“此刻去当局处事，越来越单一方便了！！！”刚刚给公司办落成商审批手续的行政小王如此感叹，企业工商数据已经全数联网同步，一个窗口全数搞定。

    小王感触到的扭转，要归功于全国各地推广的“最多跑一次”鼎新。所谓“最多跑一次”，就是通过“一窗受理
、集成服务
、一次办结”的服务模式创新，让企业和人民到当局处事实现“最多跑一次”的行政指标。更通俗地说，就是让“数据多跑路
、人民少跑腿！！！

    路上出行会存在交通变乱的风险，同样在“数据多跑路”的过程中，由于海量的公民小我信息
、企业贸易数据等在各个部门和系统中流转和分享，甚至对外盛开，就带来了不成忽视的数据泄露
、黑客攻击等安全风险。这其中，作为数字世界中的“信息高速公路”，API数据接口服务能够说是首当其冲。

    某市大数据局在积极推动“互联网+政务”深度融合
、敌灾数字化转型的过程中，宽泛依附API接话柄现各级各部门信息系统的互联互通。其中对外部的利用盛开，这其中暗藏了巨大的数据安全隐患。为此，该市大数据局通过与AB钱包合作，以“API安全卫士+流量解密编排器（SSLO）”为主题，构建起了覆盖 API 资产可视化
、API 风险可视化
、行为可视化
、数据安全事务可视化
、加密流量可视化的全闭环数据安全；は低。

    数据在“高速公路”狂奔，安全风险伴随而来

    据介绍，该市大数据局重要职责是组织
、领导
、协调全市公共数据和电子政务发展治理工作，深入“最多跑一次”鼎新，落实支持鼎新有关的信息系统建设工作，推动“互联网+政务”深度融合
、敌灾数字化转型工作等。为此，大数据局内部部署了市公共数据共享系统
、市公共数据系统
、市多云管控系统
、市经济运行监测分析数字化系统
、市公用事业信息化监管服务系统
、市住房公积金信息治理系统等多个业务系统。

    API作为利用衔接
、数据传输的重要通道，在该市公共数据和电子政务发展治理的数字化转型中被宽泛利用。依附API数据接口服务，全市各部门机构能够轻松获取和利用各类数据资源，方便地共享数据，实现信息流动和互联互通，进而提高运营效能，优化决策和服务，推进创新和发展。

    然而，API带来便捷性和矫捷性的同时，其暗藏的安全风险也伴随而来。国际权威征询机构Gartner曾预测，2022年，API滥用将成为导致企业Web利用法式数据泄露的最常见攻击媒介。到2024年，API滥用和有关数据泄露将险些翻倍。从全球领域来看，2023年API安全事务频发，威胁愈发严重，涉及多家驰名企业。在国内，各地不休出现数据泄露事务，蕴含某驰名大学的学生信息泄露等等，好多都是由 API接口安全问题导致。AB钱包钻研显示，盛开的业务能力越多，API使用领域越宽泛，API露出的攻击面也就越大。

    这对这些情况，该市大数据局通过和AB钱包合作，系统梳理了当前存在的重要API安全风险，具体集中在以下几个方面：：

    第一是API资产梳理不清，无法提前洞察潜在风险。

    由于业务系统的分期上线以及安全数门与业务部门职责分歧，导致了安全数门无法实时把握当前系统有几多API
、哪些是持久不活跃的API
、哪些是已下线的API
、哪些是僵尸API
、业务系统对外露出了哪些API
、以及是否存在未经审批登记的API等一系列问题，用户对API资产情况把握不清澈，更无法提前洞察潜在的数据风险。

    第二是数据泄露无感知，安全事务总是后知后觉。

    攻击者能够通过利用API接口存在的脆弱性批量获取企业敏感信息，且数据在传输的过程中未对敏感信息进行措置，例如公民身份证号
、电话
、联系地址等信息，这样就导致大量数据在悄无觉察的情况下，被大量窃取。

    第三是缝隙攻击无防护，成为攻击者最大突破口。

    API由于设计者或汗青遗留等原因存在逻辑缺点
、配置谬误等安全缝隙，恶意攻击者时时利用API缝隙进行攻击。针对API缝隙利用攻击行为，若何进行防备
、若何精确节制接见行为；针对缝隙攻击
、高频接见等异常行为若何进行急剧安全防护，成为了困扰当前企业安全建设的难点。

    第四是不足溯源响应机制，攻防匹敌中限于被动。

    数据被窃取后，大数据局往往无法急剧定源或响应，很容易造成被传递处罚等事务，严重影响当局名誉，尤其在近年的实战攻防演习中，总是处于被动局面。

    最后是对链路加密检测无伎俩，存在威胁监控盲区。

    该市大数据系统内部全数选取Https加密方式进行传输，从前无解密伎俩，无法感知加密流量中夹带的攻击与威胁，这就造成了威胁监控的盲区。凭据国外机构调研汇报显示，超过95%企业暗示遭逢过由于加密流量引起的安全事务。因而，对API传输的数据进行高效解密是安全；さ幕。

