1、API 安全技術應用指南本報告為北京谷安天下科技有限公司（以下簡稱“本公司”）旗下媒體平臺安全牛研究撰寫，報告中所有文字、圖片、表格均受有關商標和著作權的法律保護，部分文字和數據采集于公開信息，所有權為原著者所有。未經本公司書面許可，任何組織和個人不得以任何形式復制或傳遞本報告的全部或部分內容，不得將本報告內容作為訴訟、仲裁、傳媒所引用之證明或依據，不得用于營利或用于未經允許的其他用途。任何未經授權使用本報告的相關商業行為都將違反中華人民共和國著作權法和其他法律法規以及有關國際公約的規定。未經授權或違法使用本報告內容者應承擔其行為引起的一切后果 及法律責任，本公司將保留追究其法律責任的權利。版

2、權聲明版權聲明API 安全技術應用指南本報告僅供本公司的客戶使用。本公司不會因接收人收到本報告而視其為本公司的當然客戶。任何非本公司發布的有關本報告的摘要或節選都不代表本報告正式完整的觀點，一切須以本公司發布的本報告完整版本為準。本報告中的行業數據主要為分析師市場調研、行業訪談及其他研究方法估算得來，僅供參考。因調研方法及樣本、調查資料收集范圍等的限制，本報告中的數據僅服務于當前報告。本公司以勤勉的態度、專業的研究方法，使用合法合規的信息，獨立、客觀地出具本報告，但不保證數據的準確性和完整性，本公司不對本報告的數據和觀點承擔任何法律責任。同時，本公司不保證本報告中的觀點或陳述不會發生任何變更。

3、在不同時期，本公司可發出與本報告所載資料、意見及推測不一致的報告。在任何情況下，本報告中的信息或所表述的意見并不構成對任何人的行為建議，也沒有考慮到個別客戶特殊的目的或需求?？蛻魬紤]本報告中的任何意見是否符合其特定狀況，若有必要應尋求專家意見。任何出現在本報告中的包括但不限于評論、預測、圖表、指標、指標、理論、陳述均為市場和客戶提供基本參考，您須對您自主決定的行為負責。本公司不對因本報告資料全部或部分內容產生的，或因依賴本報告而引致的任何損失承擔任何責任，不對任何因本報告提供的資料不充分、不完整或未能提供特定資料產生的任何損失承擔任何責任。免責聲明免責聲明API 安全技術應用指南第一章 AP

4、I 安全概述.71.1 API 的發展背景.71.2 API 面臨的安全挑戰.81.3 API 的安全理念.101.4 國內外相關政策及標準.11第二章 API 安全技術.162.1 API 安全框架.162.2 核心能力簡介.18第三章 應用現狀及場景化分析.233.1 API 安全需求及應用現狀調研.233.2 API 安全的典型應用場景分析.32第四章 API 安全建設指南.374.1 建設挑戰.374.2 基本建設原則.384.3 方案選擇建議.404.4 年度代表性供應商介紹.42第五章 案例研究.635.1 車聯網公有云環境的 API 風險監測能力建設案例.635.2 API 安全

5、管控系統助力電信行業網絡防護的案例.67目 錄API 安全技術應用指南5.3 金融行業云原生 API 安全體系建設案例.705.4 API 安全監測系統助力醫療企業數據安全防護的案例.735.5 移動應用環境的 API 安全能力建設案例.77第六章 新興技術對 API 安全的影響.816.1 零信任技術.816.2 人工智能（AI）和機器學習（ML）.826.3 大數據技術.826.4 云計算和容器化技術.82參考資料.84API 安全技術應用指南API 是軟件集成、系統集成、遠程服務訪問的基礎。隨著模塊化、面向對象及微服務開發的進一步應用，API 從系統內部連接逐漸擴展到系統外部，并在整個互

6、聯網范圍內連接起相互獨立的各個業務節點，人與服務、服務與服務、系統與服務之間的信息交換都在 API 的基礎上進行著。隨著 SaaS 化和云服務的興起，基于 API 的軟件集成已成為構建現代應用程序的關鍵方法。開發者基于 API 構建應用、開放能力、共享服務，形成了以 API 提供者、消費者為主的 API 生態經濟。然而，API 自身的安全性，如不安全的協議框架、開發缺陷和漏洞，不僅給應用程序和 Web 應用帶來嚴重的安全隱患，還因為大量 API 的外部暴露，極大地增加了業務系統和數據的攻擊面，為不法分子提供了可乘之機。在日趨嚴峻的網絡安全形勢下，賞金獵人和針對 API 的自動化攻擊工具使 AP

7、I 自身的缺陷更容易被發現和利用。這些漏洞可能導致非法訪問、數據泄露、SQL 注入和跨站腳本攻擊等一系列安全風險，給企業造成系統破壞、業務中斷和經濟損失。API 作為應用軟件的重要組成部分，也是軟件安全、業務安全和數據安全的底層基石，是國家網絡安全和數字經濟發展的重要前提。為保障國家數字經濟的長效建設，行業監管部門在貫徹網絡安全的基礎上進一步著手 API 安全治理，陸續出臺應用程序接口安全相關的細則，包括應用程序接口規范云應用安全技術標準數據安全技術數據接口安全風險監測方法等等。這些規范分別從評估、審計、漏洞檢查、隱私敏感權限等維度提出了具體要求。為在網絡安全建設中幫助用戶更好地開展安全規劃、

8、API 安全建設，并給用戶提供有效的 API 安全框架、產品方案、廠商支持，安全牛即日起正式啟動 API安全技術應用指南（2024版）報告（以下簡稱“報告”）研究工作。報告基于調研對 API 的安全風險進行識別，從 API 安全測試、風險可見性、API 風險防護等多方面對 API 的安全能力建設提出建議；同時，基于調研也對廠商的 API 安全產品或解決方案進行能力評估，并對該領域的年度代表性廠商進行能力評估、方案推薦和落地應用案例展示。為用戶選擇合適的產品和廠商提供有效參考。引言引言API 安全技術應用指南 調研顯示，當前企業對 API 漏洞利用、數據安全問題最為敏感。但，大多數用戶認為 AP

9、I 風險對企業的影響程度為中低水平，API 風險影響還相對有限。反映企業對 API 風險有一定認識，但重視程度還不高。調研顯示，企業通常會遭受多種類型的 API 攻擊事件，而 API 的敏感數據、身份驗證是最容易遭受攻擊的兩個薄弱環節。調研發現，幾乎所有類型 API 安全產品都在 API 資產識別功能中提供了數據資產識別及數據分類標識功能。這預示著，API 安全將有可能會成為數據流轉合規的一項標準化管理手段。調研顯示，在 API 安全建設中檢測、監測和防護類產品均有涉及，并且半數以上企業采用了兩種以上類型的工具。其中，API 網關和 API 安全監測平臺被認為是最有效果的兩個產品類型。API

10、安全建設方面，調研顯示，大多數企業的 API 安全建設并未提到日程上，觀望者較多，整體預算分布也偏于保守。API 作為一個新興賽道，廠商的參與度較高，這些能力提供者來源于多個傳統領域。其中，應用安全和業務安全廠商占比最高（占比 35%）；數據安全和網絡安全廠商次之（占比各 18%）；同時，專注于該賽道的新興廠商也較多（占比約 30%）。從提供的 API 安全方案類型看，主要有訪問控制網關類、風險監測防護類和數據流轉管控類三種典型類型。其中，提供風險監測類方案的廠商最多。目前階段，盡管市場上API安全方案不斷地推陳出新，但API安全的應用模式仍處于探索階段。建設中，識別、檢測、防護等核心能力存在

11、不同程度的技術挑戰，風險處置的自動化能力也尚顯不足。從 API 安全技術成熟度演進的視角來看，安全牛認為零信任、人工智能、大數據，以及云計算四類新興技術將能有效賦能 API 安全，在提升 API 風險檢測精準度、覆蓋度和自動化防護處置能力方面提供顯著助力。報告關鍵發現報告關鍵發現 API 安全概述API 安全技術應用指南7第一章 API 安全概述1.1 API 的發展背景API（Application Programming Interface，應用程序編程接口）是一組代碼邏輯的抽象，它通過某一種特定的函數關系對功能源碼進行封裝，使其成為可被外部系統集成和重復調用的組件。API 可以實現代碼共

12、享、提高系統兼容性和應用軟件開發效率，具有很強的連接力，是代碼開發過程中不同功能模塊之間信息交換的重要紐帶。模塊化、面向對象和微服務等現代軟件開發模式的廣泛應用，將人與服務、設備與服務、服務與服務之間的信息交互都加載到了 API 接口上。API 成為現代應用軟件構建的關鍵方法。隨著互聯網、物聯網、移動互聯網的發展，API 的應用場景從本地擴展到 WEB 應用、移動應用、云原生及 AI 等更廣泛的應用領域，API 的使用方法也從進程內部調用逐漸擴展到遠程調用。在 SaaS 化和云服務市場進一步推進下，遠程訪問、遠程辦公和云服務常態化，API 的應用持續外化。大量商業化的容器、微服務開始出現，開發

13、者基于 API 構建應用、開放能力和共享服務，形成了以 API 提供者和消費者為核心 API 經濟市場。圖 1 API 應用的演進過程然而，API 自身的安全缺陷，不安全的協議框架，開發缺陷和漏洞，都隨著服務的廣泛調用一覽無余地暴露到了互聯網，這不僅使應用程序和 Web 應用面臨嚴重的安全威脅，還因為大量 API 外部暴露，極大地增加了業務系統和數據的暴露面，為非法分子提供了可乘之機。給企業網絡和業務系統安全埋入了不同程度的安全隱患。API 安全概述API 安全技術應用指南81.2 API 面臨的安全挑戰早期 API 安全主要側重于開發階段 API 的安全性，典型方式是寫入技術標準中的操作規范

14、，如 OPEN API。它通過一致性的 API 描述來提高 API 可用性，同時也提出一些規范性的遵循措施來規避工程師經驗缺少和錯誤操作問題，避免個人身份等敏感信息的路徑或查詢參數主動暴露在客戶端或服務器日志中。隨著全球的數字經濟轉型，企業東西向、南北向的連接需求進一步擴大，API 的暴露面、開發缺陷、漏洞產生攻擊面都隨之擴大。隨著 API 承載數據價值的進一步提升，外部的賞金獵人、自動化攻擊工具、滲透攻擊、供應鏈攻擊等針對 API 的復雜攻擊日益加劇。API 的漏洞利用變得更加容易，API 面臨的安全挑戰也日益嚴峻。（1）API 與應用軟件一樣擁有先天性缺陷和脆弱性風險API 也是一類代碼，

15、跟源碼一樣擁有先天的缺陷和脆弱性。OWASP 作為應用軟件安全研究的公益性組織，2019 年首次提出 API 十大安全風險。API 面臨的安全風險。其中，授權失效、身份驗證失效、數據暴露問題是嚴重級別最高的三類 API 風險。但 4 年之后，在 2023 年版的 API TOP10 風險報告中顯示，API 授權失效、身份驗證失效等風險仍然高居不下。圖 2 OWASP API TOP10 風險在 NVD 漏洞庫中以“API”為關鍵字進行檢索，近 3 個月有 300 多條 API 直接相關的漏洞。這些漏洞被利用后會導致中間人劫持、API 攻擊、惡意代碼入侵、隱私信息泄漏、遠程代碼執行（RCE）、勒

16、索等嚴重的網絡安全事件。根據 Gartner 相關研究，2022 年，超過 90%的 Web 應用程序遭受的攻擊都來自 API 而非界面。對照近些年發生的 API 安全事件，能進一步感受到 API 風險態勢的嚴重性：2022 年 5 月，CVE-2022-1388F5BIG-IPiControlREST 身份認證繞過漏洞，導致授權訪問機制失效；OWASP API TOP10(2019年)API1:2019-失效的對象級別授權API2:2019-失效的戶份驗證API3:2019-過度的數據暴露API4:2019-資源缺失&速率限制API5:2019-失效的功能級授權API6:2019-批量分配A

17、PI7:2019-安全配置錯誤API8:2019-注API9:2019-資產管理不當API10:2019-志和監控不OWASP API TOP10(2023年)API1:2023-對象級授權失效API2:2023-戶份驗證失效API3:2023-對象屬性級授權失效API4:2023-資源消耗不受限制API5:2023-功能級別授權失效API6:2023-對敏感業務流的限制訪問（新）API7:2023-服務器端請求偽造（新）API8:2023-安全配置錯誤API9:2023-庫存管理不當API10:2023-API的不安全使（新）OWASP API TOP10(2019年)OWASP API T

18、OP10(2023年)API 安全概述API 安全技術應用指南92021 年 11 月，Apache 開源項目 Log4j 漏洞，由于在 JNDI 接口 lookup 查詢時可以注入惡意payload，造成遠程代碼執行（RCE），使全球的 Apache 用戶受到影響；GraphQLAPI 漏洞（2020-7API5-失效的功能級授權），APIKEY 泄露（2020-2API2-失效的用戶身份認證），FacebookOAuth 漏洞（2019-12API5-失效的功能授權）、Paypal 委托授權漏洞（2019-7API1-失效的對象級授權）、Hadoop 管理 API 漏洞（API5-失效的功

19、能級授權2018-6）等。（2）API 數量持續增長不斷擴大企業的攻擊面今天所有應用軟件、業務系統以及網絡基礎設施都是在 API 連接的基礎上建立起來的。隨著業務云化、遠程辦公常態化，API 又成為企業網絡、業務系統面向互聯網訪問的直接觸點。內外部的 API 數量隨著企業業務的持續增加，都在快速增長。大量暴露在外的 API 成為黑客實施攻擊重要的突破口；同時，系統內部的 API 也為攻擊者進一步橫向滲透提供了重要渠道。API 天生的缺陷加上后天的暴露面，成為企業網絡和業務系統最薄弱的環節之一。（3）API 訪問通常要穿透網絡邊界 成為不被企業保護的資產據國家 CNVD 漏洞共享平臺分析：80%

20、以上的漏洞都屬于可被利用來實施遠程網絡攻擊的類型，而遠程訪問攻擊大多都與 API 接口的身份驗證繞過、授權管理失效、數據出棧入棧的訪問管理有關。然而，傳統的訪問控制設備通常缺少針對 API 接口的安全策略，這使企業邊界防護常常失效，API 成為不被企業保護的資產。企業部系統也面臨著唇亡齒寒的窘境。（4）API 數據安全流通對企業數據安全合規提出了新挑戰為保障數據經濟健康發展，國家發布了數據安全法和個人信息安全法，從數據全生命周期安全和個人隱私信息安全方面提出了嚴格的合規性要求。隨著數據要素和流轉政策進一步開放，數據流轉管控也被提上一個新高度。特別是，國家“數據二十條”的發布，要求加強數據流轉過

21、程中的數據要素治理。API 作為數據共享和交換的重要載體，承載了大量的敏感數據和個人隱私信息，肩負了數據安全流轉的重任。API 數據安全流通的要求對企業數據安全合規也提出了新的挑戰。（5）API 資產管理缺失 安全狀態和安全風險不可見API 不僅隨著業務需求數量快速增長，還會隨業務變化和軟件更新動態變化。長期的業務調整和軟件更新，導致系統內部暗藏未關閉的過時 API、僵尸 API。由于 API 資產管理缺失，API 的健康狀態、安全狀態不可見，這些遺忘的 API 缺少維護和更新，容易淪為黑客攻擊利用的工具。API 資產管理的缺失與其內生的脆弱性以及應用環境的復雜性耦合在一起，進一步增加了企業的

22、安全風險。API 安全概述API 安全技術應用指南10數字化轉型中，API 與互聯網應用、移動應用、物聯網應用、云計算應用息息相連，API 安全是企業業務及應用系統安全的重要前提。1.3 API 的安全理念API 風險不僅直接關系到用戶數據、企業業務、應用系統安全，還直接影響到國家數據安全，導致企業違法并被監管部門處罰，因此迅速引起了社會各組織機構的高度關注。目前，國內外的企業，從應用軟件開發商到安全廠商、第三方研究機構都開啟了 API 安全理念的探索，涉及內生安全、攻擊防護、訪問管理、全生命周期管理多個方面。代表性的API安全理念，包括：Forrester認為解決 API 安全問題需要關注A

23、PI全生命周期管理，并從治理、發現、測試、認證與授權、防護、攻擊檢測、響應、代理訪問八個方面采取安全措施。Gartner 認為保護企業內部和外部的 API 免受漏洞利用、濫用、訪問違規和拒絕服務（DoS）攻擊的一種安全策略。包括 API 資產可見性、API 安全測試、API 威脅保護等多個方面。BM 認為 API 安全是指保護應用程序編程接口（API）免遭濫用、惡意機器人攻擊和其他網絡安全威脅的實踐和程序。Forrester、Gartner、IBM 分別從過程管理、漏洞利用、攻擊防護角度闡述了 API 安全的理念。API 是應用構建的一種重要方式，是應用軟件不可分割的一個組成部分。在 API

24、面臨的復雜的安全挑戰下，安全牛認為：API 安全理念應從 API 安全防護向 API 安全治理演進，遵循應用軟件安全管理原則，覆蓋 API生產到使命結束的全生命周期。具體地，API安全是指API在生產、部署、運營階段所實施的一系列安全管理活動，包括規范API的使用行為，實施安全運行策略，采取風險監測、防護、響應等風險閉環措施等等。其目標是減少應用系統構建過程中形成的 API 攻擊面，保護 API 協議、結構免受外部攻擊，保障 API 承載的數據、應用和業務安全運行?；?API 全生命周期，報告從 API 開發、部署和運營三個環節，進行 API 安全分析。以下分別將三個階段對應的安全建設稱這安

