由通付盾自主研發(fā)的“API安全訪問管理系統(tǒng)”榮獲公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》（以下簡稱“安全專用產(chǎn)品銷售許可證”）。安全專用產(chǎn)品銷售許可證要求在中華人民共和國境內(nèi)的網(wǎng)絡安全專用產(chǎn)品進入市場銷售之前，必須申領該銷售許可證。由公安部計算機管理監(jiān)察部門對產(chǎn)品進行安全功能的檢測和認定。該安全專用產(chǎn)品銷售許可證具有很高的市場準入權威性。

當前API面臨的安全問題

API經(jīng)濟已經(jīng)成為數(shù)字化轉型的重要趨勢。越來越多的組織將API作為一種商業(yè)模式，向外部開放API以便與合作伙伴和開發(fā)者進行集成。目前針對API的攻擊幾乎遍布各個行業(yè)，其中金融、政務平臺、游戲行業(yè)等依然是攻擊者主要目標。無論是從API攻擊的整體趨勢，還是對企業(yè)以及用戶的影響，都是不容樂觀的。但是API架構的安全并未得到足夠的重視，API安全風險所能帶來的后果不可小覷。API安全面臨的風險主要包括以下兩個方面：

1、業(yè)務風險

（1）身份認證和訪問控制：如果身份認證和訪問控制不夠嚴格，可能會導致數(shù)據(jù)泄露、非法訪問等安全問題。

（2）惡意攻擊：API容易受到各種類型的惡意攻擊，如跨站腳本攻擊（XSS）、跨站請求偽造（CSRF）、SQL注入等。這些攻擊可能導致數(shù)據(jù)泄露、數(shù)據(jù)破壞和系統(tǒng)癱瘓等嚴重后果。

（3）第三方庫和組件的安全性問題：API使用的第三方庫和組件也可能存在安全漏洞，需要進行安全審查和測試，確保API整體的安全性。

（4）缺少安全審計和日志記錄：API需要實現(xiàn)安全審計和日志記錄功能，及時發(fā)現(xiàn)并處理安全問題。安全審計和日志記錄可以記錄API的使用情況、操作行為和異常情況等信息。

2、合規(guī)風險

（1）合規(guī)性管理問題：API需要符合法律法規(guī)和行業(yè)標準。在API設計、實現(xiàn)和使用過程中，需要考慮隱私保護、數(shù)據(jù)安全、數(shù)據(jù)使用權限等方面的合規(guī)性問題。

（2）數(shù)據(jù)泄露：API需要確保數(shù)據(jù)在傳輸和存儲過程中的安全性和隱私性，以防止數(shù)據(jù)泄露、數(shù)據(jù)篡改等風險。數(shù)據(jù)保護的措施包括加密傳輸、數(shù)據(jù)脫敏、安全存儲等。

?

通付盾零信任API安全訪問管理系統(tǒng)

針對API面臨的威脅，為幫助企業(yè)用戶更好地應對當前API安全挑戰(zhàn)，通付盾基于多年在業(yè)務風險及安全領域的技術積累，推出了通付盾零信任API安全訪問管理系統(tǒng)（ZAM），對API進行全生命周期管理，為企業(yè)提供API的統(tǒng)一接入、訪問認證、數(shù)據(jù)脫敏、安全防護等能力。同時基于決策智能引擎對API資產(chǎn)自發(fā)現(xiàn)、安全隱患監(jiān)測、風險發(fā)現(xiàn)做針對性防范，規(guī)避因API帶來的業(yè)務安全風險及數(shù)據(jù)安全風險。

API安全防護解決方案

通付盾零信任API安全訪問管理系統(tǒng)（ZAM）通過其無代理部署選項快速且無摩擦地融入企業(yè)現(xiàn)有基礎架構，收集整個應用程序中的API流量，展示所有API及其暴露的數(shù)據(jù)，基于廣泛涵蓋OWASP?API風險，業(yè)務邏輯漏洞的掃描引擎，對API及相關服務進行漏洞掃描，進行企業(yè)資產(chǎn)風險評估，以強調(diào)API調(diào)用級別的故障排除和分析，消除易受攻擊的API風險。

○?API資產(chǎn)暴增：自動識別API資產(chǎn)，實時了解目前存活的資產(chǎn)情況；

○?快速迭代無法保證API安全：API風險事件告警，檢測API風險情況；

○?接口缺少維護，引發(fā)多種攻擊隱患：多種攻擊類型識別，添加規(guī)則防護；

○?敏感數(shù)據(jù)泄露：掌握涉敏API數(shù)據(jù)，使用動態(tài)脫敏、加密等措施，降低數(shù)據(jù)泄漏風險；

?

產(chǎn)品優(yōu)勢：

○?全面自動化：自動、持續(xù)的 API 發(fā)現(xiàn)，允許全面了解所有 API、敏感數(shù)據(jù)流和風險狀況。

○?智能化漏洞分析：對API資產(chǎn)進行深度漏洞掃描，支持180+項的漏洞檢測，自動生成風險報告及修正意見。

○?雙引擎防護：在安全規(guī)則引擎進行 OWASP API Top10 防御的基礎上，引入智能決策引擎，通過交叉驗證持續(xù)學習，精準有效捕捉各類常規(guī) Web 攻擊、0day 攻擊及其它新型未知攻擊。

○?高效率、低成本：充分靈活的直聯(lián)/旁路部署模式，支持各種環(huán)境部署方式，與安全WAF等工具集成，提升防護能力。

“沒有網(wǎng)絡安全，就沒有國家安全”，成立十余載通付盾始終不忘初心，堅守品質，重視產(chǎn)品質量、打磨產(chǎn)品各個環(huán)節(jié)，以高品質產(chǎn)品服務客戶。未來，通付盾將繼續(xù)勤耕、深耕、精耕網(wǎng)絡安全行業(yè)，引領創(chuàng)新，不斷優(yōu)化，提供安全高效的數(shù)字化解決方案，為國家數(shù)字經(jīng)濟發(fā)展與國家網(wǎng)絡安全作出更大貢獻。