2022API安全产品及服务购买指南.docx

2022年中国网络安全行业API安全产品及服务购买指南目录Akamai阿卡迈8北京安华金和科技有限公司12北京从云丽有限公司25北京长亭科技有限公司30深圳腌有限公司35北京九州云腾科技有限公司39上海派拉软件股份有限公司43全知科技（杭州）有限责任公司60瑞数信息技术（上海）有限公司68北京三江信达信息科技有限责任公司72杭州世平信息科技有限公司78思睿嘉得信息技术有限公司81薮猫科技有限公司83北京芯盾时代科技有限公司86北京星阑科技有限公司89杭州亿格云科技有限公司96深圳永安在线科技有限公司99，I刖百API安全是当下企业和互联网面临的最严峻的网络安全挑战之一，根据Gartner的研究，2022年，超过九成Web应用程序遭到的攻击来自API,而不是人类用户界面。API安全问题正给企业带来巨大损失，除了数据泄露、品牌与合规风险外，API安全问题可导致新产品或服务的发布延期甚至取消，企业创新被遏制，数字化转型受挫；大规模数据泄露或业务中断甚至会对关键基础S施和数字经济造成严重威胁和损失。API安全的难点或者说悖论在于，尽管大多数安全专业人坟议隐藏资源减少暴露蹒口攻击面,但业务上成功部署的API却倾向使资源更加开放和可甩API的安全困局实际上也是现代IT面临的一个共性问题。对于安全团队而言，这意味着选择合适API安全产品方案并制定平衡的、良好的APl风险缓解策略尤为重要。API安全已经失控根据Akamai的一项统计，API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次，但API安全威胁却比API调用增长更迅猛。安全问题在API项目关注的名单中名列前茅，很少有受访者认为他们有信心识别和阻止API攻击。API安全已经濒临失控，主要表现为以下几个方面： API攻击暴增。过去的12个月中，API攻击增加了681%,而整体API流量也增加了321%根据Gartner的数据,到2024年APl攻击还将加速并翻一番。 SaltSecurity的调声显示，超过三分之二的企业缺少基本的APl安全策略。企业的API安全管理未能覆盖SD1.C生命周期，往往只是作为马后炮和附属品。安全团队普遍缺乏专业的APl管理工具和安全防护。随着新技术（例如REST/GraphQ1.）的普及和新业务的发展，API数量不断增长，API管理正变得更加困难。独特的安全挑战API安全同时也是非常独特的挑战。首先，API是与企业业务关联最紧密，暴露和攻击风险最高，防护难度最大的技术组件之一。其次，API带来了很多传统安全技术无法解决的挑战，例如API没有客户端组件，因此传统的防御技术（如Captchas或JaVaScriPt）和移动SDK工具无法有效地防止自动攻击。最后，随着企四字化转型进入深水区，API数量不断增长，与此同时API每天都不断地被启动、更新或懿，这些哙API安全运营管理带来极大就戡。无数API安全事件表明,企业仅仅依赖互联网边界安全工具（例如WAF）和云负载保护平台已经无法就应对API威胁的快速增长。正因为其紧迫性、独特性和重要性，API安全正在被作为一个独立的安全项目和技术领域被企业和网络安全业界广泛重视，Gartner（WAAP）和OWASP都为APl安全创建了单独的分类和威胁列表。虽然目前市场上已经有大量网络安全厂商能够提供API安全相关产品方案，但对于企业用户来说，了解并选择适合自身需求的API安全产品方案本身依然颇具挑战性。API安全解决方案的选型随着对APl安全问题逐步重视、国家已经陆续出台多部雌接口有关的标准规范，对数据接口在不同领域的应用、部署、管理、防护进行了规范，APl安全技术也得到大力发展，当前常见的技术从功能上看包含了APl发现、APl身份与访问控制、API消息安全、API传输安全、威胁缓解、APl威胁检测、APl安全审计、APl监测与跟踪、APl管理等几个方面。从企业和供应商角度来看，API安全解决方案应遵循持续"发现、库存、合规、检测、防护管理统一管理APl库存发现检测识别所有基露APl基于行为的检测、数据泄露检测2略测试新API上线前"安检"/响应、测试"的安全生命周期模型进行开发和部署：防护与响应实时阻止攻击应急响应攻击溯源 发现：持续自动化的API发现，识SU影子AP1.