25、全開發，安全部署和安全運營。安全開發 指在 API 開發階段，遵循安全開發規劃，對代碼進行安全開發、安全測試、構建，并進行API 接口文檔化、代碼維護的工作。由于 API 發布的靈活性，API 開發非常符合 DevOps。DevSecOps在敏捷開發模式下可以為 API 安全提供很好的助力。安全部署 指為保證 API 被正常訪問和使用，在 API 上線發布過程中，采用安全部署、安全配置，并對API 的變更、下線進行維護管理的工作。關注 API 自身的可用性、完整性和機密性。API 安全概述API 安全技術應用指南11 安全運營 指為保障業務系統的安全性，在業務運營過程中，進行 API 資產管理

26、、風險監測及風險防護處置工作。側重業務系統整體的安全管理和風險控制，降低業務安全風險。圖 3 API 安全治理全生命周期1.4 國內外相關政策及標準政策上，國內外都很少針對 API 安全直接出臺政策和法規，但多數國家和組織的通用安全法規和行業安全法規中都有提到 API 的安全要求并監管企業執行和遵守。隨著數據泄露和隱私問題的日益增多，組織也必須確保其 API 符合法規和標準要求。因此，行業規范和法規遵從性仍是當前 API 安全市場最主要的驅動力。1.4.1 歐盟歐盟在 API 安全方面最有影響力的法規是 GDPR 和 NIS 指令。這兩部法規分別從個人數據和隱私安全方面對 API 安全提出了相

27、應要求，并對通過 API 訪問和共享數據的方式實施嚴格的控制。這些法規倒逼數據服務商在 API 設計和實現過程中充分考慮數據保護和隱私要求，建立 API 治理框架來管理和保護 API 從設計到部署的整個生態過程。API 服務提供商也開始完善 API Guide。(一)通用數據保護條例（GDPR）GDPR 是一項全面的數據保護和隱私法規，旨在加強整個歐盟/歐洲經濟區的個人數據的保護和控制。該法規也是歐盟 API 安全方面的最重要的法規之一。該法規2018年5月生效。之后各成員國陸續出臺了 GDPR個人數據安全指南 幫助企業遵從GDPR合規。加強 API 治理是 GDPR 指南的重要手段之一。指南

28、建議企業從 API 設計、發布、API 隱私數據傳輸加密、訪問驗證、最小化授權、風險監測和響應等方面加強 API 管理。具體規避措施包括：API 安全概述API 安全技術應用指南12 發布 API 之前，檢查對 OWASP TOP10 風險的抵抗力；遵從指南中 API 數據共享安全的建議；API 的實施必須符合標準的安全措施，如適當的認證機制，對授權定期管理或加密通信手段；應提供一個 API 沙箱，以便通過虛構數據驗證和測試風險影響。(二)網絡和信息安全指令（NIS）網絡和信息安全指令（NIS Directive）是歐盟為提升成員國網絡與信息系統的安全性而制定的一項重要法規。該指令于 2016

29、 年 8 月生效，并要求各成員國在 2018 年 5 月前將其轉化為國家法律。NIS 指令的更新版 NIS2 于 2024 年 10 月生效，新指令的范圍將擴大到包括更多關鍵基礎設施和數字服務，涵蓋了直接影響 API 安全的廣泛網絡安全要求，這將對 API 安全產生更直接的影響。組織必須通過實施更有針對性的身份驗證、加密、監控和事件響應措施來確保企業的 API 安全。遵守 NIS2 涉及將這些實踐整合到整體風險管理和安全策略中，確保 API 作為 IT 基礎設施的一部分受到網絡安全威脅的保護。此外，修訂支付服務指令（PSD2）等開放銀行法規也要求金融企業的 API 支持安全、標準化的數據共享方

30、法，并確保使用的 API 符合軟件成分分析（SCA）的透明度要求。1.4.2 美國美國 API 安全相關的政策，一方面是在發布時間較早、對數據隱私安全要求較高行業法規及其標準中，典型的有 HIPAA（健康保險便攜性和責任法案）、PCI-SSC（支付卡行業安全標準委員會）、21 世紀治愈法案。這些法規和標準對醫療、金融等敏感行業的數據隱私安全提出了嚴格要求，而 API 作為這些行業數據共享和集成的重要方式，必須符合相應的安全規定。另一方面，體現于美國最近陸續發布的新政策中。在美國的新政策趨勢方面，2024 年 4 月，美國眾議院和參議院討論并發布了 美國隱私權法案 草案，10月30日美聯邦政府又

31、推出了 聯邦零信任數據安全指南，強調以數據為中心的安全防護，通過零信任架構和核心能力提高聯邦機構系統的安全韌性。這些新政，分別從法規要求和技術指南方面加速完善美國國家層面敏感數據、隱私的安全要求和防護能力。API 作為承載敏感數據的重要載體，這一趨勢也必會進一步促進 API 安全實施。(一)隱私權法案加州隱私權法案（CCPA）是加利福尼亞州于 2018 年通過的一項重要隱私保護法律，旨在保護加州居民的個人可識別信息（PII）。該法案在 2020 年經過進一步完善，通過了新的加州隱私權法案（CPRA），新法案增加了更多針對加州居民的隱私權利，并由加州隱私保護局負責實施和執行。CPRA 進一步擴展

32、了消費 API 安全概述API 安全技術應用指南13者的權利，包括糾正不準確信息的權利、選擇退出自動決策的權利以及限制敏感個人信息使用的權利。2024 年 4 月，美國眾議院和參議院對美國隱私權法案草案進行了討論并發布了該草案。旨在加強數據保護和隱私權利。該法案的實施后將會統一美國的數據隱私權，進一步擴大 API 安全管理的范圍。(二)HIPAA健康保險流通與責任法案（HIPAA）是美國 1996 年發布的聯邦法律，旨在保護患者的健康信息，并確保數據安全。HIPAA 對 API 安全的要求涵蓋了訪問控制、審計控制、傳輸安全、加密、風險管理、數據完整性以及身份驗證等多個方面，以確保健康信息（PH

33、I）在 API 使用過程中的安全性和合規性。按該法案要求，處理受保護健康信息的 API 必須使用加密、安全訪問控制和審計日志來遵守 HIPAA。(三)PCI 安全標準委員會（PCI-SSC）PCI 安全標準委員會（PCI Security Standards Council，簡稱 PCI SSC）是一個聯盟性的組織，旨在制定、維護和推廣 PCI DSS 標準（支付卡行業數據安全標準），旨在保護信用卡和借記卡交易中的持卡人數據安全。Cloud SIG 是該組織中專注于云計算領域的支付卡安全問題的特別小組，2018 年 4 月該小組發布了與云環境相關的 PCI DSS 補充指南PCI SSC Cl

34、oud Computing Guidelines為如何在云環境中維護支付卡數據安全提供指導。該文件提出軟件接口和 API 安全的注意事項，并要求企業在使用提供商暴露的 API 時，要確保滿足所有適用的 PCI DSS 職責。APls 和其他公共接口的設計應防止意外濫用和惡意繞過安全控制，彈性身份驗證和訪問控制、強加密和實時監控是保護這些接口的控制措施的例子；所有影響持卡人數據和持卡人數據環境的 API 調用必須按照其 Appendix A Req10 的要求進行記錄和審查?；蛘?，當調用傳輸持卡人數據的 web 服務調用時，它應該通過加密隧道（例如 SOAP 本機加密或 TLS 隧道）。(四)2

35、1 世紀治愈法案21 世紀治愈法案（21st Century Cures Act）是美國國會于 2016 年 12 月通過的一項重要立法，由前總統奧巴馬簽署生效。旨在推動醫療信息技術的互操作性，同時確?；颊邤祿陌踩院碗[私保護。具體包括：采用標準化的 API 方式；API 在傳輸數據時必須使用安全的協議；API 開發者必須持續維護 API 的安全性和功能性等等。API 安全概述API 安全技術應用指南14(五)API 安全性測試標準標準支撐方面，漏洞、風險管理方面標準在 API 安全性的測試及測試 API 安全性方面給出了指導方針和最佳實踐，有助于識別和解決 API 相關安全風險。ISO/I

36、EC 29147：是漏洞披露的國際標準，包括對 API 進行安全測試和報告漏洞的指導方針。NIST SP 800-53：是美國國家標準與技術研究院（NIST）發布的標準，為信息安全和風險管理提供指導方針，包括 API 的安全測試。NIST SP 800-115：是進行滲透測試的指南，其中包括測試 API 的具體指南。OpenAPI 規范（OAS）3.0：這是定義和記錄 API 的標準，包括安全測試和漏洞管理的指南。OWASP API 安全測試項目：OWASP API 安全測試項目是測試 API 安全性的綜合指南，包括詳細的測試過程和檢查表。1.4.3 澳大利亞澳大利亞隨著政府服務的現代化，越來

37、越多地依賴數字平臺和方法，但其解決方案的連接性、服務互操作性和數據安全性方面出現了新的挑戰。為了應對數字化帶來的挑戰，澳大利亞政府面向 API 開發者發布了應用程序編程接口（API）設計標準旨在確保 API 的安全性、穩定性和易用性。內容包括 API 設計的基本原則、安全措施、傳輸安全、認證與授權、受信任的數字身份框架、速率限制、錯誤處理、審計日志、輸入驗證、內容類型驗證、網關安全特性以及保護標記等諸多方面。標準強調所有傳輸必須通過 HTTPS 進行，使用至少 TLS 1.2 版本，并且所有證書必須來自 SHA-2 加密哈希函數，最小密鑰長度為 2048 位。在認證與授權方面，推薦使用 Aut

38、horization:Bearer 頭進行認證/授權，例如使用 JWT 令牌，并建議提供刷新令牌以延長現有令牌的過期時間。此外，該政府還建議最好使用WoG API Gateway平臺中可用的安全策略，而不是應用后端的API安全策略。1.4.4 中國中國是典型的垂直立法的國家。中華人民共和國網絡安全法作為我們國家網絡安全的基本法，從個人信息安全角度為 API 安全確立了基本目標。細分領域，中華人民共和國數據安全法中華人民共和國個人信息保護法進一步從數據采集、共享、隱私信息保護及違規責任方面提出了 API 安全要求；App 違法違規收集使用個人信息行為認定方法，也從市場監管方面對 APP 違規收集

39、個人信息行為進行了判定。這些政策，不僅在 API 在設計和使用過程中進行了合規性要求，也為 API 安全監測和驗證提供了依據。API 安全概述API 安全技術應用指南15國家和行業機構也先后出臺了國家標準、行業標準，從技術方面為落實 API 安全提供了參考。JR/T 0185-2020商業銀行應用程序接口安全管理規范是由中國人民銀行發布的一項金融行業標準，旨在加強商業銀行應用程序接口的安全管理，2020 年 2 月 13 日發布并實施。該規范詳細規定了商業銀行應用程序接口的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等要求，適用于銀行業金融機構、集成接口

40、服務的應用方以及第三方安全評估機構。GB/T 35273-2020信息安全技術 個人信息安全規范是國家標準委發布，“網安標委”負責管理的一項國家標準，旨在規范個人信息的處理活動，確保個人信息的安全，2020 年 10 月正式實施。該標準明確了 API 開發與個人信息安全的結合要求，包括嵌入第三方插件（SDK、API 接口）、接入第三方服務的相關措施。YD/T 4248-2023電信網和互聯網應用程序接口數據安全技術要求和測試方法是一項由工業和信息化部主管的標準，旨在規定電信網和互聯網應用程序接口（API）的數據安全技術要求，并提供相應的測試方法和判定準則。該標準 2023 年 8 月 1 日正

41、式實施。2024 年 8 月 2 日，國家“網安標委”發布了國家標準數據安全技術 數據接口安全風險監測方法征求意見稿，旨在為各類組織提供數據接口安全風險監測的指導。該標準詳細闡述了數據接口安全風險監測的方法、內容和流程，明確了監測各階段的要點，并定義了數據接口及其要素關系。API 安全技術API 安全技術應用指南16第二章 API 安全技術2.1 API 安全框架為給API安全建設提供指導，報告基于研究從安全治理的視角，遵循“安全左移 持續運營”和“體系化建設”的原則，圍繞開發、運行和運營三個環節進行 API 全生命周期安全能力構建。如圖 4 所示。API 安全框架以安全運營為目標，以事前、事

42、中、事后的響應處置為手段實現 API 全生命周期的風險閉環管理。系統框圖對應開發、部署和運營三個階段的安全能力，涉及開發安全、訪問控制、風險識別、風險監測、風險防護、安全審計 6 個核心組件。圖 4 API 安全治理的系統框圖其中，開發安全對應開發階段的安全風險；訪問控制是 API 上線部署階段的安全能力；風險識別、風險監測、風險防護、安全審計應對 API 運營階段的安全能力。以下從安全開發、安全部署和安全運營三個分別闡述API 的安全能力。（1）安全開發安全開發 是保障開發階段安全的一個重要手段。API 的安全開發適用于軟件開發和軟件供應鏈安全管理的原則，包括遵循安全開發設計流程、API 安

43、全開發規范，采用代碼安全的技術和手段做好第三方服務和 SDK 接口的可信管理，應用安全測試工具保障 API 對應源碼滿足基本的安全合規要求，減少代碼自身的漏洞和脆弱性。API 安全技術API 安全技術應用指南17（2）安全部署安全部署 是為保障 API 所提供服務的穩定性和合規性，在 API 部署、發布、運行維護過程中實施訪問控制策略，并維護上線 API 的配置管理的過程。訪問控制策略是保障 API 安全運行的基礎，具有較強的確定性，多數可以直接用于訪問控制，包括：代理訪問、身份認證、授權管理、訪問控制、數據安全合規（加密、脫敏）、訪問審計、接口保護（限速、限流、防止惡意調用等）等。API 上

44、線后的配置管理是減少僵尸 API、影子 API的主要手段。（3）安全運營 安全運營 指為應對各類針對 API 的攻擊風險，保障 API 調用數據的合規性和業務邏輯的安全性，減少 API攻擊對業務的影響，對 API 進行風險監測和風險應對的過程。安全運營應遵循 IPDR“識別、防護、檢測、響應”風險閉環管理的原則，由資產識別、風險檢測、風險分析和可視化、風險防護和風險審計 5 個能力組成。API資產識別 是API風險檢測的基礎。為全面地識別API風險，API資產識別通常不僅包括API接口本身，還要包括承載 API 接口的應用以及 API 接口上所承載的數據。為方便對 API 資產監管，API 資

45、產識別階段還要對資產標識，特別是按承載業務數據的敏感程度進行分類分級。API 風險檢測和驗證 風險檢測指識別風險并進行告警，是 API 風險分析可視化的重要前提。API 風險類型復雜，涉及 API 自身脆弱性和漏洞利用風險、行為風險、API 數據風險多個方面，需要不同的風險檢測引擎。因此，風險檢測層的工作通常是檢測到風險后，向分析平臺告警。由分析平臺進一步分析后進行響應和處置。API風險分析和可視化 風險分析可視化指結合告警、情報、業務環境，對風險告警進行綜合地關聯分析，并對風險態勢進行展示、管理和響應。風險分析通常需結合多方面的情報數據進行關聯分析確認風險的真實性，特別是在發現漏洞風險時，對

46、漏洞存在的真實性也要進一步結合漏洞驗證進行確認。API 風險防護 由于 API 風險類型的復雜化，API 安全需要多層面、多維度的風險防護能力，包括攻擊防護能力、數據防護能力、訪問控制防護能力等，對于確定的 API 漏洞要采取漏洞補丁或進一步回歸到開發側進行修復。為提高風險管理和處置的效率，API 風險處置需要采用系統化、聯動防御方式，結合企業的安全建設、安全運營能力，形成多層防御、縱深聯動的一體化安全運營。API 安全審計 安全審計是將 API 納入常態化安全管理，并保證 API 安全管理持續有效的一種重要方式。這包括 API 資產審查、訪問控制合規審計、API 數據安全審計、風險審計等多維

47、度，涉及日志記錄、事件溯源、合規性檢查、報告輸出、數據合規檢查等技術手段。為從根本上緩解API的安全隱患和數據調用風險，實現全面API安全治理。API風險監測要與開發系統、API 安全技術API 安全技術應用指南18運行系統、防護系統之間建立有效的問題反饋通道和協同機制，通過安全運營能力分別應對 API 運營中的合規類缺陷、攻擊風險、漏洞缺陷，實現 API 安全持續運營。如，將合規缺失的策略應用到訪問控制系統，API 風險納入風險防護體系，將漏洞利用問題回歸到開發側驗證和修復。圖 5 API 安全持續運營2.2 核心能力簡介API 的核心能力，包括：開發安全、訪問控制技術、風險分析和可視化、資

48、產識別、風險檢測、風險防護、風險響應七個核心能力。這些都是確保 API 全生命周期安全的重要技術。圖 6 API 安全建設的核心能力2.2.1 API 訪問控制API 擁有主-客體網絡訪問屬性，需要應對各類訪問風險，訪問控制是 API 的第一道安全網關，也是 API合規性的基礎安全策略。API 安全技術API 安全技術應用指南19API 訪問控制策略是基于 API 調用和訪問過程中的安全風險，而向 API 接口和 API 數據實施的基于身份、規則匹配類安全策略。包括：身份認證（Authentication）、授權管理（Authorization）、賬號訪問控制（Accounting）、訪問審計

