2023API治理應(yīng)用案例匯編

前言數(shù)字化時(shí)代下，API（ApplicationProgrammingInterface，應(yīng)用程序接口）作為連接各種應(yīng)用和系統(tǒng)間的橋梁，已經(jīng)成為企業(yè)實(shí)現(xiàn)業(yè)務(wù)上云、提高業(yè)務(wù)效率、拓展業(yè)務(wù)邊界的重要工具之一。云計(jì)算和大數(shù)據(jù)的飛速發(fā)展導(dǎo)致了API爆發(fā)式增長(zhǎng)，然而，攻擊者也針對(duì)其開(kāi)放性和普遍性的特質(zhì)展開(kāi)威脅和攻擊，導(dǎo)致重大的安全隱患和數(shù)據(jù)泄露風(fēng)險(xiǎn)，對(duì)企業(yè)造成嚴(yán)重?fù)p失。為了應(yīng)對(duì)層出不窮的新型攻擊手段和各類安全挑戰(zhàn)，企業(yè)亟需對(duì)API進(jìn)行統(tǒng)一治理。API治理是指對(duì)企業(yè)內(nèi)部和外部的應(yīng)用程序接口進(jìn)行規(guī)劃、監(jiān)控、管理和控制的過(guò)程。通過(guò)API治理，企業(yè)一方面能夠提升業(yè)務(wù)創(chuàng)新效率，另一方面可以確保數(shù)字化轉(zhuǎn)型過(guò)程中的重要業(yè)務(wù)數(shù)據(jù)安全，優(yōu)化用戶體驗(yàn)。在此背景下，中國(guó)信息通信研究院云計(jì)算開(kāi)源產(chǎn)業(yè)聯(lián)盟編寫(xiě)《API治理應(yīng)用案例匯編（2023）》，聚焦API治理實(shí)踐經(jīng)驗(yàn)，從需求分析、API治理具體方案、應(yīng)用成效等方面出發(fā)匯集我國(guó)企業(yè)目前API治理應(yīng)用的優(yōu)秀實(shí)踐案例，跨越金融、通信、能源、軟件和信息服務(wù)等多個(gè)領(lǐng)域。最后，期待本案例集能夠?yàn)闃I(yè)界提供深度洞察和參考，為企業(yè)決策者和從業(yè)者提供實(shí)踐經(jīng)驗(yàn)，助理企業(yè)更好地運(yùn)用API治理，從而推動(dòng)我國(guó)企業(yè)數(shù)字化時(shí)代下的API治理邁向新階段。3一、API治理背景及發(fā)展現(xiàn)狀分析（一）云計(jì)算時(shí)代下，API已成為數(shù)字化轉(zhuǎn)型的重要抓手API作為企業(yè)數(shù)字化轉(zhuǎn)型的重要抓手，不僅是系統(tǒng)連接間的工具，還是促進(jìn)創(chuàng)新、提高效率和改善用戶體驗(yàn)的關(guān)鍵因素。隨著數(shù)字化轉(zhuǎn)型的不斷深入，API的作用和重要性也日益增加，對(duì)企業(yè)的發(fā)展也將產(chǎn)生更為深遠(yuǎn)的影響。因此，企業(yè)應(yīng)將對(duì)API的治理和管理視作戰(zhàn)略性工具，加強(qiáng)API治理以全面發(fā)揮其在數(shù)字化轉(zhuǎn)型中的作用。1數(shù)字化進(jìn)程不斷加速，API數(shù)量急劇增長(zhǎng)。1API作為連接不同軟件應(yīng)用的關(guān)鍵橋梁，為數(shù)據(jù)的傳輸和共享提供了便捷途徑，從而推動(dòng)了數(shù)字化生態(tài)系統(tǒng)的構(gòu)建和發(fā)展。隨著企業(yè)越來(lái)越多地采用云計(jì)算、大數(shù)據(jù)、人工智能等先進(jìn)技術(shù)，API數(shù)量增長(zhǎng)迅速，在促進(jìn)數(shù)字化轉(zhuǎn)型中的作用日益凸顯。2API為企業(yè)數(shù)字化轉(zhuǎn)型提供靈活性和可拓展性。2API可為開(kāi)發(fā)團(tuán)隊(duì)提供已有的功能模塊，從而幫助企業(yè)快速開(kāi)發(fā)部署新功能，避免重復(fù)工作。此外，API還可使企業(yè)在不影響現(xiàn)有業(yè)務(wù)系統(tǒng)的情況下，靈活地進(jìn)行業(yè)務(wù)拓展，探索最新市場(chǎng)機(jī)會(huì)。通過(guò)API的集成，企業(yè)能夠更加便捷地構(gòu)建和優(yōu)化其數(shù)字化基礎(chǔ)架構(gòu)，從而實(shí)現(xiàn)業(yè)務(wù)的快速創(chuàng)新和敏捷發(fā)展。3API可促進(jìn)跨平臺(tái)和跨系統(tǒng)互聯(lián)互通。3API作為連接不同系統(tǒng)和應(yīng)用程序間的通信橋梁，可賦能不同平臺(tái)和系統(tǒng)間數(shù)據(jù)及功能的互聯(lián)互通，從而實(shí)現(xiàn)信息的共享交互。在數(shù)字化轉(zhuǎn)型的過(guò)程中，企業(yè)需將現(xiàn)有業(yè)務(wù)和系統(tǒng)遷移上云，API的存在打破了信息孤島，數(shù)據(jù)能夠更為流暢地在平臺(tái)間傳輸，使得系統(tǒng)間的協(xié)同工作更為通暢，從而提升業(yè)務(wù)效率。4API可助力優(yōu)化用戶體驗(yàn)。4通過(guò)API的功能集成，用戶可在不同設(shè)備和渠道中獲得一致的用戶體驗(yàn)，無(wú)論是網(wǎng)頁(yè)、移動(dòng)應(yīng)用或是其他平臺(tái)，都能享受相似的功能服務(wù)。除此之外，API還可滿足個(gè)性化的定制需求，用戶可根據(jù)個(gè)人偏好定制服務(wù)，從而獲取更加符合需求的功能體驗(yàn)。個(gè)性化服務(wù)可大幅提升用戶滿意度和客戶粘度。4一、API治理背景及發(fā)展現(xiàn)狀分析（二）API治理可保障企業(yè)數(shù)字化轉(zhuǎn)型的順暢與安全，通過(guò)規(guī)范化管理降本增效，賦能業(yè)務(wù)創(chuàng)新API治理是現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型不可或缺的一部分，涉及規(guī)劃、管理和控制企業(yè)內(nèi)部和外部的應(yīng)用程序接口。API治理有諸多好處，對(duì)企業(yè)的發(fā)展和運(yùn)作產(chǎn)生深遠(yuǎn)影響。1提升數(shù)據(jù)安全性1API治理可通過(guò)鑒權(quán)管理、權(quán)限控制、審計(jì)與監(jiān)控管理、漏洞修補(bǔ)與更新等多種方式，全面提升數(shù)據(jù)安全性。此類治理措施可有效降低數(shù)據(jù)泄露、未經(jīng)授權(quán)訪問(wèn)或者惡意攻擊竊取數(shù)據(jù)的風(fēng)險(xiǎn)，為企業(yè)的數(shù)據(jù)安全提供堅(jiān)實(shí)保障。2提升API資產(chǎn)可見(jiàn)性2API資產(chǎn)數(shù)量多、變化快，導(dǎo)致企業(yè)API資產(chǎn)梳理困難。隨著信息化建設(shè)的深入和業(yè)務(wù)介入渠道的豐富，企業(yè)內(nèi)部API數(shù)量龐大且分散。與此同時(shí)，快速更迭的業(yè)務(wù)形態(tài)也導(dǎo)致API頻繁變化。API治理可以提升API資產(chǎn)的可見(jiàn)性，對(duì)數(shù)量龐大且分散、變化頻繁、監(jiān)控復(fù)雜的應(yīng)用程序接口進(jìn)行統(tǒng)一梳理，幫助企業(yè)了解掌控其API的使用情況、性能表現(xiàn)和變更的詳細(xì)信息。3提升威脅防護(hù)能力3API的爆發(fā)式增長(zhǎng)在為企業(yè)提供更強(qiáng)大、靈活的數(shù)據(jù)交換和功能擴(kuò)展能力、創(chuàng)造更多商業(yè)機(jī)會(huì)的同時(shí)，也帶來(lái)了新的安全挑戰(zhàn)。API接口數(shù)量的增加擴(kuò)大了網(wǎng)絡(luò)受攻擊范圍，導(dǎo)致風(fēng)險(xiǎn)傳導(dǎo)路徑增多。企業(yè)原有的防護(hù)邊界和手段難以應(yīng)對(duì)新型威脅。API治理一方面可以助力企業(yè)采取多層次的安全策略和措施抵御新興威脅，另一方面可以通過(guò)定期培訓(xùn)提升安全意識(shí)，降低威脅攻擊發(fā)生概率。4降低開(kāi)發(fā)和維護(hù)成本4通過(guò)API治理，企業(yè)可以管理標(biāo)準(zhǔn)化的API接口文檔，使不同團(tuán)隊(duì)間能夠更簡(jiǎn)易地理解和使用API，從而降低開(kāi)發(fā)新功能和新服務(wù)的成本。與此同時(shí)，企業(yè)內(nèi)部不同團(tuán)隊(duì)和項(xiàng)目間可以共享API資源，避免重復(fù)開(kāi)發(fā)相同功能或服務(wù)，提高資源利用效率。5一、API治理背景及發(fā)展現(xiàn)狀分析（三）API治理面臨多重難點(diǎn)API治理可助力企業(yè)高效管理API資產(chǎn)，解決API繁雜等問(wèn)題，通過(guò)加強(qiáng)針對(duì)API的安全管控，加速企業(yè)數(shù)字化轉(zhuǎn)型的步伐。然而，企業(yè)在落地API治理時(shí)仍面臨眾多難點(diǎn)。1技術(shù)復(fù)雜性高1企業(yè)內(nèi)部通常存在多種使用不同協(xié)議和數(shù)據(jù)格式的API。統(tǒng)一管理和整合此類API，從技術(shù)角度出發(fā)對(duì)企業(yè)而言難度較大，從管理角度出發(fā)則較為復(fù)雜。例如，企業(yè)內(nèi)部不同的API往往采用不同的協(xié)議或架構(gòu)風(fēng)格，包括但不限于REST、SOAP、gRPC等等，因此需要較高的API治理技術(shù)對(duì)不同類型的API進(jìn)行統(tǒng)一管理和整合。此外，云時(shí)代的API通常涉及復(fù)雜的業(yè)務(wù)邏輯和數(shù)據(jù)模型，需要與繁多的系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行頻繁交互。為了保障敏感數(shù)據(jù)的安全，需要企業(yè)持續(xù)對(duì)API進(jìn)行監(jiān)控。如何統(tǒng)一API的規(guī)范和標(biāo)準(zhǔn)成為了現(xiàn)代企業(yè)落地API治理的一大難點(diǎn)，需要具備多種技術(shù)能力和管理工具對(duì)API進(jìn)行監(jiān)控和統(tǒng)一管控。2跨團(tuán)隊(duì)協(xié)調(diào)溝通難度大2企業(yè)內(nèi)部進(jìn)行API治理往往需要涉及多團(tuán)隊(duì)和部門(mén)之間互相配合，包括開(kāi)發(fā)團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)、安全團(tuán)隊(duì)、業(yè)務(wù)團(tuán)隊(duì)等。各團(tuán)隊(duì)有不同的專業(yè)領(lǐng)域、工作目標(biāo)和工作優(yōu)先級(jí)，因此在進(jìn)行企業(yè)級(jí)API治理時(shí)難以確保所有團(tuán)隊(duì)協(xié)同工作。首先，不同團(tuán)隊(duì)間的技術(shù)棧存在差異。例如，開(kāi)發(fā)團(tuán)隊(duì)關(guān)注重點(diǎn)為編寫(xiě)高質(zhì)量代碼和新功能的實(shí)現(xiàn)，而運(yùn)維團(tuán)隊(duì)則專注于系統(tǒng)的穩(wěn)定性和性能優(yōu)化，導(dǎo)致團(tuán)隊(duì)間在API治理的目標(biāo)和方法上存在分歧。其次，團(tuán)隊(duì)間的溝通協(xié)作機(jī)制亟需完善。由于缺乏有效的溝通渠道和工具，不同團(tuán)隊(duì)間可能存在信息不透明和溝通不順暢的情況，導(dǎo)致API治理過(guò)程中的決策和執(zhí)行出現(xiàn)延誤或錯(cuò)誤，進(jìn)而影響項(xiàng)目進(jìn)展。此外，不同團(tuán)隊(duì)的訴求和追求目標(biāo)存在一定差異。目標(biāo)上的沖突可能導(dǎo)致團(tuán)隊(duì)間在API治理過(guò)程中產(chǎn)生摩擦和矛盾。如何協(xié)調(diào)團(tuán)隊(duì)間的合作溝通成為了企業(yè)級(jí)API治理的一大難點(diǎn)，需要構(gòu)建良好的協(xié)作和溝通機(jī)制應(yīng)對(duì)跨團(tuán)隊(duì)的協(xié)同挑戰(zhàn)。6一、API治理背景及發(fā)展現(xiàn)狀分析3版本迭代速度快3維護(hù)和管理不斷更新迭代的API版本對(duì)企業(yè)落地API治理是一項(xiàng)不容小覷的挑戰(zhàn)。隨著新興技術(shù)的不斷發(fā)展和市場(chǎng)需求的不斷變化，API版本迭代速度越來(lái)越快，版本的快速迭代使得API治理變得更加復(fù)雜和困難。不同版本涉及新功能引入、修改現(xiàn)有功能或修復(fù)錯(cuò)誤，需要企業(yè)持續(xù)跟蹤并管理，對(duì)API的文檔、測(cè)試和部署進(jìn)行相應(yīng)更新。同時(shí)，不同版本之間的兼容性和互操作性也需要納入考量范圍內(nèi)，確保版本更新后系統(tǒng)的穩(wěn)定性和可靠性。其次，在追求快速迭代的過(guò)程中，企業(yè)可能忽略重要的測(cè)試和驗(yàn)證步驟，導(dǎo)致新版本的API存在缺陷，引發(fā)故障或中斷。如何保證迭代后業(yè)務(wù)的穩(wěn)定和可用性，成為企業(yè)落地API治理的難點(diǎn)之一，需要投入額外的資源和時(shí)間來(lái)匹配技術(shù)上的迭代更新。4API資產(chǎn)梳理困難4API治理中尤為重要的一步便是對(duì)企業(yè)擁有的API資產(chǎn)進(jìn)行全面梳理。然而企業(yè)內(nèi)部API數(shù)量眾多，且往往以不同格式、協(xié)議和技術(shù)標(biāo)準(zhǔn)存在，使得整合和梳理困難重重。企業(yè)在API資產(chǎn)梳理方面缺乏成熟的工具和方法支持，導(dǎo)致企業(yè)在進(jìn)行API資產(chǎn)梳理時(shí)無(wú)法快速準(zhǔn)確地識(shí)別和跟蹤API的詳細(xì)信息，包括API的功能、接口定義、請(qǐng)求和響應(yīng)格式等。缺乏有效的管理工具和方法使得API資產(chǎn)梳理成為企業(yè)落地API治理的一大難點(diǎn)。5API新興威脅難以防護(hù)5API治理成功與否的關(guān)鍵考量因素之一便是針對(duì)威脅攻擊的安全防護(hù)能力是否到位。API的開(kāi)放性和互聯(lián)性使攻擊者可以利用漏洞和缺陷進(jìn)行攻擊。此外，由于API技術(shù)的快速發(fā)展和變化，API所面臨的攻擊手段也呈多樣化發(fā)展，常見(jiàn)威脅包括但不限于未經(jīng)授權(quán)訪問(wèn)、DDoS攻擊、惡意代碼注入等等。