无记录API和过期API;识别API配置错误及敏感数据泄露；API漏洞发现，开源组件漏洞发现等。 管理：统一管理API库存资产。 合规：确保遵循相关政策法规与风睑治理策略和最线全实践 检测：攻击者识别与关联；不依赖威胁情报等静态元罐;行为检测与异常检测;数据泄露检测。 防护：身份与访问控制；攻击防护（例如OWASPAPITOPlO）;应用层DDoS（限速限流）；凭证填充与暴力攻击；恶意请求，例如API流量分析与业务逻辑攻击。 响应：与SIEM和SOAR集成;攻击与泄密的溯源和追责。 测试：新API上线前检测、审计，从源头减少配置错误和安全漏洞。在市场细分方面，API安全产品和解决方案主要分为CDN（不提供端到端安全性）和纯API安全两大类，本指南收录的API安全方案大多属于纯API安全管控平台。目前市场上的纯APl安全产品和方案的常见功能和卖点如下： 可视化的统一管理与监控 业务零摩擦 发现内部、外部、僵尸、未知和影子APl 监控攻击者侦察活动 阻止单个API攻击 阻止有针对性的API攻击 防范业务逻辑攻击 修补开发过程中的APl漏洞 左移保护：在开发期间扫描和测试API安全性（应用程序开发） 运行时保护防止数据泄露 识别错误配置的API 识别APl中的漏洞并进行修复 基于机器学习的威胁防护 大数据和机器学习驱动的辘分析与优化API安全产品方案的重点选型基准如下：1 .基于云原生架构（例如存储和分析），并面向微0躇、容级术题代异幽境的API安全需求。2 .API资产发现与管理。支持多种终端、架构、环埸口协议的全域多维API资产发现能力，杜绝带病API（例如缺乏安全配置或配置错误的APn影子API、过期API和意外暴露API（例如预生产APl3 .与访问控制和运营系统的集成性。API安全最大的威胁之一就是用户身份滥用导致的攻击。因此API解决方案与IAM集成、零信任集成的能力非常重要，IAM和微分段可以极大提高资产库存准确性，避免系统性的网络瘫痪。API安全架构还应支持与其他网络组件，例如APl管理平台、负载均衡、API网关、WAF等集成，以及与SIEM和SOAR等安全运营平台雌与组件的集成，提供端到端的安全防护，提高生产力降!氐运营成本。4 .左移覆盖。APl安全谢发生命周期彷移，覆盖从APl设计到发布和运维的SD1.C全生命周期。5 .基于行为检测的APl监控。日志记录和触可以发现APl错误和恶意API活动。应使用与标准安全工具兼容的日志格式，并且APl日志数据应作为敏感数据传输和存储。6 .基于人工智能和机器学习的数据分析,持续提升检测和响应能力。为了帮助甲方做好API安全产品和服务的购买选型，推动甲方与安全厂商的互动交流，GoUpSec特发起了API安全产品及服务购买决策参考报告调研，我们深入了解调研了各厂商API安全产品及0器、产品功能、应用行业、成功案例、安领略等维度，整理形成了API安全产品及服务购买决策参考。4!S三题地殷出技,愿搬Q2三©mS三三意赛后曲熟蚯11giaSsS撼螺盘ZiR四三金h繇据q从三科技成功案例银行b证券汽车I医疗I保险物流安全电商商旅航空本次报告共收录17家网络安全厂商，所涉及API安全产品及服务成功实施案例45例，分别来自政府、通信、公安、金融、银行、证券、汽车、医疗、保险、物流、安全、电商、商旅、航空等重点行业。以下位17家网络安全厂商API安全产品及服务详情，排名按照字母Jl质序。Akamai阿卡迈1 .产品名称：AAP(ApplicationandAPIProtector)2 .产品特点及优势：产品特点：基于Akamai边缘云安全解决方案产品优势：优势A:防护多种APl攻击类型优势B:APl主动防御模型优势C:API发现优势D:API防护+API管理优势E:自适应防护引擎，自动化升级，全球互联网威胁情报3 .成功案例：AkamaiApp&APIProtector致力于全面保护Web和API资产，为此提供了一整套强大的保护措施，这些保护措施专为实现“以客户为中心”的自动化和简单性而构建。