49、（Auditing）、接口保護（接口限速、限流、防止惡意調用、數據加密、脫敏等）、數據合規保護（加密、脫敏）。API 訪問控制繼承了傳統 3A、4A 訪問控制的基本原則，告警的準確度較高，可直接應用阻斷、放行等處置策略。隨著零信任理念的廣泛應用，API 的訪問控制在規則策略的基本上也在進一步融合環境分析和行為分析策略，實現動態訪問控制。為方便理解，我們將接口保護和數據合規保護統稱為API資產（Asset）保護，同時，將身份認證、授權管理、賬號訪問控制、訪問審計、資產保護稱為 API 訪問控制的“5A 安全原則”。實踐中，API 訪問控制應踐行 5A安全原則，5A 策略應隨 API 的交付部署到

50、相應的訪問控制系統中，對于違反訪問規則的行為，直接應用阻斷、限流、限速、加密、脫敏等控制措施。圖 7 API 的 5A 安全原則常見的實現 API 訪問控制能力的產品有：API 訪問代理、API 訪問控制網關。2.2.2 資產識別資產識別是 API 風險監測的基礎。API 資產包括 API 接口及其承載的應用數據，為能更好地進行 API 風險分析和定位，資產識別時還需要識別承載 API 接口的應用。API 資產發現可以采用多種技術手段實現自動化的 API 識別，常用的發現技術有：流量分析、自動化掃描。它能通過一系列預定義的發現規則和標識規則自動化識別大部分的 API 資產，并對 API 資產類

51、型進行區分，進而對 API 資產進行聚合、拆分等聚類管理，發現業務中的正常的、新增的、潛在的、失活的、遺留 API 和歷史API。有效地幫助運營者提高資產管理效率，快速掌握 API 資產的狀態變化。API 安全技術API 安全技術應用指南20但 API 類型復雜，企業也常常有自定義的 API 接口?；谝巹t檢測的資產發現技術，無論是流量分析還是自動化掃描技術在資產檢測和梳理方面都存在一定的局限性，導致 API 識別不全、過度識別、分類標識錯誤等等，這會給后續的風險處置造成更嚴重的錯誤判斷。因此，在資產識別過程中，經常要結合人工判斷進一步提高資產發現的完整性和準確性。在 APPI 全量識別基礎上

52、，企業通常需要進一步區分出需要重點管理的那些 API 資產，并按使用范圍標識其屬于私有型 API、公有型 API、混合型 API。數據資產方面，由于不同業務中數據的含義不同，數據標識時需要遵從行業數據分類分級的標準和規范。同樣，對應用分類標識時也存在同樣的需求。這些管理要求對當前自動化標識技術是一個較大的挑戰，不能完全依賴自動化識別梳理的功能。這些都需要管理員在自動化識別的基礎上進一步校正。2.2.3 風險檢測和驗證API 風險檢測和驗證技術是 API 風險識別的重要手段。API 風險類型多樣，其中：API 脆弱性風險、網絡行為風險、訪問異常風險及數據風險 4 個主要的 API 風險類型。（1

53、）API 脆弱性風險API 漏洞和脆弱性是應用系統的重要安全隱患，包括：常見的 WEB 漏洞風險（如 SQL 注入、跨站腳本、文件上傳漏洞等），OWASP TOP10 的驗證權限類漏洞（如驗證繞過，授權失效等）等等。這些隱患有的是來自開發過程中不規范的開發習慣，有的是部署過程中遺留的過期或影子 API。這些接口都極易發生 API 漏洞利用風險。運營階段的 API 漏洞檢測技術是一種被動掃描技術，它通過監聽會話交互過程，分析會話上下文的行為特征、數據流和響應，尋找潛在的安全漏洞和問題。這種漏洞掃描技術不同于應用漏洞和主機漏洞掃描，它將產生大量誤報，檢測結果不適用于直接防護，需要通過漏洞驗證確保漏

54、洞的真實性和可利用性。（2）網絡攻擊行為WEB應用型API面臨著WEB網站所有的網絡攻擊行為。包括：注入攻擊、XSS攻擊、中間人攻擊、Bot攻擊、DDoS 攻擊等。需要結合基于規則和簽名的檢測，基于異常行為分析、行為特征分析、行為學習模型等攻擊檢測技術進行識別。（3）異常訪問行為異常訪問行為風險是在信息系統中出現的不符合正常操作模式的行為，這些行為可能對數據安全和系統完整性構成威脅。包括：非工作時間的訪問、頻繁或超出正常需求的訪問以及大量敏感信息數據的下載等。即使在建立了身份認證、訪問授權和敏感數據保護機制的情況下，擁有權限的用戶仍可能進行非法的數據查詢、修API 安全技術API 安全技術應用

55、指南21改或下載操作，這些行為往往未超出賬號權限，容易被管理者忽視。UEBA（用戶和實體行為）分析、語境分析是異常訪問風險檢測的主要手段。異常訪問風險防護多會回歸到訪問控制策略上，根據 API 接口的敏感等級采取細粒度、多層次的訪問控制策略，確保數據安全和系統的完整性。（4）API 數據風險API 接口涉及大量的用戶數據和敏感信息，API 數據風險包括：數據泄露和濫用、過度數據暴露、低頻數據泄露、不安全的數據傳輸等。數據分類分級和涉敏數據標識是 API 數據風險檢測的主要依據，是一種數據合規性檢測。相關技術可參考安全牛數據分類分級自動化建設指南報告。2.2.4 風險分析和可視化風險分析和可視化

56、是執行 API 風險評估、細粒度風險管理的重要依據。風險可視化技術利用數據和圖形化展示的方式，直觀地呈現 API 面臨的各種風險，如 API 的存活狀態，漏洞分布、攻擊態勢、數據要素流轉等等，實現風險持續監測的目的。風險分析和可視化技術包括，包括：特征匹配、行為模型、關聯分析、智能圖譜、神經網絡、機器學習、大數據分析等技術手段。特征匹配：通過預定義的規則和模式識別異常行為；行為模型：建立正常行為模型，檢測偏離正常行為的異?；顒?；關聯分析：分析多個數據源和日志，發現潛在的威脅和異常；機器學習：通過訓練模型，自動檢測和響應未知威脅；大數據分析：處理和分析大規模數據集，提取有價值的安全洞察；智能圖譜

57、：利用圖數據庫和圖算法，揭示復雜的關系和依賴；神經網絡：使用深度學習技術，自動識別和分類復雜的威脅模式。API 安全技術API 安全技術應用指南222.2.5 風險防護API 通過結構和協議向下承接了業務訪問，向上承載了數據的流轉。為保障業務訪問和數據安全，API 風險防護應遵循多維度、細粒度和縱深防御原則。其防護能力包括：數據防護、接口保護、訪問控制、網絡攻擊防護等等。由于防護能力的多樣化，防護執行中往往還需要具備第三方聯動防護的能力。數據防護：對敏感數據進行加密和脫敏處理，確保采集、傳輸過程中數據要素流轉安全；接口保護：對接口執行限速、限流、禁止調用等操作，防止接口被惡意調用和濫用；訪問控

58、制：對 API 接口實施細粒度的身份認證、授權管理和會話管理，確保只有授權用戶和應用可以訪問 API，避免違規和非法訪問；網絡攻擊防護：通過流量防護技術、網關類防護技術對惡意攻擊實施阻斷，防止攻擊在系統內部擴散。2.2.6 風險響應API 的風險響應是在 API 風險事件發生后，為遏制威脅態勢進一步蔓延，減少風險影響的范圍和損失而采取的一系列的安全措施。包括：事件審計、風險評估，通過風險回歸流程和機制采取進一步的漏洞加固、漏洞回歸、訪問控制和風險防御策略，完善應急響應預案等等。這可以幫助組織建立閉環的 API 風險響應體系，從事前預防、事中應對到事后改進，持續提升 API 的安全性和韌性，有效

59、應對不斷變化的風險環境，最大限度地保護組織的業務和數據安全。應用現狀及場景化分析API 安全技術應用指南23第三章 應用現狀及場景化分析3.1 API 安全需求及應用現狀調研為深入了解當前國內行業用戶的需求及應用現狀，報告研究中基于谷安研究院的甲方客戶資源開展了應用現狀調研。本次調研覆蓋了金融、制造、政府、運營商、互聯網、能源、醫療共 7 個行業。圖 8 受訪者行業分布情況從受訪用戶的行業分布來看，金融領域用戶的比例最高，占到 29.4%；其次是制造行業和計算機或互聯網行業，占比分別是 19.6%和 13.7%；能源和政府/公共事業單位的受訪者占比分別為 11.8%和 7.8%；運營商用戶占比

60、 5.9%，醫療用戶占比約 2%。受訪人群中，58.8%來自安全規劃/管理崗位，13.7%是系統保障/運營/運維崗位，開發管理人員/工程師的比例較低，僅為 9.8%，其他崗位占比 3.9%。其中，來自千人以上規模的受訪者占到了 66.6%。這也反映了，目前階段對軟件供應鏈安全關注較高的企業主要集中在金融、制造業、互聯網、能源、政府行業，并且較大規模的企業在市場中占據主導地位。應用現狀及場景化分析API 安全技術應用指南243.1.1 API 安全風險現狀API 資產是評估 API 風險的重要起點。關于企業 API 安全的現狀，報告從資產、風險、攻擊影響方面進行了調研。（1）運營者對企業 API

61、 資產及其風險的了解程度調研數據顯示：表示“基本了解”的受訪者占 35.3%，表示“僅部分了解”的受訪者占 54.9%，而“完全不了解”和“非常了解”的比例都較低，分別為 5.9%和 3.9%。同時，“基本了解”企業 API 風險的受訪者占 33.3%,“部分了解”的比例為 52.9%，“完全不了解”和“非常了解”的比例分別為 9.8%，3.9%。這表明，企業對 API 資產的了解程度還較低，盡管有 1/3 受訪者表示他們對 API 風險有一定認識，但顯然企業在 API 資產管理方面存在明顯缺口，需要采取進一步安全知識的教育和培訓，提升企業對 API 資產的了解程度，增強 API 風險評估。（

62、2）API 風險對企業的影響影響程度方面，調查數據顯示：90%以上的受訪者認為 API 風險對企業有影響，但其中，認為風險影響為低和非常低的占 35%左右，認為影響中等的占 37.3%，認為影響較高的用戶占 21.6%。風險類型方面，認為 API 漏洞利用對企業影響最大的用戶占比最高，約 66.0%，數據安全風險緊隨其后，占比 50.9%，API 資產管理缺失、API 注入攻擊影響分別占比 41.5%和 34.0%，API 框架缺陷和 API 性能問題的影響相對較小，占比分別為 22.6%、13.2%。整體來看，在所有 API 風險類型中，API 引起的漏洞利用、數據安全問題對企業影響最為敏感

63、，但大多數用戶認為 API 風險對企業的影響程度處于中低水平，影響相對有限。應用現狀及場景化分析API 安全技術應用指南25（3）過去 3 年企業遭受的 API 攻擊的情況調研顯示，40%左右的調研者表示企業遭受過 API 攻擊。攻擊類型方面，敏感數據泄露和身份驗證繞過是風險比例最高的兩種問題，分別占 20.8%和 18.9%；其次，API 資產管理混亂和 API 性能導致業務中斷問題，各占 15.7%。這組數據表示，企業在運營中會同時遭受多種類型的 API 攻擊事件。其中，敏感數據、身份驗證是最容易遭受攻擊的兩個薄弱環節；此外，API 資產管理缺失問題也正在使企業面臨一些切實的安全風險。應用

64、現狀及場景化分析API 安全技術應用指南26（4）企業最關注的 API 安全的應用場景調研中，88%左右的受訪者表示對 API 安全有不同方面的關注。其中，API 暴露面的關注度最高，占比高達 81.1%；其次是 WEB 和開發過程中的 API 安全，關注度分別為 54.7%和 50.9%；物聯網、智能終端、云原生和人工智能領域的關注度相對較低，分別為 22.6%、20.8%、17.0%、17.0%。這說明，用戶對 API 的關注主要集中在應用、WEB 和安全開發場景中，新興領域的關注度相對較低。但隨著技術的發展，這些領域的安全問題可能會愈加突顯。建議企業應提前布局，增加相關的安全策略和措施。

65、3.1.2 API 安全建設現狀（1）企業實施 API 安全防護的目標調研顯示，71.7%的受訪者表示企業有實施 API 安全防護的計劃，驅動因素來源于多個方面。其中，26.4%受訪者表示訴求源于法規和監管要求；24.5%受訪者表示是為了進一步提升網絡安全，減少風險暴露面，防范潛在的網絡攻擊；此外，18.9%企業表示是為了保障業務的連續性和可用性。但調研也顯示，有少部分用戶希望能通過 API 安全提升自己產品和品牌的影響力。這表明企業實施 API 安全建設的目的不僅僅是為應對安全法規和行業監管，更多的驅動力是來自業務自身的安全需求。API 安全扭轉了企業以往政策驅動的被動局面。圖 9 驅動因素

66、調研應用現狀及場景化分析API 安全技術應用指南27（2）企業實施 API 安全能力建設會優先選擇哪種類型的解決方案API 安全方案的調查結果顯示，選擇“與傳統防護能力融合型”和“在現有系統上升級”解決方案以22.6%和 20.8%的比例占據首位；選擇“獨立部署的專業的 API 解決方案”的用戶占比為僅為 17.0%。這一調研反映，由于網絡安全建設的深入，在 API 安全防護中，受訪者更重視與已有防護能力結合。圖 10 方案類型調研（3）目前階段 API 安全工具的采用情況調研顯示，70%左右的受訪者表示企業采用了不同類型的 API 防護工具。其中，WEB 漏掃或傳統 WEB 防火墻的使用比例

67、最高，達 41.5%；其次是 API 防護網關，比例為 37.7%；WAAP 類產品占比 30.2%；API 檢測/評估工具占比為 24.5%；API 風險監測類產品的采用率在 20%左右。這一數據表明，企業在 API 安全建設中，檢測、監測和防護類產品均有涉及，并且半數以上企業會采用兩種以上類型的工具。圖 11 工具采用情況調研應用現狀及場景化分析API 安全技術應用指南28（4）實踐中，企業認為相對有效的 API 安全工具類型85%左右的受訪者在調查中對工具有效性表達了明確的態度。其中，API 網關是最受歡迎的工具，獲得了 64.7%的支持比例；API 資產識別及安全防護平臺緊隨其后，占比

68、是 54.9%；其次是，API 審計、WAF，支持率分別為 35.3%、31.4%。相比之下，WAAP 和 AST 測試工具的選擇比例相對較低，分別為 13.73%和 9.8%。這一數據顯示，API 網關、API 安全監測平臺被認為是最有效果的兩個產品類型，但應用防護、審計、測試驗證也是 API 安全體系中必不可少的能力。圖 12 工具有效性調查（5）企業應對 API 身份驗證失效問題的措施調查中，75%左右的受訪者表示了解企業在應對 API 身份驗證失效問題方面的相關措施。其中，多因素認證比例最高，達到 54.7%；其次，令牌認證、OAuth 協議、證書也占據了較大的比例，分別為 39.6%

69、、37.7%、32.1%。相應地，API 共享密鑰和客戶端證書的采用比例較低，分別為 18.9%。這表明，在應對 API 接口身份驗證失效問題上，企業更愿意采用安全性更好的認證方式，共享密碼實施簡單，但可能由于安全性和密鑰分發問題，支持率較低。圖 13 API 身份驗證方式調查應用現狀及場景化分析API 安全技術應用指南29（6）企業當前緩解 API 數據泄露和非法訪問問題措施調查中，80%左右的受訪者表示了解企業當前在 API 數據訪問、泄露方面的應對措施。其中，采用數據加密/脫敏、授權和訪問控制策略、網絡防護措施的占比最多，分別為 58.5%、54.7%、50.9%，而部署 API 自動化

70、審計和溯源工具，對 API 訪問行為進行監控的比例較低，僅 28.3%。這一調查顯示，數據安全防護大于預防，加密、脫敏和訪問控制仍是企業當前API數據安全防護的主要手段。圖 14 API 數據安全防護調查（7）從 API 生存周期來看，哪一階段的 API 治理能更有效地緩解 API 風險調查顯示，認為在應用設計、開發階段采取相關措施更有效的比例最高，達到 41.5%；其次是日常運行中的風險監管和防護，占比 18.9%。相比之下，進行 API 安全相關培訓、上線前的驗收測試、API 的配置管理在緩解 API 安全有效性方面的支持率較低，分別是 15.1%、13.2%和 3.8%。這也說明，盡管企

71、業更重視 API 使用周期的風險防護，但在風險治理方面。更希望從開發、設計階段就加強風險管理，減少 API 自身的脆弱性。圖 15 API 安全周期（8）企業 API 安全能力建設中可接受的支出預算調研中，超過 50%的受訪者表示不了解或沒有相關建設計劃，并且 30.2%的受訪者明確表示沒有計應用現狀及場景化分析API 安全技術應用指南30劃。而在有計劃的企業中，只能提供 30 萬以下建設支出的比例約 24.0%，能提供 30 萬以上支出的比例為20.1%。這組數據表明，大多數企業的 API 安全建設還未提上日程，觀望者居多，預算整體分布情況也偏保守。圖 16 建設預算3.1.3 API 安全

72、建設挑戰API 安全是一個新興領域，用戶在方案選型和方案落地過程中難免會面臨各種挑戰。報告從方案、供應商和建設三個方面對建設挑戰進行了觀察。（1）企業在選擇 API 方案和產品時的關注點調查顯示：企業在選擇 API 方案和產品時，對功能完善度和易用性關注的占比最高，達到 79.3%；其次是系統化、場景化應用能力，占比 81.1%；廠商服務能力占比 66.1%。相比之下，創新性和品牌影響力占比明顯低一些，分別為 30.2%、20.8%。圖 17 API 方案和產品這組調查數據顯示，在 API 安全方案選擇時，用戶會更多追求產品的成熟度和適用性，而不是創新性和品牌影響。應用現狀及場景化分析API

