2024年4月,中国软件评测中心(工业和信息化部软件与集成电路促进中心)联合数据安全关键技术与产业应用评价工业和信息化部重点实验室、中国计算机行业协会数据安全专业委员会开展了,旨在进一步加速新质生产力在数据安全领域的广泛应用,助力数据安全产业持续健康发展。2024年6月,中国数据安全产业网对通过产品测评与专家评审,并取得检测证书的优秀数据安全产品进行了。
本期将分享第二期优秀数据安全产品API安全防护类实践优秀案例——北京长亭科技有限公司的长亭高级API安全防护系统,为更多行业用户在API安全防护类产品选型提供重要参考,促进数据安全产业的高质量发展。
备注:【本证书和报告在数据安全产业公共服务平台可查询http://www.china-ds.org.cn】
实践案例概述
长亭高级API安全防护系统通过采集流量信息,智能发现业务API资产及传输敏感数据并自动提取用户身份,结合风险和行为分析模型,实时感知API健康状况,及时发现API异常行为,确保信息系统中所有API资产可视、风险可知、安全可控。
安全解决方案
长亭高级API安全防护系统主要通过API发现、API测试、API监控、API保护四个部分完成API动态发现和防护,可识别自定义的流入、流出应用系统的敏感数据(包括 Web 页面内和传输文件内的敏感数据)的种类和数量,记录存储访问系统传输敏感数据的详细信息。针对每个业务系统,梳理其接口数量和情况,形成应用接口清单。从是否传输敏感数据、接口的活跃程度、上传/下载等方面将接口进行分类分级,检测接口存在的无鉴权访问、后门接口等暴露面,并进行分类汇总展示,实现暴露面可还原,帮助安全人员摸清接口的脆弱性,推动系统侧进行应用系统设计和运维方面的问题整改。
成果与效益
长亭高级API安全防护系统目前已累计检测和发现超过百万级API威胁,覆盖OWASP十大API安全风险中所涵盖的业务逻辑滥用、数据泄露和其他常见攻击类型,同时该产品实现了智能化仪表盘,可视化地展示了API请求数、敏感数据的变化,帮助运维更加智能、便捷、高效地应对API风险。
在实战中,可以帮助客户发现未鉴权、敏感数据泄漏等情况,帮助企业达成API资产梳理、识别,API安全攻击检测防护的安全建设目标。
实践经验总结
从长远来看,API安全防护是一个动态、长期、持久的过程,只有通过整个API生命周期,包括从开发、实施、使用、维护到废止全过程,企业才能从全局上认识API安全风险,并进行针对性的防护。长亭高级API安全防护系统基于长亭多年攻防实战经验积累,考虑到企业内部职责边界的情况,设计清晰的用户使用路径,使参数配置可视化并实现精细化运营。API防护产品+这类举措将提升API 风险管控机制的建设与运营实践水平,真正实现API安全运营落地,为企业发展带来持续的收益和效益。
欢迎投稿
联系我们
欢迎国内数据安全企业积极投稿“2024数盾之光”数据安全优秀案例,分享企业在数据安全的探索,为行业用户选型提供重要参考,共筑数据安全产业的新发展!
投稿联系人:李老师
电话:15259635049
END
数据安全关键技术与产业应用评价
工业和信息化部重点实验室
中国软件评测中心于2022年获工业和信息化部批准,成立首批数据安全省部级重点实验室——数据安全关键技术与产业应用评价工业和信息化部重点实验室(以下简称实验室)。实验室面向全行业,以数据安全产业实际需求为牵引,聚焦制约产业发展的关键问题,构建涵盖“关键技术”与“产业应用评价”两大核心领域的综合能力体系。
实验室以打造国内一流水平、具有国际影响力的创新中心为目标,承担和组织国家数据安全产业研究重要任务,其标志性的研究成果旨在为社会经济发展和国家重大战略需求做出显著贡献,并具备全球影响力。此外,实验室还致力于打造国家级数据安全产业活动的核心平台,积极汇聚产业内各方资源,举办会议、展览、竞赛、培训、沙龙等数据安全活动,以推动数据安全产业的繁荣与发展。
中国计算机行业协会
数据安全专业委员会
中国计算机行业协会数据安全专业委员会是由中国软件评测中心与业界知名高校、科研机构、基础电信企业、网信安全软硬件系统供应商、服务提供商、系统集成商等产业合作伙伴联合发起,基于“自愿、平等、合作、共赢”原则共同构建的非营利社会组织,其工作核心聚焦于数据安全、网络安全与信息安全等关键领域,特别在物联网安全、5G移动网络安全、量子安全以及区块链安全等前沿领域,委员会致力于促进成员间的深入交流、技术协作、平台构建、人才培养、资源整合、信息共享、市场拓展、产品开发以及客户需求对接,从而共同推动行业的高质量发展。
推荐阅读
微信公众号
中国数据安全产业网
作者 | 中国评测安全事业部
编辑 | 中国评测安全事业部
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...