App&APIProtector在新的自适应安全引擎的支持下，依靠Akamai全球部署的边缘节点，从云端提供WebApp和API的安全防护服务，包括Web应用程序防火墙、爬虫程序抵御、API安全和DDoS防护等领域的核心技术。AkamaiApp&APIProtector通过Web流量自动发现各种已知、未知和不断变化的API,包括其端点、定义不瞌量概况对于API的监测能力有助于防范隐秘的攻击、发现错误并揭示意外的更改。此外，您只需点击几下鼠标，就能轻松登记新发现APIo而最大的优点莫过于：无论您是杳选择登记API请求，该产品会自动检查所有API请求，确定其中是否存在恶意代码，从而默认提供高度可靠的API安全性。而如果您登记了API,还可以通过高级安全管理选项得益于其他形式的保护，例如在边缘强制执行APl规范。AkamaiApp&APIProtector产品对于不同行业、不同API应用场景都有成功的案例。案例1：电商行业，有很多针对APl接口的注入式攻击，在传统的防火墙中并不能孰佥测APl的PayIoad,而Akamai的AAP产品可以深度核查UR1.,甚至解析Base64编码，从而有效发现隐藏在API中的各种攻击。AAP的机器学习的引擎可以自动化识别各种攻击类型，自动升级防护引擎并且有效利用全球的威胁情报系统进行多维度判断。案例2:数字货币和支付行业，由于此类客户的API接口非常多，实时性要求非常高，API的业务也都是他们关键业务，对于DDoS的攻击非常敏感。AAP产品有针对APl的DDoS攻击的有效解决方案，通过精准识别和流量限速功能，从而抵御攻击。案例3：商旅客户，某商旅客户的APlIogin服务经常受到撞库类型的攻击，使得login服务的响应速度慢，还会带来客户隐私健泄露的风险。APIpositivesecurity的功能,可以精确匹配API访问字段的格式，从而过滤掉法的攻击请求，使得客户恢复正常业务。Akamai拥有全面的APl解决方案,对于API进行全面的防护、管理和化。AAP(App&APIProtector)可以对上述多种API威胁进行防护;APIGW(APIGateway)可以加强API的认洱口授权管理，同时可以对API的访问进行速辘制，减少流量攻击的威胁；APIX(APIAcceleration)是基于Akamai全球CDN平台的加速产品，专门适用对APl请求的加速。AkamaiAPl安全整体方案架构请见下图。合法流2：-IB意流.BrowserAppServer；：AttackerBotJSON/XM1.GraphQ1./RESTEdgeplatform()ServiceServiceServiceiiitiISIEMIntegrationr三hSDatacenterClouddatacenter敷据整合及分析4 .适用行业：电商，游戏，箴书支，媒体、互联网金融5 .写给甲方的寄语(甲方选购理由)：医疗客户：,Akamai是边缘安全领域的金牌标准。十多年来，他们一直为我们提供保护，产品创新和改进从未间断过。部署的WAF产品像瑞士军刀一样，可实现第7层保护。保证我们API应用的安全性，包括AP1.RESTAPI,Json,XM1.等协议，也帮助我们阻断爬虫攻击和大流量的攻击。"GartnerPeerInsightsVoiceoftheCustomer1-WebApplicationFirewalls非常感aB些信任我们并将应用程序和业务交由我们来保护的客户。Akamai致力于不断创新和改进WAAP产品，雕先一步防范威胁，同时提供部署和使用方面的无缝体验。我们认为，客户对我们成功的认可不仅进一步激励了我们，而且佐证了我们战略的正确性。北京安华金和科技有限公司1 .产品名称：安华金和应用系统安全审计系统(DBSecApplicationSecurityAuditSystem,简称AAS)2 .产品特点及优势：产品特点：全面梳理；全面监测；全面留痕；全面可视产品优势：优势A:了解自身应用资产情况，防护重要敏感资产优势B:掌握敏感数据访问全貌优势C:应用接口脆弱性体检，发现易出问题暴露面优势D:感知风睑、规避风险、减少损失优势E:重点监测跨境数据，保卫国家数据安全；数据泄露事件全面线索分析；实现隐私数据管理政策合规；积累多年的行业敏感信息特征库；大屏数据可视化展厅效果3 .