API安全防護(hù)手段相對(duì)滯后，傳統(tǒng)的安全防護(hù)方法往往不能及時(shí)應(yīng)對(duì)新的威脅和攻擊方式。如何針對(duì)多樣的威脅進(jìn)行有效防護(hù)，也成為企業(yè)進(jìn)行API治理的一大難點(diǎn)問(wèn)題。7二、我國(guó)企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（一）API治理應(yīng)用推動(dòng)因素及關(guān)注重點(diǎn)目前，金融、通信、醫(yī)療、政務(wù)、基礎(chǔ)設(shè)施、汽車等多類行業(yè)已開(kāi)展API治理工作。根據(jù)案例收集結(jié)果顯示，不同行業(yè)在API戰(zhàn)略和規(guī)劃方面的側(cè)重不同。金融、政務(wù)行業(yè)受到監(jiān)管指引和法規(guī)要求的推動(dòng)，更注重API風(fēng)險(xiǎn)管理和數(shù)據(jù)安全，確保安全合規(guī)。通信、軟件和信息服務(wù)行業(yè)往往需要承載和處理大量數(shù)據(jù)，對(duì)數(shù)據(jù)的流動(dòng)和交互有較高的安全要求，因此更加注重API敏感數(shù)據(jù)的安全。能源行業(yè)受上層決策部署驅(qū)動(dòng)，需實(shí)現(xiàn)綠色數(shù)字化轉(zhuǎn)型，更注重API資產(chǎn)的全面梳理和風(fēng)險(xiǎn)管控。汽車行業(yè)中的API往往更注重安全和功能性要求，例如車輛涉及的控制系統(tǒng)和駕駛輔助系統(tǒng)。因此，汽車行業(yè)在API治理中可能投入更多資源，以確保API的質(zhì)量和安全性。8二、我國(guó)企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（二）API治理關(guān)鍵技術(shù)應(yīng)用情況分析企業(yè)在落地API治理時(shí)往往根據(jù)不同需求選擇不同的技術(shù)。常見(jiàn)的關(guān)鍵技術(shù)包括如下幾方面。1基于智能識(shí)別的API資產(chǎn)管理1基于智能識(shí)別的API資產(chǎn)管理利用人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化技術(shù)，以更高效的方式對(duì)API資產(chǎn)進(jìn)行全面梳理，實(shí)現(xiàn)對(duì)API資產(chǎn)的掌握。機(jī)器學(xué)習(xí)和自然語(yǔ)言處理等技術(shù)可以根據(jù)API的特征、用途和結(jié)構(gòu)將其分類，使得后續(xù)管理更為便捷。在自動(dòng)識(shí)別API資產(chǎn)的同時(shí)，還可根據(jù)API的屬性特征差異對(duì)各API進(jìn)行分類，并對(duì)同類資產(chǎn)進(jìn)行統(tǒng)一管控。通過(guò)智能識(shí)別，API治理平臺(tái)或解決方案可以自動(dòng)掃描并識(shí)別企業(yè)內(nèi)部隱藏、未經(jīng)授權(quán)，或零散存在的API資產(chǎn)。除此之外，還可以幫助企業(yè)更加全面地了解其API生態(tài)系統(tǒng)，對(duì)API的類型、功能、使用情況和版本信息有全面的掌控。2API標(biāo)準(zhǔn)化文檔管理2通過(guò)實(shí)現(xiàn)API接口的標(biāo)準(zhǔn)化，保障相互關(guān)聯(lián)的系統(tǒng)能夠在同一平臺(tái)的規(guī)定范圍內(nèi)進(jìn)行操作，從而推動(dòng)相關(guān)開(kāi)發(fā)和測(cè)試的順利進(jìn)行，并提高接口信息交互效率。關(guān)鍵管理步驟包括制定規(guī)范的文檔格式、進(jìn)行版本控制、進(jìn)行文檔權(quán)限控制。制定規(guī)范的文檔格式是指確定并規(guī)范化API文檔的格式和結(jié)構(gòu)，例如使用OpenAPI規(guī)范或Swagger等標(biāo)準(zhǔn)格式，從而使得文檔風(fēng)格統(tǒng)一，提高文檔的可讀性和可維護(hù)性。版本控制是指搭建版本控制系統(tǒng)對(duì)API文檔進(jìn)行管理。每次更新或修改API文檔時(shí)，都需要提交至版本控制系統(tǒng)，從而確保文檔的歷史版本可追溯和恢復(fù)。文檔權(quán)限控制是指設(shè)定權(quán)限機(jī)制，確保只有授權(quán)人員可以訪問(wèn)和編輯API文檔，有助于保護(hù)文檔的安全性和完整性。3流量審計(jì)及監(jiān)控管理3借助流量解析和審計(jì)技術(shù)，識(shí)別出流轉(zhuǎn)其中的敏感數(shù)據(jù)信息，全面追蹤敏感數(shù)據(jù)的流動(dòng)軌跡，以及此類數(shù)據(jù)涉及的用戶和相關(guān)組織。API流量審計(jì)及監(jiān)控技術(shù)可幫助企業(yè)及時(shí)發(fā)掘潛在的安全隱患。具體實(shí)施技術(shù)包括實(shí)時(shí)流量監(jiān)控、性能分析優(yōu)化、異常檢測(cè)和告警等三方面。實(shí)時(shí)流量監(jiān)控是指通過(guò)監(jiān)視API的訪問(wèn)模式、請(qǐng)求量、響9userid:529794,docid:174299,date:2024-09-09,二、我國(guó)企業(yè)API治理及應(yīng)用現(xiàn)狀洞察應(yīng)時(shí)間等指標(biāo)及時(shí)發(fā)現(xiàn)異常問(wèn)題。性能和分析優(yōu)化是指利用流量監(jiān)控?cái)?shù)據(jù)進(jìn)行分析，通過(guò)分析API響應(yīng)時(shí)間、請(qǐng)求量等指標(biāo)，發(fā)現(xiàn)性能瓶頸，從而有針對(duì)性的進(jìn)行優(yōu)化。異常檢測(cè)和報(bào)警是指API出現(xiàn)異常錯(cuò)誤或者超出預(yù)設(shè)閾值時(shí)，系統(tǒng)能夠及時(shí)發(fā)現(xiàn)并進(jìn)行告警通知。4高效全面的API管理平臺(tái)4API管理平臺(tái)可對(duì)從設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、發(fā)布、監(jiān)控到下線各個(gè)生命階段的接口進(jìn)行治理，通過(guò)搭建全流程規(guī)范體系，提供豐富的API管理工具，幫助企業(yè)高效管理API，降低管理成本。搭建全面高效的API管理平臺(tái)包括以下五個(gè)關(guān)鍵步驟。首先是制定清晰的API戰(zhàn)略和規(guī)劃。企業(yè)在進(jìn)行API治理前需要制定與業(yè)務(wù)目標(biāo)和技術(shù)愿景相符合的API戰(zhàn)略，為平臺(tái)建設(shè)提供指導(dǎo)。第二是設(shè)計(jì)合理的API架構(gòu)，使得API能夠適應(yīng)不同的業(yè)務(wù)場(chǎng)景和需求。第三是持續(xù)的性能優(yōu)化和監(jiān)控，實(shí)時(shí)追蹤API運(yùn)行狀態(tài)，確保安全性和穩(wěn)定性。第四是強(qiáng)化安全和合規(guī)性，通過(guò)身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密等措施，確保數(shù)據(jù)安全和合規(guī)性，保護(hù)重要數(shù)據(jù)不泄露。第五是持續(xù)改進(jìn)和創(chuàng)新，根據(jù)用戶反饋和市場(chǎng)變化，優(yōu)化API性能。10二、我國(guó)企業(yè)API治理及應(yīng)用現(xiàn)狀洞察（三）API治理產(chǎn)業(yè)發(fā)展展望在數(shù)字化浪潮下，企業(yè)加速轉(zhuǎn)型步伐，API已成為軟件應(yīng)用間必不可缺的橋梁。而API治理作為確保API安全、高效運(yùn)行的保障手段，正逐漸成為企業(yè)IT戰(zhàn)略的核心。從安全性到智能化，API治理在未來(lái)將持續(xù)創(chuàng)新和進(jìn)步，為企業(yè)提供更高效、更安全的API管理體驗(yàn)。新形勢(shì)下，對(duì)于API治理產(chǎn)業(yè)的發(fā)展趨勢(shì)及未來(lái)展望如下。治理手段向智能化和自動(dòng)化方向邁進(jìn)隨著API數(shù)量的增多，傳統(tǒng)的人工管理方式難以及時(shí)對(duì)變化中的API資產(chǎn)進(jìn)行全面管控，API治理手段的自動(dòng)化和智能化發(fā)展將成為未來(lái)發(fā)展趨勢(shì)。人工智能和機(jī)器學(xué)習(xí)技術(shù)的發(fā)展使得API治理能夠借助更多智能手段，包括智能識(shí)別API資產(chǎn)、自動(dòng)化監(jiān)控和安全審計(jì)、智能優(yōu)化API，從而提高治理效率和精度。首先，API治理工具將實(shí)現(xiàn)對(duì)API的自動(dòng)化發(fā)現(xiàn)和監(jiān)控，從而減少人工干預(yù)，提高管理效率。其次，智能化API治理將運(yùn)用機(jī)器學(xué)習(xí)和人工智能技術(shù)，自動(dòng)識(shí)別和修復(fù)API的安全漏洞，預(yù)測(cè)潛在風(fēng)險(xiǎn)，實(shí)現(xiàn)智能防護(hù)，從而降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。綜上所述，在新興技術(shù)的不斷發(fā)展下，API治理手段也將向智能化和自動(dòng)化方向邁進(jìn)，賦能企業(yè)更快速更精準(zhǔn)地管理所有API接口，顯著提高效率，降低人為錯(cuò)誤的風(fēng)險(xiǎn)。通過(guò)API治理構(gòu)建更全面的安全防護(hù)能力企業(yè)業(yè)務(wù)上云為API治理帶來(lái)不容小覷的挑戰(zhàn)，具體挑戰(zhàn)包括授權(quán)和訪問(wèn)控制難度增大、一致性和標(biāo)準(zhǔn)化挑戰(zhàn)增高、暴露面增多等多個(gè)方面。API作為企業(yè)關(guān)鍵信息流動(dòng)的通道，若不加以有效管理，或?qū)⒊蔀楹诳凸艉蛿?shù)據(jù)泄露的切入點(diǎn)。未來(lái)，API治理將不僅局限于性能和可用性管理，更將深入到安全防護(hù)層面。一是可以采用API網(wǎng)關(guān)技術(shù)對(duì)調(diào)用進(jìn)行實(shí)時(shí)監(jiān)控分析，攔截惡意請(qǐng)求。二是結(jié)合身份和訪問(wèn)管理解決方案，對(duì)API訪問(wèn)實(shí)現(xiàn)最小權(quán)限原則。三是借助安全信息和事件管理（SIEM）系統(tǒng)，對(duì)安全事件進(jìn)行集中管理、響應(yīng)和告警，迅速發(fā)現(xiàn)潛在安全威脅。綜上所述，API治理在未來(lái)將融合多種手段形成完備的解決方案，為企業(yè)的API進(jìn)行全方位防護(hù)。11二、我國(guó)企業(yè)API治理及應(yīng)用現(xiàn)狀洞察API治理戰(zhàn)略重點(diǎn)依據(jù)行業(yè)特點(diǎn)而差異化發(fā)展API治理的戰(zhàn)略關(guān)注重點(diǎn)受到行業(yè)特性和業(yè)務(wù)需求影響，將差異化發(fā)展。金融業(yè)對(duì)于數(shù)據(jù)的安全性要求極高。隨著金融科技的發(fā)展和開(kāi)放銀行的興起，API涉及客戶數(shù)據(jù)、交易信息和資金流動(dòng)等高度敏感內(nèi)容，金融業(yè)對(duì)于API的依賴程度不斷加深。金融業(yè)API治理的發(fā)展方向?qū)⒏幼⒅匕踩?、合?guī)性和隱私保護(hù)。一方面，金融機(jī)構(gòu)需加強(qiáng)API安全防護(hù)，采用加密技術(shù)和身份驗(yàn)證機(jī)制確保API調(diào)用過(guò)程和使用過(guò)程安全。另一方面，需嚴(yán)格遵守法律法規(guī)并滿足API的使用符合監(jiān)管要求。通信業(yè)擁有海量的用戶數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)，API通常涉及到網(wǎng)絡(luò)傳輸和數(shù)據(jù)處理。隨著5G、邊緣計(jì)算等新技術(shù)的發(fā)展，通信網(wǎng)絡(luò)復(fù)雜性日益增高，通信業(yè)API治理的未來(lái)發(fā)展方向?qū)⒏幼⒅乜缙脚_(tái)互操作性、數(shù)據(jù)隱私保護(hù)和開(kāi)放合作生態(tài)。一方面，API治理將幫助通信企業(yè)實(shí)現(xiàn)跨網(wǎng)絡(luò)、跨平臺(tái)的服務(wù)互通，另一方面，通信業(yè)的API治理需保障海量數(shù)據(jù)的傳輸安全，保障重要數(shù)據(jù)不泄露。能源業(yè)受政策驅(qū)動(dòng)，關(guān)注資源的可持續(xù)發(fā)展和綠色數(shù)字化轉(zhuǎn)型。能源業(yè)未來(lái)API治理將更加關(guān)注生態(tài)合作與開(kāi)放創(chuàng)新，通過(guò)開(kāi)放API推動(dòng)生態(tài)系統(tǒng)的建設(shè)和發(fā)展，激發(fā)創(chuàng)新活力，推動(dòng)能源行業(yè)的數(shù)字化轉(zhuǎn)型和可持續(xù)發(fā)展。汽車業(yè)未來(lái)API治理趨勢(shì)將一方面關(guān)注用戶體驗(yàn)與個(gè)性化服務(wù)，通過(guò)API提供的個(gè)性化接口服務(wù)，提升用戶體驗(yàn)，另一方面關(guān)注數(shù)據(jù)安全，保障通過(guò)API傳輸?shù)闹匾獢?shù)據(jù)不外泄。推進(jìn)API治理標(biāo)準(zhǔn)化建設(shè)，深入實(shí)施高質(zhì)量發(fā)展建立基于不同行業(yè)需求的API治理體系標(biāo)準(zhǔn)。在引導(dǎo)和鼓勵(lì)企業(yè)深化數(shù)字化業(yè)務(wù)的同時(shí)，還應(yīng)鼓勵(lì)企業(yè)加快針對(duì)API治理新技術(shù)新方法的研究與實(shí)踐，推動(dòng)API治理的體系化發(fā)展。針對(duì)不同細(xì)分行業(yè)，積極開(kāi)展符合行業(yè)發(fā)展規(guī)律的API治理標(biāo)準(zhǔn)制定，推動(dòng)引導(dǎo)API治理高質(zhì)量發(fā)展。12三、中國(guó)信通院API治理相關(guān)工作匯總隨著云計(jì)算、大數(shù)據(jù)、人工智能的蓬勃發(fā)展，越來(lái)越多的應(yīng)用開(kāi)發(fā)深度依賴于API之間的相互調(diào)用，API治理受到廣泛重視。