聚焦|业内首个API安全研究报告发布

2021-07-28 3356 技术分享

2020年7月27日，中国信通院重磅发布API首个研究报告《应用程序接口（API）数据安全研究报告（2020）》正式发布。全知科技作为数据安全流动领域安全治理专家也受邀参与了该报告的编写。

该研究报告体现了在API数据安全方面的最新研究成果，围绕近年来API安全态势进行分析，从API安全管理、防护手段、风险管控等多角度提出针对性建议，为企事业单位进行API安全治理提供了解决思路。

伴随着移动互联网的发展，应用程序接口（Application Programming Interface，API）作为数据传输流转的重要通道发挥着举足轻重的作用。API技术不仅帮助企业建立与客户沟通的桥梁，还承担着不同复杂系统环境、组织机构之间的数据交互、传输的重任。

近年来，国内外曝出多起与API相关的数据安全事件，严重损害了相关企业、用户的合法权益。我国多个行业已出台相关规范性文件，覆盖通信、金融、交通等诸多领域，对API安全提出了一定要求，对其技术部署、安全管理等进行规范， API安全不容忽视！

全知科技API安全监测系统

随着API安全重要程度的提升，应市场对于API治理的安全需求，全知科技基于数据流动，提出一套以API为主要驱动力的智能数据风控的产品体系——全知天权API安全监测系统，该系统可以帮助客户实时全面了解数据现状，帮助客户发现数据流动中的风险点，进而进行风险控制。

undefined

全知天权API安全监测系统分为底层和展示层两层架构。

以稳定高性能的协议解析引擎为基础构建底层能力，以高效数据处理存储和智能算法为大脑驱动决策，利用人工智能算法训练对数据进行精准识别和采样，快速准确的进行接口识别，内置算法可实现安全事件快速捕捉和预警，大大缩短用户响应时间及效率。

展示层以数据可视化和交互分析为纽带连接用户，以数据态势大屏的形式展现组织的API及应用的数据资产现状及变化态势，此外还包括资产模块，以呈现资产清单、详情和画像，和资产弱点模块，可呈现口令类、认证类、权限类和数据限制类等资产脆弱性，此外，监测系统还设置了报告模块，提供了应用脆弱性、接口生命周期、数据暴露面治理、API检查清单和脱敏合规检查等报告，帮助用户持续对API接口及应用进行监测。

全知科技API接口梳理服务

除上述API安全监测系统外，全知科技还推出了API接口梳理服务，遵从发现、识别、分类和监测的服务流程，对API接口资产全生命周期进行管理。

undefined

API接口梳理服务将对API接口通过业务上报、资产存档、主动扫描、流量发现等方式发现全量的API资产。通过智能识别技术，将API资产根据系统资产、接口资产、接口协议和接口数据等维度进行梳理，并根据接口类型进行划分，例如划分为管理类接口、登陆类接口、数据类接口、控制类接口等等，并通过对API接口的参数、状态、调用习惯、上下线等对API接口进行持续监测。

API接口数据服务轻量快捷高效，可在短时间内帮助企业快速进行API资产的精确盘点。完成后，客户可以得到全量的API接口资产清单和应用系统资产清单，可实现对API资产的自主、全量、透明管控。

站内搜索

往期推荐