成功案例：案例：中美联泰背景陲SH算慢据、ATWS幽耕的翱放展，移动物风物飒产她崛蜥，Web应、移动应用已融入生产生活的各个领域。这一S程中，尤其是应用程序接口作为娄据传S流转的重要通道发挥着举足轻重的作用,其不仅帮助企业建立与客户沟通的桥梁，还承担着不同复杂系统环境、组织机构之间的朗g交互、传输的重任。然而，在Web应用及APl技术带来上述积极作用的同时，相关的数据安全问题也日益凸显。近年来,国内外曝出多起与Web应用及API相关的数据安全事件，严重损害了相关企业、用户的合法Is益我国多个行业已出台相WS性文件，覆盖通信、金融、交i鳄诸多领域，对Web应用及API安全提出了一定要求，对其技术部署、安全管理等进行规范。同时，以敏感数据暴露、敏搬媚非法出境、脱敏异常为代表的数据泄露事件蜿顷发生，第三方异常调用、账号共用/多账号、特权账号滥用、频次攻击、授权访问异常等行为异常造成的损失也越来越大，这些问题对公民以及社会造成了不可忽视的负面影响与危害。应用场景1）重点不明面对大量的Web应用及接口，无从下手，无法了解哪些Web应用及接口存在潜在安全风险，哪些Web应用哪些接口流出了多少敏感数据。2）资产不明用户环境复杂、不同时期不同业务的Web应用及接口众多；同时存在很多提供给第三方开发商以及很多临时需求产生的API,使用后无人管理，用户没有途径了解自己有多少应用峰o无论是安全管理者或是蛹者都无法对应用及接口资产做到全量的盘点施5。3）流向不明大量应用和大量接口每天发生的海量的数据行为。用户目前缺乏统T勺方式方法了解应用数据行为全貌，尤其是无法霹涉及敏感信息的应用数据行为情况，无法了解产生敏翩据行为的主体。4）风险不明当用户知道敏感信息泄露事件发生时，时间往往匕徽滞后并已产的失。用户需要在大量合法涉敏行为中发现敏感信息泄露风险,并及时预警，避免风险事件发生同时减少用户损失。5）泄露不明当威胁来自于信任fl,内部威胁导致的朗三泄露在当今已常普遍,且难以杜绝。同时因为拥有敏感数据权限的员工众多，造成企业无法定位追责。解决方案1）全面梳理全面梳理发现敏感数据。定位敏感数据所在的应用资产。2）全面监测敏感数据行为监测、敏感数据泄露风险监测,接口脆弱性监测。敏感数据流向监测、敏感数据跨境监测。应用监测、接口监测、账户监测、访问IP监测。3）全面留痕针对®蟋据行为全程留痕、多维度可查、可分析、可追觎应用行为画像接邙亍为画像,账户行为画像、访问IP行为画像。御记录所有敏感行为访问数据，按国家相关要求保存，满足国家法规和监管机构对日志审计的要求。4）全面可视集合多种分析数据源的整合，加上炫酷直观的可视化展厅效果设计，为企业带来全方位的数据可视化缪里。基于丰富的敏感行为统用淅功能,让用户能够了解掌握自身敏感行为的瓠分布以及敏感人群，在敏感行为全过程的各个节点加以陶酥3®护，提升用户敏感数据安全性。1）流量解析支持HTTP协议解析，完整还原HTTP事件的请求和返回内容。支持解析的内容格式包含：JSON,XM1.,HTM1.,JSONP,SOAP等。支持对文件内容的识别,文件格式包括xs,xlsx,doc,docx,t×t,pdf,csv,zip,rar等。支持以响应状态码或响应内容关键字过滤流量事件数据，对无效扫描流量进行过滤。2）实时监测敏感数据行为通过对用户环境网络流量的实时分析，实时监测发生的包含敏感数据的行为，并实时分析，对于命中敏感数据泄露风险规则的行为，实时报警；同步记录下所有发生敏感数据的行为，通过可视化敏感数据行为地图和亍为画像的方式展示给用户，也为后续弱点分析,事件溯源等功育翡供基础明细能3）敏感数据自动发现能够按照用户指定的一部分敏感数据规则或预定义的敏藤据特征，对网络流量中的城进行自动的识别，并自动期就瓢映1发财敏感齿字最去，御觎别出敏感数据内容识融敏感数据：客户信息、交易信息等，例女份证、地址、电话号码、邮件地址、银行账号、信用卡号等。识别特殊敏感数据：具有企业、行业的业务特点的敏感数据，例如配方、供应商等。