與此同時(shí)，API也正成為攻擊者重點(diǎn)光顧的目標(biāo)，通過(guò)攻擊API來(lái)破壞信息系統(tǒng)和竊取數(shù)據(jù)，將成為數(shù)字時(shí)代黑產(chǎn)活動(dòng)最集中的方向之一。由于API接口功能多樣，建立一套覆蓋全生命周期的應(yīng)用程序接口成熟度要求，從API開(kāi)發(fā)、測(cè)試、上線、運(yùn)維、迭代、下線等各個(gè)階段規(guī)范接口安全管理能力，對(duì)助力企業(yè)不斷優(yōu)化升級(jí)安全技術(shù)，落地API全生命周期安全防護(hù)體系具有重要意義。在此背景下，中國(guó)信通院云計(jì)算標(biāo)準(zhǔn)和開(kāi)源推進(jìn)委員會(huì)啟動(dòng)《應(yīng)用程序接口全生命周期安全管理要求》標(biāo)準(zhǔn)編撰工作，該標(biāo)準(zhǔn)適用于為企業(yè)建設(shè)、選擇API以及評(píng)API時(shí)提供規(guī)范性依據(jù)。標(biāo)準(zhǔn)從API全生命周期出發(fā)，圍繞開(kāi)發(fā)、測(cè)試、發(fā)布、運(yùn)維、迭代、下線六個(gè)方面對(duì)安全能力做出規(guī)范要求。標(biāo)準(zhǔn)重點(diǎn)關(guān)注運(yùn)維階段的API安全，共分為資產(chǎn)管理、安全監(jiān)測(cè)、安全防護(hù)、API審計(jì)四大安全模塊。中國(guó)信通院依據(jù)標(biāo)準(zhǔn)《應(yīng)用程序接口全生命周期安全管理要求》開(kāi)展評(píng)估，評(píng)估共分為三個(gè)等級(jí)，分別為基礎(chǔ)級(jí)、增強(qiáng)級(jí)、先進(jìn)級(jí)。評(píng)估可助力企業(yè)識(shí)別API管理薄弱環(huán)節(jié)，梳理API安全風(fēng)險(xiǎn)，從而提升API安全管理能力，維護(hù)企業(yè)信息安全和平穩(wěn)運(yùn)行。圖1《應(yīng)用程序接口全生命周期安全管理要求》框架13三、中國(guó)信通院API治理相關(guān)工作匯總在《應(yīng)用程序接口全生命周期安全管理要求》的基礎(chǔ)上，中國(guó)信通院進(jìn)一步拓寬標(biāo)準(zhǔn)范圍，撰寫(xiě)了《API治理能力成熟度評(píng)價(jià)方法》。API治理包含在包含API安全的基礎(chǔ)上，進(jìn)一步從人員、決策、管理制度、技術(shù)等層面出發(fā)進(jìn)行能力規(guī)范。未來(lái)，中國(guó)信通院將持續(xù)推進(jìn)API治理的相關(guān)研究工作。14T.Uglü1?API??Mj???B? 9??E@(2023)API治理應(yīng)用案例（2023）收錄案例總覽中金財(cái)富API協(xié)同治理平臺(tái)中國(guó)中金財(cái)富證券有限公司Eolink（深圳市銀云信息技術(shù)有限公司）申能集團(tuán)API安全治理項(xiàng)目申能（集團(tuán)）有限公司上海派拉軟件股份有限公司全省一體化API數(shù)據(jù)安全管控某省大數(shù)據(jù)中心五色石（杭州）數(shù)據(jù)技術(shù)有限公司寧波機(jī)場(chǎng)智慧飛行區(qū)寧波機(jī)場(chǎng)集團(tuán)有限公司杭州大拙信息技術(shù)有限公司韻達(dá)API治理項(xiàng)目上海韻達(dá)貨運(yùn)有限公司瑞數(shù)信息技術(shù)（上海）有限公司蘇州銀行API數(shù)字化治理平臺(tái)蘇州銀行股份有限公司Eolink（深圳市銀云信息技術(shù)有限公司）外部數(shù)據(jù)管理平臺(tái)國(guó)銀金融租賃股份有限公司天聚地合（蘇州）科技股份有限公司API敏感信息風(fēng)險(xiǎn)識(shí)別某銀行全知科技（杭州）有限責(zé)任公司國(guó)投證券服務(wù)化基礎(chǔ)平臺(tái)API治理系統(tǒng)國(guó)投證券股份有限公司Eolink（深圳市銀云信息技術(shù)有限公司）天翼數(shù)生API資產(chǎn)治理項(xiàng)目天翼數(shù)字生活科技有限公司杭州安恒信息技術(shù)股份有限公司中移在線廣東分公司API安全治理項(xiàng)目中移在線服務(wù)有限公司廣東分公司杭州安恒信息技術(shù)股份有限公司

平安銀行Arena開(kāi)發(fā)者平臺(tái)平安銀行股份有限公司上汽大眾API統(tǒng)一管理平臺(tái)上汽大眾汽車有限公司上海派拉軟件股份有限公司杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目杭州市臨平區(qū)數(shù)據(jù)資源管理局杭州美創(chuàng)科技股份有限公司智慧醫(yī)院對(duì)外服務(wù)API安全持續(xù)改進(jìn)項(xiàng)目蘇州大學(xué)附屬第一醫(yī)院樂(lè)信API安全管控與治理深圳樂(lè)信軟件技術(shù)有限公司深圳永安在線科技有限公司充電業(yè)務(wù)API安全防護(hù)國(guó)網(wǎng)智慧車聯(lián)網(wǎng)技術(shù)有限公司北京安勝華信科技有限公司風(fēng)控系統(tǒng)接口安全治理上海維信薈智金融科技有限公司全知科技（杭州）有限責(zé)任公司MagADN互聯(lián)網(wǎng)APP零信任建設(shè)方案叮當(dāng)快藥鼐特（北京）信息技術(shù)有限公司商業(yè)銀行API安全監(jiān)測(cè)與防護(hù)體系某銀行自適應(yīng)云原生API安全治理某公司廣西移動(dòng)API安全治理案例中國(guó)移動(dòng)通信集團(tuán)廣西有限公司瑞數(shù)信息技術(shù)（上海）有限公司15一、中金財(cái)富API一、中金財(cái)富API協(xié)同治理平臺(tái)中國(guó)中金財(cái)富證券有限公司

Eolink（深圳市銀云信息技術(shù)有限公司）中國(guó)中金財(cái)富證券有限公司一直踐行敏捷開(kāi)發(fā)理念，充分釋放金融科技動(dòng)能助推公司數(shù)字化轉(zhuǎn)型發(fā)展，如何科學(xué)合理的管理API即變成了一大重要挑戰(zhàn)。為應(yīng)對(duì)這一挑戰(zhàn)，公司內(nèi)部迫切需要一種先進(jìn)的工具來(lái)對(duì)API全生命周期進(jìn)行管理和標(biāo)準(zhǔn)化，以便更好地滿足業(yè)務(wù)需要和提升研發(fā)效率，幫助公司層面能更有效管理和協(xié)調(diào)API數(shù)字資產(chǎn)。主要面臨的API治理難題API管理難，API資產(chǎn)無(wú)法統(tǒng)一維護(hù)API文檔不規(guī)范，團(tuán)隊(duì)理解成本高API文檔更新滯后、團(tuán)隊(duì)需反復(fù)溝通API理

面臨的核心需求點(diǎn)支持全面且靈活的的權(quán)限管理支持API數(shù)據(jù)的多種導(dǎo)入/生成方式支持及時(shí)的API變更通知支持項(xiàng)目級(jí)版本管理支持APIhub共享平臺(tái)為了解決API管理的問(wèn)題，中金財(cái)富采購(gòu)API接口管理工具，并結(jié)合內(nèi)部需求開(kāi)發(fā)建設(shè)，通過(guò)該平臺(tái)實(shí)現(xiàn)統(tǒng)一API管理平臺(tái)、API資產(chǎn)管理，API資產(chǎn)開(kāi)放的目標(biāo)。上線統(tǒng)一API管理平臺(tái)，建立內(nèi)部項(xiàng)目管控體系通過(guò)平臺(tái)設(shè)置內(nèi)控管理，建立起組織內(nèi)部不同API的權(quán)限管控，為實(shí)現(xiàn)API統(tǒng)一平臺(tái)管理奠定基礎(chǔ)。將已有存量API傳統(tǒng)文檔進(jìn)行了梳理，再進(jìn)行平臺(tái)數(shù)字化處理；java通過(guò)代碼的注解生成API文檔，生成的API文檔不全，則完善注解之后再?zèng)_洗生成。如果非Java語(yǔ)言的，則通過(guò)其他工具轉(zhuǎn)換為postman等格式再進(jìn)行導(dǎo)入，完成API資產(chǎn)文檔的遷移及統(tǒng)一管理、監(jiān)控。16一、中金財(cái)富API協(xié)同治理平臺(tái)一、中金財(cái)富API協(xié)同治理平臺(tái)建設(shè)企業(yè)內(nèi)部API接口規(guī)范，建立API接口模板根據(jù)API接口設(shè)計(jì)契約化、重用性、冪等性、事務(wù)最終一致性、可管控、可監(jiān)控原則，通過(guò)征求內(nèi)部意見(jiàn)，設(shè)立內(nèi)部的API接口規(guī)范，同時(shí)，在API管理平臺(tái)上建立API接口模板，不僅提高設(shè)計(jì)API文檔的效率，也幫助公司統(tǒng)?規(guī)范了接口的開(kāi)發(fā)方式，提高代碼質(zhì)量，減少出錯(cuò)概率，降低維護(hù)成本。利用平臺(tái)功能在線完成接口評(píng)審，助力團(tuán)隊(duì)高效協(xié)作借助API管理平臺(tái)的評(píng)論、變更通知觸發(fā)功能，在線即可完成接口評(píng)審。根據(jù)不同角色，平臺(tái)支持配置狀態(tài)流轉(zhuǎn)時(shí)的通知，狀態(tài)流轉(zhuǎn)到對(duì)接，前端可以和后端聯(lián)調(diào)，流轉(zhuǎn)到完成，測(cè)試人員可以執(zhí)行測(cè)試用例，驗(yàn)證功能。接口設(shè)計(jì)、評(píng)審?fù)瓿珊蠛蠖?、前端均可以并行完成各自的工作，前端開(kāi)發(fā)人員可以選擇Mock進(jìn)行測(cè)試，測(cè)試人員就可以開(kāi)始編寫(xiě)接口規(guī)范性的用例，無(wú)需相互等待，有效提高團(tuán)隊(duì)協(xié)作效率。借助平臺(tái)建設(shè)企業(yè)內(nèi)部API開(kāi)放平臺(tái)，提高API資源利用率內(nèi)部建立了API開(kāi)放平臺(tái)，內(nèi)部項(xiàng)目可經(jīng)過(guò)內(nèi)部審批之后開(kāi)放，開(kāi)放出來(lái)的API項(xiàng)目可被訂閱、克隆使用，中金財(cái)富現(xiàn)已在開(kāi)放平臺(tái)開(kāi)放了如“客戶觸達(dá)“"協(xié)同辦公”“人工智能”“交易系統(tǒng)”“信息安全”“客戶信息”等多種分類的API接口，初步形成API內(nèi)部資產(chǎn)開(kāi)放，API利用率提高。第一期API管理項(xiàng)目自2023年7月上線以來(lái)，目前已經(jīng)接入100+項(xiàng)目，管理17000+API，20+共享API項(xiàng)目，存量活躍用戶300+。有效提升內(nèi)部數(shù)據(jù)和服務(wù)管理的能力。將原本分散在Word、Excel、Swagger等不同工具/平臺(tái)的接口信息統(tǒng)一采集在接口管理平臺(tái)中，管理人員可以了解各個(gè)系統(tǒng)的接口統(tǒng)計(jì)信息（包括API的數(shù)量/分布/使用情況等）以及項(xiàng)目的質(zhì)量情況。加強(qiáng)敏捷組織協(xié)同，接口開(kāi)發(fā)更為敏捷。公司各團(tuán)隊(duì)可以使用同一個(gè)平臺(tái)進(jìn)行開(kāi)發(fā)協(xié)作，并基于內(nèi)部的API接口文檔規(guī)范，通過(guò)平臺(tái)快速設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和對(duì)接接口，改善了繁瑣重復(fù)的文檔溝通協(xié)作問(wèn)題，使團(tuán)隊(duì)精力更加專注在了API研發(fā)上，極大降低了團(tuán)隊(duì)溝通協(xié)作的成本。有效實(shí)現(xiàn)了公司API的開(kāi)放共享。公司內(nèi)部系統(tǒng)API借助內(nèi)部開(kāi)放平臺(tái)共享共建，實(shí)現(xiàn)多種層級(jí)、一鍵式的文檔分享，減少不同團(tuán)隊(duì)建設(shè)重復(fù)的API，減少資源浪費(fèi)，同時(shí)統(tǒng)一規(guī)范和接入源，助力保障研發(fā)質(zhì)量安全，為公司敏捷數(shù)字化開(kāi)發(fā)模式奠定工具基礎(chǔ)。17二、平安銀行Arena開(kāi)發(fā)者平臺(tái)二、平安銀行Arena開(kāi)發(fā)者平臺(tái)平安銀行股份有限公司近年來(lái)，隨著平安銀行云原生轉(zhuǎn)型的持續(xù)推進(jìn)，微服務(wù)應(yīng)用量快速上升，API管理的溝通成本與管理成本急劇增高，建立統(tǒng)一API管理平臺(tái)，落地API管理需求和規(guī)范的需求更加迫切。為此，平安銀行需要以微服務(wù)框架和網(wǎng)關(guān)為抓手，對(duì)服務(wù)的全生命周期進(jìn)行管控。主要需求建立支撐服務(wù)提供方和服務(wù)消費(fèi)方的需求建立服務(wù)接口的管理測(cè)試及訪問(wèn)控制能力構(gòu)建運(yùn)行時(shí)的監(jiān)控運(yùn)維能力幫助各研發(fā)團(tuán)隊(duì)實(shí)現(xiàn)技術(shù)服務(wù)能力開(kāi)放可見(jiàn)，避免資源浪費(fèi)平臺(tái)建設(shè)目標(biāo)建立全行統(tǒng)一的接口管理規(guī)范，實(shí)現(xiàn)研發(fā)API全生命周期管理開(kāi)發(fā)設(shè)計(jì)流程編排能力，提升用戶研發(fā)體驗(yàn)提供低代碼能力，實(shí)現(xiàn)標(biāo)準(zhǔn)化及模塊化，提高開(kāi)發(fā)效率及安全性提供在線編碼能力，支持多平臺(tái)服務(wù)開(kāi)發(fā)流程實(shí)現(xiàn)統(tǒng)一服務(wù)治理，確保設(shè)計(jì)和生產(chǎn)一致性Arena定位為面向全行的一站式云原生開(kāi)發(fā)者平臺(tái)，其通過(guò)覆蓋應(yīng)用服務(wù)及組件等資產(chǎn)的全行級(jí)API管控，統(tǒng)一規(guī)劃，快速共享；進(jìn)而建設(shè)全行級(jí)的云原生低代碼開(kāi)發(fā)平臺(tái)，統(tǒng)一開(kāi)發(fā)體系，提升開(kāi)發(fā)效率。18二、平安銀行Arena開(kāi)發(fā)者平臺(tái)二、平安銀行Arena開(kāi)發(fā)者平臺(tái)平臺(tái)主要能力Arena平臺(tái)整合納管全行API資源，內(nèi)嵌規(guī)范，打通工作。