    高效解密+API全闭环防护，为数字政务系上“安全带”

    在API接口越来越频仍受到攻击
、成为数据安全主题隐患的情况下，AB钱包为该市大数据局提供了“API安全卫士+流量解密编排器（SSLO）”的整体解决规划。此规划援手客户看见加密流量威胁的同时，进一步基于API检测设备，通过API资产鉴别
、API敏感数据传输鉴别
、API缝隙攻击检测与防护
、API接见节制等技术解决企业傍边API资产不清
、API缝隙利用攻击无防护伎俩，API敏感数据泄露无感知
、API通讯行为无审计等一系列API安全问题。

    第一是高效流量解密，让暗藏威胁无所遁形。

    针对该大数据局系统内部全数选取Https加密方式进行传输的情况。AB钱包通过在用户南北向主题互换机上，通明串接AB钱包流量解密编排器（SSLO）解密设备做代理解密，再对多个Https业务进行解密战术配置，解密设备对两侧密文进行解密操作后，将解密后的明文进行复制并转发到镜像口，最终通过镜像口将明文传递给旁路的流量分析设备进行安全检测，检测实现后将流量日志和告警日志上传至API安全分析与治理系统。

    API安全分析与治理系统拿到解密后的明文流量后，可援手大数据局实现全面API资产梳理
、API资产脆弱性检测等操作，治理和；PI资产。

    图 该市大数据局API安全卫士联动流量解密编排器的部署

    第二是全面的资产梳理，形成可视化资产清单。

    资产梳理市API安全卫士的重要职能，它能够通过内置规定自动鉴别API类型及公共组件，通过自动打标并进行分类统计，全面治理API资产。在该项目中，AB钱包通过API安全卫士援手某大数据局全面梳理了API资产，发现未知API
、僵尸API，最终形成可视化API资产清单。

    第三是风险可视化治理，并实现精密化战术管控。

    通过API安全卫士援手某大数据局发现内部API各类自身逻辑缺点。重要蕴含未授权接见的问题
、弱认证问题
、过度数据露出问题
、高敏感接口问题
、以及接口误露出问题等。

    其中，AB钱包通过API安全卫士援手某大数据局发现异常高频接见
、文件批量下载
、敏感数据批量爬取
、以及接口参数遍历等API异常接见行为，发现潜在的API安全风险，将风险前置。并通过API安全卫士援手某大数据局分析“谁通过什么方式的API，传输了什么类型的敏感数据，传输了几多”的成效，实现敏感信息的数据传输分析。

    在运营分析方面，通过API安全卫士援手某大数据局分析“什么人（攻击者）通过哪个接口，什么攻击方式手法，攻击了谁（受害者），攻击了局是什么”的成效，极大提升运营人员的分析效能。

    在风险管控方面，通过API安全卫士援手该大数据局在发现安全风险后，通过精密化战术管控预防恶意攻击者通过恶意要求
、DDoS攻击等伎俩对API进行攻击，导致系统瘫痪
、数据泄露等的严重后果。

    第四是满足企业业务合规审查

    合规是企业经营的底线和性命线，大数据局也同样必要遵循《数据安全法》
、《小我信息；しā返扔泄厮痉晒娴囊。在该项目中，大数据局业务通过API来实现数据的交互，而API利用由于其设计的独个性，更多的业务逻辑是在客户端执行，服务端往往会直接将蕴含的所罕见据（其中蕴含好多敏感数据）发送给客户端，由客户端来按需使用。通过部署API安全卫士急剧鉴别和审查 API 要求/响应的内容，进而满足该大数据局安全合规的要求。

 小结

    AB钱包数据安全专家以为，某市大数据局在API数据共享面对的安全困局，也是数据安全最为典型的问题之一。在技术刷新快，安全风险复杂，合规性要求越来高的布景下，数据安全存在着面对“难看清”
、“难管好”
、“难防住”等困境。

    在这种情况下，AB钱包推出了“奇安天盾”数据安全；は低常虺：：奇安天盾），用“六全”框架实现“三能”：：风险能看清，内鬼能管好，攻击能防；将“事务监测
、风险分析
、战术调整
、接见节制”融为一套齐全闭环系统，添补了对于数据；ひ惶寤芰Φ娜笔。

    国际市场钻研与征询机构Gartner指出，“无论产品状态若何，API都存在自己怪异的风险，如API资产清单不全
、API缝隙等。因而，用于网络
、利用或者数据的安全产品并不能单一地复用于基于业务的API风险管控！！！弊魑狦artner《中国API治理市场指南》中API安全领域的代表性供给商，AB钱包以为，API安满是数据安全；ぶ凶钪匾囊换，也是奇安天盾系统化能力的主题组件。该市大数据局在以API安全为主题的数据安全实际，无疑为各省市大数据局数字化鼎新中的数据安整个系化建设，索求出一条可被宽泛借鉴和复制的标杆示范。

    本文部门图片起源于网络