4）敏感数据分类分级数据分类是数据保护工作中的一个关键部分，是建立统一、准确、完善的数据架构的基础，方法，趣自身是实5三中化、专业化、标准化罐管理的基础。行业机构按照统T业务特就寸产生、采集、力DX使用或管理的共行分类，可以全面清W地腐懿据资产数据资F三（范化管理，并标吁到呢的绢户和扩充数据分类为数据分级管理奠定基础。股掇是以数据分类为基础，采用规范、明确的方法区分数据的重要性和敏感度差异，并确定罐级S1.数据分级有助于行业佛根据数据不同级,确理据在其生命周期的各个环节应采取的数据安全防护策略和管控措施，进而提高机构的健管理和安全防护水平，确保数据的完整性、保密性和可用性。系统帮助用户实现敏搬煽分类分级管理，确定辘重要性和敏感度。通过分类分级可以有针对性地采取适当、合理的管螂施和安全防护措施，形成一»将、规范的数据资产管理与保护机制，从而在保证S据安全的基础±促i蟋据开放共享。5）涉敏应用自动发现能够自动发现用户环境中涉及到敏感数据流动的应用，具体识别出应用所属域名、部署IP敏搬据标签等信息,并统计出每个应用敏麒据种类的分布情况以脚斤有应用中敏翩据量最多的应用。让用户能够了解自身哪些应用会产生敏感数据泄露风险;了解每个应用产生哪类敏微据匕眼多；了蒯8睡应用的敏蟋据流量比狡大，从而帮助用户既掌握了自身应用的整体涉敏情况，又帮用户找出了需重点关注的涉敏应用。6）涉敏接口自动发现大部分用户对于自身存在多少接口，哪些接口会产生明陛数据都无法做S全面了解，我们通过对网统橱盼析，以及敏麒据的识别，能够帮用户自动发现用户环境中存在的大量接口里涉及敏感数据的接口，具体能够识别接口的IP地址、接口属于哪个应用、接口的功能类型、接口的资源类型、接口产生的敏礴据类型等。帮助用户了解自身环境里所有敏感接口的分布情况，详细的了解每个涉雌口的具的g标，帮助用户在解决敏魄据泄露问题时提供针对性接口情况。7）泄露风险自动发现自动发现风险根据内置安华金和敏感数据泄露风献&则，以及不断学习的日常行为模型波动情况，进行有效的风险分析和深入的挖掘，实时发现敏感数据的泄露风险。并根据行业特征及业务自定规贝帆定）刘渊瓦包括!辨识S陵生风隧陛,风险步班城口地址，分税步及的应用名称，风险涉及的账户，风险涉及的客户端IP等信息。风睑实时预警根据风险风险的级别,通过各种报警渠道主动J赠用户。目前预警方式朝微信、短信、邮件、钉钉等主流方式。提醒用户有敏趣据泄露的风险。风险统计分析及可视化展示针对已发现的风险清况，提供多条件的检索能力及各维度统计分析。包含风险等级占比、风险类型分布、风险规则统计等。8）接口弱点自动发现自动发现弱点通过安华金和多年积累的安全特征弓I擎，对于用户复杂环境下的各种应用，以及每个应用下的大量不同类型的接口进行全面安全脆i触检测，发现敏蟋据泄露安全脆性较低的接口。弱点修复建议针对已发现的弱点情况，基于安华金和多年积累的安全经验，提供W针对性的弱点修复建议,帮助用户提升应用接口安全程度。弱点统计分析及可视化展示针对已发现的弱点情况，提供多条件的检索能力及各维度统计分析。包含弱点等级占比、弱点类型分布、弱点规则统计等。9）梳理应用及接口资产资产定位及自动发现自动发现用户环境分布的应用及接口资产。并根据蛔数据流出的应用和接口，以及用户自身业务特性，对资产进行打标和分类。资产生命周期关注对于应用和接口资产的状态持续关注。对于状态发生变化的资产，例如发生变更或长时间失活的资产，及时更新资产状态。10）风险事件追踪溯源针对已发生的某个风险事件,分析风险事件的疑似三口、疑似K妒、疑似ip,为事件追责缩小范围，并提供原始证据链条针对需要重点监控人员或重要期g,提供其行为轨迹画像作为定责的重要依据。可以根据多个疑似线索或风险事件，关联分析出共性特征，提供丰富证据素材。口TAT®)TqT目WEBtt>dmln192.1A.102.170MP<tMCRMBit部署方式1）物理部署产品价值1）了解自身应用资产情况，防护重要敏感资产用户环境复杂、每个应用的不同历史时期的接口众多。无论殿据安全管理者或是使用者都无法对应用及接口资产做到全量的梅里。