通過(guò)設(shè)計(jì)、開(kāi)發(fā)兩個(gè)平臺(tái)對(duì)全行API進(jìn)行有效治理和高效運(yùn)用。設(shè)計(jì)平臺(tái)從契約設(shè)計(jì)、應(yīng)用設(shè)計(jì)、系統(tǒng)管理三個(gè)方面為應(yīng)用系統(tǒng)的設(shè)計(jì)及管理建立基礎(chǔ)，架構(gòu)人員、開(kāi)發(fā)人員通過(guò)這種標(biāo)準(zhǔn)化、規(guī)范化的設(shè)計(jì)，使系統(tǒng)間、系統(tǒng)內(nèi)部的關(guān)系更加清晰，變更更加及時(shí)、可見(jiàn)。開(kāi)發(fā)平臺(tái)包含：插件端（基于IDEA）WEB端兩個(gè)模塊，使應(yīng)用系統(tǒng)的開(kāi)發(fā)更加容易，使開(kāi)發(fā)人員聚焦于業(yè)務(wù)邏輯實(shí)現(xiàn)。特點(diǎn)及創(chuàng)新點(diǎn)對(duì)平安銀行應(yīng)用契約集中統(tǒng)一管理統(tǒng)一契約生命周期、申請(qǐng)審批、加密鑒權(quán)管理基于微服務(wù)框架進(jìn)行的功能建設(shè)，實(shí)現(xiàn)契約設(shè)計(jì)即代碼具備不同協(xié)議的服務(wù)契約編排能力提供服務(wù)參數(shù)的配置中心設(shè)計(jì)能力截止2023年11月，Arena平臺(tái)已在平安銀行全面推行。管理生產(chǎn)環(huán)境19萬(wàn)+API；管理研發(fā)過(guò)程組件及SDK累計(jì)2萬(wàn)+；管理架構(gòu)共享能力（200+）服務(wù)，實(shí)現(xiàn)接口級(jí)復(fù)用，共享能力數(shù)較2022年增長(zhǎng)15%。平臺(tái)價(jià)值提高研發(fā)效率 2.降低技術(shù)門(mén)檻3.降低技術(shù)成本 4.提高治理能力5.提供對(duì)外賦能19三、國(guó)投證券服務(wù)化基礎(chǔ)平臺(tái)API三、國(guó)投證券服務(wù)化基礎(chǔ)平臺(tái)API治理系統(tǒng)國(guó)投證券股份有限公司

Eolink（深圳市銀云信息技術(shù)有限公司）國(guó)投證券內(nèi)部擁有超過(guò)400套系統(tǒng)，各個(gè)系統(tǒng)之間有大量的API對(duì)接，并且每個(gè)系統(tǒng)擁有的API數(shù)量眾多，總API數(shù)量預(yù)計(jì)超過(guò)3萬(wàn)個(gè)，對(duì)于交易核心系統(tǒng)，存在復(fù)雜的業(yè)務(wù)場(chǎng)景管理、私有協(xié)議接口管理等需求。內(nèi)部API治理工作難題：1.API管理工具的多樣性 開(kāi)發(fā)協(xié)作效率低3.API治理體系不夠全面 研發(fā)流程待完善國(guó)投證券PaaS平臺(tái)團(tuán)隊(duì)通過(guò)廣泛的用戶調(diào)研工作，并結(jié)合新一代核心柜臺(tái)的需求，希望建設(shè)領(lǐng)先的API管理平臺(tái)，實(shí)現(xiàn)API全生命周期管理，提高API設(shè)計(jì)、開(kāi)發(fā)和協(xié)作效率，提升API的安全性與穩(wěn)定性，并且在后續(xù)能夠與國(guó)投PaaS平臺(tái)打通，實(shí)現(xiàn)API的快捷發(fā)布和維護(hù)。核心需求點(diǎn)1.支持金融系統(tǒng)接口協(xié)議 支持API版本管理3.支持統(tǒng)一的MockAPI 4.支持批量API測(cè)試5.支持API拓?fù)潢P(guān)系管理 6.支持獲取API運(yùn)行情況7.按照業(yè)務(wù)場(chǎng)景展示API此次在國(guó)投證券的“平臺(tái)化工程”云原生技術(shù)底座AX-PaaS平臺(tái)中，Eolink-Apikit作為一級(jí)功能模塊嵌入其中，并且充分利用了國(guó)投證券PaaS平臺(tái)的領(lǐng)先技術(shù)能力，接入了鏈路追蹤系統(tǒng)、運(yùn)維監(jiān)控系統(tǒng)、統(tǒng)一用戶中心等，并且基于分布式架構(gòu)和容器化部署，為國(guó)投全公司IT團(tuán)隊(duì)提供API治理、API對(duì)接、API單元測(cè)試、API拓?fù)涔芾砉芾?、API調(diào)用鏈路追蹤等功能。為了加速平臺(tái)落地及保障實(shí)施效果，國(guó)投證券梳理當(dāng)前內(nèi)部API治理的情況，將API生命周期劃分為設(shè)計(jì)，開(kāi)發(fā)，對(duì)接，測(cè)試，發(fā)布，維護(hù)，下線等七個(gè)基本流程，并針對(duì)國(guó)投證券當(dāng)前的API成熟度情況，將治理工作分為三個(gè)階段進(jìn)行，并提供針對(duì)性的落地方案。20三、國(guó)投證券服務(wù)化基礎(chǔ)平臺(tái)API治理系統(tǒng)三、國(guó)投證券服務(wù)化基礎(chǔ)平臺(tái)API治理系統(tǒng)在設(shè)計(jì)API的階段，平臺(tái)將原本線下的API設(shè)計(jì)評(píng)審會(huì)議通過(guò)產(chǎn)品功能轉(zhuǎn)變?yōu)榫€上進(jìn)行，國(guó)投團(tuán)隊(duì)的研發(fā)人員可以直接在線發(fā)表評(píng)審建議，平臺(tái)會(huì)自動(dòng)觸發(fā)評(píng)論通知給對(duì)應(yīng)的開(kāi)發(fā)負(fù)責(zé)人上來(lái)完善API的設(shè)計(jì)。通過(guò)在線的方式減少線下會(huì)議的次數(shù)和時(shí)間，加速API設(shè)計(jì)評(píng)審的工作。在開(kāi)發(fā)、對(duì)接階段，因?yàn)锳PI資產(chǎn)統(tǒng)一托管在平臺(tái)上，因此可以通過(guò)API文檔快速生成MockAPI，前端開(kāi)發(fā)人員只需要通過(guò)MockAPI就可以快速對(duì)接后端接口，將前后端開(kāi)發(fā)工作解耦，提高工作效率。在測(cè)試階段，測(cè)試人員可以基于API文檔快速創(chuàng)建單元測(cè)試用例，API文檔和測(cè)試用例之間自動(dòng)形成綁定關(guān)系。當(dāng)API發(fā)生變更的時(shí)候，平臺(tái)可以將數(shù)據(jù)同步到測(cè)試用例，并且可以與CI/CD流程結(jié)合，實(shí)現(xiàn)單元測(cè)試用例的自動(dòng)化回歸測(cè)試工作，并且將測(cè)試報(bào)告推送給相應(yīng)郵箱。本項(xiàng)目自2023年9月下旬上線以來(lái)，目前已經(jīng)成功接入國(guó)投證券30多個(gè)業(yè)務(wù)系統(tǒng)，為其有效管理3000+API，項(xiàng)目試點(diǎn)落地首批用戶超過(guò)200人，后期將逐步推廣覆蓋開(kāi)發(fā)團(tuán)隊(duì)全員使用，進(jìn)一步提升國(guó)投證券API的全面治理能力：1.進(jìn)一步實(shí)現(xiàn)生態(tài)能力的整合 2.滿足核心系統(tǒng)和關(guān)鍵協(xié)議需求3.高效協(xié)同提升接口研發(fā)效能 4.實(shí)現(xiàn)API優(yōu)先理念的有效踐行5.可視化讓管理者掌握風(fēng)險(xiǎn)信息 6.構(gòu)建規(guī)范化體系提升API質(zhì)量規(guī)范化研發(fā)流程全面提升效能 8.量化效果持續(xù)提升API治理能力21四、維信金科風(fēng)控系統(tǒng)接口安全治理四、維信金科風(fēng)控系統(tǒng)接口安全治理上海維信薈智金融科技有限公司 全知科技（杭州）有限責(zé)任公司隨著消費(fèi)金融服務(wù)系統(tǒng)逐漸擴(kuò)展及更新，新舊系統(tǒng)之間有大量交互的數(shù)據(jù)需要維護(hù)。這使得業(yè)務(wù)系統(tǒng)的復(fù)雜度在急劇上升。多元化、復(fù)雜化的應(yīng)用服務(wù)場(chǎng)景成為消費(fèi)金融行業(yè)趨勢(shì)，越來(lái)越多場(chǎng)景中的應(yīng)用架構(gòu)中采用應(yīng)用編程接口作為應(yīng)用間的數(shù)據(jù)傳輸和控制。由于互聯(lián)網(wǎng)金融業(yè)務(wù)涉及大量外部第三方系統(tǒng)合作數(shù)據(jù)傳輸，這些傳輸往往采用API接口的進(jìn)行對(duì)接，一些老舊的信息系統(tǒng)在API接口管控上存在缺失鑒權(quán)，明文傳輸敏感數(shù)據(jù)，加密算法不夠安全等問(wèn)題，存在被黑客攻擊利用的風(fēng)險(xiǎn)，因此維信金科需要工具實(shí)現(xiàn)自動(dòng)化的API接口資產(chǎn)盤(pán)點(diǎn)、API接口安全風(fēng)險(xiǎn)識(shí)別等管理，以及通過(guò)對(duì)API接口的行為審計(jì)，建設(shè)對(duì)異常數(shù)據(jù)行為檢測(cè)的能力，有效提高API接口的安全能力，從而保障業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，保護(hù)用戶的數(shù)據(jù)安全。API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)架構(gòu)分為四部分，分別是應(yīng)用層、場(chǎng)景層、分析層、數(shù)據(jù)層。關(guān)鍵技術(shù)特點(diǎn)包括：數(shù)據(jù)資產(chǎn)自動(dòng)識(shí)別 2.風(fēng)險(xiǎn)事件集中管理3.異常行為快速追溯 4.數(shù)據(jù)訪問(wèn)行為日志記錄5.風(fēng)險(xiǎn)事件快速閉環(huán)處置22四、維信金科風(fēng)控系統(tǒng)接口安全治理四、維信金科風(fēng)控系統(tǒng)接口安全治理基于HTTP流量自動(dòng)化的賬號(hào)解析通過(guò)接口特征自動(dòng)學(xué)習(xí)出賬號(hào)和憑證路徑，根據(jù)對(duì)應(yīng)關(guān)系解析出流量中的賬號(hào)，從而實(shí)現(xiàn)自動(dòng)化解析賬號(hào)的功能。API接口調(diào)用路徑異常的檢測(cè)持續(xù)地從大量的正常用戶的訪問(wèn)路徑中提取API的調(diào)用關(guān)系，不斷擴(kuò)展調(diào)用關(guān)系集合；使用異常檢測(cè)方法，找出異常的調(diào)用路徑。針對(duì)每個(gè)應(yīng)用，從大量數(shù)據(jù)中抽取頻繁調(diào)用路徑，構(gòu)成調(diào)用路徑集合；對(duì)調(diào)用路徑序列，使用ngram方法抽取特征，并使用異常檢測(cè)算法，識(shí)別異常的調(diào)用路徑；持續(xù)地從大量正常的調(diào)用路徑數(shù)據(jù)中抽取調(diào)用路徑關(guān)系，構(gòu)建調(diào)用關(guān)系集合，然后使用機(jī)器學(xué)習(xí)方法，檢測(cè)異常的調(diào)用路徑，并結(jié)合調(diào)用關(guān)系集合對(duì)異常調(diào)用路徑進(jìn)行再次確認(rèn)，降低誤報(bào)?；跈C(jī)器學(xué)習(xí)技術(shù)的數(shù)據(jù)泄漏風(fēng)險(xiǎn)檢測(cè)計(jì)算API歷史一段時(shí)間的KPI，進(jìn)行數(shù)據(jù)抽樣，對(duì)樣本進(jìn)行時(shí)間序列分類。對(duì)KPI根據(jù)不同的時(shí)間序列類別分別給出智能上閾值，計(jì)算API最近一個(gè)單位時(shí)間的KPI值，判斷是否超出上閾值，一旦超出閾值，立即觸發(fā)告警，啟動(dòng)相應(yīng)應(yīng)急方案。該智能閾值能夠識(shí)別出數(shù)據(jù)是否存在異常泄漏的情況，從而保護(hù)數(shù)據(jù)安全隱私。基于接口畫(huà)像的水平越權(quán)訪問(wèn)敏感數(shù)據(jù)風(fēng)險(xiǎn)的檢測(cè)在實(shí)際業(yè)務(wù)應(yīng)用環(huán)境中，并非所有的API接口都存在水平越權(quán)風(fēng)險(xiǎn)。為了提高檢測(cè)性能及告警準(zhǔn)確性，本產(chǎn)品程依據(jù)水平越權(quán)接口的訪問(wèn)特征，識(shí)別出可能存在水平越權(quán)風(fēng)險(xiǎn)的接口及其調(diào)用上下文信息。實(shí)時(shí)風(fēng)險(xiǎn)檢測(cè)過(guò)程將基于本過(guò)程提供的信息進(jìn)行風(fēng)險(xiǎn)評(píng)估?；贏PI風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)的項(xiàng)目建設(shè)，維信金科共識(shí)別發(fā)現(xiàn)619個(gè)未接入API網(wǎng)關(guān)管控的影子接口，其中包含40個(gè)API接口存在鑒權(quán)隱患。另外發(fā)現(xiàn)有7個(gè)短信通知接口存在任意短信發(fā)送的安全隱患。整個(gè)項(xiàng)目完成上線后，截止2023年11月實(shí)現(xiàn)零API接口相關(guān)的數(shù)據(jù)泄露事件，通過(guò)持續(xù)運(yùn)營(yíng)和接口審計(jì)，對(duì)業(yè)務(wù)系統(tǒng)和第三方合作系統(tǒng)進(jìn)行持續(xù)地安全防護(hù)，有效保障了維信金科業(yè)務(wù)系統(tǒng)的安全防護(hù)。23五、蘇州銀行API五、蘇州銀行API數(shù)字化治理平臺(tái)（深圳市銀云信息技術(shù)有限公司）蘇州銀行股份有限公司（深圳市銀云信息技術(shù)有限公司）

