wù)。這部分活動(dòng)經(jīng)常會(huì)遭通過部署API業(yè)務(wù)安全平臺(tái)，針對e充電提供APP/小程序/H5客戶端全應(yīng)用渠道的安全監(jiān)測，接入e充電互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用層流量，分析業(yè)務(wù)交互過程中的運(yùn)行數(shù)據(jù)，實(shí)1.在應(yīng)用客戶端部署APP/小程序/H5前端探針，監(jiān)測應(yīng)用運(yùn)行環(huán)境風(fēng)險(xiǎn)，如：應(yīng)用被破解，加解2.在業(yè)務(wù)后臺(tái)通過分析業(yè)務(wù)流量，監(jiān)測訪問異常的業(yè)務(wù)請求，如：越權(quán)訪問，認(rèn)證業(yè)務(wù)邏輯被繞過，充值行為異常，業(yè)務(wù)訪問序列異常等，實(shí)時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。十六、國網(wǎng)智慧充電業(yè)務(wù)API安全防護(hù)關(guān)鍵技術(shù)特點(diǎn)及能力1.全渠道應(yīng)用威脅感知通過全應(yīng)用探針技術(shù)，實(shí)現(xiàn)全渠道應(yīng)用前端風(fēng)險(xiǎn)感知。能夠?qū)崟r(shí)感知APP，H5，公眾號，小程序，Web瀏覽器等前端應(yīng)用面臨的安全風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)惡意訪問行為；同時(shí)具備前端設(shè)備標(biāo)識(shí)能力，結(jié)合網(wǎng)絡(luò)身份以及用戶身份，解決API訪問身份識(shí)別難2.業(yè)務(wù)API安全管理通過自動(dòng)化技術(shù)手段，對在線業(yè)務(wù)API進(jìn)行全面資產(chǎn)梳理，根據(jù)其運(yùn)行時(shí)參數(shù)及業(yè)務(wù)數(shù)據(jù)敏感度定義API屬性，標(biāo)記API所屬的系統(tǒng)、網(wǎng)絡(luò)，終端環(huán)境、業(yè)務(wù)類型、3.訪問風(fēng)險(xiǎn)實(shí)時(shí)檢測遵照零信任的安全理念，建立API運(yùn)行安全基線，從設(shè)備，網(wǎng)絡(luò)，用戶以及訪問參數(shù)各個(gè)維度對含敏感信息的API進(jìn)行運(yùn)行時(shí)風(fēng)險(xiǎn)監(jiān)控，形成有效告警機(jī)制，建立細(xì)通過前端風(fēng)險(xiǎn)感知，訪問行為大數(shù)據(jù)分析，AI自動(dòng)學(xué)習(xí)等先進(jìn)技術(shù)手段對API進(jìn)行全方位實(shí)時(shí)監(jiān)測，有效防止爬蟲，撞庫等惡意自動(dòng)化具備針對關(guān)鍵業(yè)務(wù)的深度參數(shù)解析及關(guān)聯(lián)接口分析能力，可以有針對性的對越權(quán)，業(yè)務(wù)繞過等典型業(yè)務(wù)邏輯攻擊進(jìn)行實(shí)時(shí)防護(hù)，保障4.安全風(fēng)險(xiǎn)實(shí)時(shí)處置及審計(jì)溯源從運(yùn)維成本以及安全管理角度出發(fā)，本方案提供自閉環(huán)的安全處置能力，對于檢測到的API安全風(fēng)險(xiǎn)，能夠提供多樣化的處置方式，應(yīng)對多樣化的應(yīng)用場景需求，支持如直接阻斷，黑白名單，驗(yàn)證碼，重定向，蜜罐數(shù)據(jù)等多種處置手段。項(xiàng)目實(shí)施部署上線之后，發(fā)現(xiàn)、識(shí)別e充電業(yè)務(wù)在線運(yùn)行API資產(chǎn)共計(jì)500+項(xiàng)。