73、安全技術應用指南31（2）企業在選擇 API 安全方案和提供商時的挑戰調研中，有 80%左右的受訪者表達了相應的觀點。其中，認為廠商方案不能與企業已有的安全建設有效融合，易導致重復建設的比例最高，達到 56.9%；其次是場景匹配度不高，體系化能力不足，占比分別是 43.1%、41.2%；此外，還有近 1/3 的受訪者表示對廠商缺乏了解，27.5%的受訪者表示成本在采購決策方面也有一定影響。圖 18 供應商選擇過程中的挑戰這表明，企業在尋找適合的方案和廠商過程中存在多方面的困難，而系統融合性、場景匹配性、風險一體化管理方面的問題最為顯著。（3）API 在安全建設階段的困難調查顯示，企業在 API

74、 建設過程中還存在多方面的困難，具體體現在技術、管理體系建設、運營、場景覆蓋 4 個方面。技術方面，半數的受訪者認為 API 資產難以梳理，風險難以評估；22.6%的人認為現有工具難以覆蓋 API安全的場景化需求；24.5%的人提到難以與已有的安全系統集成和融合，導致資源浪費和效率的低下。管理體系建設方面，37.7%的受訪者表示缺乏有效的 API 安全管理制度和流程，28.3%的受訪者提到開發團隊的安全意識和技能欠缺，團隊培訓和意識提升方面需要加強。運營方面，1/3 左右的受訪者認為 API 策略復雜，運營難度較大，并且缺少專業的 API 安全人才；24.5%的受訪者提到 API 業務變動頻繁

75、，安全策略難以同步；還有 17.0%的受訪者擔心 API 防護引入后對業務性能的影響。應用現狀及場景化分析API 安全技術應用指南32此外，22.6%的受訪者認為安全投入與收益難以平衡。整體來看，在技術和運維方面的問題較為明顯，特別是資產梳理和風險評估。這可能導致安全策略的執行力不足，進而影響整體安全水平。圖 19 建設階段挑戰3.2 API 安全的典型應用場景分析API 安全應用非常廣泛，可以覆蓋網絡安全、應用安全、業務安全、數據安全多個場景。報告選取了典WEB 安全防護、微服務治理、業務風控、數據要素流通管控、網絡安全 5 個典型場景進行分析。3.2.1 API 安全與 WEB 安全防護隨

76、著 WEB 服務的興起，互聯網企業都開始采用 WEB 頁面向用戶傳遞企業的服務價值，WEB 頁面對外開放的接口越來越多。WEB APIs 承接了 WEB 頁面所有的數據訪問。隨著 WEB 數據價值的提升，針對 WEB 的攻擊也逐漸從 WEB 頁面攻擊轉向了 WEB APIs 的定向攻擊，如通過 WEB 訪問向 WEB APIs 發起各種注入攻擊，利用 API 接口脆弱性實施越權訪問，竊取敏感信息等等。這將給 WEB 系統及 WEB 服務造成嚴重的安全影響。因此，基于 WEB 的 APIs 防護必須成為當前 WEB 安全的重點內容。傳統的 WEB 安全防護產品通過無法識別 WEB APIs 漏洞

77、利用和數據泄露風險。為保障 WEB 安全的有效性，需要在傳統 WEB 攻擊檢測和防護的基礎上，增加 API 的風險檢測和防護能力，并構建一個多層次的 WEB 安全防護體系，涵蓋從 WEB 訪問到 WEB 頁面、WEBAPIs、WEB 數據的新 WEB 安全防護能力。應用現狀及場景化分析API 安全技術應用指南33圖片來源：安全牛新一代 WAF 技術應用指南圖 20 API 安全與 WEB 防護WEB 安全防護場景中的 API 安全能力，詳細內容可請參考安全牛新一代 WAF 技術應用指南報告。3.2.2 API 安全與微服務治理隨著云服務的發展，微服務架構成為當前的主流開發模式。微服務在云環境中

78、以服務實例方式獨立部署和維護，業務和服務、服務和服務之間通過網絡調用的方式進行通信，調用雙方遵循“服務接口契約”，即我們常說的服務 API。微服務開發者面向不同的業務客戶提供共享服務，專注于特定的功能，并不考慮業務邏輯的特殊需求，服務 API 和數據的安全策略都需要根據業務和環境需求進行配置。從調用者角度，任何一個微服務的工作模式、安全性都會影響整體的業務運轉。在云開發環境下，對微服務進行服務注冊發現、實施安全訪問策略、集中進行風險監測和管控，可以簡化業務開發，提高業務開發的效率和可靠性。API 網關是微服務治理的代表性產品。作為微服務架構中服務接入的統一入口點，API 網關可以承擔攻擊防護、

79、接入訪問、數據訪問等安全管理職能。通過集中管理的安全策略，能對服務 API 版本進行有效性管理，應對針對 API 接口的攻擊，防止未經授權的訪問和惡意請求，監測涉敏涉密數據流轉，實施數據泄露防護等等，從而提高微服務系統整體的安全性。應用現狀及場景化分析API 安全技術應用指南34圖片來源：微服務治理：體系、架構及實踐圖 21 API 安全與微服務治理3.2.3 API 安全與數據要素流通管控2020 年 4 月，國務院發布關于構建更加完善的要素市場化配置體制機制的意見首次提出了數據要素，并提出培育數據要素市場。為推動數據要素市場的建設和發展，國家在 2021 年發布“十四五”數字經濟發展規劃提

80、出數據要素市場的發展目標，到 2025 年初步建立數據要素市場體系。2022 年 12 月，國務院進一步發布關于構建數據基礎制度更好發揮數據要素作用的意見也稱“數據二十條”，建立了數據要素的整體框架，涵蓋：數據產權制度、數據要素流通和交易制度、數據要素收益分配制度和數據要素治理制度四個構建數據基礎制度的核心制度?？梢?，實施數據要素治理加強數據要素流通管控是加快數據要素市場化流通，推動我國數字經濟高質量發展的重要前提。技術上，數字身份、隱私計算、區塊鏈等在構建可信數據流通架構中都發揮了重要作用，提高了數據流通交易的安全性、穩定性和便捷性。但 API 作為數據傳輸和共享的重要通道，API 的暴露及

81、其面臨的風險直接影響到數據要素的流通和管理。傳統的安全能力不能有效覆蓋 API 接口及其數據要素細粒度管控的需求。為應對該挑戰，API 安全管控也被廣泛應用于數據要素流通中。API 安全管控可以從接口安全、數據安全、審計三個方面為數據要素流轉構建 API 接口的防護面。一方面通過身份驗證、數據加密、訪問控制、實時監控等手段，確保 API 接口的安全性和數據的完整性；另一方面，在 API 安全管控過程中可以直接應用數據脫敏和隱私保護等數據安全策略，有效防止數據流轉過程中敏感數據的泄露；另外，API 安全管控可以對 API 出入數據實施數據合規審計，有效預防數據流轉風險，提高事件溯源和分析能力。A

82、PI 安全在數據要素治理中不僅可以保障數據要素流通，為數據要素市場健康發展提供支撐，也有助于進一步實現可信、透明和可計量的數據共享和交易。應用現狀及場景化分析API 安全技術應用指南35 圖 22 數據要素流轉管控3.2.4 API 安全與業務風控隨著網絡經濟的發展，業務風險、支付交易安全成為現代電子商務和金融交易的關鍵問題。業務風控能有效預防虛假賬號、盜用資金、營銷作弊、違約欺詐和身份偽冒等風險，避免資金損失、用戶流失和商譽損害。隨著數據安全法、個人信息保護法及數據監管政策的出臺，數據安全合規對業務風控也提出了更高的要求。API 是業務交易過程中個人信息、敏感數據流轉的重要關口。API 接口

83、安全不僅關系到業務安全運行，還直接影響到客戶隱私安全和企業數據安全合規問題。在業務風控中實施 API 安全管理，可以更細粒度地實現業務風險暴露面管理，在事前識別邏輯調用行為預防業務風險，在事中對涉敏數據流轉實施管控和脫敏處理避免數據泄露，在事后對數據風險事件進行溯源分析降低企業損失。業務風控應用場景非常廣泛，不同場景的風控模型不同。如在金融領域，風控更多考慮用戶的信貸風險和敏感數據；而在電商平臺，則可能更關注交易欺詐、惡意流量和賬號安全。這要求 API 安全能融入企業風控管理體系之中，并為不同場景的業務風控需求提供安全支撐。圖 23 API 安全與業務風控API安全治理API風險處置API風險

84、監測API資產識別應用現狀及場景化分析API 安全技術應用指南363.2.5 API 安全與網絡安全隨著數字化轉型的深入，企業不斷開放南北向接口和東西向接口以實現更豐富的業務連接能力。這些面向互聯網的南北向接口給企業制造了巨大的暴露面，成為攻擊隊選手的首要突破口；同時，企業內部業務之間API 接口的脆弱性，也給攻擊者在突破邊界后向內部系統橫向滲透提供了機會。API 安全通過流量分析的方式識別 API 資產和風險，這可以實現企業南北向、東西向接口的統一管理。結合 API 安全細粒度的訪問控制、風險檢測（攻擊、脆弱性、行為）、事件溯源、數據流轉分析能力可以為網絡安全方面提供更全面、更細致的攻擊面管

85、理。在訪問流量串行的模式下，也可以進一步發揮 API 安全訪問控制的優勢，助力企業進一步實現零信任網絡。API 的安全能力在網絡安全方面能進一步提升企業實施攻擊管理、零信任網絡訪問和攻防演練的有效性。即適用于傳統的企業環境，也適用于云原生環境的安全管理。圖 24 API 安全與網絡安全API 安全建設指南API 安全技術應用指南37第四章 API 安全建設指南4.1 建設挑戰由于 API 應用的廣泛性、類型多樣化及防護技術的復雜性，API 安全防護難易程度普遍被認為是較高。根據走訪調研，安全建設過程中，企業在技術、流程、安全運營方面都存在諸多困難，其中的主要挑戰包括資產識別、風險防護、涉敏數據

86、標識和安全運營 4 個方面。圖 25 API 安全建設挑戰（一）API 資產識別和梳理的準確性挑戰首先，隨著企業數字化轉型的推進，API 數量在呈爆炸式增長，并廣泛分布于應用、系統、WEB 頁面等數字資產。根據服務范圍，API 又分為公有型 API、私有型 API 及混合型 API，加上云上云下混合部署方式，導致多數企業對其環境中存在的 API 數量及其具體用途缺乏清晰認識，難以梳理出全面的 API 資產清單。另外，為了便于企業對 API 資產有重點的管理，API 接口梳理過程中需要進一步結合應用分類、敏感數據管理知識，并做好資產之間的關聯關系。盡管目前自動化的資產識別和關聯分析能力能提高資產

87、梳理的效率，但為保證資產識別的準確性，過程中還需要人工調整甚至手工配置難以識別的一些 API 接口。（二）API 防護的挑戰首先，API 安全需要多樣化的風險檢測手段。由于 API 部署的復雜性，API 面臨的風險也更復雜。涉及接口自身的漏洞利用、內部員工濫用權限、外部攻擊和異常訪問以及敏感數據流轉風險。滿足這些檢測需求需要融合漏洞挖掘、訪問控制、攻擊檢測及數據安全的能力，對單一廠商的能力要求較高。其次，API 風險無論是漏洞還是攻擊都非常依賴流量采集和行為分析。流量采集的全面性、流量中的噪聲會嚴重影響風險檢測水平；特別地，API 在負載狀態下，尤其是在大流量環境中，流量解析、API 的并發處

88、理都需要更高效的數據處理和分析算法；檢測策略方面，行為規則的細度、行為模型的訓練精度都會有一定的漏報和誤報。API 安全建設指南API 安全技術應用指南38API 風險檢測的準確性導致風險防護不能完全自動化，即使相對確鑿的風險，很多時候也會由于防護手段缺失無法實施有效防護。比如，旁路部署的流量探針在阻斷時往往有一定的失誤率，并且不能對 API 接口進行細粒度的專業處置；還有 API 漏洞問題，通常沒有補丁或熱補丁策略，需要進一步左移到開發尋求解決方案。（三）API 涉敏數據精準識別難首先，涉敏數據包括與個人相關的敏感數據和行業相關的密級數據。涉敏數據識別需要遵循個人信息保護法、數據安全法及行業

89、數據分類分級標準和規范，結合業務需求因地制宜的配置涉敏標識規則。涉敏數據標識錯誤會導致數據識別錯誤，給數據處理造成困擾甚至方向性錯誤處置。其次，API 上傳遞的數據比起 SQL 這種格式固定的語言更加多變，語義也因不同的實現者而變得多樣且豐富。API 敏感數據識別時，還需要結合語義分析正確地理解數據的行為，才能搞清要如何防護。（四）API 安全的專業運營人才奇缺API 風險檢測和防護技術方面的短板，導致 API 安全對安全運營有較高的依賴。但 API 安全運營需要對應用和業務、API 協議、數據安全知識都相對全面的安全人才。這導致盡管許多企業意識到 API 安全在安全運營中的重要性，但仍然由于

90、缺乏專業的安全運營人才，導致 API 安全防護工作不能有效開展。4.2 基本建設原則API 是隨著網絡安全建設不斷完善和攻防對抗技術的進一步增強，逐步暴露出來的一個新安全建設盲區。絕大多數企業對 API 安全建設都缺少經驗。結合安全牛的 API 安全治理框架，報告提出了 API 安全建設的 4項基本原則。圖 26 API 安全建設 4 項基本原則API 安全建設指南API 安全技術應用指南39（一）API 安全建設要有章可循 從源頭抓起API 安全操作規范和安全指南，可以提高管理者的 API 安全意識和防護知識，為 API 開發、部署提供基本的安全指導，確保 API 安全建設有章可循，是落實并

91、推進 API 安全建設重要前提。將 API 安全操作規范和安全指南納入 API 安全治理體系，特別是從開發和設計階段就注重 API 安全性，確保遵從 API 安全開發原則，是目前國際 API 服務提供商的普遍做法，也是公認的 API 安全最佳實踐。目前國際權威的 API 安全指南，包括：Swagger RESTful API 文檔規范即 OpenAPI 規范，描述了創建 RESTful 架構的 API 所要遵循的原則與規范，幫助開發人員和用戶更好地理解和使用 API。OWASP 安全編碼規范快速參考指南該指南提供了更詳細的編碼安全實踐，幫助開發人員在軟件開發生命周期中集成安全性避免常見的安全漏

92、洞。（二）API 防護能力建設 遵循縱深防護和閉環管理的原則 首先，API 的風險是多方面的，不僅有 API 自身的脆弱性風險，還關聯了應用、數據和業務的風險，這決定防護 API 風險時需要一個全面的、多層次的防護處置策略，不能僅依賴單一的安全措施。具體來說，API 的安全防護應納入整個網絡安全的縱深防護體系中，從網絡訪問、應用防護、接口防護、數據防護多個層面構建多層的 API 安全防護機制。其次，API防護能力建設要從資產識別做起，遵循“識別-防護-檢測-處置”（IPDR）的風險閉環管理原則，保障防護能力的有效性和持續性。同時，在 IPDR 中結合零信任的理念，運用權限最小化、動態訪問等技術

93、建立可信的、自適應的可信訪問機制，以更好地應對不斷變化的、未知的安全威脅。（三）API 安全要堅持左移 由被動防御變主動防御的原則API 風險防護的滯后性決定 API 安全需要從全生命周期著手，在事前引入更多安全考量，而不是在事后尋找補救措施。因此，API 安全要堅持左移以及由被動防御變主動防御的原則，將安全措施前置。以下是實施API 安全左移時可以參考的幾個方面：首先，在 API 漏洞管理方面，采用相應工具（如，漏洞管理平臺）打通組織的流程壁壘，建立 API 漏洞監測與漏洞修復加固的機制。將 API 安全納入應用設計和開發階段，融入 DevOps 流程以確保在漏洞發現后能快速找到相應解決方案

94、，從根本上提升 API 自身的免疫力。其次，在 API 發布過程中，同步實施 API 安全策略，建立 API 安全基線。包括 API 的訪問控制和身份認證、細粒度管理 API 權限配置、API 的輸入驗證和數據加密傳輸、對 API 返回的敏感數據進行脫敏處理等等。這些API 安全建設指南API 安全技術應用指南40策略能有效防御常見的異常訪問，注入、跨站腳本類攻擊，避免隱私信息泄露。最后，做好 API 安全審計，增強事前預防和事后溯源的能力。包括：API 訪問合規策略審計、數據安全合規策略審計、API 訪問行為審計、API 數據流轉審計及風險事件審計等。安全審計可以促進企業完善合規管理，發現潛

95、在的安全問題，提前采取預防措施增強系統韌性，使企業安全防御由被動變主動。從行業監管角度，也建議進一步完善 API 安全合規要求，將 API 安全納入監管體系，并落實 API 安全合規審計制度，促進企業 API安全審計能力落地，提升整體 API 風險治理的有效性。（四）API 安全要遵循同步建設、同步運營的原則API 的資產類型和風險特征復雜，僅靠上線時配置的安全策略無法滿足資產識別和風險檢測的準確度。需要通過運維確認并校對系統自動識別出來的 API 資產的準確性。同時，還要基于業務運行態調優安全策略，改進風險算法和模型提高檢測的準確性，甚至要結合風險類型修改響應處置方式。最終形成一套與業務場景

