数据合规之API安全——景生光（18页）.pdf

《数据合规之API安全——景生光（18页）.pdf》由会员分享，可在线阅读，更多相关《数据合规之API安全——景生光（18页）.pdf（18页珍藏版）》请在三个皮匠报告上搜索。

1、数据合规数据合规之之APIAPI安全安全斗斗象科技产品总监象科技产品总监-景生光景生光背景背景现状现状解决方案解决方案背景背景Background01中华人民共和国数据安全法2021年6月相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。JR/T0223-2020金融数据安全数据生命周期安全规范JR/T01972020金融数据安全数据安全分级指南WS371-2012基本信息基本数据集WS376.x-2013儿童保健基本数据集20193254-T-469信息安全技术健康医疗数据安全指南JT/T1224.2-2

2、018交通运输政务信息资源目录GA/T1224-2015地址（房屋）管理信息数据项金融司法公共安全医疗交通物流地产能源行业标准地方标准企业标准国际标准国内标准数据安全法现状现状Current Situation022020年3月，国内某分享和交流平台,3.5亿数据泄露，就是来自于终端APP的业务逻辑API被非法流量调用超过40亿次而导致API非法调用2021年4月，某互联网巨头数据泄露事件导出5.33亿Facebook用户的个人信息在线泄露，涉及国内用户67万，起因为2020年的API安全漏洞；API安全漏洞2018年3月，著名运动服装品牌UnderArmour的数据泄露事件致1.5亿用户信息

3、被未经授权的一方获取，包括用户名、电子邮箱、哈希密码等，消息公布后股价下跌逾4%；API数据泄露2019年12月某大型运营商分公司员工，利用职务便利，非法获取并出卖公民个人信息40万余条，违法所得达260余万。数据贩卖采集传输存储销毁使用API数据滥用API越权使用个人信息泄露企业信息泄露敏感信息泄露商业信息泄露无法保证数据完整性无法保证数据真实性未彻底销毁未完整销毁解决方案解决方案Solution03企业对API安全管理的痛点API资产摸底不清，无法对其进行有效管理无法了解随对API发生的黑客攻击、漏洞利用、出网访问等安全风险无法及时了解老旧、低活跃API，无法识别API访问来源是否合规不能

4、掌握API全局访问规律，出现安全事件后无法进行溯源访问基线分析异常行为分析外部攻击分析资产识别资产目录分类分级资产关系脆弱性分析脱敏状况分析数据泄露分析接口暴露面分析接口认证状况分析API资产画像API资产风险API溯源API资产管理API风险分析敏感数据分析API资产管理风险事件管理分析策略管理风险首页API态势分析系统管理访问日志检索逻辑功能架构图功能模块API资产管理API风险管理敏感数据分析API态势分析对流量数据中的API访问地址进行解析，根据内置的识别策略引擎自动化分析API访问特征，并能够对这些API地址进行自动化归类。支持以人工方式对其进行修改，支持对同一个接口地址不同访问参数

5、进行自动归并。1.系统可以识别的接口类型包括Restful、GraphQL、gRPC等。2.系统支持以API的URL表达式、参数、接口名称等进行资产分组，支持以接口携带的内容分析数据敏感度，以便形成API资产目录。3.系统支持对API基础数据进行统一维护，并根据实际访问情况自动统计和刻画API资产间的关系。对所有API访问行为、特征数据进行综合分析，并对访问来源进行唯一性标识。统计历史访问数据做为比对基准，再利用偏离模型，实时计算出偏离基准数值的访问来源个体、异常群体。访问基线分析用来识别数据批量下载、疑似数据泄露等敏感访问行为。异常行为分析分析应用API遍历、SQL注入、CSRF、慢速攻击等

6、。外部攻击分析分析公共API组件可能存在的漏洞。脆弱性分析对敏感数据进行检测分析，查找敏感数据风险、漏洞及行为，全面深度的应用敏感数据安全检测。对已经做了数据脱敏的应用系统API进行数据内容分析，了解数据包返回过程中是否存在未脱敏、脱敏不完整等问题。脱敏状况分析对访问API服务数据过程中，出现的大批量敏感数据下载、外发、转运等问题进行分析。数据泄露分析对暴露在互联网侧或业务范围以外区域的API资产进行识别管理，并对其进行重点监控和及时预警。接口暴露面分析对接口每次访问过程中可