Eolink隨著信息技術(shù)和互聯(lián)網(wǎng)的迅猛發(fā)展，開(kāi)放性和接口概念已深入人心。為了跟上時(shí)代的步伐，蘇州銀行內(nèi)部正加快API管理和治理規(guī)范體系的建設(shè)。蘇州銀行對(duì)API管理的探討在某種程度上起源于對(duì)ESB接口治理的探索。ESB接口架構(gòu)主要以系統(tǒng)間通訊和協(xié)議轉(zhuǎn)換為導(dǎo)向。鑒于行內(nèi)存在各類系統(tǒng)，涵蓋接口與源碼基線梳理、ESB接口平臺(tái)化流程、EDAS分布式微服務(wù)治理以及建設(shè)安全高效的系統(tǒng)間訪問(wèn)以及解決第三方系統(tǒng)對(duì)接等方面，蘇州銀行研發(fā)管理團(tuán)隊(duì)迫切需要一個(gè)統(tǒng)一而高效的協(xié)作平臺(tái)以解決問(wèn)題。面臨難題接口管理缺乏統(tǒng)一的平臺(tái)管理 2.系統(tǒng)壁壘林立團(tuán)隊(duì)協(xié)作效率低下3.接口自動(dòng)化測(cè)試效率有待提升 4.接口缺乏規(guī)范的治理體系蘇州銀行API數(shù)字化治理平臺(tái)，通過(guò)構(gòu)建一站式的API治理協(xié)作體系，統(tǒng)一管理行內(nèi)各類系統(tǒng)，包括接口與源碼基線梳理，同時(shí)梳理ESB接口平臺(tái)化流程、EDAS分布式微服務(wù)治理，滿足《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》的標(biāo)準(zhǔn)規(guī)范。蘇州銀行API數(shù)字化治理平臺(tái)實(shí)現(xiàn)了安全高效、系統(tǒng)間直連接口關(guān)聯(lián)、對(duì)接第三方接口的標(biāo)準(zhǔn)化等功能，使得任何互相關(guān)聯(lián)的系統(tǒng)都能在平臺(tái)規(guī)則內(nèi)使用。實(shí)現(xiàn)所有系統(tǒng)的開(kāi)發(fā)、測(cè)試都能在一個(gè)統(tǒng)一平臺(tái)上協(xié)作，進(jìn)行關(guān)聯(lián)開(kāi)發(fā)與測(cè)試，提高接口信息互聯(lián)效率。24五、蘇州銀行API五、蘇州銀行API數(shù)字化治理平臺(tái)1、建立統(tǒng)一的API資產(chǎn)管理平臺(tái)，作為唯一的權(quán)威接口信息發(fā)布平臺(tái)，統(tǒng)一API管理、研發(fā)、測(cè)試和接口治理、發(fā)布流程。2、將人行和蘇州銀行行內(nèi)相關(guān)的接口規(guī)范融合產(chǎn)品中。3、API數(shù)字化治理平臺(tái)圍繞 API文檔，進(jìn)行開(kāi)發(fā)API管理、API研發(fā)變更、API調(diào)試mock、接口自動(dòng)化測(cè)試統(tǒng)一關(guān)聯(lián)平臺(tái)。4、平臺(tái)與行內(nèi)相關(guān)研發(fā)和運(yùn)維管理系統(tǒng)進(jìn)行打通，實(shí)現(xiàn)API研發(fā)、測(cè)試、治理和運(yùn)維一體化管理；實(shí)現(xiàn)與Devops系統(tǒng)打通，實(shí)現(xiàn)接口的自動(dòng)化發(fā)布和測(cè)試；實(shí)現(xiàn)與測(cè)試數(shù)據(jù)管理平臺(tái)、缺陷管理平臺(tái)打通，實(shí)現(xiàn)API接口研發(fā)一體化管理。1、API資產(chǎn)統(tǒng)一數(shù)字化管理。API數(shù)字化管理完成蘇州銀行API資產(chǎn)的全面梳理，平臺(tái)已管控接口資產(chǎn)13800余個(gè)，覆蓋行內(nèi)170多個(gè)系統(tǒng)蘇州銀行。2、API全生命周期統(tǒng)一線上化管理。平臺(tái)的場(chǎng)景覆蓋了API的設(shè)計(jì)、開(kāi)放、對(duì)接、測(cè)試、發(fā)布、異常、維護(hù)、廢棄下線的完整生命周期管理功能。蘇州銀行項(xiàng)目組通過(guò)規(guī)范化接口過(guò)程，補(bǔ)充接口樣例報(bào)文13000多個(gè)，下線廢棄400多個(gè)接口。3、API層標(biāo)準(zhǔn)化敏捷研發(fā)能力。構(gòu)建了系統(tǒng)間消費(fèi)訂閱關(guān)系關(guān)聯(lián)，接口變更導(dǎo)致關(guān)聯(lián)系統(tǒng)影響面分析一目了然；支持線上接口版本對(duì)照變更差異能力，以版本維度的變更直接通知接口消費(fèi)方；支持接口代碼進(jìn)行線上開(kāi)發(fā)、調(diào)試及自動(dòng)化測(cè)試。4、API的平臺(tái)化管理優(yōu)化接口研發(fā)流程，圍繞API基線可以拓展便接口自動(dòng)化測(cè)試功能，目前平臺(tái)擁有接口調(diào)試及自動(dòng)化案例14000余個(gè)，并按版本周期維度，持續(xù)迭代。5、統(tǒng)一API治理規(guī)范和接入流程。25六、國(guó)銀金租外部數(shù)據(jù)管理平臺(tái)六、國(guó)銀金租外部數(shù)據(jù)管理平臺(tái)國(guó)銀金融租賃股份有限公司 天聚地合（蘇州）科技股份有限公司面對(duì)金融業(yè)越來(lái)越多的外部數(shù)據(jù)接入及管理需求，傳統(tǒng)開(kāi)發(fā)接入方式的局限越發(fā)明顯。具體難點(diǎn)一、在數(shù)據(jù)接入方面，無(wú)通用性、自動(dòng)化配置接入功能；開(kāi)發(fā)人員手工硬編碼方式開(kāi)發(fā)和調(diào)試接口；接口和接口交互困難；不具有擴(kuò)展性，不能自適應(yīng)；接口開(kāi)發(fā)周期較長(zhǎng)，不支持快速部署；二、在數(shù)據(jù)加工方面，數(shù)據(jù)庫(kù)架構(gòu)由開(kāi)發(fā)人員根據(jù)經(jīng)驗(yàn)進(jìn)行設(shè)計(jì)；報(bào)文或數(shù)據(jù)字典需要開(kāi)發(fā)人員解析，需要手工建庫(kù)；不支持自動(dòng)化報(bào)文解析，所有報(bào)文都需要開(kāi)發(fā)人員逐層分析；不支持自動(dòng)化校驗(yàn)，只能根據(jù)運(yùn)行日志和業(yè)務(wù)反饋進(jìn)行分析和判別；三、在統(tǒng)一管理層面和重復(fù)接入方面，如業(yè)務(wù)系統(tǒng)自己接入某外部接口，一旦此接口其他業(yè)務(wù)系統(tǒng)也需要，又要接入一次，引入外數(shù)平臺(tái)可以很好的管理外部數(shù)據(jù)接口，形成內(nèi)外部都需要經(jīng)過(guò)外數(shù)平臺(tái)，也可以很輕松的對(duì)所有外部接口進(jìn)行管理；建立統(tǒng)一的外部數(shù)據(jù)集中管理模式，即“統(tǒng)一采購(gòu)、統(tǒng)一登記、統(tǒng)一接入、統(tǒng)一存儲(chǔ)、統(tǒng)一共享”。以“安全用數(shù)、高效用數(shù)、優(yōu)質(zhì)用數(shù)”為目標(biāo)，整合現(xiàn)有外部數(shù)據(jù)資源，重建外部數(shù)據(jù)管理機(jī)制，梳理外部數(shù)據(jù)服務(wù)流程，在安全合規(guī)的大前提下，將外部數(shù)據(jù)應(yīng)用于智能營(yíng)銷、智能運(yùn)營(yíng)、智能決策等業(yè)務(wù)場(chǎng)景，充分、高效地挖掘外部數(shù)據(jù)資產(chǎn)價(jià)值，使之成為全套而且獨(dú)立的外部數(shù)據(jù)管理平臺(tái)系統(tǒng)。26六、國(guó)銀金租外部數(shù)據(jù)管理平臺(tái)六、國(guó)銀金租外部數(shù)據(jù)管理平臺(tái)基于分布式而非集中式的計(jì)算架構(gòu)，能有效確保整個(gè)平臺(tái)的吞吐性能、可擴(kuò)展性、可維護(hù)性。通過(guò)負(fù)載均衡、異步轉(zhuǎn)發(fā)、高速緩存等技術(shù)，解決性能問(wèn)題。通過(guò)IP限定或密鑰機(jī)制，在不增加過(guò)高復(fù)雜性的條件下，解決高性能要求下的安全問(wèn)題。通過(guò)高速緩存技術(shù)，將符合權(quán)限條件的數(shù)據(jù)緩存起來(lái)，解決復(fù)雜邏輯問(wèn)題。API服務(wù)管理、API市場(chǎng)管理、預(yù)警通知、監(jiān)控統(tǒng)計(jì)、數(shù)據(jù)管理、基礎(chǔ)數(shù)據(jù)管理、任務(wù)管理、系統(tǒng)管理等功能模塊。系統(tǒng)實(shí)現(xiàn)零編碼快速接入，簡(jiǎn)化后對(duì)內(nèi)標(biāo)準(zhǔn)化輸出；實(shí)現(xiàn)數(shù)據(jù)庫(kù)/數(shù)據(jù)倉(cāng)庫(kù)的快APIAPI編排組合實(shí)現(xiàn)低代碼開(kāi)發(fā)平臺(tái)，實(shí)現(xiàn)快速創(chuàng)新應(yīng)用；構(gòu)建開(kāi)放市場(chǎng)，實(shí)現(xiàn)數(shù)據(jù)服務(wù)增值。同時(shí)通過(guò)智能路由、質(zhì)量監(jiān)控、國(guó)銀金租自使用外部數(shù)據(jù)平臺(tái)以來(lái)，為國(guó)銀各業(yè)務(wù)部門(mén)接入外部數(shù)據(jù)的需求，形成外部數(shù)據(jù)快速接入、快速共享的整體流程，為下游客戶解決企業(yè)內(nèi)部與外部數(shù)據(jù)間的系統(tǒng)互聯(lián)互通問(wèn)題，快速響應(yīng)業(yè)務(wù)需求，統(tǒng)一下游調(diào)用方式，降低運(yùn)營(yíng)成本。通過(guò)建設(shè)外部數(shù)據(jù)平臺(tái)，一方面提升了公司在外部數(shù)據(jù)的統(tǒng)一管理能力，減少運(yùn)營(yíng)投入。二是有效控制和減少了外部數(shù)據(jù)調(diào)用的費(fèi)用。也為國(guó)銀數(shù)字化建設(shè)、數(shù)據(jù)資產(chǎn)化做出積極推進(jìn)作用，賦能金融機(jī)構(gòu)風(fēng)控和營(yíng)銷能力，提升公司的盈利能力。27七、商業(yè)銀行API安全監(jiān)測(cè)與防護(hù)體系七、商業(yè)銀行API安全監(jiān)測(cè)與防護(hù)體系某銀行在金融領(lǐng)域，開(kāi)放銀行服務(wù)模式通過(guò)開(kāi)放API接口，將金融服務(wù)嵌入到各種生活場(chǎng)景中。在這一背景驅(qū)動(dòng)之下，金融機(jī)構(gòu)API的數(shù)量急劇增長(zhǎng)，商業(yè)銀行API的安全邊界已經(jīng)從封閉的局域網(wǎng)絡(luò)擴(kuò)展到開(kāi)放的互聯(lián)網(wǎng)，與之相關(guān)的安全風(fēng)險(xiǎn)也在同步增長(zhǎng)。各商業(yè)銀行在踐行開(kāi)放銀行模式過(guò)程中主要以開(kāi)放接口形式來(lái)改進(jìn)客戶體驗(yàn)，通過(guò)眾多標(biāo)準(zhǔn)化的API來(lái)推動(dòng)銀客互聯(lián)，一般來(lái)說(shuō)開(kāi)放的接口越多，銀行服務(wù)能力越成熟。場(chǎng)景金融的發(fā)展使得API應(yīng)用更加廣泛，其帶來(lái)的資產(chǎn)安全風(fēng)險(xiǎn)也日益突顯。資產(chǎn)安全風(fēng)險(xiǎn)API資產(chǎn)與日俱增且場(chǎng)景日益復(fù)雜。API資產(chǎn)數(shù)量多、變化快的特點(diǎn)導(dǎo)致資產(chǎn)梳理困難。API資產(chǎn)面臨嚴(yán)峻的外部攻擊利用風(fēng)險(xiǎn)。API自身的脆弱性問(wèn)題突出。（一）API安全監(jiān)測(cè)與防護(hù)體系的功能架構(gòu)為了補(bǔ)充對(duì)商業(yè)銀行對(duì)互聯(lián)網(wǎng)API資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)監(jiān)測(cè)能力，某銀行構(gòu)建API安全監(jiān)測(cè)和防護(hù)體系，為整體縱深防御體系填補(bǔ)數(shù)據(jù)傳輸層面的安全檢測(cè)能力，同時(shí)使得傳統(tǒng)IP維度的攻擊行為防護(hù)細(xì)化到API維度。API安全監(jiān)測(cè)與防護(hù)體系涵蓋了API資產(chǎn)管理、API安全監(jiān)測(cè)和API安全防護(hù)。（二）API安全監(jiān)測(cè)與防護(hù)體系的關(guān)鍵技術(shù)特點(diǎn)關(guān)鍵技術(shù)之一：基于智能識(shí)別和資產(chǎn)保鮮的API資產(chǎn)管理API安全資產(chǎn)識(shí)別是API資產(chǎn)管理的基石，API監(jiān)測(cè)與防護(hù)體系對(duì)API訪問(wèn)流量進(jìn)行解碼分析，通過(guò)對(duì)HTTP協(xié)議接口的識(shí)別，將HTTP流量包進(jìn)行解析還原后，用正則表達(dá)式提取關(guān)鍵字（url、host等）并進(jìn)行拼接。其主要從http方法(get、post)、主機(jī)域名（Host）、訪問(wèn)路徑（path）、訪問(wèn)參數(shù)（urlparameters、postbody）等維度對(duì)API資產(chǎn)進(jìn)行識(shí)別，同時(shí)結(jié)合API請(qǐng)求和應(yīng)答雙向數(shù)據(jù)包進(jìn)行分析，最終識(shí)別出真實(shí)、有效的API資產(chǎn)。28七、商業(yè)銀行API安全監(jiān)測(cè)與防護(hù)體系七、商業(yè)銀行API安全監(jiān)測(cè)與防護(hù)體系關(guān)鍵技術(shù)之二：基于會(huì)話聚合的API異常行為監(jiān)測(cè)API會(huì)話聚合為API異常監(jiān)測(cè)中的關(guān)鍵步驟，通過(guò)解析會(huì)話中的數(shù)據(jù)、分析對(duì)應(yīng)規(guī)則來(lái)完成API聚合，從而實(shí)現(xiàn)對(duì)API進(jìn)行模塊化監(jiān)測(cè)與目標(biāo)資產(chǎn)保護(hù)。關(guān)鍵技術(shù)之三：基于內(nèi)容的API安全風(fēng)險(xiǎn)監(jiān)測(cè)對(duì)安全API防護(hù)應(yīng)用場(chǎng)景進(jìn)行細(xì)化，針對(duì)OWASPAPI安全十大問(wèn)題中定義的網(wǎng)絡(luò)攻擊，通過(guò)解析API內(nèi)容能夠識(shí)別并阻止針對(duì)API協(xié)議的攻擊，可以覆蓋plainHTTP、REST、GRPC、Dubbo、GraphQL等諸多協(xié)議標(biāo)準(zhǔn)；能夠檢測(cè)到API越權(quán)攻擊、針對(duì)認(rèn)證的攻擊，以及其他類型的授權(quán)攻擊。關(guān)鍵技術(shù)之四：基于動(dòng)態(tài)防御技術(shù)的API自動(dòng)化攻擊防護(hù)部署應(yīng)用安全動(dòng)態(tài)防護(hù)手段，區(qū)別于依賴特征碼、閾值、補(bǔ)丁、策略等傳統(tǒng)防護(hù)手段，其應(yīng)用Web及App的網(wǎng)頁(yè)底層代碼加密混淆、持續(xù)變換和動(dòng)態(tài)驗(yàn)證技術(shù)，監(jiān)測(cè)運(yùn)行環(huán)境，有效識(shí)別并精準(zhǔn)阻斷Bots機(jī)器人攻擊、信息爬取、漏洞探測(cè)、多源低頻掃描攻擊等行為。