96、吻合的、常態化的檢測規則和運營機制。因此，API 安全要遵循“同步建設 同步運營”原則，通過精細化的運營服務持續提升 API 檢測的有效性和風險處置的實時性。這也要求運營人員的安全知識和業務知識都要全面。企業需要加強安全運營與業務部門合作，定期開展業務安全知識培訓和防護演練，提升 API 安全持續運營能力。4.3 方案選擇建議目前，市場上 API 安全方案的類型多樣化，用戶在選擇 API 安全方案時，需要結合企業的安全需求和具體業務特點選擇適合的方案。為方便識別廠商能力和方案特點，報告將本次調研過程中的方案分為訪問控制網關類、風險監測類和數據流轉管控類三種類型。其中，風險監測類方案的廠商最多，

97、如圖 27 所示。圖 27 方案類型及代表性廠商訪問控制關類 美創科技 青笠科技（新）大拙信息（新）九州云騰險監測類 綠盟科技 瑞數信息 奇安信 梆梆安全 安天 芯盾時代 長亭科技 迪普科技 安勝華信（新）喜數科技（新）數據流轉管控類 閃捷信息 觀安信息 石犀科技（新）API 安全建設指南API 安全技術應用指南41(一)API 訪問控制網關類API 訪問控制網關類方案主要關注 API 的訪問控制，提供訪問控制規則、身份認證、授權管理、數據加密、涉敏數據管控、API 接口流量控制等功能，確保只有合法的用戶和應用可以訪問 API。方案特點：（1）安全策略側重于接口訪問合規、數據訪問合規，對于違規

98、訪問行為可以實現 API 接口的細粒度管控，如阻斷，限流、限速，脫敏、加密等。（2）適用于對應用（API）集中訪問管理場景，如零信任訪問控制、應用（API）發布管理、服務治理等。（3）部署方式以流量串行部署為主。（4）提供該類方案的代表性廠商有：美創科技、青笠科技、大拙信息、九州云騰。其中，青笠科技、大拙信息是該領域的創新廠商。(二)API 風險監測類API風險監測類方案主要關注API資產風險監測和風險防護，提供實時監控、攻擊檢測、異常檢測、日志記錄、風險告警、審計報告、風險防護等功能，幫助用戶及時發現和應對網絡安全事件。方案特點：（1）相比訪問控制網關，該類產品更側重于網絡攻擊、漏洞利用、行

99、為風險和數據風險的檢測，安全策略以行為規則和行為檢測為主，告警有一定誤報率。（2）風險處置多通過聯動網關類設備實現，部分廠商會將傳統的 WAF 功能直接集成進來，以提高自動化風險防護能力。但相比網關類產品，該類產品對 API 接口風險的細粒度防護能力有限。（3）該方案與業務安全管理的耦合度較低，應用相對廣泛，可用于支撐網絡安全防護，如攻防演練、攻擊面管理，也可以用于支持業務風控及數據風控。（4）部署方式多以旁路部署為主，通過流量鏡像或部署流量探針的方式將流量牽引到監測平臺；（5）該類方案廠商多來自傳統的網絡安全能力提供商，代表性廠商有：綠盟科技、瑞數信息、奇安信、梆梆安全、安天、芯盾時代、長亭

100、科技、迪普科技、安勝華信、喜數科技。其中，安勝華信、喜數科技是該領域的創新廠商。API 安全建設指南API 安全技術應用指南42(三)API 數據流轉管控類API 數據安全流轉管控類方案主要關注 API 接口的數據安全流轉問題，提供數據加密、脫敏、訪問控制等功能，確保敏感數據在傳輸和存儲過程中的安全性。方案特點：（1）該類方案在安全策略上與數據安全策略緊耦合，適用于數據流動管控要求較高的場景，如業務風控、數據交易、數據要素流轉等。（2）在監測場景下，該方案可以旁路部署，在需要對數據強管控場景下采用流量串行部署的方式。（3）該類方案的提供商以傳統數據安全能力廠商為主，代表性廠商包括：閃捷信息、觀

101、安信息、石犀科技。其中，石犀科技是該領域的創新廠商。以上三種方案也分別體現了廠商對 API 安全產品的不同定位。盡管不同方案的功能側重和場景應用各異，但調研中我們發現，幾乎所有類型產品都在 API 資產識別功能中提供了數據資產識別及數據分類標識的功能。這預示著，API 安全將有可能成為數據流轉合規的一項標準化的管理手段。4.4 年度代表性供應商介紹API 安全供應商選擇方面，安全牛建議結合廠商的綜合能力和技術細分能力進行評估，如圖 28 所示。廠商綜合能力參考：品牌影響、技術能力、產品化能力、方案能力和服務能力 5 個維度；技術能力評估參考：API資產識別和梳理、API脆弱性發現、API攻擊和

102、異常行為檢測、API數據風險檢測、API 風險防護處置 5 個核心能力指標。圖 28 供應商選擇API 安全建設指南API 安全技術應用指南43為了解 API 安全不同廠商的技術和產品實現情況，安全牛對該領域廠商進行了走訪式調查，同時結合問卷、線上訪談、產品演示的方式對廠商能力進行了綜合能力評估。具體評估方法如下：評估方法為描述性評估，結合了問卷、訪談、產品演示、定性和定量評估多種方式；采用了兩級評估指標，其中一級指標 5 個，二級指標 20 個，涵蓋評分點共 41 個；評估結果以 5 維雷達圖和綜合評價兩種方式展示。本次調研中有 19 家廠商申報，根據問卷完整度最終有效調研廠商 17 家。廠

103、商側調研顯示，API 安全作為一個新興賽道，廠商參與度較高，來源于多個傳統領域。其中，以網絡安全能力為主的廠商 3 家（占比 18%），數據安全能力為主的廠商 3 家（占比 18%），應用安全和業務安全能力為主的廠商 6 家（占比 35%）。同時，專注于該賽道的新興廠商占比也較高（占比 30%）?？梢?，API 安全廠商來源于多個領域，以應用安全和業務安全廠商為主，數據安全和網絡安全廠商為輔。同時，作為一個新興賽道，API 安全也吸引了眾多新興廠商積極參與。圖 29 API 安全廠商類型分布根據 API 安全評估規則，報告最后篩選了 10 家國內代表性廠商進行了能力介紹和綜合評價，分別是：瑞數信

104、息、奇安信、梆梆安全、綠盟科技、美創科技、閃捷信息、芯盾時代、安勝華信、喜數科技、安天。以下從企業介紹、產品/方案說明、綜合評價 3 方面對 API 安全的代表性廠商能力做進一步說明API 安全建設指南API 安全技術應用指南444.4.1 安勝華信 企業介紹北京安勝華信科技有限公司（簡稱“安勝華信”）成立于 2016 年，是一家以 API 安全為核心技術，致力于為金融、能源、運營商等關鍵基礎行業提供服務的數字安全廠商。公司核心研發能力源自業內知名的“賽沃安全”，2018 年開始 API 安全領域的技術創新和產品迭代。技術上，堅持自主研發，在 API 參數級業務感知、廣義身份識別、全應用探針、

105、數據高速分析處理等方面有多項專利技術。結合市場需求，API 安全能力逐步與業務安全和數據安全需求融合，進一步提出了“用戶+業務+數據”的業務數據安全管控理念。該公司總部位于北京，目前公司的員工人數超過 50 人，研發投入 30%以上。方案說明安勝華信基于 API 安全能力覆蓋了“API 數據安全”和“API 業務安全”兩條業務產線：API 數據安全 包括 API 數據安全管控平臺、API 應用數據審計平臺和應用數據動態脫敏網關。主要實現業務敏感數據發現、風險監測、實時管控及溯源審計。API 業務安全 包括一體化業務安全運營平臺、API 業務安全網關和應用安全監測平臺，可針對業務應用運營過程中的

106、多源數據進行綜合關聯分析，實現細顆粒度的實時防護。產品上，基于“一體化生長型”建設理念，采用統一的產品底層架構設計，通過低代碼/無代碼改動的方式，靈活配置各種安全場景防護策略，提供標準化的安全技術和服務能力?？赏瑫r滿足企業互聯網業務、企業內網業務以及三方 API 業務高速發展變化過程中的安全防護需求。典型場景 包括 API 安全治理、API 數據安全、在線業務防黑灰產、全應用威脅感知等場景行業用戶 集中于金融、國央企、能源、交通行業。圖 30 安勝華信的 API 安全架構API 安全建設指南API 安全技術應用指南45 綜合評價 憑借突出的創新能力，贏得了市場合作和產學研機構的認可；擁有健全的

107、研發管理體系，團隊有較強的技術創新和工程化能力；方案上，緊密圍繞業務和數據安全政策要求，深度挖掘行業場景化需求；有相對完善的 IT 運維和風險評估服務資質，可提供 API+數據+業務的特色安全運營能力。API 安全建設指南API 安全技術應用指南464.4.2 安天 企業介紹安天科技集團股份有限公司（簡稱“安天”）是引領國內威脅檢測與防御能力研究一家網絡安全公司。通過 20 余年自主研發積累，安天形成了威脅檢測引擎、高級威脅對抗、大規模威脅自動化分析等多方面的技術領先優勢。隨著威脅態勢的進一步演變，2024 年推出了安天 API 雷達系統，為企業提供 API 資產和 API 相關風險管理能力。

108、公司總部位于哈爾濱，在全國范圍建有七地研發中心、九家控股子公司。目前，企業人員規模1200 人左右，在該領域研發投入 20 人左右。方案說明安天 API 雷達以可持續化安全防護為核心理念，通過 API 資產梳理、敏感數據識別、異常行為監測、精細策略防護等安全能力，為用戶建立全面的 API 安全防御管控機制，幫助用戶解決 API 資產難梳理、新型風險無有效發現手段、防護管控不知從何下手等新型業務下的各類痛點問題。相較于傳統的 API 防護軟硬一體產品相比，安天 API 雷達產品支持虛擬實例形態，可以在線下載、實例部署、即插即用。在簡化用戶部署的同時，為用戶提供持續的監測和防護能力，覆蓋用戶 AP

109、I 整個生命周期，確保 API 資產的安全性和可靠性。典型場景 包括 API 資產梳理、API 暴露面管理、API 運行時風險監測、數據泄露監測等場景。行業用戶 主要聚焦于軍工、政務、醫療、互聯網行業。圖 31 安全能力框圖 綜合評價 廠商具備堅實的研發基礎，為其在 API 安全領域的創新提供了強有力的支持；API 安全建設指南API 安全技術應用指南47 技術上融合了安天傳統的 WEB 防護和威脅檢測功能，同時在 API 風險識別方面又發揮了一定的創新優勢；產品策略配置簡單，易用性較好，支持國產化適配；服務方面，有較強的應急保障能力和服務覆蓋能力。API 安全建設指南API 安全技術應用指南

110、484.4.3 梆梆安全 企業介紹北京梆梆安全科技有限公司【簡稱“梆梆安全”】成立于 2010 年，是一家專注于移動、物聯網領域安全技術研究的網絡安全公司。在技術深耕的基礎上，公司建立了全面的移動應用安全防護生態體系，并在業務上形成了以移動安全為主體，聯動安全服務和物聯網安全的“一體兩翼”業務體系，以及由技術、產品、解決方案和咨詢服務構成了“四位一體”產研體系。在 API 安全方面，梆梆安全基于渠道應用黑灰產攻擊趨勢，及移動端新型網絡攻擊風險的分析，提出了端到端&全渠道的 API 安全防護思路，并圍繞數據安全、業務安全、安全管理、事件溯源等典型應用場景，為客戶提供針對性的安全方案。公司總部位于

111、北京，在上海、深圳、廣州、天津、成都等多地設有辦事處，目前員工人數超過 400 人，技術團隊占比超過 60%。方案說明端到端&全渠道移動應用安全防護方案 核心思想是通過建設動靜結合，聯動不同渠道實時聯防聯控，實現前后端業務風險的聯動機制保障業務安全運行。該方案可以重點監測人臉繞過、數據泄露、渠道洗錢、盜版仿冒、業務欺詐等黑灰產攻擊，并進行此類安全事件處置、溯源，確保移動應用安全、合規運營。梆梆API安全平臺 是該方案的核心產品，它通過對 API 上線運行后的數據流量進行實時解析及檢測，識別 API 上線運行后所面臨的各種安全風險，并為企業建立一套完整的 API 安全防御管控機制。功能上，通過資

112、產管理、風險檢測、敏感數據識別、脆弱性檢測、風險防護管控等幾大核心模塊，應對資產數據難治理、風險行為難發現、數據泄露難感知、威脅攻擊難防護四大安全問題。典型場景 包括 API 安全及合規治理、API 數據防泄漏、電子渠道攻擊監測溯源、反洗錢反電信詐騙、反薅羊毛及虛假營銷、業務風控等。行業用戶 主要集中于金融、電子政務、互聯網、運營商行業。圖 32 梆梆安全 API 安全解決方案API 安全建設指南API 安全技術應用指南49 綜合評價 深耕于移動應用安全，并憑借其卓越的技術實力和專業性，贏得了客戶的高度信賴和長期支持；技術上，端-端分析能力與零信任理念結合，即建立了細粒度的 API 訪問控制能

113、力，同時提升了 API資產和風險發現的精準度；方案方面，應用類型適配性好且全面支持國產化軟硬件系統；服務方面，有較好的軟件維護能力，及全面的安服資質、全國服務覆蓋能力和應急保障能力。API 安全建設指南API 安全技術應用指南504.4.4 綠盟科技 企業介紹綠盟科技集團股份有限公司【簡稱“綠盟科技”】成立于 2000 年 4 月，是一家致力于漏洞挖掘技術研究，并能提供優秀安全檢查和評估類產品及安全運營服務的網絡安全廠商。綠盟科技深耕 API 安全市場多年，配合多年的攻防實戰經驗，形成一套覆蓋全生命周期的 API 安全解決方案。同時，不斷探索 API 安全外延的應用場景與創新技術方案，力求貼近

114、各行業實際需求，有效應對 API 帶來的安全挑戰。公司總部設在北京，2014 年1 月在深圳證券交易所創業板上市。公司現有員工近 4000 人，其中研發技術人員超過 2600 人，在該領域平均研發投入 40 人左右。方案說明綠盟科技參照國際通用 NIST 架構，遵循識別、檢測、防護、響應的防護原則，推出了一套 API 安全系統化解決方案，主要包括 API 安全運營平臺、API 漏洞掃描系統、API 監測與審計系統、API 應用防火墻 4 個核心產品。其中，API 安全運營平臺，提供統一可視化展示平臺，匯總各維度數據與事件，方便對 API 進行運營管理。該方案基于流量分析，聚焦于發現 API 自

115、身與 API 敏感數據泄露風險，兼容個人信息保護法、數據出入境合規檢測及多個行業數據分類分級規范，側重于流動數據合規性管理與安全治理問題。典型應用場景 包括 API 風險管理、數據出入境合規審計、數據泄露及溯源分析等場景。行業用戶 主要聚焦于運營商、金融、政務、制造業和能源行業。圖 33 綠盟 API 安全系統框圖API 安全建設指南API 安全技術應用指南51 綜合評價 高度注重產學研合作，積極促進網絡安全前沿技術分享和交流；技術方面，重視準確度，在資產識別和風險識別方面充分發揮了企業的技術基因優勢，特別是漏洞挖掘和行為模型構建能力；擁有多年垂直行業深耕細作的經驗，在產品中重視行業特性的功能

116、開發；服務方面，擁有非常高的全國服務覆蓋能力，以及專業的售后服務和專家團隊，能為 API 安全落地提供高質量的運維保障和事件響應能力。API 安全建設指南API 安全技術應用指南524.4.5 美創科技 企業介紹杭州美創科技股份有限公司（簡稱“美創科技”）成立于 2005 年，是國內較早專注于數據安全技術研究和治理服務的企業，擁有多項自主核心技術，是國家信息安全漏洞庫和網絡安全應急服務的重要技術支撐單位?；陧g性數據安全防護體系框架，重點布局了數據安全、運行安全、安全運維服務三大業務。為進一步解決應用 API 接口訪問場景中的數據安全問題，美創科技自 2020 年開始推出 API 安全監測與訪

117、問控制系統產品。公司總部位于杭州，在全國 30 多個地區設有分支機構。目前員工規模 500+，研發投入 30%左右。方案說明美創科技 API 安全監測與訪問控制系統（API-SMAC）聚焦于 API 接口流轉安全，通過雙向流量解析和輕代理技術，對通過 API 接口進行數據流轉的行為進行安全監測、安全訪問控制、鏈路追溯，旨在幫助用戶構建API 接口數據自由、安全流轉的可信環境。核心功能包括：API 資產全面識別、API 訪問權限管控、接口二次封裝監測與控制、數據流轉風險監測，在 Agent 模式下可進一步實現加密流量監測、數據流轉鏈路測繪功能。在此基礎上，公司也進一步將API安全與其他數據安全能

118、力緊耦合打造了新一代數據安全管理平臺（DSC），增強其在數據流動管理方面的能力。圖 34 美創科技產品能力框圖典型場景 包括 API 集中管理、數據流轉監測管控、數據共享交換態勢分析等業務場景。行業用戶 主要聚焦于政務、能源、醫療、運營商行業。API 安全建設指南API 安全技術應用指南53 綜合評價 產學研參與度較高，憑借 API 安全領域深耕與實踐，積極推動應用接口的標準化和創新應用，多次獲得權威機構認可；技術上，接口的細粒度的訪問控制與 API 風險管理能力結合，真正實現了“識別-防護-檢測-處置”一體化；產品功能完善度和成熟度較高，注重友好性設計，場景應用靈活，能全面支持信創軟硬件平臺