API業(yè)務(wù)安全平臺(tái)自動(dòng)化進(jìn)行了業(yè)務(wù)類型識(shí)別、分組；針對每個(gè)分組，所監(jiān)測到的典型安全風(fēng)險(xiǎn)包括：賬號參數(shù)異常，批量訪問，非活躍/未納管API資產(chǎn)，應(yīng)用APP運(yùn)行十七、樂信API安全管控與治理樂信業(yè)務(wù)系統(tǒng)繁多，不同類型的系統(tǒng)API資產(chǎn)分散在多套網(wǎng)關(guān)或不經(jīng)過網(wǎng)關(guān)。多套網(wǎng)關(guān)平臺(tái)由不同業(yè)務(wù)部門管理，未做統(tǒng)一有效的管理，缺乏安全監(jiān)測及缺陷風(fēng)險(xiǎn)分析能力。前期針對API敏感數(shù)據(jù)明文傳輸、未授權(quán)訪問、偽脫敏、弱密碼等風(fēng)險(xiǎn)進(jìn)行定位及溯源過程中，依賴人工排查風(fēng)險(xiǎn)的工作量大、成本高且覆因此需要建設(shè)一套用于全流量API動(dòng)態(tài)風(fēng)險(xiǎn)分析和監(jiān)測的平臺(tái)，通過接入全流量動(dòng)態(tài)分析出域名、站點(diǎn)、API的資產(chǎn)，能實(shí)時(shí)監(jiān)測及檢測API的缺陷和攻擊風(fēng)險(xiǎn)并預(yù)載在API之上的涉敏數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分級分類，幫助企業(yè)形成清晰的API及數(shù)據(jù)資產(chǎn)視圖，實(shí)時(shí)評估API存在的缺陷，并結(jié)合外部威情報(bào)能力與行為特征規(guī)則分析，幫助企業(yè)感知業(yè)務(wù)API在使用過程中的數(shù)據(jù)泄露及業(yè)務(wù)風(fēng)險(xiǎn)事件，并進(jìn)行及時(shí)預(yù)警，提供全流程溯源分析及審計(jì)能力，對內(nèi)外部風(fēng)險(xiǎn)進(jìn)行排查、提供依據(jù)，助力企業(yè)實(shí)1.API資產(chǎn)可視化-API資產(chǎn)持續(xù)發(fā)現(xiàn)：系統(tǒng)通過對接入流量數(shù)據(jù)進(jìn)行解析，持續(xù)發(fā)現(xiàn)內(nèi)部、外部及第-API資產(chǎn)智能提?。菏褂脠D模型技術(shù)，對流量中的URL請求進(jìn)行路徑轉(zhuǎn)義歸類，完十七、樂信API安全管控與治理-涉敏數(shù)據(jù)有效識(shí)別：內(nèi)置涉敏數(shù)據(jù)檢測引擎，支持自動(dòng)識(shí)別涉敏數(shù)據(jù)，并進(jìn)行實(shí)2.缺陷評估-缺陷自動(dòng)評估：構(gòu)建API缺陷檢測引擎，對API交互流量持續(xù)采樣分析，自動(dòng)發(fā)現(xiàn)-缺陷有效運(yùn)營：提供缺陷詳情:缺陷說明、缺陷危害、缺陷修復(fù)建議、缺陷觸發(fā)特3.風(fēng)險(xiǎn)發(fā)現(xiàn)-風(fēng)險(xiǎn)閉環(huán)管理：針對不同類型風(fēng)險(xiǎn)提供風(fēng)險(xiǎn)詳情，包含事件說明、觸發(fā)規(guī)則、處4.數(shù)據(jù)溯源-系統(tǒng)支持對IP及賬號的訪問日志進(jìn)行實(shí)時(shí)查詢，實(shí)現(xiàn)安全審計(jì)5.數(shù)據(jù)同步-系統(tǒng)支持與第三方平臺(tái)進(jìn)行無縫對接，支持將系統(tǒng)的資產(chǎn)、缺陷事件、風(fēng)險(xiǎn)事件6.數(shù)據(jù)概覽-提供多維度的數(shù)據(jù)概覽或者統(tǒng)計(jì)功能，包含首頁概覽、API資產(chǎn)統(tǒng)計(jì)、賬號資產(chǎn)統(tǒng)計(jì)、IP資產(chǎn)統(tǒng)計(jì)、缺陷事件統(tǒng)計(jì)、風(fēng)險(xiǎn)事件統(tǒng)計(jì)、預(yù)警事件統(tǒng)計(jì)及數(shù)據(jù)溯源統(tǒng)計(jì)等。7.事件預(yù)警8.