創(chuàng)新實(shí)踐之一：管理和技術(shù)雙管齊下，有機(jī)協(xié)同配合API資產(chǎn)作為安全資產(chǎn)的重要組成部分，納入到整體安全資產(chǎn)管理的工作中。從安全資產(chǎn)管理組織、安全資產(chǎn)管理制度、API安全技術(shù)多個(gè)維度構(gòu)建了API安全監(jiān)測(cè)與防護(hù)體系。將專業(yè)的API安全技術(shù)手段和覆蓋API全生命周期的管理手段，共同構(gòu)筑API安全防線。創(chuàng)新實(shí)踐之二：基于縱深防御體系下的API安全技術(shù)架構(gòu)針對(duì)重點(diǎn)網(wǎng)絡(luò)區(qū)域、重點(diǎn)業(yè)務(wù)系統(tǒng)、重點(diǎn)API進(jìn)行層層布控，覆蓋API資產(chǎn)識(shí)別、活躍度監(jiān)控、API異常監(jiān)測(cè)、API攻擊監(jiān)測(cè)、API安全防護(hù)的閉環(huán)管控。底層的各類安全技術(shù)平臺(tái)和安全工具可相互配合滿足多種不同場(chǎng)景的監(jiān)測(cè)、防護(hù)需求。創(chuàng)新實(shí)踐之三：豐富的實(shí)戰(zhàn)化經(jīng)驗(yàn)不斷轉(zhuǎn)換補(bǔ)充API安全監(jiān)測(cè)和防御體系，在實(shí)踐過(guò)程中，不斷總結(jié)提煉實(shí)踐經(jīng)驗(yàn)，改進(jìn)、調(diào)整API安全監(jiān)測(cè)和防護(hù)的策略，實(shí)現(xiàn)動(dòng)態(tài)的API安全監(jiān)測(cè)和防護(hù)體系，適應(yīng)持續(xù)演變的API安全風(fēng)險(xiǎn)場(chǎng)景。（一）提升API安全資產(chǎn)管理能力完成API資產(chǎn)清單的梳理和持續(xù)的更新，首次摸清在API安全資產(chǎn)方面的家底，目前累計(jì)梳理發(fā)現(xiàn)互聯(lián)網(wǎng)應(yīng)用API接口3萬(wàn)余個(gè),高敏感接口1千余個(gè)。同時(shí)，持續(xù)監(jiān)控API的活躍度，清理僵尸API或影子API，有效收斂某銀行的資產(chǎn)暴露面，降低了未被管控API被攻擊利用的可能性。（二）提升API安全監(jiān)測(cè)和防護(hù)能力構(gòu)建了更細(xì)粒度的API數(shù)據(jù)安全和業(yè)務(wù)安全風(fēng)險(xiǎn)監(jiān)測(cè)場(chǎng)景，持續(xù)開(kāi)展API風(fēng)險(xiǎn)檢測(cè)規(guī)則優(yōu)化，實(shí)現(xiàn)web攻擊類、數(shù)據(jù)泄露類、賬號(hào)安全類告警檢測(cè)，累計(jì)發(fā)現(xiàn)風(fēng)險(xiǎn)9千余項(xiàng)，并對(duì)API風(fēng)險(xiǎn)監(jiān)測(cè)成果進(jìn)行深入應(yīng)用。29八、API八、API敏感信息風(fēng)險(xiǎn)識(shí)別某銀行 全知科技（杭州）有限責(zé)任公司隨著互聯(lián)網(wǎng)以及移動(dòng)業(yè)務(wù)的快速發(fā)展，用戶量的增加，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)量增加，關(guān)于敏感應(yīng)用程序的風(fēng)險(xiǎn)事件增大。隨著人工智能技術(shù)發(fā)展，接口安全對(duì)抗不斷發(fā)展，業(yè)界對(duì)于接口數(shù)據(jù)的重視不斷加強(qiáng)。同時(shí)，監(jiān)管機(jī)構(gòu)也發(fā)布了《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》，該《規(guī)范》規(guī)定了商業(yè)銀行應(yīng)用程序接口的類型與安全級(jí)別、安全設(shè)計(jì)、安全部署、安全集成、安全運(yùn)維、服務(wù)終止與系統(tǒng)下線、安全管理等安全技術(shù)與安全保障要求。某銀行為滿足業(yè)務(wù)發(fā)展和監(jiān)管要求，需要引入API監(jiān)測(cè)和敏感信息泄露保護(hù)軟件產(chǎn)品。API接口作為網(wǎng)絡(luò)攻擊的主要切入點(diǎn)，在安全攻防中是至關(guān)重要的資產(chǎn)信息，只有對(duì)其進(jìn)行針對(duì)性的持續(xù)監(jiān)測(cè)與有效防護(hù)，才能有效控制API數(shù)據(jù)風(fēng)險(xiǎn)。本次解決方案采用的知影-API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)可以為客戶提供一整套的API識(shí)別、API分類分級(jí)、安全評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)保護(hù)和審計(jì)溯源的解決方案，實(shí)現(xiàn)行方互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)、測(cè)試網(wǎng)的全面覆蓋，能夠快速部署在幾乎所有的網(wǎng)絡(luò)環(huán)境中，滿足行方不同的管理模式需求。為行方提供全生命周期安全管理的核心安全能力支撐，幫助行方增強(qiáng)API資產(chǎn)梳理、API風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)能力，提升API安全的保障能力。關(guān)鍵技術(shù)與核心優(yōu)勢(shì)（1）API識(shí)別和定義 （2）敏感數(shù)據(jù)識(shí)別（3）多維風(fēng)險(xiǎn)智能檢測(cè) （4）應(yīng)用層賬號(hào)解析（5）API數(shù)據(jù)訪問(wèn)留痕部署方案本次方案接入流量場(chǎng)景為行方互聯(lián)網(wǎng)區(qū)和外聯(lián)網(wǎng)區(qū)進(jìn)出口流量?？蓪⒅爱a(chǎn)品部署于互聯(lián)網(wǎng)和外聯(lián)網(wǎng)區(qū)出口位置或DMZ區(qū)，通過(guò)交換機(jī)旁路鏡像或應(yīng)用服務(wù)器上部署Agent方式，采集流量至知影產(chǎn)品中。同時(shí)可通過(guò)負(fù)載均衡設(shè)備將HTTPS流量卸載后發(fā)送至知影產(chǎn)品。30八、API敏感信息風(fēng)險(xiǎn)識(shí)別八、API敏感信息風(fēng)險(xiǎn)識(shí)別通過(guò)上述解決方案的落地，某國(guó)有行已上線5套API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，接入互聯(lián)網(wǎng)區(qū)與外聯(lián)網(wǎng)區(qū)進(jìn)出口流量，覆蓋手機(jī)銀行、個(gè)人網(wǎng)銀、X行生活、金融助農(nóng)系統(tǒng)等主要業(yè)務(wù)系統(tǒng)，最終達(dá)到以下的預(yù)期效果：掌握互聯(lián)網(wǎng)區(qū)、外聯(lián)網(wǎng)區(qū)API接口現(xiàn)狀，形成全面、準(zhǔn)確、最新的API資產(chǎn)清單：結(jié)合個(gè)人網(wǎng)銀、手機(jī)銀行等主要系統(tǒng)的業(yè)務(wù)屬性，根據(jù)交易代碼TX_CODE來(lái)對(duì)API進(jìn)行精準(zhǔn)識(shí)別，通過(guò)識(shí)別策略發(fā)現(xiàn)了2000+個(gè)通過(guò)TX_CODE定義的不同API；掌握數(shù)據(jù)暴露情況，形成敏感數(shù)據(jù)暴露面清單：通過(guò)對(duì)應(yīng)敏感接口的定義，并識(shí)別API請(qǐng)求和響應(yīng)中傳輸?shù)拿舾袛?shù)據(jù)，幫助行方梳理API響應(yīng)中同時(shí)有姓名、手機(jī)號(hào)、銀行卡號(hào)、身份證號(hào)4元組數(shù)據(jù)標(biāo)簽的數(shù)據(jù)傳輸場(chǎng)景，形成敏感數(shù)據(jù)暴露面清單。掌握API接口漏洞情況，形成API脆弱性清單，并推動(dòng)業(yè)務(wù)部門(mén)及時(shí)整改：集成OWASPAPI十大安全風(fēng)險(xiǎn)，并包含50+項(xiàng)弱點(diǎn)規(guī)則，覆蓋數(shù)據(jù)暴露、數(shù)據(jù)權(quán)限、安全規(guī)范、高危接口、口令認(rèn)證等規(guī)則維度，識(shí)別API中可能存在的漏洞和缺陷。通過(guò)產(chǎn)品的持續(xù)運(yùn)行，共計(jì)發(fā)現(xiàn)100+個(gè)API脆弱性問(wèn)題，并得到了及時(shí)整改，極大地減輕了數(shù)據(jù)泄露的隱患。定制越權(quán)場(chǎng)景監(jiān)測(cè)模型，精準(zhǔn)發(fā)現(xiàn)數(shù)起接口上的越權(quán)行為。構(gòu)建API接口生命周期管理、高級(jí)風(fēng)險(xiǎn)檢測(cè)等能力，實(shí)現(xiàn)行方業(yè)務(wù)系統(tǒng)在運(yùn)營(yíng)過(guò)程中的全面的安全防護(hù)與預(yù)警，提升銀行業(yè)務(wù)資產(chǎn)的安全系數(shù)和安全保證；構(gòu)建體系化的數(shù)據(jù)安全保護(hù)機(jī)制，降低法律法規(guī)合規(guī)風(fēng)險(xiǎn)，加強(qiáng)培訓(xùn)教育，形成共同好維護(hù)行方數(shù)據(jù)安全的良好環(huán)境。31九、廣西移動(dòng)API九、廣西移動(dòng)API安全治理案例中國(guó)移動(dòng)通信集團(tuán)廣西有限公司 瑞數(shù)信息技術(shù)（上海）有限公司隨著數(shù)字化建設(shè)的推進(jìn)，中國(guó)移動(dòng)通信集團(tuán)廣西有限公司基于API技術(shù)的業(yè)務(wù)極為廣泛，直接與互聯(lián)網(wǎng)對(duì)接的應(yīng)用系統(tǒng)，例如官方網(wǎng)站、網(wǎng)上營(yíng)業(yè)廳、網(wǎng)上商城、第三方支付、微信小程序和公眾號(hào)移動(dòng)類應(yīng)用等，在數(shù)據(jù)流動(dòng)、交互過(guò)程中使用了API接口作為功能接口，提供數(shù)據(jù)服務(wù)。然而實(shí)際應(yīng)用過(guò)程中，數(shù)據(jù)的流動(dòng)、交互在帶來(lái)巨大便利的同時(shí)也面臨著嚴(yán)重的安全風(fēng)險(xiǎn)。存在以下API安全問(wèn)題：API資產(chǎn)管理困難 2.API敏感數(shù)據(jù)泄漏，異常調(diào)用風(fēng)險(xiǎn)大3.API敏感數(shù)據(jù)分級(jí)分類困難4.API新興威脅難以防護(hù)API安全管控系統(tǒng)通過(guò)反向代理模式部署，使用集群模式實(shí)現(xiàn)高可用，從API資產(chǎn)發(fā)現(xiàn)、安全檢測(cè)、行為檢測(cè)、數(shù)據(jù)合規(guī)、統(tǒng)計(jì)分析、聯(lián)防聯(lián)控等維度實(shí)現(xiàn)API數(shù)據(jù)傳輸、提供、公開(kāi)的安全治理，體系化的保障API業(yè)務(wù)安全。關(guān)鍵技術(shù)特點(diǎn)資產(chǎn)管理 2.API數(shù)據(jù)透視 3.敏感數(shù)據(jù)分級(jí) 4.API攻擊防護(hù)主要功能API安全管控系統(tǒng)集以API資產(chǎn)管理為重點(diǎn)、API安全審計(jì)為核心，幫助企業(yè)自動(dòng)發(fā)現(xiàn)API資產(chǎn)、檢測(cè)API安全攻擊、識(shí)別API請(qǐng)求中的敏感數(shù)據(jù)、監(jiān)測(cè)API運(yùn)行狀態(tài)、審計(jì)API訪問(wèn)行為、識(shí)別API應(yīng)用缺陷，提供豐富的API安全審計(jì)報(bào)告。能夠透視API數(shù)據(jù)安全整體情況的同時(shí)，為API安全提供體系化的防護(hù)能力。32九、廣西移動(dòng)API安全治理案例九、廣西移動(dòng)API安全治理案例資產(chǎn)發(fā)現(xiàn)

主要功能

安全檢測(cè)支持從Swagger文件、表格等導(dǎo)入API資產(chǎn)，也可以通過(guò)對(duì)API流量分析，自動(dòng)發(fā)現(xiàn)流量中的網(wǎng)站、端口、API資產(chǎn)和敏感接口等，支持自定義API接口規(guī)則，快速、精準(zhǔn)地進(jìn)行API資產(chǎn)發(fā)現(xiàn)并提供API接口可視化展示。行為檢測(cè)對(duì)API接口的請(qǐng)求、響應(yīng)、參數(shù)和返回值等進(jìn)行記錄和分析，建立API訪問(wèn)基線，識(shí)別偏離基線和異常的訪問(wèn)行為。同時(shí)，自動(dòng)識(shí)別Bot訪問(wèn)行為，對(duì)Bot類型進(jìn)行分類，更有效地實(shí)現(xiàn)訪問(wèn)行為審計(jì)。5.統(tǒng)計(jì)分析API安全管控系統(tǒng)內(nèi)置豐富的API安全報(bào)表，底層提供大數(shù)據(jù)分析平臺(tái)，無(wú)需二次開(kāi)發(fā)，根據(jù)用戶的個(gè)性化需求，快速生成報(bào)表，所見(jiàn)即所得。

支持對(duì)OWASPAPISecurityTop10安全攻擊的檢測(cè)，從海量訪問(wèn)中快速發(fā)現(xiàn)和定位安全風(fēng)險(xiǎn)事件；，內(nèi)置各種業(yè)務(wù)威脅模型，快速應(yīng)對(duì)諸如爬蟲(chóng)、撞庫(kù)等各類業(yè)務(wù)威脅。數(shù)據(jù)合規(guī)內(nèi)置敏感數(shù)據(jù)檢測(cè)引擎，覆蓋姓名、手機(jī)號(hào)、身6.聯(lián)防聯(lián)控API安全管控系統(tǒng)提供了豐富的API接口，同時(shí)支持與kafka對(duì)接，實(shí)現(xiàn)與安全設(shè)備的聯(lián)動(dòng)，達(dá)到聯(lián)防聯(lián)控的目的。技術(shù)創(chuàng)新點(diǎn)全方位的威脅與違規(guī)行為發(fā)現(xiàn)能力

