API防护+高效解密 某市大数据局护航最多跑一次改革

“现在去政府办事，越来越简单方便了！”刚刚给公司办完工商审批手续的行政小王如此感叹，企业工商数据已经全部联网同步，一个窗口全部搞定。

小王感受到的改变，要归功于全国各地推广的“最多跑一次”改革。所谓“最多跑一次”，就是通过“一窗受理、集成服务、一次办结”的服务模式创新，让企业和群众到政府办事实现“最多跑一次”的行政目标。更通俗地说，就是让“数据多跑路、群众少跑腿。”

路上出行会存在交通事故的风险，同样在“数据多跑路”的过程中，由于海量的公民个人信息、企业商业数据等在各个部门和系统中流转和分享，甚至对外开放，就带来了不可忽视的数据泄露、黑客攻击等安全风险。这其中，作为数字世界中的“信息高速公路”，API数据接口服务可以说是首当其冲。

某市大数据局在积极推动“互联网+政务”深度融合、政府数字化转型的过程中，广泛依托API接口实现各级各部门信息系统的互联互通。其中对外部的应用开放，这其中暗藏了巨大的数据安全隐患。为此，该市大数据局通过与奇安信合作，以“API安全卫士+流量解密编排器（SSLO）”为核心，构建起了覆盖 API 资产可视化、API 风险可视化、行为可视化、数据安全事件可视化、加密流量可视化的全闭环数据安全保护体系。

数据在“高速公路”狂奔，安全风险伴随而来

据介绍，该市大数据局主要职责是组织、指导、协调全市公共数据和电子政务发展管理工作，深化“最多跑一次”改革，落实支撑改革相关的信息系统建设任务，推进“互联网+政务”深度融合、政府数字化转型工作等。为此，大数据局内部部署了市公共数据共享系统、市公共数据系统、市多云管控系统、市经济运行监测分析数字化系统、市公用事业信息化监管服务系统、市住房公积金信息管理系统等多个业务系统。

API作为应用连接、数据传输的重要通道，在该市公共数据和电子政务发展管理的数字化转型中被广泛应用。依托API数据接口服务，全市各部门机构可以轻松获取和利用各种数据资源，方便地共享数据，实现信息流动和互联互通，进而提高运营效率，优化决策和服务，促进创新和发展。

然而，API带来便捷性和灵活性的同时，其暗藏的安全风险也伴随而来。国际权威咨询机构Gartner曾预测，2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年，API滥用和相关数据泄露将几乎翻倍。从全球范围来看，2023年API安全事件频发，威胁愈发严重，涉及多家知名企业。在国内，各地不断出现数据泄露事件，包括某知名大学的学生信息泄露等等，很多都是由 API接口安全问题导致。奇安信研究显示，开放的业务能力越多，API使用范围越广泛，API暴露的攻击面也就越大。

这对这些情况，该市大数据局通过和奇安信合作，系统梳理了当前存在的主要API安全风险，具体集中在以下几个方面：

第一是API资产梳理不清，无法提前洞察潜在风险。

由于业务系统的分期上线以及安全部门与业务部门职责不同，导致了安全部门无法实时掌握当前系统有多少API、哪些是长期不活跃的API、哪些是已下线的API、哪些是僵尸API、业务系统对外暴露了哪些API、以及是否存在未经审批登记的API等一系列问题，用户对API资产情况掌握不清晰，更无法提前洞察潜在的数据风险。

第二是数据泄露无感知，安全事件总是后知后觉。

攻击者可以通过利用API接口存在的脆弱性批量获取企业敏感信息，且数据在传输的过程中未对敏感信息进行处置，例如公民身份证号、电话、联系地址等信息，这样就导致大量数据在悄无察觉的情况下，被大量窃取。

第三是漏洞攻击无防护，成为攻击者最大突破口。

API由于设计者或历史遗留等原因存在逻辑缺陷、配置错误等安全漏洞，恶意攻击者常常利用API漏洞进行攻击。针对API漏洞利用攻击行为，如何进行防范、如何精确控制访问行为；针对漏洞攻击、高频访问等异常行为如何进行快速安全防护，成为了困扰当前企业安全建设的难点。

第四是缺乏溯源响应机制，攻防对抗中限于被动。

数据被窃取后，大数据局往往无法快速定源或响应，很容易造成被通报处罚等事件，严重影响政府声誉，尤其在近年的实战攻防演习中，总是处于被动局面。

最后是对链路加密检测无手段，存在威胁监控盲区。

该市大数据系统内部全部采用Https加密方式进行传输，过去无解密手段，无法感知加密流量中夹带的攻击与威胁，这就造成了威胁监控的盲区。根据国外机构调研报告显示，超过95%企业表示遭遇过由于加密流量引起的安全事件。因此，对API传输的数据进行高效解密是安全保护的基础。