運(yùn)營報(bào)告-系統(tǒng)支持根據(jù)自定義時(shí)間段生成API安全運(yùn)營報(bào)告，報(bào)告內(nèi)容包含系統(tǒng)總體安全運(yùn)1.避免API管理盲區(qū)，提升管理效率自動(dòng)化梳理API22000+，識(shí)別涉敏數(shù)據(jù)并建立全量API清單，幫助企業(yè)監(jiān)測2.快速感知未知風(fēng)險(xiǎn)，預(yù)防泄密風(fēng)險(xiǎn)自動(dòng)發(fā)現(xiàn)未授權(quán)、越權(quán)訪問、數(shù)據(jù)過度暴露等API安全缺陷，結(jié)合業(yè)內(nèi)領(lǐng)先報(bào)和高細(xì)粒度的內(nèi)部行為審計(jì)，精準(zhǔn)識(shí)別API外部攻擊和內(nèi)部員工異常行為，幫助企3.溯源分析攻擊事件，提供有效依據(jù)幫助企業(yè)快速定位內(nèi)部泄密員工使用的泄密通道、泄密內(nèi)容及泄密詳細(xì)情況；基于十八、自適應(yīng)云原生API安全治理隨著公司的研發(fā)逐漸向云原生轉(zhuǎn)變，內(nèi)部業(yè)務(wù)的容器微服務(wù)應(yīng)用占比持續(xù)提高，API資產(chǎn)數(shù)量爆發(fā)式增長，帶來管理、安全主要功能API安全治理中心作為上層管理界面，將API安全治理業(yè)務(wù)作為頂層設(shè)計(jì)的依據(jù)，以滿足實(shí)際業(yè)務(wù)中的風(fēng)險(xiǎn)監(jiān)測、安全防護(hù)、管理制度、管理規(guī)范、監(jiān)管合規(guī)等需求。各核心功能原子化模塊化，并在agent端進(jìn)行拓展，其能力涵蓋了API生命周期管理、API資產(chǎn)發(fā)現(xiàn)與識(shí)別、業(yè)務(wù)安全、內(nèi)容安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全六個(gè)層面功能，各十八、自適應(yīng)云原生API安全治理關(guān)鍵技術(shù)特點(diǎn)主要能力介紹-API生命周期管理。提供API創(chuàng)建、-身份認(rèn)證。內(nèi)置多種身份認(rèn)證方式，包括APIKey、JWT、用戶名密碼等，可根據(jù)安全-行為異常監(jiān)測。以API訪問主體及其訪問行為為監(jiān)測對象，利用行為分析引擎，基于API訪問的上下文情況持續(xù)構(gòu)建API訪問行為基線，對偏離基線的異常請求進(jìn)行-流量精細(xì)控制。對API調(diào)用方按天、小時(shí)、分鐘、秒級的時(shí)間粒度配置精細(xì)化流量控-數(shù)據(jù)合規(guī)監(jiān)測。通過敏感數(shù)據(jù)識(shí)別規(guī)則比對方式，監(jiān)測、識(shí)別分析敏感數(shù)據(jù)未經(jīng)脫命令執(zhí)行等惡意攻擊，同時(shí)對OWASPTop10風(fēng)險(xiǎn)進(jìn)行監(jiān)測-審計(jì)與追溯取證。支持從網(wǎng)絡(luò)安全防護(hù)、業(yè)務(wù)安全、異常行為、數(shù)據(jù)安全等角度進(jìn)行審計(jì)分析。對API接口業(yè)務(wù)行為進(jìn)行記錄，方便企業(yè)管理人員進(jìn)通過實(shí)時(shí)監(jiān)測API使用情況，識(shí)別上線業(yè)務(wù)存在敏感數(shù)據(jù)的API，及時(shí)發(fā)現(xiàn)可疑的數(shù)據(jù)泄露、違規(guī)傳輸、異常訪問行為并告警或阻斷，提升公司整體業(yè)務(wù)API的安全性。通過云化交付，靈活對多地資源池進(jìn)行即開即用部署，較傳統(tǒng)廠商線下交付方式，部十九、叮當(dāng)快藥MagADN互聯(lián)網(wǎng)APP零信任建設(shè)方案叮當(dāng)快藥用戶全國分布廣泛，主要集中在北上廣地區(qū)。數(shù)據(jù)傳輸安全是叮當(dāng)快藥最重視的問題，叮當(dāng)快藥希