先進(jìn)的敏感特征識(shí)別能力基于隨機(jī)采集多種組合信息，包括設(shè)備指紋、瀏覽器特征，用戶輸入事件等，建模描繪用戶畫(huà)像基線發(fā)現(xiàn)未知異常行為，結(jié)合預(yù)置常用業(yè)務(wù)威脅模型和違規(guī)記錄訓(xùn)練精準(zhǔn)識(shí)別已知違規(guī)行為，可識(shí)別或阻攔絕大多數(shù)惡意請(qǐng)求，實(shí)現(xiàn)異常行為監(jiān)測(cè)，告警準(zhǔn)確率高達(dá)80%，具備告警準(zhǔn)確性自提升能力。

基于機(jī)器學(xué)習(xí)和AI判斷的敏感數(shù)據(jù)識(shí)別算法，提高了對(duì)敏感數(shù)據(jù)識(shí)別的精準(zhǔn)度。默認(rèn)自帶有多種類的敏感數(shù)據(jù)識(shí)別策略，覆蓋運(yùn)營(yíng)商行業(yè)幾十種常見(jiàn)敏感數(shù)據(jù)的識(shí)別，針對(duì)性業(yè)務(wù)特點(diǎn)進(jìn)行敏感數(shù)據(jù)自定義標(biāo)簽化數(shù)據(jù)，幫助用戶快速識(shí)別敏感數(shù)據(jù)。透視API常見(jiàn)的業(yè)務(wù)威脅，如撞庫(kù)、爬蟲(chóng)等，精準(zhǔn)、快速地識(shí)別各類攻擊。防護(hù)期間，API安全管控系統(tǒng)梳理并確認(rèn)1500多個(gè)API資產(chǎn)，其中被攻擊資產(chǎn)730多個(gè)，發(fā)現(xiàn)攻擊事件4800多起。敏感信息進(jìn)行自動(dòng)分級(jí)及實(shí)時(shí)洞察，方便運(yùn)營(yíng)商對(duì)數(shù)據(jù)及時(shí)實(shí)施保護(hù)措施來(lái)降低數(shù)據(jù)的泄露風(fēng)險(xiǎn)，加強(qiáng)對(duì)數(shù)據(jù)隱私保護(hù)。防護(hù)期間，API安全管控系統(tǒng)識(shí)別到400多個(gè)資產(chǎn)存在敏感數(shù)據(jù)，敏感資產(chǎn)占比達(dá)到26.6。滿足運(yùn)營(yíng)商在安全合規(guī)方面的相關(guān)技術(shù)要求，提升在運(yùn)營(yíng)商行業(yè)的整體數(shù)據(jù)安全建設(shè)影響力。33十、天翼數(shù)生API十、天翼數(shù)生API資產(chǎn)治理項(xiàng)目天翼數(shù)字生活科技有限公司 杭州安恒信息技術(shù)股份有限公司天翼數(shù)生承載和處理數(shù)以億計(jì)的用戶敏感數(shù)據(jù)，如電話號(hào)碼、地址信息、賬單數(shù)據(jù)等。API是訪問(wèn)這些數(shù)據(jù)的主要通道。不合適的API管理可能導(dǎo)致數(shù)據(jù)泄露，影響用戶隱私，導(dǎo)致法律問(wèn)題，甚至損害企業(yè)聲譽(yù)。因此，有效的API治理是實(shí)現(xiàn)安全、合規(guī)運(yùn)營(yíng)的關(guān)鍵所在。然而，天翼數(shù)生API安全治理過(guò)程中，面臨兩個(gè)主要的挑戰(zhàn)：API數(shù)量激增導(dǎo)致管理困難當(dāng)前的梳理資產(chǎn)的手段主要為業(yè)務(wù)部門(mén)通過(guò)OA人工上報(bào)。由于API數(shù)量非常龐大，新的API頻繁添加，舊的API可能會(huì)進(jìn)行修改或移除，人工上報(bào)會(huì)消耗大量的時(shí)間和人力資源，且容易出現(xiàn)疏漏或錯(cuò)誤，可能導(dǎo)致部分重要的API資產(chǎn)被遺漏。API存在可被利用的脆弱性由于API資產(chǎn)數(shù)量龐大且其業(yè)務(wù)相關(guān)性強(qiáng)、變動(dòng)性大，安全管理部門(mén)的運(yùn)營(yíng)人員往往無(wú)從下手進(jìn)行接口的安全性評(píng)估。API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)彌補(bǔ)了API數(shù)據(jù)安全解決方案的缺失。要確保API的安全，必須先解決API資產(chǎn)管理的問(wèn)題。API資產(chǎn)管理是指管理API資源和相關(guān)數(shù)據(jù)的過(guò)程，在實(shí)際應(yīng)用中，由于API數(shù)量的增加和復(fù)雜性的提高，API資產(chǎn)管理變得越來(lái)越困難。安恒信息的API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)是一款集簡(jiǎn)單易用、風(fēng)險(xiǎn)監(jiān)測(cè)準(zhǔn)確、場(chǎng)景覆蓋全面、資產(chǎn)運(yùn)營(yíng)高效、數(shù)據(jù)操作全面留痕于一身的API數(shù)據(jù)安全產(chǎn)品。該產(chǎn)品通過(guò)旁路部署，不侵入業(yè)務(wù)，輕松實(shí)現(xiàn)APIAPI風(fēng)險(xiǎn)監(jiān)測(cè)。34十、天翼數(shù)生API資產(chǎn)治理項(xiàng)目十、天翼數(shù)生API資產(chǎn)治理項(xiàng)目從資產(chǎn)梳理的角度看API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)填補(bǔ)API數(shù)據(jù)安全解決方案的缺失，能夠自動(dòng)化、動(dòng)態(tài)地對(duì)Web應(yīng)用資產(chǎn)進(jìn)行梳理，自動(dòng)和動(dòng)態(tài)梳理API可以更好地理解API的結(jié)構(gòu)和功能，并識(shí)別API的安全風(fēng)險(xiǎn)，幫助企業(yè)更好地保護(hù)其API，避免安全漏洞和風(fēng)險(xiǎn)?；贏PI劃分引擎，結(jié)合上下文分析自動(dòng)區(qū)分機(jī)機(jī)交互的“應(yīng)用API”和人機(jī)交互的“應(yīng)用URl”，聚焦傳輸數(shù)據(jù)的API，去除靜態(tài)資源的噪音，識(shí)別劃分準(zhǔn)確度達(dá)到95%以上，有效提升了API資產(chǎn)的純凈度，使得安全人員更容易運(yùn)營(yíng)和管理其API資產(chǎn)。從脆弱性評(píng)估的角度看當(dāng)前評(píng)估主要依賴掃描器，但是隨著前后端分離、APP等形式的興起，掃描器的覆蓋率和效果都在急劇下降。無(wú)法確認(rèn)是否對(duì)所有的重要接口都做了必要的安全評(píng)估。而API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)能夠自動(dòng)、動(dòng)態(tài)、全面的對(duì)敏感數(shù)據(jù)訪問(wèn)接口進(jìn)行多維度的脆弱性評(píng)估及風(fēng)險(xiǎn)識(shí)別，包括但不限于認(rèn)證權(quán)限風(fēng)險(xiǎn)、批量操作風(fēng)險(xiǎn)、暴露面風(fēng)險(xiǎn)、脫敏風(fēng)險(xiǎn)等。實(shí)時(shí)監(jiān)控接口運(yùn)行中的單因素認(rèn)證、弱密碼、密碼明文傳輸?shù)却嗳跣詥?wèn)題。針對(duì)云上業(yè)務(wù)，天翼數(shù)生在能力總線上旁路部署了API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)。同時(shí)，也對(duì)本地業(yè)務(wù)的API網(wǎng)關(guān)的日志進(jìn)行接入。系統(tǒng)能夠自動(dòng)梳理API資產(chǎn)，并通過(guò)KAFKA推送到公司總部的數(shù)據(jù)安全管理平臺(tái)，以滿足總部的監(jiān)管要求。此外，該系統(tǒng)提供持續(xù)、實(shí)時(shí)和全面的評(píng)估服務(wù)，檢查業(yè)務(wù)系統(tǒng)的API是否存在脆弱性風(fēng)險(xiǎn)，發(fā)現(xiàn)了20類主要的脆弱性風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括但不限于：敏感接口未經(jīng)鑒權(quán)、認(rèn)證令牌有效期過(guò)長(zhǎng)、水平權(quán)限越界、脫敏策略不一致、敏感接口參數(shù)可遍歷、任意文件讀取、源代碼泄漏、系統(tǒng)信息泄露以及敏感文件泄露等。天翼數(shù)生通過(guò)對(duì)API資產(chǎn)的清晰梳理和脆弱性評(píng)估，及時(shí)發(fā)現(xiàn)和解決API中可能存在的安全隱患，有效預(yù)防數(shù)據(jù)泄露，從而大大提高企業(yè)的數(shù)據(jù)安全性，同時(shí)滿足行業(yè)及總部的監(jiān)管需求。35十一、中移在線廣東分公司API十一、中移在線廣東分公司API安全治理項(xiàng)目中移在線服務(wù)有限公司廣東分公司 杭州安恒信息技術(shù)股份有限公司作為一家服務(wù)全網(wǎng)超過(guò)9.25億客戶的公司，中移在線擁有大量敏感用戶信息。進(jìn)行嚴(yán)格的API安全治理可以有效防止這些數(shù)據(jù)被非法訪問(wèn)或泄露。然而，中移在線在API安全治理過(guò)程中，面臨兩個(gè)主要的挑戰(zhàn)：提高數(shù)據(jù)泄漏事件應(yīng)急響應(yīng)效率中移在線承擔(dān)著處理用戶在接受電信服務(wù)過(guò)程中與電信業(yè)務(wù)經(jīng)營(yíng)者發(fā)生的爭(zhēng)議的責(zé)任。因此，如何有效處理用戶投訴，特別是涉及個(gè)人信息泄露等敏感問(wèn)題，成為了中移亟待解決的一個(gè)重要需求。

API調(diào)用角色權(quán)限梳理不清隨著企業(yè)的不斷發(fā)展，業(yè)務(wù)系統(tǒng)的復(fù)雜性也隨之增加，并且隨著企業(yè)規(guī)模的擴(kuò)張，組織結(jié)構(gòu)、崗位和角色也變得越來(lái)越復(fù)雜，中移在線同時(shí)存在內(nèi)部員工、外包員工、三方合作公司等多個(gè)角色。能否有效地監(jiān)測(cè)角色的API調(diào)用行為，防止權(quán)限濫用和內(nèi)部數(shù)據(jù)泄露，則成為了一個(gè)迫切的需求。杭州安恒信息技術(shù)股份有限公司的API與應(yīng)用系統(tǒng)安全審計(jì)系統(tǒng)充分考慮了中移在線在數(shù)據(jù)安全和風(fēng)險(xiǎn)管理方面的實(shí)際需求，能夠?yàn)槠涮峁┤?、有效的API數(shù)據(jù)保護(hù)，從而極大地提高其業(yè)務(wù)運(yùn)營(yíng)效率和API數(shù)據(jù)安全治理水平。36十一、中移在線廣東分公司API十一、中移在線廣東分公司API安全治理項(xiàng)目關(guān)鍵功能全流量審計(jì)與高效溯源系統(tǒng)通過(guò)流量解析技術(shù)自動(dòng)還原API操作日志，識(shí)別、提取API日志中的敏感數(shù)據(jù)和操作賬號(hào)，關(guān)聯(lián)賬號(hào)身份和組織架構(gòu)信息，可以追蹤敏感數(shù)據(jù)的來(lái)源和去向，以及與敏感數(shù)據(jù)相關(guān)的用戶和組織，這種數(shù)據(jù)監(jiān)控功能可以幫助企業(yè)識(shí)別潛在的安全威脅。中移在線一天核心API的審計(jì)日志量達(dá)到1億條，如果不對(duì)數(shù)據(jù)做截?cái)嗵幚?，在有限的資源情況下難以存儲(chǔ)180+的日志。該系統(tǒng)能夠在不丟失有用信息的前提下壓縮數(shù)據(jù)，能夠用更少空間對(duì)原有數(shù)據(jù)進(jìn)行存儲(chǔ)，提高存儲(chǔ)效率，從而有效的、完整的保存API訪問(wèn)日志180+天，使中移在線安全運(yùn)營(yíng)人員在發(fā)現(xiàn)問(wèn)題時(shí)及時(shí)有效的溯源。同時(shí)系統(tǒng)基于大數(shù)據(jù)分析引擎，通過(guò)數(shù)據(jù)預(yù)處理、向量化、標(biāo)準(zhǔn)化和預(yù)聚合等操作，實(shí)現(xiàn)了數(shù)據(jù)“隨用隨取”的能力。通過(guò)跟蹤用戶操作行為，智能分析當(dāng)前用戶的需求，實(shí)現(xiàn)了“按需查詢”和“智能調(diào)度”，在把數(shù)據(jù)快速呈現(xiàn)給用戶的同時(shí)，又合理地管理了設(shè)備資源，保障了設(shè)備審計(jì)業(yè)務(wù)的順利運(yùn)轉(zhuǎn)。數(shù)據(jù)權(quán)限梳理與風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)通過(guò)使用用戶實(shí)體行為分析技術(shù)（UEBA）監(jiān)測(cè)人員數(shù)據(jù)訪問(wèn)情況，基于賬號(hào)自動(dòng)解析技術(shù)，自動(dòng)識(shí)別流量中的操作日志用戶身份（IP、賬號(hào)），關(guān)聯(lián)賬號(hào)身份信息及組織架構(gòu)信息，自動(dòng)梳理賬號(hào)的訪問(wèn)權(quán)限。IP、賬號(hào)、IP+API、賬號(hào)+API、數(shù)據(jù)五大維度進(jìn)行行為風(fēng)險(xiǎn)監(jiān)測(cè)。中移在線使用以主體為維度的風(fēng)險(xiǎn)監(jiān)測(cè)，監(jiān)測(cè)主體短時(shí)間內(nèi)大量獲取敏感數(shù)據(jù)、訪問(wèn)頻次異常、異常時(shí)間獲取敏感數(shù)據(jù)、數(shù)據(jù)違規(guī)出境、違規(guī)跨域訪問(wèn)等異常調(diào)用API行為。使用主體+APIAPI進(jìn)行重點(diǎn)監(jiān)測(cè)，例如：寬帶辦理業(yè)務(wù)API、客戶信息查詢API，用于發(fā)現(xiàn)API濫用的問(wèn)題。使用數(shù)據(jù)為維度進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)，主要以數(shù)據(jù)為線索關(guān)聯(lián)分析相關(guān)API、相關(guān)應(yīng)用、相關(guān)主體等內(nèi)容，自動(dòng)繪制API風(fēng)險(xiǎn)鏈路關(guān)系，結(jié)合線索關(guān)聯(lián)排名分析，可推測(cè)出可疑的數(shù)據(jù)泄露路徑，主要用于洞察二次封裝風(fēng)險(xiǎn)或者核心數(shù)據(jù)監(jiān)測(cè)場(chǎng)景。