119、；擁有較高的運維、安全服務資質及全國服務覆蓋能力。API 安全建設指南API 安全技術應用指南544.4.6 瑞數信息 企業介紹瑞數信息技術（上海）有限公司【簡稱“瑞數信息”】成立于 2012 年，是中國動態安全技術的創新者，專注于 Bots 自動化攻擊防護領域的專業解決方案。公司聚焦新一代應用安全與數據安全建設，提供全面覆蓋Web、APP、API 的全渠道應用安全、業務安全、數據安全及反勒索、數據恢復與備份等領域的產品及服務?？偛课挥谏虾?，分支機構分布于全國 20 多個城市，成都、上海和北京分別設有研發中心和研發團隊。目前擁有員工 300 人左右。方案說明瑞數 API 安全解決方案包括 AP

120、I 安全掃描器、WAAP 防護、API 安全審計三個產品，可以從事前、事中、事后三個環節幫助用戶構建完整的 API 安全防護體系。事前掃描：事前采用 API 安全掃描器。該產品可在開發階段對 API 安全風險的掃描和評估，使 API 資產發現手段由被動變為主動，主動實現對 API 安全漏洞和缺陷的探測。事中防護：事中采用 WAAP 防護產品。該產品可在應用運行階段覆蓋 Web、APP、小程序所有 API 接口的訪問通道，通過 WAF 能力、Bot 防護能力、DDoS 防護能力和 API 管控能力，實現實時風險和攻擊的全渠道防護。事后審計：API 安全審計提供事后溯源，業務深入分析能力。典型應用

121、場景 包括 API 資產發現與管理、API 攻擊檢測與防護、異常行為監控、API 訪問行為審計、敏感數據管控、API 漏洞掃描、API 安全風險評估等。行業用戶 聚焦于運營商、金融、央國企、政府、能源行業。圖 35 瑞數信息 API 安全能力框圖API 安全建設指南API 安全技術應用指南55 綜合評價 注重品牌建設和產學研合作，市場增長穩定；技術上，創新能力表現優秀，重視應用自動化、自學習識別技術提升風險識別效率；產品方面，注重系統化、模塊化設計和行業特性化應用，兼顧產品靈活性和專業性；方案上，運用安全左移（驗證）和風險防護閉環的原則，實現了 API 生命周期全面覆蓋；重視運維服務和應急響應

122、服務，并具備較好的服務覆蓋能力。API 安全建設指南API 安全技術應用指南564.4.7 奇安信 企業介紹奇安信科技集團股份有限公司【簡稱“奇安信”】成立于 2014 年，是專注于網絡空間安全市場，提供新一代企業級網絡安全產品和服務的供應商，2020 年登陸科創板上市。持續的創新研發和實戰攻防能力是奇安信的核心優勢。隨著技術發展，公司在安全大數據、人工智能、安全運營技術方面也逐漸形成了行業領先優勢?；趯W絡安全細分市場的研究，公司在 2022 年發布了 API 安全產品，并結合集團全棧的網絡安全技術形成了檢測、分析到數據防護的全面 API 安全解決方案。目前，API 產線由公司云和大數據安

123、全事業部負責，BG研發投入 80 人左右。方案說明奇安信 API 安全衛士是針對數字化轉型業務中有數據安全和 API 安全需求的產品與解決方案。該方案由API 安全檢測系統、API 安全（數據）防護系統、API 安全分析與管理平臺形成一整套從發現、檢測、分析、防護的閉環解決方案。通過 API 資產管理、API 風險監測、數據泄露分析、數據安全保護等技術幫助企業縮小API 的暴露面、識別 API 潛在的風險、防止敏感數據泄露、并提供敏感數據訪問的溯源手段。典型應用場景 包括 API 資產運營、API 安全風險管理、實戰攻防演練、云安全資源池化、敏感數據泄露監測等應用場景。行業用戶 主要聚焦于電子

124、政務、金融、能源、醫療等行業。圖 36 奇安信 API 安全衛士能力框圖API 安全建設指南API 安全技術應用指南57 綜合評價 參與多項 API 安全賽事和行業標準化工作，積極引領 API 安全的細分賽道發展和垂直行業應用；技術上，繼承了應用資產識別和流量分析方面的技術優勢，資產梳理、風險識別、風險溯源能力表現優秀；產品功能完善，風險分析可視化、交互設計、易用性體驗較好；有較強的應急保障團隊，支持云端+本地結合的安全運營模式，并提供專業級的 API 安全衛士報告分析和運營服務。API 安全建設指南API 安全技術應用指南584.4.8 閃捷信息 企業介紹閃捷信息科技有限公司（Secsmar

125、t）成立于 2015 年，是歸國留學人員創辦的一家專注數據安全的高新技術企業。公司創新提出了“云管端”立體化動態數據安全理念，實現結構化和非結構化數據資產的全面管理與防護，構建了覆蓋大數據安全、云數據安全、應用數據安全、數據防泄漏、工業互聯網安全、數據管理和治理等領域的全棧數據安全產品體系與服務能力。2021 年開始，基于 API 安全推出應用數據安全審計類產品。該公司總部位于杭州，全國設有 2 個研發中心和 20 多個分支機構，目前擁有員工 500 人以上。方案說明應用（API）數據安全審計和應用（API）數據安全訪問控制是閃捷應用數據安全系列的兩款產品。產品圍繞“發現-治理-監測-防護”的

126、 API 數據安全治理思路，利用接口挖掘算法、數據識別技術和內置的脆弱性和風險檢測模型，在不改造業務的前提下，一方面實現API接口識別和盤點、敏感數據動態識別、API接口脆弱性檢測、異常行為風險感知等實時掃描和監測；另一方面對API敏感數據進行接口級動態調用脫敏和數據水印標注保護，讓用戶 API 資產清晰可查、API 安全威脅可見、敏感數據流轉可溯。該方案可以幫助用戶構建從事前資產梳理到事中動態防護、事后溯源補救的 API 全棧數據安全防護體系，助力企業輕松應對復雜 API 安全挑戰，實現數據與業務的雙重保護。典型應用場景 包括 API 風險監測、API 權限管控、API 數據脫敏、API 數

127、據水印等多個場景。行業用戶 主要集中于政府、金融、互聯網企業。圖 37 閃捷信息應用（API）數據安全產品能力框圖API 安全建設指南API 安全技術應用指南59 綜合評價 該廠商基于 API 安全持續深耕數據安全，積極參與行業的標準化工作，并有穩定的客戶源和廣泛的客戶影響力；技術上，有傳統數據訪問控制的優勢，并應用 AI、大數據、自然語言學習技術持續創新，增強應用數據多維度的溯源能力；產品方面，分別打造審計和訪問控制應對不同場景需求，產品成熟度較高；提供運維和風險評估服務，擁有較高的全國服務覆蓋能力。API 安全建設指南API 安全技術應用指南604.4.9 芯盾時代 企業介紹北京芯盾時代科

128、技有限公司【簡稱“芯盾時代”】成立于 2015 年，是一家專注于零信任業務安全的網絡安全廠商。公司擁有“智能業務安全”和“零信任企業安全”兩大產品線，致力于為客戶提供覆蓋業務全生命周期的安全解決方案。圍繞業務安全，芯盾時代形成統一終端安全、智能決策大腦、零信任網絡訪問等多項核心技術。覆蓋移動辦公安全、全場景統一身份管理、網絡邊界安全防護、用戶行為風險分析、金融賬戶及交易安全、交易/信貸/營銷風控決策和反欺詐、移動 APP 安全等應用場景。為進一步提升企業業務的安全性，2020 年開始，陸續推出 API 安全相關能力。芯盾時代總部位于北京，在全國十余地設有辦事處和分支機構。目前企業員工規模近 4

129、00 人，API 研發投入近 20%。方案說明芯盾時代 API 安全監測平臺 包含 API 流量解析與管控、API 資產發現與管理、API 資產脆弱性分析、API異常行為檢測、數據安全分析等功能模塊，能針對后端 API 服務的訪問控制類安全需求，提供 API 接口統一代理、訪問認證、數據加密、安全防護、應用審計等功能。特別是針對內網 API 資產梳理、API 接口漏洞檢測、API 異常行為發現、API 接口敏感數據泄露等問題，該平臺作為企業級 API 安全防護的基石，能夠幫助客戶提升整體的安全防護能力，保護其核心業務不受安全威脅。典型應用場景 API（應用）資產梳理/畫像、API 訪問風險監測

130、和審計、風控反詐等場景。行業用戶 主要聚焦于金融、政企、醫療和制造行業。圖 38 芯盾時代 API 安全方案API 安全建設指南API 安全技術應用指南61 綜合評價 基于 API 安全能力，持續深耕于業務安全，進一步加強了客戶信任，保持了市場持有量；技術上，不斷運用新技術和理念，持續提升訪問風險管理能力；方案上，遵循平臺化和功能模塊化設計原則，提供標準化接口和協議方便第三方集成；服務方面，側重于集成和運維服務，能提供專業的 API 資產梳理和風險運營保障能力。API 安全建設指南API 安全技術應用指南624.4.10 喜數科技 企業介紹上海喜數信息科技有限公司（簡稱“喜數信息”）成立于 2

131、018 年，是上海一家專業從事 API 安全技術研究開發的高科技創新企業。公司提供全面的 API 安全解決方案，推出了喜數 API 掃描器和喜數 APISEC 安全平臺兩大核心產品，涵蓋從資產管理到實時防護的全方位服務。技術團隊骨干來自亞馬遜、谷歌等知名企業，具備深厚的研發創新能力。公司總部位于上海，在南京、西安和廣州設有分支，現有員工人數超過 50 人，開發及服務支撐團隊占比 50%以上。方案說明喜數信息 API 安全解決方案包括：API 掃描器、APISEC 安全平臺。其中，APISEC 集風險監測和態勢分析能力于一體，可以提供 API 資產管理、漏洞分析、應用分析、API 審計、數據流轉

132、分析、攻防態勢展示功能。為用戶打造安全、高效、合規的 API 開放平臺，實現 API 安全運營閉環的落地，助力企業數字化轉型。典型應用場景 API 風險檢測分析、數據流轉監管、攻防演練風險監控等場景。行業用戶 聚焦于能源、金融、省市級政府、交通行業。圖 39 喜數信息 API 安全方案 綜合評價 基于 API 安全研究在多個領域進行創新應用實踐；技術上，有一定創新能力，特別是多維度的關聯分析和關系可視化，但目前風險防護方面能力有待提升；應用方面，可兼容傳統 IT 環境和云原生環境；服務方面，可提供從 API 發布到運行的全方位 API 安全運維服務。案例研究API 安全技術應用指南63第五章

133、案例研究5.1 車聯網公有云環境的 API 風險監測能力建設案例案例來源：綠盟科技集團股份有限公司5.1.1 項目背景隨著數字化轉型和大數據的重要性不斷提升，API 在業務和數據架構中的應用變得越來越廣泛，推動了應用服務化的顯著趨勢。在車聯網服務行業中，API 負責應用間的數據傳輸和控制，在應用架構中扮演著關鍵角色。特別是，交通服務行業，隨著國內汽車市場的快速增長和交通事故的增加得到了迅速發展。交通服務公司通過整合呼叫中心系統、GPS 定位系統、客戶關系管理系統和決策支持系統，構建了高效的道路救援服務系統，以優化車主對服務資源的配置。由于業務需求，需要與汽車制造商、保險公司、金融機構的各種平臺

134、對接，存在大量的數據共享和交換需求。在行業內部，道路交通數據通過 API 接口與外部單位進行對接，這些數據傳輸規模大且涉及高度隱私。然而，由于合作單位的接口格式和加密方式缺乏統一標準，API 的管理變得復雜且難以統一。為了更好地保護客戶和員工的個人信息安全，車聯網服務行業迫切需要建立一個覆蓋 API 全生命周期的安全保障機制。本案例客戶是一家科技賦能型的規?；嚶摼W服務企業，與近 400 家主機廠、主流保險、金融、平臺等企業存在業務合作。該企業通過平臺以 API 接口的方式對接數百家業務單位，進行數據的接收和共享，涉及個人信息、事件數據、訂單數據等多種類型。每年處理的案件數量接近千萬臺次，數據

135、規模龐大且隱私性強，因此接口數據的安全性對于公司和個人都至關重要。面對大量的 API 接口和敏感數據，該企業面臨著如何快速梳理歷史遺留 API，并對 API 全生命周期進行安全保障的挑戰。API 接口數量眾多且復雜，梳理難度大，如何在實現企業系統互聯互通的同時，有效保障 API 的安全性，成為保護企業整體安全并助力其數字化轉型的關鍵問題之一。案例中，客戶希望通過構建 API 安全風險管控平臺實現以下安全目標：（1）API 接口管理 識別云上應用提供的數據共享 API，特別是長期未被訪問的僵尸 API，并采取下線等管控措施，以優化 API 資源的使用和管理。（2）敏感數據審計 對 API 接口中

136、敏感數據進行審計，識別并標記重要數據和敏感數據，確保數據的安全性和合規性。（3）風險審計和攻擊識別 對訪問時間、接口地址、應用地址、狀態碼、請求方式等多個條件以審計；識別跨站腳本攻擊、攻擊溢出等攻擊行為，提高系統的安全防護能力。案例研究API 安全技術應用指南64（4）事件溯源 基于 API 風險安全事件進行溯源審計，確保能夠快速定位和響應安全事件，提升整體安全管理水平。5.1.2 方案介紹本方案中針對企業的 API 監測防護管理要聚焦網絡中的 API 流量與敏感數據，以 API 監測管理平臺為核心發現 API 自身安全風險與 API 數據泄露風險，并將 API 與數據關聯起來，以數據和敏感數

137、據為要點，提供了一整套基于 API 接口監測防護能力，對其進行 API 資產管理、API 安全風險、敏感數據識別和 API 審計溯源等安全監測服務，解決企業流動數據的分類分級與安全治理問題。系統架構如圖 40 所示。圖 40 系統架構關鍵技術主要包括以下三點：（1）多級策略逐步過濾，提高 API 資產識別準確度API 資產識別與梳理在確保系統安全和效率方面至關重要。然而，初級的 API 臺賬往往存在著大量的重復API 和噪聲 API，并不方便直接使用。重復 API 可能由于參數的變化而導致 API 數量級的增加；而噪聲 API 可能是由于互聯網暴露面的掃描或者內網掃描，屬于大量的無效 API。

138、為解決這一問題，案例采用了多級策略逐步過濾的方法，以確保輸出的 API 資產列表準確無誤。首先，利用自動化的識別與優化，保持 API 資產列表的高準確性；隨后，基于內容和上下文分析對 API 進行標簽簽注，從而進一步提升 API 安全監測能力和運營效果。這種方法不僅提高了 API 資產管理的精確度，還增強了整體安全監控的有效性。（2）內置敏感數據分類分級模板，提升數據合規管理能力API 作為數據流動、共享和分發的主要載體，其安全性尤為重要，尤其是 API 傳輸數據的風險管理。綠盟案例研究API 安全技術應用指南65科技憑借多年的數據安全積累和豐富的項目實戰經驗，開發了一套高準確度、廣泛覆蓋行業

139、的數據分類分級模板。這套模板能夠精準識別數據的類別和級別。為方便數據策略配置和管理，平臺系統內置了個人隱私數據模板以及 3 個行業分類分級模板，用于識別 API 傳輸數據的類別和級別。通過結合行業規范和實戰經驗的優化，該系統在敏感數據識別方面具有很高的準確率。這為 API 安全風險識別和數據泄露風險防范提供了堅實的基礎，確保企業在數據管理和安全防護方面處于領先地位。（3）異常行為發現模型結合多維分析能力，提升風險識別準確性API 安全風險與傳統 WAF 的最大區別在于 API 的靈活性，這使得基于特征匹配的檢測方式效果有限。為彌補特征檢測的不足，異常行為分析成為關鍵手段。API 監測管理特別重

140、視 API 異常行為識別的能力，并通過開創性的多維分析方法，顯著提升了異常行為識別的準確度。這種多維分析方法包括數據維度、賬號維度、頻率維度和生命周期維度。通過綜合分析這些維度，系統能夠更準確地識別和響應 API 的異常行為。這種方法不僅提高了檢測的精確性，還增強了對潛在安全威脅的預警能力，為企業提供了更為全面的 API 安全保障。該用戶業務系統部署在公有云的基礎設施上。方案在實施過程中，采用 Agent 引流公有云 VPC 內流量到API 安全監測平臺，解決了公有云 VPC 內流量不出 VPC 問題；策略上，依托事件分析引擎、上下文理解引擎等能力，解決 API 資產管理、安全監測、數據泄露等

141、風險問題。部署拓撲結構如圖 41 所示。圖 41 方案部署圖5.1.3 方案價值（1）通過實時監控 API 調用情況、響應時間、數據流向及異常行為，有效保障了數據傳輸的安全性案例研究API 安全技術應用指南66方案內置了個人隱私數據模板和分類分級模板，可在 API 交換敏感信息時，監測數據流量，分析訪問模式和頻率及時發現不尋常的流量波動和訪問行為，這些通常是潛在安全威脅的早期跡象。一旦檢測到異常，可以及時采取措施，如，限制訪問、發送安全警報或封鎖惡意流量，從而防止數據泄露或未授權訪問，實時監控涉及車輛的個人信息、事件數據、訂單數據的數據流轉情況。因此，API 安全監測不僅是數據安全的第一道防線

142、，也是維護系統完整性和確保敏感信息安全的關鍵手段。（2）數據流轉可視化，能直觀地了解系統內部及其與外部系統之間傳輸時的安全狀況平臺對數據流轉過程中的安全性進行實時可視化，使得客戶能夠直觀地了解數據在系統內部及其與外部系統之間傳輸時的安全狀況。這種監測不僅包括數據傳輸的實施情況，還涉及對潛在的安全威脅和漏洞的識別。通過圖形化的界面，客戶可以清晰地看到哪些數據被安全地處理和傳輸，哪些部分存在風險，從而及時采取措施進行防護或修復。通過明確展示數據安全流轉的全過程，API 安全監測實現了數據保護的透明化，可增強客戶對數據保護措施的信心，也使得客戶在面對日益復雜的網絡安全威脅時，能夠更加有效地管理和保護

