4008916618
产品发布丨中安星云应用(API)数据安全审计系统
2022-03-28

背景需求

伴随着云计算、大数据、人工智能等技术的蓬勃发展,移动互联网、物联网产业加速创新,移动设备持有量不断增加,Web 应用、移动应用已融入生产生活的各个领域。这一过程中,应用程序接口(Application Programming Interface,API)作为数据传输流转的重要通道发挥着举足轻重的作用。API 技术不仅帮助企业建立与客户沟通的桥梁,还承担着不同复杂系统环境、组织机构之间的数据交互、传输的重任。然而,在 API 技术带来上述积极作用的同时,与其相关的数据安全问题也日益凸显。

近年来,国内外曝出多起与 API 相关的数据安全事件,严重损害了相关企业、用户的合法权益。我国多个行业已出台相关规范性文件,覆盖通信、金融、交通等诸多领域,对 API 安全提出了一定要求,对其技术部署、安全管理等进行规范。然而当前已研制标准主要针对特定 API 类型、应用场景提出要求,尚未全面覆盖 API 数据安全,相关标准规范体系有待完善。

    随着微服务架构的普及,越来越多的企业系统都转向了微服务架构,微服务是对业务系统进行服务的拆分,导致API 数量会成指数级的增长,企业内部的服务能力化不仅仅需要满足企业内部需求,而且企业的外部调用需求也是越来越多,微信小程序、移动APP、物联网、云端应用、第三方合作伙伴等这些外部的触点越来越多,外部调用内部的服务就不可避免,但是这些触点都是第三方的应用,他们的安全性如何保障?流量的审计如何应对?对企业IT 部门非常大的挑战,API 审计系统就是解决这一系列问题的利器。


233444.png


中安星云应用(API)数据安全审计系统

产品概述

    中安星云应用(API)数据安全审计系统是中安星云推出的具有自主知识产权的Web API数据安全产品。系统主要功能模块有流量解析、风险判别、统计分析。流量解析模块,可以对API访问流量进行自动化识别和内容解析,能识别出应用、API接口、敏感数据,数据资源梳理、数据接口分类分级提供技术支持。风险判别模块,由内置安全风险策略和自定义策略组成,快速准确识别风险行为。统计分析模块,由数据存储、检索、分析模型、数据展现4个子模块组成。数据存储和检索为数据溯源、数据分析提供支持。分析模型由中安星云多年数据安全经验汇聚而成,能在身份认证、权限划定、数据域、行为关联等多个角度进行统计分析,提升系统对异常行为的识别能力。数据展现模块,系统内置多种合规报表,针对运维场景下的数据分析报告,并能提供自定义报表功能。


产品价值

全面的应用和Web API资产梳理

协助客户全面梳理业务Web API数据资产,全面掌握数据资产分布。发现未下线的废弃接口,降低风险暴露面,防止数据泄露。发现新上线业务API接口,掌握新业务动向。

识别高危API请求和异常API请求

内置丰富的数据安全风险规则库,配合风险发现引擎,实时发现Web API风险请求;系统对API请求进行多维度统计分析,结合多年积累的数据安全分析模型,能识别出未知的异常API安全风险。

API自动采集、自动分类

识别API接口中传输的敏感信息,对应用和API接口进行标记,并进行自动化分类,根据分级标准进行分级。为分级防护提供依据,满足安全合规要求。

识别对应用的非法访问,支持对非法访问溯源分析

系统能提供全面的API请求源信息,能为风险溯源、内外部安全审计等提供强有力的证据支撑。系统提供多维度的检索条件和高速索引技术方便快速查找。


产品优势

应用API全盘梳理

系统支持两种API添加方式,一种是从镜像流量中进行解析采集,系统采集后,可自动生成API列表并且记录API的各项基本信息。系统支持灵活的配置采集条件,例如不采集静态请求,或不采集指定的拦截请求。另外一种是可以直接从API管理平台中将API批量导入。

支持多种协议:HTTP/HTTPS/Websocket,支持HTTPS国di密算法。

审计粒度

依照5W原则—— Who、Where、When、How、What,全面记录对API请求情况、请求的各种信息和返回值详细信息。包括请求时间、URL、源IP、源端口、目的IP地址、目的端口、传输协议、访问请求方法、Referer、User-Agent、X-Forwarded-For、Cookie、响应状态码、响应时间等。

API资产的分类分级

API安全审计系统可结合中安星云的数据资产管理系统,实现API数据资产的分类分级,落实数据分类分级管控措施,针对API 涉及的敏感数据按照统一策略进行后端脱敏处理,并结合数据加密、传输通道加密等方式保护API 数据传输安全,确保敏感数据暴露可知、可控、可追溯。

传输数据敏感扫描

通过敏感扫描任务可以高效、方便地帮助用户准确定位敏感信息,支持灵活的配置用户可以按照默认的或者预定义的敏感数据特征,在执行任务过程中,对API的返回参数值的数据进行自动敏感识别。敏感扫描过程中,对返回参数中的数据样本采用零存储方案,数据不落地,不存在数据中间泄漏风险。