由通付盾自主研發(fā)的“API安全訪問(wèn)管理系統(tǒng)”榮獲公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》(以下簡(jiǎn)稱“安全專用產(chǎn)品銷售許可證”)。安全專用產(chǎn)品銷售許可證要求在中華人民共和國(guó)境內(nèi)的網(wǎng)絡(luò)安全專用產(chǎn)品進(jìn)入市場(chǎng)銷售之前，必須申領(lǐng)該銷售許可證。由公安部計(jì)算機(jī)管理監(jiān)察部門對(duì)產(chǎn)品進(jìn)行安全功能的檢測(cè)和認(rèn)定。該安全專用產(chǎn)品銷售許可證具有很高的市場(chǎng)準(zhǔn)入權(quán)威性。

　　當(dāng)前API面臨的安全問(wèn)題

　　API經(jīng)濟(jì)已經(jīng)成為數(shù)字化轉(zhuǎn)型的重要趨勢(shì)。越來(lái)越多的組織將API作為一種商業(yè)模式，向外部開(kāi)放API以便與合作伙伴和開(kāi)發(fā)者進(jìn)行集成。目前針對(duì)API的攻擊幾乎遍布各個(gè)行業(yè)，其中金融、政務(wù)平臺(tái)、游戲行業(yè)等依然是攻擊者主要目標(biāo)。無(wú)論是從API攻擊的整體趨勢(shì)，還是對(duì)企業(yè)以及用戶的影響，都是不容樂(lè)觀的。但是API架構(gòu)的安全并未得到足夠的重視，API安全風(fēng)險(xiǎn)所能帶來(lái)的后果不可小覷。API安全面臨的風(fēng)險(xiǎn)主要包括以下兩個(gè)方面：

　　1、業(yè)務(wù)風(fēng)險(xiǎn)

　　(1)身份認(rèn)證和訪問(wèn)控制：如果身份認(rèn)證和訪問(wèn)控制不夠嚴(yán)格，可能會(huì)導(dǎo)致數(shù)據(jù)泄露、非法訪問(wèn)等安全問(wèn)題。

　　(2)惡意攻擊：API容易受到各種類型的惡意攻擊，如跨站腳本攻擊(XSS)、跨站請(qǐng)求偽造(CSRF)、SQL注入等。這些攻擊可能導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)破壞和系統(tǒng)癱瘓等嚴(yán)重后果。

　　(3)第三方庫(kù)和組件的安全性問(wèn)題：API使用的第三方庫(kù)和組件也可能存在安全漏洞，需要進(jìn)行安全審查和測(cè)試，確保API整體的安全性。

　　(4)缺少安全審計(jì)和日志記錄：API需要實(shí)現(xiàn)安全審計(jì)和日志記錄功能，及時(shí)發(fā)現(xiàn)并處理安全問(wèn)題。安全審計(jì)和日志記錄可以記錄API的使用情況、操作行為和異常情況等信息。

　　2、合規(guī)風(fēng)險(xiǎn)

　　(1)合規(guī)性管理問(wèn)題：API需要符合法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。在API設(shè)計(jì)、實(shí)現(xiàn)和使用過(guò)程中，需要考慮隱私保護(hù)、數(shù)據(jù)安全、數(shù)據(jù)使用權(quán)限等方面的合規(guī)性問(wèn)題。

　　(2)數(shù)據(jù)泄露：API需要確保數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的安全性和隱私性，以防止數(shù)據(jù)泄露、數(shù)據(jù)篡改等風(fēng)險(xiǎn)。數(shù)據(jù)保護(hù)的措施包括加密傳輸、數(shù)據(jù)脫敏、安全存儲(chǔ)等。

　　通付盾零信任API安全訪問(wèn)管理系統(tǒng)

