为发展金融信创以保障金融行业本质安全,联动深圳、上海两地金融人才交流、促进行业信创实践落地,8月4日,“2023沪深金融信创发展与推进专题闭门研讨会”在上海圆满落幕。
瑞数信息高级安全专家仇敏华发表《信创环境下针对API的安全审计及治理对策》主题演讲
本次会议基于数字经济蓬勃发展的背景,结合我国关键领域核心技术严重依赖海外厂商的问题,邀请到了包括银行、证券、基金、信托等金融行业的专家及领导参会,针对解决金融产业关键技术环节“卡脖子”问题,吸取各企业发展金融信创的经验进行交流分享及专题研讨。
API安全问题严峻
在“万物皆可API”的时代,通过API快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时,API承载着越来越复杂的应用程序逻辑和越来越多敏感数据的特征,也使得API成为黑客攻击的重点目标。
当前,API应用广泛、业务逻辑复杂、涉及数据量大,一旦发生安全事件,可能给政府、企业、用户带来严重影响。《网络安全法》《个人信息保护法》《数据安全法》正式施行带来的合规监管压力,也促使企业必须加强API安全建设,保障数据安全。
瑞数 API 安全审计系统
(API SecAudit)
对此,瑞数信息推出瑞数 API 安全审计系统(API SecAudit),以API资产管理为重点、API安全审计为核心,帮助企业自动发现API资产、检测API安全攻击、识别API请求中的敏感数据、监测API运行状态、审计API访问行为、识别API应用缺陷,提供丰富的API安全审计报告。
瑞数 API 安全审计系统
(API SecAudit)产品功能
01 API资产自动发现
通过对API流量分析,自动发现流量中的网站、端口、API资产和敏感接口,支持自定义 API接口规则,快速、精准地进行API接口自动识别、API接口样式提取并提供API接口可视化展示,支持API接口分类、分组并指派责任人,实现数据分权管理。
02 API安全攻击检测
对API接口进行检测和监控,以发现和防范针对API接口的安全攻击。系统从海量访问中快速发现和定位安全风险事件,覆盖OWASP API Security Top10,支持API异常行为检测和参数合规检测,快速应对诸如爬虫、撞库等各类API业务安全威胁。
03 API敏感数据监控
内置敏感数据检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等超多上百种敏感数据类型,内置电信和金融行业数据分级,支持敏感数据自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码等数据泄漏风险,对API接口传输的敏感数据进行记录、分析和审查,以保证敏感数据的安全传输。
04 API运行状态监控
对API接口的运行状态进行实时监控和管理,包括对API接口的可用性、响应时间、错误率等指标进行监控和分析。通过API运行状态监控,可以及时发现和解决API接口的问题,保证API的稳定性和可靠性,提高系统的可用性和性能。
05 API访问行为审计
对API接口的访问行为进行监控和审计,包括对API接口的请求、响应、参数和返回值等进行记录、分析和审查。建立API访问基线,识别偏离基线和异常的访问行为,如:高频访问、内网应用访问互联网等;同时,自动识别Bot访问行为,对Bot类型进行分类,更有效地实现访问行为审计,从而及时发现和解决问题,保证API接口的正常访问。
06 API应用缺陷识别
API应用缺陷指的是在API应用中存在的安全问题,如未鉴权、明文密码、脱敏策略不一致等。瑞数API安全审计系统内置API应用缺陷检测模板,通过流量分析和检测,发现和识别 API应用中的缺陷问题,从而方便开发部门及时进行修复和优化。瑞数API安全审计系统可以全面、系统地对API应用进行缺陷识别,内置应用缺陷处理工作流,帮助企业提高API应用的安全性。
07 API安全审计报表
系统提供了丰富的API安全报表,通过内嵌的报表功能为用户提供API安全专项报表,如 API风险总览、API攻击报表、API缺陷报表、API敏感数据报表等。
API安全审计报表可总结和分析API接口的安全状况和存在的安全风险,同时提出改进和优化建议,以保证API接口的安全性和可靠性。通过对API接口的安全性进行审计并生成报表,可以及时发现和解决API接口的安全问题,提高系统的安全性和可靠性。