高效解密+API全闭环防护，

为数字政务系上“安全带”

在API接口越来越频繁受到攻击、成为数据安全核心隐患的情况下，奇安信为该市大数据局提供了“API安全卫士+流量解密编排器（SSLO）”的整体解决方案。此方案帮助客户看见加密流量威胁的同时，进一步基于API检测设备，通过API资产识别、API敏感数据传输识别、API漏洞攻击检测与防护、API访问控制等技术解决企业当中API资产不清、API漏洞利用攻击无防护手段，API敏感数据泄露无感知、API通信行为无审计等一系列API安全问题。

第一是高效流量解密，让隐藏威胁无所遁形。

针对该大数据局系统内部全部采用Https加密方式进行传输的情况。奇安信通过在用户南北向核心交换机上，透明串接奇安信流量解密编排器（SSLO）解密设备做代理解密，再对多个Https业务进行解密策略配置，解密设备对两侧密文进行解密操作后，将解密后的明文进行复制并转发到镜像口，最终通过镜像口将明文传递给旁路的流量分析设备进行安全检测，检测完成后将流量日志和告警日志上传至API安全分析与管理系统。

API安全分析与管理系统拿到解密后的明文流量后，可帮助大数据局实现全面API资产梳理、API资产脆弱性检测等操作，管理和保护API资产。

图该市大数据局API安全卫士联动流量解密编排器的部署

第二是全面的资产梳理，形成可视化资产清单。

资产梳理市API安全卫士的重要功能，它可以通过内置规则自动识别API类型及公共组件，通过自动打标并进行分类统计，全面管理API资产。在该项目中，奇安信通过API安全卫士帮助某大数据局全面梳理了API资产，发现未知API、僵尸API，最终形成可视化API资产清单。

第三是风险可视化管理，并实现精细化策略管控。

通过API安全卫士帮助某大数据局发现内部API各种自身逻辑缺陷。主要包括未授权访问的问题、弱认证问题、过度数据暴露问题、高敏感接口问题、以及接口误暴露问题等。

其中，奇安信通过API安全卫士帮助某大数据局发现异常高频访问、文件批量下载、敏感数据批量爬取、以及接口参数遍历等API异常访问行为，发现潜在的API安全风险，将风险前置。并通过API安全卫士帮助某大数据局分析“谁通过什么方式的API，传输了什么类型的敏感数据，传输了多少”的效果，实现敏感信息的数据传输分析。

在运营分析方面，通过API安全卫士帮助某大数据局分析“什么人（攻击者）通过哪个接口，什么攻击方式手法，攻击了谁（受害者），攻击结果是什么”的效果，极大提升运营人员的分析效率。

在风险管控方面，通过API安全卫士帮助该大数据局在发现安全风险后，通过精细化策略管控避免恶意攻击者通过恶意请求、DDoS攻击等手段对API进行攻击，导致系统瘫痪、数据泄露等的严重后果。

第四是满足企业业务合规审查

合规是企业经营的底线和生命线，大数据局也同样需要遵循《数据安全法》、《个人信息保护法》等相关法律法规的要求。在该项目中，大数据局业务通过API来实现数据的交互，而API应用因为其设计的独特性，更多的业务逻辑是在客户端执行，服务端往往会直接将包含的所有数据（其中包含很多敏感数据）发送给客户端，由客户端来按需使用。通过部署API安全卫士快速识别和审查 API 请求/响应的内容，进而满足该大数据局安全合规的要求。

小结

奇安信数据安全专家认为，某市大数据局在API数据共享面临的安全困局，也是数据安全最为典型的问题之一。在技术变革快，安全风险复杂，合规性要求越来高的背景下，数据安全存在着面临“难看清”、“难管好”、“难防住”等困境。

在这种情况下，奇安信推出了“奇安天盾”数据安全保护系统（简称：奇安天盾），用“六全”框架实现“三能”：风险能看清，内鬼能管好，攻击能防住；将“事件监测、风险分析、策略调整、访问控制”融为一套完整闭环体系，弥补了对于数据保护一体化能力的缺失。

国际市场研究与咨询机构Gartner指出，“无论产品形态如何，API都存在自己独特的风险，如API资产清单不全、API漏洞等。因此，用于网络、应用或者数据的安全产品并不能简单地复用于基于业务的API风险管控。”作为Gartner《中国API管理市场指南》中API安全领域的代表性供应商，奇安信认为，API安全是数据安全保护中最重要的一环，也是奇安天盾体系化能力的核心组件。该市大数据局在以API安全为核心的数据安全实践，无疑为各省市大数据局数字化改革中的数据安全体系化建设，探索出一条可被广泛借鉴和复制的标杆示范。

本文部分图片来源于网络