143、其關鍵數據資產。（3）幫企業實現了內、外網高風險攻擊面的梳理API 監測管理通過建立資產基線，發現影子 API、僵尸 API，形成完善的資產列表，幫助用戶識別內外網的 API 資產。同時，詳細地揭示 API 的脆弱性，為用戶構建了一個清晰的攻擊面視圖。進一步地，通過 API 監測管理的資產識別和風險檢測能力，使得用戶能夠基于這些信息制定和實施更為針對性的安全策略和措施，有效降低風險，提升整體的安全防護水平。（4）提升了企業的風險防御能力和運營效率在安全運營過程中，通過 API 風險監測，企業能夠迅速發現未授權訪問、數據泄露、濫用 API 的行為和其他安全威脅，精確地識別和響應安全事件，尤其是那

144、些直接影響數據流、數據訪問和應用程序功能的事件。通過集成 API 監測管理能力，安全運營團隊不僅能夠提升防御能力，還能夠優化資源分配，通過專注于最關鍵的安全威脅來提升整體的運營效率。5.1.4 案例點評【安全牛評】該方案通過探針的方式適配云原生環境全息 API 資產監管的需求，重視運用先進的行為分析技術提升資產和風險的識別精度應對云環境的動態性和復雜性，并且緊密貼合行業數據治理的合規要求。方案從部署和檢測能力上都進行了云化適配，體現了在云原生環境中應用的專業性和先進性。在不同行業的云原生安全中具有廣泛的適用性，可以為希望通過 API 治理、數據合規流轉監管提升云原生安全運營能力的用戶提供參考。

145、案例研究API 安全技術應用指南675.2 API 安全管控系統助力電信行業網絡防護的案例案例來源：瑞數信息技術（上海）有限公司5.2.1 項目背景數字化時代下，API 作為連接各種應用和系統間的橋梁，已經成為企業實現業務上云、提高業務效率、拓展業務邊界的重要工具之一。隨著 API 的爆發式增長，攻擊者也針對其開放性和普遍性的特質展開威脅和攻擊，導致重大的安全隱患和數據泄露風險，對企業造成嚴重損失。為了應對層出不窮的新型攻擊手段和各類安全挑戰，企業亟須對 API 進行統一治理。南方某省移動運營商作為中國移動的子公司，是本地通信行業的主導運營商。該公司為客戶提供“全球通”“動感地帶”“神州行”“

146、集團網”客戶品牌的移動通信信息業務，與上千家企業合作建設了企業信息網。隨著數字化建設的不斷推進，該運營商廣泛應用基于 API 連接的業務，涵蓋了官方網站、網上營業廳、網上商城、第三方支付、微信小程序和公眾號等移動應用，極大地便利了數據的流動與交互。然而，在實際應用過程中，這種便利也使企業面臨了風險管理的嚴重挑戰：(1)API 資產管理困難 在業務系統中，新舊業務和架構并存。同時，不同的業務系統分散在本地或云環境中不同的位置運行，難以有效跟蹤。隨著 API 資產的不斷增長，資產梳理和管理愈發困難，企業無法清晰 API 資產的安全現狀。(2)API 敏感數據泄漏，異常調用風險大通過 API 接口，

147、數據信息在用戶與企業之間進行流通和交互。但由于缺乏有效的監測手段，難以及時發現 API 接口在數據傳輸過程中是否攜帶敏感信息或存在異常調用的情況。(3)API 敏感數據分級分類困難為實現對 API 數據實現全方位的管控，必須優先解決 API 敏感數據的分類分級難題。然而，由于業務數據中敏感數據的多樣性、分類標準的復雜性以及分級策略動態調整的需求，這一過程也面臨諸多挑戰。(4)API 新興威脅難以防護API 的開放使用模式使網絡邊界逐漸模糊，增加了風險傳導路徑，擴大了網絡攻擊面，API 業務也逐漸淪為黑客重點攻擊目標。傳統的防護邊界和手段難以應對當前業務模式下 API 面臨的各種新興威脅。例如，

148、利用高級自動化工具對 API 惡意調用、通過正常業務接口實施撞庫攻擊和數據竊取等。案例研究API 安全技術應用指南685.2.2 方案介紹根據需求，瑞數信息通過瑞數 API 安全管控方案，為用戶打造了集“發現-檢測-分析-防護”能力于一體的 API 風險管理能力。如圖 42 所示，方案以 API 資產管理為重點，以 API 安全審計為核心，幫助企業實現自動發現 API 資產、檢測安全攻擊、識別請求中的敏感數據、監測運行狀態、審計訪問行為以及識別應用缺陷等風險管理能力。該方案也進一步提供了安全審計報告，全面透視 API 數據安全的整體情況，為系統化聯防聯控提供支撐。圖 42 方案框圖該案例中的關

149、鍵技術包括以下 4 個方面：（1）應用數據建模和流量分析技術進行 API 資產管理基于數字建模技術，系統能夠自動識別被保護站點的 API 資產。流量分析，自動發現流量中的 API 資產和敏感接口，并將 API 按域名進行分組管理，指派相應的責任人和部門，實現數據的分權管理。（2）API 數據透視通過可視化的 WEB 視圖，詳細展示當前 API 治理情況，透視 API 數據安全現狀。包括 API 資產管理、API安全防護、API 異常行為、API 敏感信息監測情況等。（3）敏感數據分級根據運營商的行業規范，系統內置了電信行業數據分級模板。通過敏感數據自動分級、自定義敏感信息的級別，快速為不同敏感

150、等級的數據制定適用的 API 數據安全策略。案例研究API 安全技術應用指南69（4）API 攻擊防護在攻擊防護方面，采用了智能規則匹配及行為分析的智能威脅檢測引擎，持續監控并分析流量行為，有效檢測威脅攻擊。同時，運用語義分析和流量學習技術，精準、快速識別各類漏洞利用、Bot 攻擊行為，對 API請求參數和邏輯調用順序進行檢測，有效應對諸如爬蟲、撞庫等各類針對 API 的威脅。該案例中業務系統部署在傳統 IT 系統環境中。API 安全管控系統在部署中，采用了南北向反向代理模式，并采用了集群模式實現高可用性。圖 43 部署拓撲5.2.3 方案價值防護期間，API 安全管控系統梳理并確認 1500

151、 多個 API 資產。其中，被攻擊資產 730 多個，發現攻擊事件 4800 多起。數據安全管理方面，識別到 400 多個資產存在敏感數據，敏感資產占比達到 26.6%。該方案在為企業提供應用價值的同時，也為企業提供了如下兩個創新點：（1）全方位的威脅發現和自我提升告警準確性的能力系統通過預置的 20 多種常用的業務威脅模型和違規記錄進行訓練，同時結合隨機采集的信息組合建模，可以同時檢測已知違規行為和未知異常行為，識別或阻攔絕大多數批量惡意請求，實現對異常行為的全面監測，告警準確率達到 80%，并具備自我提升告警準確性的能力。（2）先進的敏感特征識別能力采用機器學習和 AI 判斷算法，結合多種

152、類的敏感數據識別策略，能夠全面覆蓋運營商行業幾十種常見敏感數據類型。針對不同業務的特點，提供自定義標簽功能，讓敏感數據的識別更加精準和貼合實際需求。5.2.4 案例點評【安全牛點評】該方案采用了反向代理的部署模式，實現了“發現-檢測-分析-防護”一體化。注重訪問控制和風險防護能力結合、先進的智能化防護技術應用及行業特性的融合，充分體現了全方位、集中化、細粒度的訪問控制管理能力。是南北向 API 網絡訪問控制的典型應用方案，值得借鑒和推廣。案例研究API 安全技術應用指南705.3 金融行業云原生 API 安全體系建設案例案例來源：奇安信科技集團股份有限公司5.3.1 項目背景近年來，隨著金融科

153、技的快速發展，API 已成為金融行業不可或缺的技術基礎設施。然而，API 的廣泛應用也帶來了新的安全挑戰。為了應對這些挑戰，監管機構相繼出臺了一系列規范和要求，以加強金融行業 API安全建設。特別是關于金融行業標準加強商業銀行應用程序接口安全管理的通知和關于系統查詢漏洞導致客戶信息泄露風險的提示通知分別從安全要求和風險排查兩個方面提出了 API 安全要求。在監管政策的推動下，金融行業 API 安全建設成為一項重要而緊迫的任務。某銀行在數字化轉型的大背景下，積極構建金融操作系統（云原生場景），不僅實現內部服務的高效運作，還積極連接外部服務，將金融操作系統從內部企業級向跨界生態級延伸。該機構的業務

154、系統采用微服務架構，部署涉及 200 多個容器節點，服務之間通過 API 進行數據傳輸，東西向和南北向流量總和達到 30Gbps。面對如此復雜的系統架構和高流量環境，該銀行在 API 安全建設方面面臨以下三大痛點：(1)監管合規風險：金融監督管理總局定期掃描暴露在互聯網側的 API 接口，以發現潛在的安全風險。該銀行擔心因 API 安全問題而被監管單位通報，這成為當前亟須解決的主要痛點。(2)敏感數據泄露風險：特別是在 HW 活動中，擔心 API 接口遭受攻擊，并導致敏感數據泄露。如何快速發現并處置異常復活的 API 接口，以及有效防止敏感數據泄露，是該行面臨的另一個主要挑戰。(3)商譽和經濟

155、損失風險：銀行對外暴露了大量 API 接口，如果因 API 安全問題導致客戶信息泄露或服務中斷，不僅會影響銀行的商譽，還可能帶來嚴重的經濟損失。為了應對以上痛點，該銀行依照云原生技術架構模型及業務開放模式，制訂了以下 API 安全建設目標：(1)針對云原生對外服務模式，建設強大的 API 安全防護能力；(2)針對云原生內部微服務之間的業務調度模型，建設全面的 API 安全檢測能力；(3)基于云原生 API 全生命周期安全管理理念，建設統一、高效的 API 安全運營管理平臺。5.3.2 方案介紹根據用戶需求和云原生環境的特點，奇安信采用“發現-檢測-分析-響應”的方法論，構建一套閉環的、持續監測

156、和響應的 API 安全監測體系。該體系由三個核心組件組成：案例研究API 安全技術應用指南71(1)API 安全引流插件 該組件對 API 資產進行識別，實時檢測 API 攻擊行為和敏感數據傳輸情況。同時，將檢測到的告警信息和審計日志實時上報至 API 安全檢測分析系統。(2)API 安全檢測系統 對來自引流插件的流量采用 API 資產識別、API 漏洞攻擊檢測、API 敏感數據泄漏檢測、API 行為審計的技術進行檢測，生成 API 資產識別日志、API 業務流量日志和 API 威脅告警日志及敏感數據傳輸告警日志上傳至 API 安全分析與管理平臺進行大數據關聯分析。(3)API 安全分析與管理

157、系統 實現針對 API 安全檢測系統和 API 防護系統的集中管理能力。同時，采集API 安全檢測系統上傳的 API 資產識別日志、API 業務流量日志及 API 告警日志，運用大數據關聯分析技術進行 API 暴露面的梳理、API 威脅事件、API 敏感數據泄露事件的歸并能力以及 API 異常行為的發現。方案采用了 API 資產識別、API 資產打標、API 資產聚合、攻擊威脅檢測、敏感數據傳輸檢測、異常行為分析等技術。能有效針對 API 全生命周期進行監控，識別出活躍、失活、復活、僵尸、已下線的資產。此外，還引入了專注于監測失活轉復活的 API 監控機制，能夠智能判斷 API 接口的復活是正

158、常行為還是異常行為。為進一步構筑了全方位的 API 安全防護體系，項目實施中部署了相關策略使 API 安全管理系統實時監測容器云環境中的東西向流量，精準識別潛在風險和隱患；將全量的網絡行為數據都以標準化格式存儲在 API 安全管理平臺中，便于后續分析和審計。此外，在閉環管理方面，針對外部攻擊威脅，系統以告警和 API 安全事件的方式實時推送至日志服務器和 SOC 運營管理平臺，實現安全事件的集中管理和響應；對于軟件自身缺陷，利用工單系統反饋至開發側，完成軟件缺陷整改。拓撲如圖 44 所示。圖 44 部署拓撲示意圖項目建設中，部署了一套功能強大的 API 安全管理平臺，配合 6 套可容器化部署的

159、 API 安全檢測分析系統，以及 200 個與管理平臺無縫對接的 API 安全引流節點。由于云原生環境的復雜性，管理平臺采用物理機部署在運維管理區域，提升上線速度與穩定性；檢測分析系統以虛擬化方式部署在云宏信創云，做到對業務影響最??；API 引流節點部署在信創物理機，與容器解耦。案例研究API 安全技術應用指南725.3.3 方案價值首先，方案幫助用戶構建了 API 資產全景圖，清晰地梳理了內網和外網訪問的 API，減少企業 API 的暴露。顯著降低用戶被監管部門通報的風險，保障了企業的合規性和聲譽。其次，方案為用戶提供了針對僵尸 API 異常復活的監控能力。一旦發現因攻擊或異常訪問而復活的

160、API，系統會立即發出警報，提醒用戶及時處置。這一功能可以有效防止敏感數據泄露的情況發生，為企業的數據安全提供了堅實的保障。最后，方案幫助用戶構建了整體的 API 安全防護體系，實現了 API 安全左移和風險閉環的目標。通過將安全措施前移到開發階段，并建立起完善的風險響應機制，用戶可以最大限度地降低 API 安全風險，提升整體安全水平。5.3.4 案例點評【安全牛點評】該方案通過可分布部署的組件為云計算系統構建了一個 API 資產安全集中監管的體系，同時遵循了安全一體化建設的思想，聯動云安全運營平臺實現了集中的風險防護和閉環處置。方案注重 API 資產梳理及其活動狀態的管理，建設中不僅考慮了安

161、全組件在云環境中的適配性，還充分運用了云原生的資源優勢對 API 安全監管體系進行云原生化改造，提升方案的可擴展性、性能和可用性，滿足云上 API 不斷擴增的監管需求。案例研究API 安全技術應用指南735.4 API 安全監測系統助力醫療企業數據安全防護的案例案例來源：北京芯盾時代科技有限公司5.4.1 項目背景隨著數字化時代的到來，API應用日益廣泛。但因其攜帶大量敏感數據，也帶來了安全性風險、數據隱私問題。為應對這一挑戰，國家出臺了數據安全法個人信息保護法等法律法規要求企業在數據處理活動中加強風險監測工作，及時判定企業的 API 是否存在風險。醫療行業是一個業務系統高度復雜的領域。某三甲

162、醫院在智慧醫院的轉型過程中，醫院引入了大量的在線業務系統，如電子病歷、體檢系統、在線掛號、電子化平臺等。根據智慧醫院建設標準，這些系統需要實現互聯互通提高醫療服務的效率和質量。然而，這也意味著不僅會有更多的 API 接口數據暴露到互聯網中，并且與傳統數據中心的單點調用相比，東西向接口和南北向接口的開放也導致攻擊面進一步擴大。為保護患者隱私和醫療數據安全，醫院亟需加強 API 安全建設。建設難點包括：（1）API 資產梳理難 醫院老舊醫療設備眾多，業務流量巨大，并且歷史系統缺乏管理、跨院區安全防護難以協同，API 資產難以梳理全面。（2）漏洞風險防護難 API 中存有大量的漏洞隱患，每個漏洞都有

163、可能被黑客利用導致系統癱瘓，但醫院內部系統復雜，東西向接口和南北向接口的數量巨大。傳統防護能力難以應對 API 接口的漏洞風險。（3）數據泄露防護難 醫療數據涉及大量的患者隱私，企業缺少敏感數據防泄漏和安全防護能力。5.4.2 方案介紹針對該三甲醫院所面臨問題，芯盾時代基于 API 安全監測系統構建了一套面向醫療行業的 API 安全防護解決方案。該方案依據網絡安全法數據安全法個人信息保護法關鍵信息基礎設施安全保護條例等法律法規，以及醫療行業的醫療衛生機構網絡安全管理辦法醫院智慧管理分級評估標準體系等要求。如下圖所示。方案運用了大數據處理的系統架構，保證其能擁有高性能流量解析能力、高精度 API

164、 資產識別能力、高覆蓋度安全風險識別能力，滿足醫院巨大業務流量環境下的數據安全風險識別和威脅分析工作。該架構包括流量獲取、數據預處理、業務數據緩存、流量分析、資產分析、安全分析、安全配置管理等核心模塊。案例研究API 安全技術應用指南74圖 45 系統架構方案在資產梳理、漏洞管理、攻擊監測和敏感數據識別方面的技術特點，如下：（1）API 資產梳理方面 API 安全平臺能夠基于結合機器學習的 API 流量基線與自主研發的劃分引擎，自動、持續發現 API 資產，對 API 進行分類，以功能、應用等多種維度聚合同類 API，形成分類明確、路徑清晰的 API 資產樹，讓企業的 API 資產各歸其類，一

165、眼即明。平臺支持多文件導入，便于新應用、新版本 API 資源的快速上傳，與 API 自動發現形成互補，讓企業的 API 資產管理更規范。（2）API 漏洞管理方面 基于豐富的 API 漏洞庫，API 安全平臺能夠自動檢測 API 安全漏洞，對漏洞進行分析、定級，給出可行的漏洞修補方案，實現對漏洞的閉環管理。借助漏洞檢測功能，企業可以未雨綢繆，按照先高風險等級、后低風險等級的次序修補漏洞，降低被攻擊的可能性。平臺支持 OWASP API TOP 10，以及Web 漏洞的檢測，支持漏洞庫的持續升級。（3）API 攻擊監測方面 API 安全平臺能夠實時監控 API 訪問情況，分析流量數據，通過內置的