本系统基于网络流量分析技术以及协议解析技术，可以帮助用户自动发现及梳理应用雌口资产清单、管理应用及接口资T础信息、提供应用及接口资产的敏感标签管理以及提供敏麒据资产的使用和分布情况，使用户能够了解自身D那些接口存在潜在安全风险，哪些接口会流出敏微酶，由此进行针对性的重点关注和防护。2）掌握敏感数据访问全貌面对用户环境下的大量应用和大量接口每天发生的海量的数据行为。本系统基于安华金和多年积累的行业敏感数据特征和高准确率的敏感信息识SU技术,从海量的应用数据行为中精准定位敏感信息，并记录下整个敏感行为全过程，同时提供全维度的条件检索，让用户可以精准的找到许僚敏感行为记录。3）应用接口脆弱性体检，发现易出问题暴露面通过安华金和多年积累的安全特征引擎，对于用户复杂环境下的各种应用，以及每个应用下的大量不同类型的接口进行全面安全脆弱性检测，发现敏蟋据泄露安全脆i雎较低的接口，帮用户找出最容易出问题暴露面，并根Ig安华金和多年积累的数据安全行业经验，针对发现的问题给出解费t议，帮助用户积极预防敏感泄露，具备抗外界病毒侵扰M强壮体魄4 ）感知风险、规避风险、减少损失用户需要在大量合法涉敏行为中发现敏感信息泄露风险，并及时预警，避免风险事件发生同时减少用户损失。本系统基于主体在复杂业务环境下的所有敏感行为，针对所有主体，应用、接口、账户、IP建立行为习惯模型，并通过安华智能行为分析引擎不断自学习完善用户行为模型。能够分离出主体正常的敏感行为，精准的定位S取寸于不同主体异常的敏感蝇亍为碉，并自动分析碉级别，可根据用户自定义告警策略,及时将敏感行为风险赠通知用户，使用户育辨将敏感信息泄露风险遏制在萌芽阶段，减少敏感信息泄露造成的损失。5）重点监测跨境数据,保卫国家数据安全随着中国的日益强大以及全球又擞据价值的认识日益增强，数据跨境越来越受到关注。一方面，数据跨境是经济全球化?口数字经济发展的必由之路;另一方面,数据跨境有可能危害国家辘安全。我们通过安华倾打造的跨境雌安全引擎对合理的用跨境和恶意的、有害的数据跨境进行区分和监测,及时发现跨境翔g泄露风险，避大量敏微猊跨境泄露。6）数据泄露事件全面线索分析当威胁来自于信任时，造成的数据泄露可能会持续数月甚至数年都不会引起管理者的注意。内部威胁岸始»泄露在当今四嘴普遍，且难以杜绝。同时因为拥有敏感雌权限的员工众多，造成企业无法定位追责。针对已发生的某个风险事件,从等多个维度进行深度分析，文搬十种检索条件,多重钻取分析，帮助用户追溯风险来源，分析风险事件的疑似S任主体，为事件追责缩小范围，并提供原始证据链条。7）实现隐私数据管理政策合规随着数据安全法的颁布施行,对个人隐磁据的倒户留上的肱律层面。传细勺应用系统普遍缺少对个人隐秘媚的保护措施。通过本产品，可以戢防止企业内部及外部对繇数据的滥用，防止隐私健在未经脱®的情况下从企业流出。满足企业既要保护隐私数据，同时又保持监管合规的双重需求。4 .适用行业：政府、金融、能源、医疗、教育、企业及运营商等5 .甲方寄语API安全产品的敏感信息识别能力是敏感信息监测系统所有功能的基础，只有在海量的信息流中准确的发现识8瞰感信息才能在此S础上展开各种其他功能，而安华金和的敏感信息识使用状别弓摩是基于十多年的行业敏感信息特征积累和技术能力，帮助用户全面掌握敏感况，及时ES控®蹴据行为风险，的擞据泄三事件进行有效溯源，快速龌业务应用接口资产,从根本上保喘婉安全。作为中国专业的健安全产品与解决方案提供商，安华金和多年来坚持自主研发与创新，坚孝出孀使用自由而安全北京从云科技有限公司1.产品名称：DASAPI访问控制系统2 .产品特点及优势：产品特点：不改造业务系统，以终端、身份、时间等为授权维度，飒用户自定义的数据动态脱敏。产品优势：优势A:API梳理：通过主动学习智能梳理所有API接口，并对APl接口所有字段分类分级。优势B:细粒度数据保护：打破传统的只能基于IP和服务为维度的数据保护，自适应细粒度动态权限策略引擎，实现细粒度字段级管控。优势C:可视化运维：智能梳理、呈现、检索API接口,洞悉风险，可视化呈现，帮助管理人员快速精准的配置访问策略，实现高效运维。优势D:自定义脱敏算法：多种多样的脱敏算法，轻松定义访问权限和数据脱敏具体字段；智能适醐兑敏算法，实现脱敏工作自动化、动态化。3 .