“此刻去当局处事，，越来越单一方便了！！”刚刚给公司办落成商审批手续的行政小王如此感叹，，企业工商数据已经全数联网同步，，一个窗口全数搞定。。。

    小王感触到的扭转，，要归功于全国各地推广的“最多跑一次”鼎新。。。所谓“最多跑一次”，，就是通过“一窗受理、、、集成服务、、、一次办结”的服务模式创新，，让企业和人民到当局处事实现“最多跑一次”的行政指标。。。更通俗地说，，就是让“数据多跑路、、、人民少跑腿。。。！

    路上出行会存在交通变乱的风险，，同样在“数据多跑路”的过程中，，由于海量的公民小我信息、、、企业贸易数据等在各个部门和系统中流转和分享，，甚至对外盛开，，就带来了不成忽视的数据泄露、、、黑客攻击等安全风险。。。这其中，，作为数字世界中的“信息高速公路”，，API数据接口服务能够说是首当其冲。。。

    某市大数据局在积极推动“互联网+政务”深度融合、、、敌灾数字化转型的过程中，，宽泛依附API接话柄现各级各部门信息系统的互联互通。。。其中对外部的利用盛开，，这其中暗藏了巨大的数据安全隐患。。。为此，，该市大数据局通过与AB钱包合作，，以“API安全卫士+流量解密编排器（SSLO）”为主题，，构建起了覆盖 API 资产可视化、、、API 风险可视化、、、行为可视化、、、数据安全事务可视化、、、加密流量可视化的全闭环数据安全；は低。。。

    数据在“高速公路”狂奔，，安全风险伴随而来

    据介绍，，该市大数据局重要职责是组织、、、领导、、、协调全市公共数据和电子政务发展治理工作，，深入“最多跑一次”鼎新，，落实支持鼎新有关的信息系统建设工作，，推动“互联网+政务”深度融合、、、敌灾数字化转型工作等。。。为此，，大数据局内部部署了市公共数据共享系统、、、市公共数据系统、、、市多云管控系统、、、市经济运行监测分析数字化系统、、、市公用事业信息化监管服务系统、、、市住房公积金信息治理系统等多个业务系统。。。

    API作为利用衔接、、、数据传输的重要通道，，在该市公共数据和电子政务发展治理的数字化转型中被宽泛利用。。。依附API数据接口服务，，全市各部门机构能够轻松获取和利用各类数据资源，，方便地共享数据，，实现信息流动和互联互通，，进而提高运营效能，，优化决策和服务，，推进创新和发展。。。

    然而，，API带来便捷性和矫捷性的同时，，其暗藏的安全风险也伴随而来。。。国际权威征询机构Gartner曾预测，，2022年，，API滥用将成为导致企业Web利用法式数据泄露的最常见攻击媒介。。。到2024年，，API滥用和有关数据泄露将险些翻倍。。。从全球领域来看，，2023年API安全事务频发，，威胁愈发严重，，涉及多家驰名企业。。。在国内，，各地不休出现数据泄露事务，，蕴含某驰名大学的学生信息泄露等等，，好多都是由 API接口安全问题导致。。。AB钱包钻研显示，，盛开的业务能力越多，，API使用领域越宽泛，，API露出的攻击面也就越大。。。

    这对这些情况，，该市大数据局通过和AB钱包合作，，系统梳理了当前存在的重要API安全风险，，具体集中在以下几个方面：：

    第一是API资产梳理不清，，无法提前洞察潜在风险。。。

    由于业务系统的分期上线以及安全数门与业务部门职责分歧，，导致了安全数门无法实时把握当前系统有几多API、、、哪些是持久不活跃的API、、、哪些是已下线的API、、、哪些是僵尸API、、、业务系统对外露出了哪些API、、、以及是否存在未经审批登记的API等一系列问题，，用户对API资产情况把握不清澈，，更无法提前洞察潜在的数据风险。。。

    第二是数据泄露无感知，，安全事务总是后知后觉。。。

    攻击者能够通过利用API接口存在的脆弱性批量获取企业敏感信息，，且数据在传输的过程中未对敏感信息进行措置，，例如公民身份证号、、、电话、、、联系地址等信息，，这样就导致大量数据在悄无觉察的情况下，，被大量窃取。。。

    第三是缝隙攻击无防护，，成为攻击者最大突破口。。。

    API由于设计者或汗青遗留等原因存在逻辑缺点、、、配置谬误等安全缝隙，，恶意攻击者时时利用API缝隙进行攻击。。。针对API缝隙利用攻击行为，，若何进行防备、、、若何精确节制接见行为；针对缝隙攻击、、、高频接见等异常行为若何进行急剧安全防护，，成为了困扰当前企业安全建设的难点。。。

    第四是不足溯源响应机制，，攻防匹敌中限于被动。。。

    数据被窃取后，，大数据局往往无法急剧定源或响应，，很容易造成被传递处罚等事务，，严重影响当局名誉，，尤其在近年的实战攻防演习中，，总是处于被动局面。。。

    最后是对链路加密检测无伎俩，，存在威胁监控盲区。。。

    该市大数据系统内部全数选取Https加密方式进行传输，，从前无解密伎俩，，无法感知加密流量中夹带的攻击与威胁，，这就造成了威胁监控的盲区。。。凭据国外机构调研汇报显示，，超过95%企业暗示遭逢过由于加密流量引起的安全事务。。。因而，，对API传输的数据进行高效解密是安全；さ幕。。。