中移在線模擬客戶個(gè)信數(shù)據(jù)泄漏場(chǎng)景，通過(guò)使用API治理追溯泄露的個(gè)人信息，定位泄漏源API和訪問(wèn)賬號(hào)，并根據(jù)產(chǎn)品的賬號(hào)關(guān)聯(lián)定位到個(gè)人，實(shí)現(xiàn)24H內(nèi)定位泄漏源，顯著提高了公司的應(yīng)急響應(yīng)效率和API數(shù)據(jù)安全治理水平。治理方案動(dòng)態(tài)梳理企業(yè)API資產(chǎn)及員工賬號(hào)的訪問(wèn)權(quán)限，發(fā)現(xiàn)未經(jīng)授權(quán)的訪問(wèn)API20+、非最小化訪問(wèn)賬號(hào)50+，后期通過(guò)升級(jí)業(yè)務(wù)系統(tǒng)修復(fù)問(wèn)題，和收斂員工賬號(hào)的訪問(wèn)權(quán)限的方式，有效地降低了API數(shù)據(jù)泄露的風(fēng)險(xiǎn)。37十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目杭州市臨平區(qū)數(shù)據(jù)資源管理局 杭州美創(chuàng)科技股份有限公司依照浙江省及杭州市相關(guān)規(guī)劃部署，臨平區(qū)初步部署一系列數(shù)據(jù)安全相關(guān)技術(shù)能力，但多以平臺(tái)側(cè)安全管理為出發(fā)點(diǎn)，缺少數(shù)據(jù)使用側(cè)監(jiān)管，賦能數(shù)據(jù)運(yùn)維開(kāi)發(fā)使用、日常業(yè)務(wù)使用、API調(diào)用使用和批量數(shù)據(jù)調(diào)用使用等場(chǎng)景。一、API接口使用側(cè)監(jiān)管數(shù)據(jù)流量獲取由于云環(huán)境無(wú)法直接鏡像流量，因此最為有效的流量獲取方式是在部門(mén)應(yīng)用服務(wù)端上部署Agent。甄別共享數(shù)據(jù)接口申請(qǐng)方授權(quán)應(yīng)用通過(guò)API接口請(qǐng)求數(shù)據(jù)時(shí)，API安全監(jiān)測(cè)系統(tǒng)通過(guò)API接口網(wǎng)關(guān)Agent劫持返回?cái)?shù)據(jù)，并在返回?cái)?shù)據(jù)中插入具有數(shù)源單位、數(shù)據(jù)使用方標(biāo)識(shí)信息的無(wú)痕水印，以實(shí)現(xiàn)共享數(shù)據(jù)的甄別。用戶畫(huà)像通過(guò)深度網(wǎng)絡(luò)流量分析技術(shù)對(duì)賬戶、IP進(jìn)行畫(huà)像，行為畫(huà)像的維度如下：資產(chǎn)維度、身份維度、訪問(wèn)上下文、數(shù)據(jù)使用方訪問(wèn)鏈路等。異常行為識(shí)別API安全監(jiān)測(cè)系統(tǒng)與API接口網(wǎng)關(guān)對(duì)接token解析所需密鑰，agent獲取API流量中token信息并進(jìn)行解析獲取數(shù)據(jù)使用方用戶賬戶信息。數(shù)據(jù)泄露風(fēng)險(xiǎn)預(yù)警通過(guò)Agent獲取各節(jié)點(diǎn)流量后，依托API接口水印識(shí)別共享數(shù)據(jù)，依托用戶畫(huà)像和行為基線分析異常行為，實(shí)現(xiàn)風(fēng)險(xiǎn)預(yù)警。脆弱性評(píng)估規(guī)則自動(dòng)發(fā)現(xiàn)并展示相關(guān)接口的脆弱性。脆弱性評(píng)估包含各API接口是否存在未鑒權(quán)、偽脫敏、可遍歷、過(guò)度開(kāi)放、密碼安全等方面，基于數(shù)據(jù)安全視角，評(píng)估接口可能存在的風(fēng)險(xiǎn)。異常調(diào)用攔截當(dāng)未授權(quán)應(yīng)用服務(wù)調(diào)用API接口時(shí)，對(duì)返回內(nèi)容進(jìn)行分析，通過(guò)Agent劫持返回流量，識(shí)別返回流量數(shù)據(jù)報(bào)文中的數(shù)據(jù)內(nèi)容是否包含水印信息，最終實(shí)現(xiàn)攔截未授權(quán)應(yīng)用服務(wù)對(duì)共享數(shù)據(jù)的調(diào)用行為。38十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目十二、杭州市臨平區(qū)數(shù)據(jù)資源管理局?jǐn)?shù)據(jù)使用監(jiān)管項(xiàng)目二、批量數(shù)據(jù)使用側(cè)監(jiān)管按該區(qū)實(shí)際部門(mén)數(shù)量建立降敏數(shù)據(jù)庫(kù)。基于部門(mén)批量數(shù)據(jù)申請(qǐng)時(shí)遞交的數(shù)據(jù)使用方信息生成降敏算法。通過(guò)數(shù)盾ETL能力搭載降敏算法完成數(shù)據(jù)降敏服務(wù)，并將數(shù)據(jù)load至降敏數(shù)據(jù)庫(kù)，供數(shù)據(jù)使用方查詢應(yīng)用。部門(mén)需回流批量數(shù)據(jù)至本地生產(chǎn)環(huán)境進(jìn)行數(shù)據(jù)比對(duì)、數(shù)據(jù)分析、數(shù)據(jù)建模的先自主通過(guò)同步工具回流降敏數(shù)據(jù)，然后按需提交復(fù)敏申請(qǐng)，經(jīng)流程審批后由數(shù)盾完成數(shù)據(jù)復(fù)敏操作并添加數(shù)據(jù)水印。數(shù)盾完成復(fù)敏操作后，通過(guò)消息接口將表結(jié)構(gòu)字段名稱同步至云原生加密引擎，由云原生加密系統(tǒng)執(zhí)行復(fù)敏數(shù)據(jù)加密，并對(duì)指定應(yīng)用和工具設(shè)置明文訪問(wèn)權(quán)限。通過(guò)權(quán)限管控系統(tǒng)數(shù)據(jù)識(shí)別、數(shù)據(jù)管理模塊按建立共享數(shù)據(jù)資產(chǎn)集合，并對(duì)集合數(shù)據(jù)進(jìn)行標(biāo)識(shí)化管理，標(biāo)注數(shù)源單位、數(shù)據(jù)使用方信息，并按照申請(qǐng)時(shí)遞交的數(shù)據(jù)應(yīng)用場(chǎng)景嚴(yán)格控制數(shù)據(jù)使用權(quán)限。依托權(quán)限管控系統(tǒng)數(shù)據(jù)動(dòng)態(tài)脫敏模塊，實(shí)現(xiàn)共享數(shù)據(jù)查詢過(guò)程中的隱私化處理，防止數(shù)據(jù)運(yùn)維、數(shù)據(jù)治理等相關(guān)技術(shù)人員查詢真實(shí)數(shù)據(jù)時(shí)，數(shù)據(jù)緩存至終端被惡意導(dǎo)出留存。共享數(shù)據(jù)需離線使用時(shí)，由數(shù)據(jù)申請(qǐng)人在權(quán)限管控平臺(tái)中提交申請(qǐng)，由數(shù)管局人員審核應(yīng)用場(chǎng)景是否合規(guī)后，平臺(tái)授權(quán)其共享數(shù)據(jù)的導(dǎo)出權(quán)限并對(duì)導(dǎo)出數(shù)據(jù)進(jìn)行加密保護(hù)，同時(shí)在數(shù)據(jù)導(dǎo)出申請(qǐng)時(shí)簽發(fā)解密密鑰并綁定申請(qǐng)人終端，避免申請(qǐng)人私自轉(zhuǎn)存數(shù)據(jù)。當(dāng)共享數(shù)據(jù)以文件形式落地至申請(qǐng)人終端后，申請(qǐng)人通過(guò)權(quán)限管控平臺(tái)數(shù)據(jù)文件保護(hù)模塊，執(zhí)行數(shù)據(jù)文件的加殼處理，按需設(shè)置數(shù)據(jù)文件的使用權(quán)限并通過(guò)浙政釘發(fā)送給業(yè)務(wù)科室的實(shí)際數(shù)據(jù)使用人。非法（未授權(quán)）應(yīng)用智能識(shí)別接口二次封裝、轉(zhuǎn)發(fā)識(shí)別與攔截能力共享開(kāi)放數(shù)據(jù)多節(jié)點(diǎn)密態(tài)存儲(chǔ)有效限制批量共享數(shù)據(jù)非法使用39十三、某省一體化API十三、某省一體化API數(shù)據(jù)安全管控某省大數(shù)據(jù)中心 五色石（杭州）數(shù)據(jù)技術(shù)有限公司全省一體化數(shù)據(jù)基礎(chǔ)平臺(tái)是某省的資源中樞和能力底座，由省級(jí)統(tǒng)籌建設(shè)，省市分級(jí)部署，覆蓋省市縣鄉(xiāng)村五級(jí)應(yīng)用。一體化平臺(tái)圍繞“1+3+3”架構(gòu)體系設(shè)計(jì)，即建設(shè)1個(gè)統(tǒng)一資源管理平臺(tái)，構(gòu)建云管、數(shù)管和用管3個(gè)子平臺(tái)，健全安全保障、運(yùn)維運(yùn)營(yíng)和標(biāo)準(zhǔn)規(guī)范3個(gè)保障支撐體系，并配套完成軟件、硬件及相關(guān)系統(tǒng)集成，建成全省覆蓋、全域支撐的數(shù)字化建設(shè)能力底座。一體化數(shù)據(jù)基礎(chǔ)平臺(tái)中，數(shù)據(jù)大多通過(guò)接口等方式實(shí)現(xiàn)交互應(yīng)用，那么此時(shí)就需要對(duì)數(shù)據(jù)交互過(guò)程進(jìn)行安全審計(jì)和管控，確保數(shù)據(jù)流邊界出口的安全、合規(guī)，實(shí)現(xiàn)數(shù)據(jù)交換、交互和流動(dòng)過(guò)程中的可管、可控、可視、可追溯，對(duì)數(shù)據(jù)使用方的調(diào)用請(qǐng)求和數(shù)據(jù)提供方的響應(yīng)數(shù)據(jù)進(jìn)行記錄，對(duì)數(shù)據(jù)交互過(guò)程進(jìn)行審計(jì)和管控，檢查數(shù)據(jù)使用者的身份識(shí)別信息，對(duì)于數(shù)據(jù)推送給未知的、未授權(quán)的數(shù)據(jù)使用方進(jìn)行監(jiān)管等，加強(qiáng)數(shù)據(jù)的有效、安全的應(yīng)用。因此，需要建設(shè)一套數(shù)據(jù)交換共享場(chǎng)景下的API數(shù)據(jù)安全管控平臺(tái)。通過(guò)數(shù)據(jù)探針或者采集鏡像數(shù)據(jù)流量，深度分析數(shù)據(jù)報(bào)文，自主發(fā)現(xiàn)數(shù)據(jù)流動(dòng)相關(guān)的資產(chǎn)，并進(jìn)行歸類管理和敏感標(biāo)識(shí)劃分。40十三、某省一體化API十三、某省一體化API數(shù)據(jù)安全管控主要功能通過(guò)API數(shù)據(jù)安全管控平臺(tái)主動(dòng)監(jiān)控?cái)?shù)據(jù)交換過(guò)程中的應(yīng)用/API中的所有接口，并依據(jù)接口是否包含敏感數(shù)據(jù)，將接口自動(dòng)分類為普通接口和敏感接口。通過(guò)API數(shù)據(jù)安全管控平臺(tái)設(shè)定的行為基線、用戶基線、數(shù)據(jù)內(nèi)容基線、協(xié)議基線，自動(dòng)分析識(shí)別異常事件，記錄異常詳情，一旦發(fā)現(xiàn)異常訪問(wèn)行為、異常數(shù)據(jù)，能夠記錄事件并發(fā)布告警通知。安全能力1.資產(chǎn)管理 2.資產(chǎn)畫(huà)像 3.數(shù)據(jù)脫敏 4.業(yè)務(wù)風(fēng)控 5.健康檢查訪實(shí)時(shí)檢視和風(fēng)險(xiǎn)研判 7.數(shù)據(jù)字段內(nèi)容審計(jì) 8.高可用及擴(kuò)展性 9.訪問(wèn)審計(jì)創(chuàng)新點(diǎn)無(wú)死角無(wú)盲區(qū)監(jiān)管根據(jù)部署網(wǎng)絡(luò)節(jié)點(diǎn)（層級(jí)）不同，可以采集到不同范圍的網(wǎng)絡(luò)數(shù)據(jù)鏡像流量。聯(lián)合串聯(lián)設(shè)備，可以實(shí)現(xiàn)無(wú)死角、全鏈路數(shù)據(jù)流轉(zhuǎn)安全監(jiān)管與防護(hù)能力。3.字段內(nèi)容驗(yàn)明正身可以深入接口字段內(nèi)容，對(duì)接口的每一個(gè)字段進(jìn)行審計(jì)，確保所有字段內(nèi)容合規(guī)合法，確保數(shù)據(jù)需方“業(yè)務(wù)可用”。

情境驅(qū)動(dòng)的審計(jì)策略基于實(shí)際數(shù)據(jù)流動(dòng)過(guò)程中可能存在的異常場(chǎng)景，設(shè)置審計(jì)策略，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中流動(dòng)數(shù)據(jù)的合規(guī)合法性，異常情況能及時(shí)發(fā)現(xiàn)并告警、處置。數(shù)據(jù)流轉(zhuǎn)態(tài)勢(shì)感知?jiǎng)討B(tài)實(shí)時(shí)展示數(shù)據(jù)流動(dòng)的情況。資產(chǎn)情況可視化、數(shù)據(jù)流動(dòng)可視化、異常情況可視化、敏感數(shù)據(jù)可視化、溯源分析等內(nèi)容，以讓管理者輕松擺脫“四不一難”的現(xiàn)狀?；谟脩魴?quán)限的資產(chǎn)管理與訪問(wèn)控制根據(jù)不同的用戶管理權(quán)限，設(shè)置不同的功能和資產(chǎn)權(quán)限。確保不同用戶僅能訪問(wèn)自己權(quán)限范圍內(nèi)的資產(chǎn)和相應(yīng)的交換數(shù)據(jù)。保護(hù)業(yè)務(wù)及數(shù)據(jù)安全利用大數(shù)據(jù)流量分析技術(shù)，主動(dòng)識(shí)別敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)及常見(jiàn)Web/API攻擊行為，并根據(jù)定義的處置策略進(jìn)行告警、阻斷，有效預(yù)防或阻止來(lái)自內(nèi)外部攻擊，減少損失。3.協(xié)助客戶滿足合規(guī)要求通過(guò)自動(dòng)識(shí)別API接口中的各類敏感數(shù)據(jù)，生成敏感數(shù)據(jù)API接口資產(chǎn)地圖，讓管理者及時(shí)了解敏感數(shù)據(jù)風(fēng)險(xiǎn)態(tài)勢(shì)，及時(shí)阻止敏感數(shù)據(jù)外泄。同時(shí)可按照應(yīng)用、API、IP等維度生成審計(jì)報(bào)表，讓用戶能及時(shí)了解應(yīng)用服務(wù)整體運(yùn)行與分析狀況，幫助客戶滿足監(jiān)管單位的合規(guī)要求。

降低API管理