成功案例：案例A:深圳某合资保险公司案例B:众安在线案例：某合资保险公司敏感数据访问控制案例：方案背景：信息化、数字化时代，保单以电子下单为主，信息泄露事件层出不穷。保单需要人名、身份证、工作单位、手机号等个人重要且敏感信息，存在客户信息被任意下载、内部人员泄露敏感信息等风险。深圳某合资保险公司十分重视用户隐私信息的保护，采用先进的技术及安全菅理制度落实中华人民共和国个人信息保护法的相关规定，重漱擞据安全的保护，在充分考虑业务系献量多、访问关系复杂、升级迭代易娜行、系统改造成本高起等困难,蟠部门联合T部门选择了基于API字段的敏感数据访问控制的零信任安全防护体系的建设方案，并引入从云科技作为零信任数据安全供应商。方案概述和应用场景：ST零信任的理念，本次方案突出“永不信任、始领证“，在业务访问的全羯呈中弓I人身份认证的能,对管蟀获像"用户"、"僦"的哪酒亍持续姬,并钻防护绻据,实现"先认证、再授权、再访问"的管控逻辑，规避敏感信息的暴露。让数据可用不可拿。1.零信任控制平台：作为零信任架构中的中枢，控制器,负责零信任体系内访问控制策略的制定和APl安全网关的控制。根据公司业务需求对公司内部人员进行权限分组，通过与零信任APl网关的安全联动，实现对多有要保护的信息脱敏访问。2.零信任API网关：作为零信彳探构中的策略执行点，以“默认拒绝”的模式对所有业务系统的访问请求，仅可以通过统一控制台验证的合法请求，针对每条请求进行身份鉴三权限鉴别,确保资源可访问，可使用，不同组权限的使用者对敏感信息的可见程度不同。优势特点和应用价值：统一身份，持续确认：对接入人员身份、终端等提供多因子认证，接入业务系统的用户在通过统f证的合法性校验后将会生成包含用户、应用身伽郡如涧令牌，作痛得后续方璇源K股权凭正资源隐藏，减少暴露：安全网关默认拒绝所有请求。只有通过SPA敲门认证后才可以建立安全连接,同时在应用层叠加用户身份凭证的验证，杜绝非法用户的非法访问，实现合法用户的可控访问。敏感信息动态脱敏：在对业务系统"0”改造的情况下，通过对用户分类及控制器的策略配置，实现不同人员对保单等业务资源上的用户身份、住址、手机等字段信息脱敏访问。4 .适用行业：金融、政府、医疗、教育5 .给甲方的寄语：个人信息贯穿了保单销售、理S、续约全生命周期，是保险公司经营的重要生产要素，涉及的敏感信息非常多，雌的合规与安全是企业安全运营的底座。从云科技打造的DAS访问控制系统，保障数据的安全流动,释放数据价值。实现数据可用不可拿。从云科技解决方案总监贾保元北京长亭科技有限公司1.产品名称：长亭API安全产品2 .产品特点及优势：产品特点：API智能发现聚合:产品内置基于统计学的聚合模型，可根据业务系统API访问情况，对满足条件的API请求UR1.做自动聚合处理，可解决不同客户或者不同业务部门对API的定义不同的问题，实现在初始化阶段就基于客户预期去自动发现聚合AP1.产品优势：优势A:API数据全渠道识别：产品除了支持传统正则表达式匹配之外，针对业务系统脱敏后的数据，支持K-V等多种数据识别技术,不仅仅可对请求、响应中的JSON.XM1.等半结构化数据的敏感数据检测，还支持对API上传下载接口中的非结构化数据进行扫描，在数据扫描性能上，依托于长亭科技一贯的技术底蕴，也是遥遥领先。优势B:从容监测API攻击风险：基于全球首款长亭WAF语义引擎升级而来的APl语义分析引擎，通过对API的载荷内容进行深度解码后，按照其语言类型匹配相应语法编译器，匹配威胁模型得到威胁评级，可从容应对OWASPAPI安全Top10的安全威胁。优势C:自动梳理API被访问关系，并深度解析访问清求及内容闭环的API脆弱性管理机制：产品可持续对API进行脆弱性监测，并可将扫描结果自动同步给长亭洞鉴安全评估系统，在测试与仿真环境下持续构造Payload,进一步做脆弱点的主动验证工作，形成自动发现应用API脆弱点、自动验证应用API脆弱点风险、自动生成脆弱点严重性、触发工单业务流的API脆弱性全闭环管理。优势D:丰富的API资产画像：产品内置行为分析引擎，可对不同业务的API接口进行参数特征学习，查看参数信息是否合规，输出每个API业务分类的概率与标签。