    高效解密+API全闭环防护，，为数字政务系上“安全带”

    在API接口越来越频仍受到攻击、、、成为数据安全主题隐患的情况下，，AB钱包为该市大数据局提供了“API安全卫士+流量解密编排器（SSLO）”的整体解决规划。。。此规划援手客户看见加密流量威胁的同时，，进一步基于API检测设备，，通过API资产鉴别、、、API敏感数据传输鉴别、、、API缝隙攻击检测与防护、、、API接见节制等技术解决企业傍边API资产不清、、、API缝隙利用攻击无防护伎俩，，API敏感数据泄露无感知、、、API通讯行为无审计等一系列API安全问题。。。

    第一是高效流量解密，，让暗藏威胁无所遁形。。。

    针对该大数据局系统内部全数选取Https加密方式进行传输的情况。。。AB钱包通过在用户南北向主题互换机上，，通明串接AB钱包流量解密编排器（SSLO）解密设备做代理解密，，再对多个Https业务进行解密战术配置，，解密设备对两侧密文进行解密操作后，，将解密后的明文进行复制并转发到镜像口，，最终通过镜像口将明文传递给旁路的流量分析设备进行安全检测，，检测实现后将流量日志和告警日志上传至API安全分析与治理系统。。。

    API安全分析与治理系统拿到解密后的明文流量后，，可援手大数据局实现全面API资产梳理、、、API资产脆弱性检测等操作，，治理和；PI资产。。。

    图 该市大数据局API安全卫士联动流量解密编排器的部署

    第二是全面的资产梳理，，形成可视化资产清单。。。

    资产梳理市API安全卫士的重要职能，，它能够通过内置规定自动鉴别API类型及公共组件，，通过自动打标并进行分类统计，，全面治理API资产。。。在该项目中，，AB钱包通过API安全卫士援手某大数据局全面梳理了API资产，，发现未知API、、、僵尸API，，最终形成可视化API资产清单。。。

    第三是风险可视化治理，，并实现精密化战术管控。。。

    通过API安全卫士援手某大数据局发现内部API各类自身逻辑缺点。。。重要蕴含未授权接见的问题、、、弱认证问题、、、过度数据露出问题、、、高敏感接口问题、、、以及接口误露出问题等。。。

    其中，，AB钱包通过API安全卫士援手某大数据局发现异常高频接见、、、文件批量下载、、、敏感数据批量爬取、、、以及接口参数遍历等API异常接见行为，，发现潜在的API安全风险，，将风险前置。。。并通过API安全卫士援手某大数据局分析“谁通过什么方式的API，，传输了什么类型的敏感数据，，传输了几多”的成效，，实现敏感信息的数据传输分析。。。

    在运营分析方面，，通过API安全卫士援手某大数据局分析“什么人（攻击者）通过哪个接口，，什么攻击方式手法，，攻击了谁（受害者），，攻击了局是什么”的成效，，极大提升运营人员的分析效能。。。

    在风险管控方面，，通过API安全卫士援手该大数据局在发现安全风险后，，通过精密化战术管控预防恶意攻击者通过恶意要求、、、DDoS攻击等伎俩对API进行攻击，，导致系统瘫痪、、、数据泄露等的严重后果。。。

    第四是满足企业业务合规审查

    合规是企业经营的底线和性命线，，大数据局也同样必要遵循《数据安全法》、、、《小我信息；しā返扔泄厮痉晒娴囊。。。在该项目中，，大数据局业务通过API来实现数据的交互，，而API利用由于其设计的独个性，，更多的业务逻辑是在客户端执行，，服务端往往会直接将蕴含的所罕见据（其中蕴含好多敏感数据）发送给客户端，，由客户端来按需使用。。。通过部署API安全卫士急剧鉴别和审查 API 要求/响应的内容，，进而满足该大数据局安全合规的要求。。。

 小结

    AB钱包数据安全专家以为，，某市大数据局在API数据共享面对的安全困局，，也是数据安全最为典型的问题之一。。。在技术刷新快，，安全风险复杂，，合规性要求越来高的布景下，，数据安全存在着面对“难看清”、、、“难管好”、、、“难防住”等困境。。。

    在这种情况下，，AB钱包推出了“奇安天盾”数据安全；は低常虺：：奇安天盾），，用“六全”框架实现“三能”：：风险能看清，，内鬼能管好，，攻击能防。。；将“事务监测、、、风险分析、、、战术调整、、、接见节制”融为一套齐全闭环系统，，添补了对于数据；ひ惶寤芰Φ娜笔。。。

    国际市场钻研与征询机构Gartner指出，，“无论产品状态若何，，API都存在自己怪异的风险，，如API资产清单不全、、、API缝隙等。。。因而，，用于网络、、、利用或者数据的安全产品并不能单一地复用于基于业务的API风险管控。。。！弊魑狦artner《中国API治理市场指南》中API安全领域的代表性供给商，，AB钱包以为，，API安满是数据安全；ぶ凶钪匾囊换，，也是奇安天盾系统化能力的主题组件。。。该市大数据局在以API安全为主题的数据安全实际，，无疑为各省市大数据局数字化鼎新中的数据安整个系化建设，，索求出一条可被宽泛借鉴和复制的标杆示范。。。

    本文部门图片起源于网络