一张小小的一卡通，既是政务服务的便捷卡，也是社会生活的必备卡。社会保障、畅游景区、金融消费、就医问诊、乘坐公共交通......跨域无感的背后，是政务服务部门数据共享、政务服务信息联通共用的协同成果。

在我国数字政府建设稳步推进的背景下，传统柜面服务不断往线上迁移，90%以上的政务服务已实现网上可办。“数据跑”正代替“百姓跑”，让政务服务“触屏可及”。

但随着电子政务行业向数字化转型不断迈进，政务服务 APP 、小程序、公众号等轻应用及第三方充值/支付接口承载的敏感数据越来越多，使得黑灰产攻击资源大幅提升，由于API 管理不当引发的业务违规事件频发。

如何有效监测黑产攻击行为和潜在风险情报，建立“全渠道”的安全城墙，成为一卡通业务安全建设中亟需攻破的难点。

2023年互联网黑灰产攻击数据显示，针对轻应用、API的攻击趋势增大，市民卡典型风险场景包括数据泄露、薅羊毛、电信诈骗、洗钱等。

1. 数据泄露场景

数据泄露是数据安全领域的风险场景之一。我国各省市的社保、医疗等一卡通政务服务系统中储存了姓名、身份证号、手机号码、工作单位、家庭成员、社保缴纳在内的公民个人信息，而API接口则是各机构用来传输敏感数据的主要渠道，不法分子通过爬虫攻击平台的API接口，窃取敏感信息后在数据交易市场上非法售卖。

2. 洗钱场景

黑产利用已有的交通卡、超市、商城灰产账号池，在一卡通实际场景中创建或破解充值购物订单，通过商品、有价商券、充值等方式实现资金变现，从而在指定赌博网站/诈骗网站客户端进行充值，绕过反洗钱监测机制，构成洗钱犯罪活动的目的。

3. 薅羊毛场景

为深入推动一卡通社会化应用，真正让群众体验用卡便捷福利，各省一卡通多次举办惠民福利活动，然而羊毛党利用接码平台和改机工具获取大量虚假IP资源，用于高频访问登录、注册API，借机薅取大量用户福利，导致政务系统营销成本被恶意浪费。

梆梆安全端到端&全渠道API风险发现方案，通过在访问终端应用集成SDK/JS-SDK探针，同时接入服务端的访问流量，综合利用流式、批式计算技术及机器学习技术，提供API资产自动发现、API攻击发现、API敏感数据及漏洞发现能力，支持与网关或风控系统联动进行实时风险处置，协助客户建立API资产清单、落地API安全治理，实现各渠道之间的攻击情报共享和协同防御，解决API业务安全及数据泄露安全问题。

▷API资产自动发现，API治理更精准。

采用流量分析技术，自动化识别API并形成资产台账,可对API进行自动化分类。支持识别僵尸、影子APl。

▷API攻击发现，风险溯源更高效。

在前端植入SDK/JS探针进行应用环境风险检测，结合后端业务流量分析技术，建立上下文风险关联机制,以此来发现新型攻击手段。支持针对API接口产生的异常行为进行检测,如高频/低频访问、非工作时间访问等。对不法请求、访问越权、数据爬取等恶意行为可进行直接阻断、限流限速、二次验证等操作。

▷API敏感数据识别，涉敏数据更安全。

内置多种个人信息检测规则，支持检测针对敏感数据的拖库、撞库、批量查询等各类数据泄露风险。

▷API漏洞发现能力，响应处置能闭环。

对标OWASP-API-TOP10，支持检测通用型漏洞、未授权漏洞、业务逻辑漏洞及组件漏洞等，可对API资产本身存在的缺陷检测，如：弱密码、权限异常、参数未校验等。

数字政府建设，一头连着党和政府，一头连着亿万群众。近年来，我国电子政务建设进入快车道，一卡通、市民卡等惠民服务不断创新升级，打破了原有政务部门的数据壁垒，API风险监测已经成为政务系统安全建设的必选题。梆梆安全将持续关注政务行业“一张网”服务的安全建设问题，不断输出切实可行的安全解决方案，为行业客户构筑更坚实的业务发展基石。

>

>