　　針對(duì)API面臨的威脅，為幫助企業(yè)用戶更好地應(yīng)對(duì)當(dāng)前API安全挑戰(zhàn)，通付盾基于多年在業(yè)務(wù)風(fēng)險(xiǎn)及安全領(lǐng)域的技術(shù)積累，推出了通付盾零信任API安全訪問(wèn)管理系統(tǒng)(ZAM)，對(duì)API進(jìn)行全生命周期管理，為企業(yè)提供API的統(tǒng)一接入、訪問(wèn)認(rèn)證、數(shù)據(jù)脫敏、安全防護(hù)等能力。同時(shí)基于決策智能引擎對(duì)API資產(chǎn)自發(fā)現(xiàn)、安全隱患監(jiān)測(cè)、風(fēng)險(xiǎn)發(fā)現(xiàn)做針對(duì)性防范，規(guī)避因API帶來(lái)的業(yè)務(wù)安全風(fēng)險(xiǎn)及數(shù)據(jù)安全風(fēng)險(xiǎn)。

　　API安全防護(hù)解決方案

　　通付盾零信任API安全訪問(wèn)管理系統(tǒng)(ZAM)通過(guò)其無(wú)代理部署選項(xiàng)快速且無(wú)摩擦地融入企業(yè)現(xiàn)有基礎(chǔ)架構(gòu)，收集整個(gè)應(yīng)用程序中的API流量，展示所有API及其暴露的數(shù)據(jù)，基于廣泛涵蓋OWASP API風(fēng)險(xiǎn)，業(yè)務(wù)邏輯漏洞的掃描引擎，對(duì)API及相關(guān)服務(wù)進(jìn)行漏洞掃描，進(jìn)行企業(yè)資產(chǎn)風(fēng)險(xiǎn)評(píng)估，以強(qiáng)調(diào)API調(diào)用級(jí)別的故障排除和分析，消除易受攻擊的API風(fēng)險(xiǎn)。

　　1.API資產(chǎn)暴增：自動(dòng)識(shí)別API資產(chǎn)，實(shí)時(shí)了解目前存活的資產(chǎn)情況;

　　2.快速迭代無(wú)法保證API安全：API風(fēng)險(xiǎn)事件告警，檢測(cè)API風(fēng)險(xiǎn)情況;

　　3.接口缺少維護(hù)，引發(fā)多種攻擊隱患：多種攻擊類型識(shí)別，添加規(guī)則防護(hù);

　　4.敏感數(shù)據(jù)泄露：掌握涉敏API數(shù)據(jù)，使用動(dòng)態(tài)脫敏、加密等措施，降低數(shù)據(jù)泄漏風(fēng)險(xiǎn);

　　產(chǎn)品優(yōu)勢(shì)：

　　1.全面自動(dòng)化：自動(dòng)、持續(xù)的 API 發(fā)現(xiàn)，允許全面了解所有 API、敏感數(shù)據(jù)流和風(fēng)險(xiǎn)狀況。

　　2.智能化漏洞分析：對(duì)API資產(chǎn)進(jìn)行深度漏洞掃描，支持180+項(xiàng)的漏洞檢測(cè)，自動(dòng)生成風(fēng)險(xiǎn)報(bào)告及修正意見(jiàn)。

　　3.雙引擎防護(hù)：在安全規(guī)則引擎進(jìn)行 OWASP API Top10 防御的基礎(chǔ)上，引入智能決策引擎，通過(guò)交叉驗(yàn)證持續(xù)學(xué)習(xí)，精準(zhǔn)有效捕捉各類常規(guī) Web 攻擊、0day 攻擊及其它新型未知攻擊。

　　4.高效率、低成本：充分靈活的直聯(lián)/旁路部署模式，支持各種環(huán)境部署方式，與安全WAF等工具集成，提升防護(hù)能力。

　　“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”，成立十余載通付盾始終不忘初心，堅(jiān)守品質(zhì)，重視產(chǎn)品質(zhì)量、打磨產(chǎn)品各個(gè)環(huán)節(jié)，以高品質(zhì)產(chǎn)品服務(wù)客戶。未來(lái)，通付盾將繼續(xù)勤耕、深耕、精耕網(wǎng)絡(luò)安全行業(yè)，引領(lǐng)創(chuàng)新，不斷優(yōu)化，提供安全高效的數(shù)字化解決方案，為國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展與國(guó)家網(wǎng)絡(luò)安全作出更大貢獻(xiàn)。

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點(diǎn)，亦不代表本網(wǎng)站贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。如稿件版權(quán)單位或個(gè)人不想在本網(wǎng)發(fā)布，可與本網(wǎng)聯(lián)系，本網(wǎng)視情況可立即將其撤除。