166、 API 威脅模型識別賬號暴力破解、未授權訪問等風險行為，通過機器學習技術對攻擊進行建模、學習，持續擴展對攻擊案例研究API 安全技術應用指南75行為的檢測能力，智能識別更多種針對 API 的新型攻擊，精準地發出攻擊報警。安全人員可借助平臺對攻擊進行分析、溯源，實現對 API 風險行為的全生命周期管理。（4）敏感數據感知方面 API 安全平臺內置敏感數據檢測引擎，覆蓋姓名、手機號、身份證、銀行卡號等敏感數據類型。安全人員可自定義敏感數據識別規則，實時洞察 API 接口中雙向傳輸的敏感數據，并及時對報文中的敏感數據進行脫敏處理。平臺支持對敏感事件的訪問取證，安全人員可對敏感數據進行追蹤溯源，提升

167、對數據的管控能力。項目建設分為兩個階段：第一階段，通過基礎設施搭建和系統對接，構建系統運行環境并開展安全分析工作。在醫院工作人員配合下將探針部署在網絡拓撲關鍵節點上，完成流量接入。同時，針對醫院網絡實際情況調整資產解析、發現策略，更新安全策略和防護配置，保障業務分析的有效性。第二階段，根據用戶反饋、系統運行狀況進行系統優化、模型調優和功能升級。系統穩定運行一段時間后，芯盾時代派出安全分析專家和研發工程師對系統數據進行分析，調整資產發現策略、異常行為分析模型、風險識別模型，對于所發現的上百起風險事件進行處置和上報，協助該醫院進行漏洞修復和問題排查。在后期維護階段，按照合同約定，芯盾時代公司定期派

168、安全專家和研發工程師為用戶進行系統調優、策略優化、異常問題修復，并協助進行威脅分析與安全監測。對期間發現多起安全攻擊和數據泄露事件，進行處置或修補漏洞。5.4.3 方案價值（1）海量流量下高精度 API 資產梳理能力針對海量流量解析需求，通過自主研發的高性能網絡探針技術，實現了對捕獲網絡流量的快速解析和精準分析。采用自適應的 API 接口地址聚合和智能應用識別算法，支持多種接口協議類型，具備自動發現與動態管理 API 資產的能力。特別是在應對陳舊系統遺留的 API 資產問題上，該技術能夠全面梳理和整合歷史遺留的API 資產，為后續的安全管控、風險治理及運營優化提供了精準而可靠的數據支持。（2）

169、強大的 API 資產行為監測和風險識別能力系統內置超過千種 API 脆弱性識別策略，融合了調用地址、參數的語義與結構信息，以及調用行為序列特征，通過生成對抗網絡（GAN）數據增強技術與圖對比學習（GCL）算法的深度結合，顯著提高了異常識別的精度和適應性。依托高質量高時效威脅情報，能夠精準定位 API 資產中的安全薄弱環節，識別復雜場景中的潛在風險，確保企業 API 資產在安全性、合規性上的持續優化與強化。案例研究API 安全技術應用指南76（3）實時 API 資產安全監測與合規審計能力系統引入圖自編碼器（GAE）算法對 API 調用行為進行低維嵌入表示，確保系統能夠快速、精確地捕捉敏感訪問和異

170、常訪問行為。結合弱監督對比學習（WCL）模型，系統能夠有效識別數十種異常訪問模式及敏感數據傳輸類型，為該醫院提供全面且高效的安全態勢感知能力。同時，支持細粒度的合規審計要求，保障 API 資產在各類復雜業務場景下的合法合規性。5.4.4 案例點評【安全牛評】方案重視運營專家的作用，采用了 API 系統建設和 API 安全運營同步落地的模式。也讓我們進一步意識到，API 安全建設是一個持續的過程，僅僅依靠系統的落地是遠遠不夠的，持續的安全運營才是保障 API 安全的關鍵。這種模式不僅適用于醫療行業，也為其他行業的 API 安全建設提供了很好的參考和借鑒。案例研究API 安全技術應用指南775.5

171、 移動應用環境的 API 安全能力建設案例案例來源：北京安勝華信科技有限公司5.5.1 項目背景隨著移動互聯網的快速發展，移動應用（APP）已成為企業開展業務的重要渠道。電力公司在電力繳費方面也在不斷創新，開發各種移動應用繳費業務，給用電用戶提供更好的服務體驗。例如，電力公司 APP 繳費、微信繳費、支付寶繳費、銀行代扣繳費等。由于電力繳費業務涉及用戶信息和資金交易等高價值數據，多樣化的繳費方式也給客戶帶來了各種新的安全風險，包括：（1）業務前端攻擊風險近年來市場上出現了針對移動應用的各種高級逆向工程技術，如：自動化脫殼、定制 ROM、框架軟件、Hook 攻擊等，正在使原有的安全加固防護手段失

172、效，導致 APP 關鍵業務邏輯代碼泄露。進而，攻擊者通過代碼邏輯分析挖掘到可利用的業務邏輯漏洞，就可能攻擊充電業務、盜取用戶數據；或者重新二次打包一個假冒的 APP，發布到互聯網上，給用戶造成較大的影響。（2）交易業務篡改風險該移動應用中存在資金交易業務，容易遭受網絡攻擊、用戶賬戶被盜刷、交易金額被篡改，給個人及公司的都帶來了較大的損失。（3）業務欺詐風險為了推廣公司業務，繳費業務場景中也會出一些營銷活動，發放一些優惠券、積分獎勵等等。這部分活動經常會遭到黑灰產團伙的攻擊，將原本給到真實用戶的福利以薅羊毛的形式獲取走。（4）充值繳費接口業務邏輯被利用風險在移動應用的設計中，用戶身份驗證與關鍵業

173、務操作（如充值繳費）的接口必須緊密關聯，形成完整的安全閉環。但如果用戶身份驗證與充值繳費的接口脫節，并且認為用戶認證通過后，就無需對充值繳費的接口再次進行認證，即充值繳費的接口中并未帶有用戶認證成功后的權限認證信息（未鑒權），充值繳費的接口就可直接被黑灰產利用，作為其洗錢的手段。然而，傳統的安全防護手段難以有效應對移動互聯網環境下電力公司面向移動端、API 接口開放繳費的業務模式以及各種優惠促銷的繳費場景，亟須建設專業的 API 業務安全防護能力。案例研究API 安全技術應用指南785.5.2 方案介紹安勝華信基于自身的技術優勢，通過 API 業務安全平臺搭建數據分析的底座平臺，建設了一套“安

174、全工具+安全運營+安全管理”三位一體、互為支撐的業務安全風險運營體系。API 業務安全平臺，匯聚了終端運行數據、業務流量數據，進而針對不同的業務形態進行綜合分析，為整體安全監測提供細顆粒度的分析依據。同時，采用可信識別（終端、業務、數據等安全要素的）和建模技術構建場景化的業務訪問邏輯，形成從前端用戶到數據及業務處理的全鏈路安全分析能力。圖 46 平臺系統框圖該平臺包括四個核心能力：（1）客戶端風險采集在應用客戶端，集成小程序/H5前端SDK。通過SDK可以生成唯一設備指紋信息，識別訪問終端唯一設備，采集終端運行環境數據，監測客戶端的運行環境風險，如：使用 ROOT 設備、使用代理訪問、代碼被調

175、試分析等攻擊風險。（2）異常訪問行為分析在業務后臺，通過分析業務流量，監測訪問異常的業務請求，如：越權訪問，認證業務邏輯被繞過，充值繳費行為異常，業務訪問序列異常等，實時發現安全風險。（3）業務風險模型構建通過 API 平臺自定義繳費的業務場景，對 API 的接口進行業務場景關聯和鏈路分析，建立充值洗錢賬戶的案例研究API 安全技術應用指南79風險模型：如調用繳費接口前必須完成用戶認證并且接口響應結果為成功、繳費 API 必須帶有認證權限信息、同一賬戶短時間內多次小額為多個用戶充值等風險模型，通過自定義規則模型的建立，及時識別和防范黑灰產利用繳費 API 完成資金洗白的風險。（4）平臺化風險管

176、理通過平臺構建技術工具，為數據識別、終端識別、風險分析，風險處置提供基礎工具；從運營的角度定義資產、定義業務、分析風險，從設備、IP、用戶等不同身份維度分析不同場景中涉及的業務安全風險；從管理的角度對運行狀態的管控、業務的管控、合規的定義、風險的定義提供上層支撐。通過運營機制對風險模型不斷優化，對已有數據進行風險數據挖掘，風險模型優化，建立長期的風險運營閉環處置機制。該項目需要前后端同步部署以全面收集風險數據。實施中，采用了分布式采集，統一管理的部署模式。整個建設過程分為兩個階段：第一階段，部署旁路分析能力，實現風險識別和風險監測；第二階段，在風險監測基礎上，實現 API 風險阻斷。目前第一階

177、段已經建設完成，第二階段正處于規劃當中。（一）前端部署，主要在應用軟件客戶端嵌入 SDK 探針的方式采集客戶端的環境風險。（二）后端部署，是在后端服務器機房以旁路部署 API 業務安全平臺的方式采集 API 訪問流量。在現場，用戶業務系統分布在 3 個不同的機房。結合機房環境和業務分布情況，在互聯網大區，采用了 4 臺標準信創服務器來部署 API 業務安全平臺，然后通過交換機鏡像方式將分布的業務流量牽引到平臺。策略實施過程中，為保障項目穩妥推進，分成數據安全和業務安全 2 個步驟逐步實施。第一步：基于 API 安全構建數據安全能力。通過資產梳理，API 弱點發現及閉環整改，敏感數據流動監測，敏

178、感信息泄露風險發現功能，建立常態化精準告警機制。最終形成 API 資產臺賬，API 弱點整改臺賬，敏感信息流動臺賬，以及敏感信息泄露告警規則。其中，敏感信息泄露告警規則需要運營人員的精細化運營，逐步精確。告警量由前期的一天幾千條下降到一百條以內，并且 80%以上屬于有效告警，運營人員的平均運營時間由前期的每天 4 小時以上下降到 1 小時以內。第二步：基于 API 安全構建業務安全能力。API 業務安全平臺在業務風險識別時，結合了鏡像訪問流量和SDK 探針從客戶端采集的設備信息及環境風險信息，進而通過關聯數據分析建立多樣化的業務風險模型。通過前期的精細化運營，最終形成了多個場景化業務安全風險模

179、型，和常態化有效告警規則及運營機制，運營人員平均每天的處理時間控制在半小時以內。案例研究API 安全技術應用指南805.5.3 方案價值（1）提供了全渠道應用前端的風險感知能力通過全應用探針技術，實現全渠道應用前端風險感知。能夠實時感知 H5，公眾號，小程序，Web 應用等全應用形態面臨的安全風險，及時發現如手機 Root，越獄，模擬器，自動化瀏覽器，網絡代理，惡意插件等惡意訪問行為；同時具備前端設備標識能力，結合網絡身份以及用戶身份，解決 API 訪問身份識別難題，為細粒度 API 防護創造必要條件。（2）實現了業務層面的 API 資產管理能力通過自動化技術手段，對在線業務 API 進行全面

180、資產梳理，根據其運行時參數及業務數據敏感度定義 API屬性，標記 API 所屬的系統、網絡，終端環境、業務類型、內部/外部 API 等，對 API 進行自動化分類和標簽化管理。API 資產梳理是 API 安全建設的第一步，是 API 運行時安全防護的基礎。同時通過 API 梳理，能夠發現有漏洞的 API，提供整改建議，不能及時整改的，制定重點防護策略。（3）建立了運行時的訪問風險監控能力建立 API 運行安全基線，從設備，網絡，用戶以及訪問參數各個維度對含敏感信息的 API 進行運行時風險監控，形成有效告警機制，建立細粒度防護策略，防止數據泄漏。5.5.4 案例點評【安全牛點評】該方案側重移動

181、 APP 環境中 API 資產安全管理，并結合了 API 風險、數據風險和業務風險的特征，提出“三位一體”的業務風險運營理念。方案注重場景化風險特征挖掘和創新型風險分析方法應用，是移動APP交易場景下API安全的典型解決方案。對保障移動 APP 的業務安全和數據安全具有重要的借鑒意義。新興技術對 API 安全的影響API 安全技術應用指南81第六章 新興技術對 API 安全的影響目前階段，盡管市場上 API 安全方案不斷地推陳出新，但 API 安全的市場模式仍處于探索階段。在建設中，識別、檢測、防護等核心能力仍然面臨不同程度的技術挑戰，風險處置自動化能力也有待提升。從 API 技術成熟度演進的

182、視角來看，安全牛認為零信任、人工智能、大數據，以及云計算四類新興技術在快速發展的同時也將會進一步賦能 API 安全，并在提升 API 風險檢測的精準度、覆蓋度和自動化防護處置能力方面提供助力。圖 47 對 API 有顯著影響的新興技術6.1 零信任技術零信任“從不信任，始終驗證”的數據安全訪問理念，也是 API 安全的重要思想?；诹阈湃卫砟畹囊陨矸轂橹行?、持續驗證、權限最小化、動態訪問控制、數據加密等技術，都將顯著提升 API 訪問過程中身份驗證和授權的嚴格程度，實現更精細化的風險管控，有助于 API 網關類產品更有效地應對 OWASP TOP10 列舉的各種 API 風險，滿足數據安全領域

183、日益提高的精細化防護控制要求。此外，零信任安全強調持續的安全監測和風險評估。對 API 的調用情況需要實時監控，及時發現異常行為和潛在威脅。這就要求 API 安全策略的自動化配置和管理，減少人工干預，提高安全響應速度。同時，API 安全還需要與身份管理、威脅情報、安全分析等系統緊密集成，共享安全上下文，實現全面防護?？傊?，零信任安全理念推動企業重新審視和設計 API 安全架構，從傳統的邊界防護轉向更全面的縱深防御。企業需要運用零信任理念升級 API 安全策略和技術，提高 API 安全的嚴格性、精細度、自動化和智能化水平，以適應日益嚴格的零信任安全環境需求。新興技術對 API 安全的影響API

184、安全技術應用指南826.2 人工智能（AI）和機器學習（ML）API 風險特征復雜并且夾雜了很多新型攻擊手段，傳統的基于規則的安全檢測方法會產生大量漏報，難以全面識別各類 API 風險。需要大量依賴語義分析、行為分析、風險建模等新型檢測技術，AI 和 ML 在這些方面發揮了重要的作用。AI 和 ML 通過對 API 調用模式的學習，可以建立正常行為基線，及時發現潛在的 API 濫用和攻擊；通過學習用戶的正常行為，識別出異常用戶活動，自動化攻擊行為等，從而實現更精準的風險控制。ML 根據多維度的數據，如 API 調用參數、用戶屬性、設備信息等，對每個 API 請求進行實時風險評分，發現新的威脅模

185、式，如新型的 API 攻擊手法，幫助企業快速響應新出現的安全威脅。此外，AI 和 ML 還可以通過分析 API 的設計、實現和使用模式，自動發現潛在的安全漏洞，如未授權訪問、數據泄露等。這可以幫助企業在 API 開發和部署過程中及早發現和修復安全問題。語義分析、行為分析、風險建模方面的能力等新型檢測技術彌補了傳統規則檢測的不足，提供了更全面、更智能、更精準的 API 安全檢測能力。更有效地幫助企業應對 API 風險特征的復雜性和多樣性。將 AI 和 ML 技術與 API 安全深度融合，將成為企業有效管理 API 風險的關鍵舉措。6.3 大數據技術隨著 API 的廣泛應用，API 調用產生的數據

186、量呈爆炸式增長。傳統的安全分析方法難以有效處理如此龐大的數據規模。大數據分析技術憑借其處理海量異構數據的能力，在數據處理、復雜關聯分析、用戶行為分析、異常檢測、風險預測、安全態勢感知等方面顯著提升 API 安全的全面性、精準性和智能化水平。企業應積極采用大數據分析技術，構建 API 安全大數據平臺，挖掘安全數據價值，實現對 API 安全的全方位感知和防護。6.4 云計算和容器化技術云計算和容器化技術的發展給 API 安全帶來了新的機遇和挑戰。隨著企業應用向云端遷移，云原生API安全能力變得越來越重要，云原生API安全需要考慮API的云端暴露、多租戶隔離、動態調度等特性，提供與云環境深度集成的安

187、全解決方案。容器化環境下，需要重點關注容器間新興技術對 API 安全的影響API 安全技術應用指南83API 通信安全、細粒度訪問控制、服務網格安全和 API 可觀測性等方面。同時，服務網格等新興技術也為微服務架構下的 API 安全提供了新的解決方案，如通過 sidecar 代理攔截微服務間的 API 調用，為應用層 API 提供統一、一致的安全保護。這要求企業需要采用云原生安全最佳實踐，積極擁抱服務網格等創新技術，構建全方位的 API 安全防護體系。參考資料API 安全技術應用指南84參考資料【1】國家標準委.GB/T 35273-2020 信息安全技術 個人信息安全規范.2020-03-06【2】工業和信息化部.YDT 4248-2023 電信網和互聯網 API 數據安全技術要求和測試方法.【3】中國人民銀行.JRT0185-2020 商業銀行應用程序接口安全管理規范.2020-02-13【4】李鑫.微服務治理：體系、架構及實踐.北京：電子工業出版社.2020-05【5】OWASP 基金會.OWASP 安全編碼規范快速參考指南.2010【6】Forrester.The Eight Components of API Security.2023-09-23【7】Gartner.Hype Cycle for Application Security.2024【8】https:/