并自动生成基于API、人员、以及群体的多维度行为基线和时序图谱，并支持客户基于历史行为情况配置相关策略，有效应对恶意APl调用行为。3 .成功案例：案例A:某世界五百强企业API安全项目客户背景：作为世界知名的五百强企业，业务覆盖消费、健康等多个领域。由于集团业务的快速发展，企业数字化转型业务的不断推进，辘中台、微三务、云服务的不断普及，外部接入渠道的不断丰富，集团业务不断交互带来的复杂和更多西的对夕伊放，API已成为集团数字化转型业务的核心。因此充分考虑集团现有API面临的安全风睑，构建一套既具有易扩展能力,又能兼容企业发展的APl安全防护体系至关重要。客户需求：日益增加的API资产：在集团信息化建设推进过程中，大量API在历史的不断积累下，集团现有API数量诩E常庞大，但记录在案的API却寥寥无几，提升集团安全部门对未知API桥3里刻不容缓。数据传输是否合规无法知晓：API作为集团重要的数据传输媒介，尤其内部东西向流量传输数据合规问题日益凸显。APl安全与否无从感知：大量API资产在安全视线之外，例如：有些API没有经过WAF或API网关，还有历史遗留下来的僵尸API,由于缺乏安全防护容易被攻击,集团无法全面感知APl面临的风险。解决方案：坊问控AA«9H常行为曾控KFM安金七烫业务WfiM0*e9<RM可B)W2通义例两行为分f河JflAPl自动技观ApI自动分类X三三ttIUBiRBIEM>议说M(PUiCHTTP.GRPC,Dubbo.GnphQUEEdEAsyncAPt)«谑像wifat图1:功能架构图核心功能：APl资产自动梳理：通过系统内置发现聚合引擎，全面、持续I青点API接口并进行可视化展示。(2)敏感娄艇发现：自动识别API传输的敏感数据，并对敏感健API进行自动分类标记，自动按照用户UA等身份信息，聚合生成全网健资产流转视图。APl风险麟:基于语义分析引擎，全面监测OWASPAPIToplO安全问题，持续评估未知APl攻击风险，为提升集团WAF防护策略覆盖面提供详细日志支撑。图2:部署示意图方案价值：利用长亭科技API安全产品强大的API资产发现、风险监测和响应能力，确保整个集团信息系统中的所有API及传输数据的可知、可见、可控，解决了集团影子API所带来的合规风险、安全风险和业务风险。系统上线后，已累计发现了100o0+未知API,发现API明文传输数据等脆弱点100+,并针对性优化了集团WAF的防护策略，建立了全集团API资产画像，提升了集团安全部门对API的可见性。4 .适用行业：金融、互联网、政府、高校5 .甲方寄语：随着企业信息化建设的不断深入，API逐渐成为数字业务的核心，各种规模的企业都采用API来改善连接性并构建可组合的产品架构和业务生态，API的商业重要性正大幅提升。然而APl就像硬币的两面一样，为企业提供商业价值的同时，也给企业带来了严峻的安全挑战，传统APl管理工具已经不能应对日益凸显的APl安全问题。长亭科技的API安全产品，以实战攻防为切入点并兼顾业务诉求，在降低APl安全风险的同时保障API价值，是解决APl安全问题的首选产品。深圳红途科技有限公司1.产品名称：数据隐私合规管理平台2 .产品特点及优势：产品特点：1）数据隐私治理：梳理全域数据属性、流转及使用情况，全面掌握期S资产2）数据隐私运营：体系化构建数据隐私运营能力3）数据隐私风险：多维度监测分析，实现应用侧数据泄露风险预警4）数据隐私处理记录：高效实现处理活动记录，构建四层审计、双向溯源产品优势：优势A:全链路追踪技术一全域数据流转链路智能跟踪优势B:全类型数据分类分级一覆盖更全面，且资产可持续运营动态更新优势C:全场景一实现从期g隐私治理、合规、风险和审计的多层联动管控3 .成功案例：案例一：客户行业：寄递物流客户痛点：1）数据安全缺乏整体规划：具备一定信息安全能力，但是缺乏数据安全整体规划，急需快速提升整体水位2）跨境业务缺乏合规遵从：全球化业务，需要准确解读多国/地区法律法规要求，有效搭建合规能力3）数据安全面临较大挑战：敏感数据如何自动化分类分级、敏感数据不可见、数据在应用间及接口间如何流转无法知晓、核心数据都面临着哪些风险，如何建立一个多维度/多视角的风险管理地图解决方案和价值：1）信息安全