距离《数据安全法》施行已经过去1个月，作为我国首部数据安全专门的法律，它对企业的数据处理、安全保护、开发利用等都提出了合规要求。在此之下，各企业也积极开展行动严格践行法规。

API作为连接数据和应用之间的重要通道，目前已是数据泄露头号风险，进行API安全管控成为保障数据安全的关键路径。在过去的一个月里，以精准情报为驱动的永安在线API安全管控平台价值全面释放，赋能众多企业实现从API资产自动化管理、API风险主动感知到攻击溯源的闭环安全管控，解除了因API安全侧风险造成的数据安全威胁。

某金融企业API安全管控落地实践

以某金融企业为例。由于其业务属性，需要在互联网上开放大量API来支撑客户服务和对外合作，但安全团队当前并没有针对性的API管理体系对整体业务API进行有效的管理和分析，导致出现API资产管理难题，如：有多少API对外开放？有多少敏感数据？有什么类型数据？是什么等级的数据？

此外，大量API对外提供服务，导致数据（姓名、手机号、银行卡号等）暴露在外部，为黑产提供了更多可趁之机。一方面，黑产利用正常业务接口进行撞库攻击、数据窃取等；另一方面，企业的线上营销活动遭遇“薅羊毛”，奖励大部分被黑产薅走，甚至出现活动页面崩溃的情况，极大影响着业务拓展。

因此该金融企业迫切需要采用针对性的API安全管控体系来应对当前的业务安全风险，确保业务安全合规。

针对该企业面临的挑战和需求，永安在线为其打造了一套可准确感知未知风险、风险解释性强、能溯源打击、运营成本低的API安全管控平台。

平台基于业务安全情报能力所构建，拥有API资产管理、API风险主动感知和API风险溯源三大能力，能够让企业全面感知API运行，清晰掌握数据资产的风险状态，并准确识别未知风险及溯源攻击，解决API从上线、服务到废弃全生命周期会面临的各种安全风险，为企业的数据核心资产提供全面的保护。

01、API资产管理：全量API发现与涉敏API准确管控

通过全流量数据接入和分析，使用先进的图模型技术，自动化对API流量日志中的请求进行路径转义归类，不依赖业务配置，帮助该企业自动地发现业务潜在的API接口，并进行梳理、盘点，通过清晰的API可视化展示方式帮助安全部门了解API资产现状，实时感知每个API接口的访问情况，并进行管控。

此外，可实现自动化检测API传输中的数据涉敏情况，帮助业务部门进行有针对性的保护。系统内置各行业最常用的数十种常用敏感数据类型，包括姓名、身份证、手机号、银行卡等，并支持业务方动态自定义敏感字段的检测要求。

02、API风险感知：基于情报精准感知未知风险

API安全管控平台的底层逻辑是基于永安在线精准的攻击情报来进行API流量分析审计，并结合机器学习、大数据分析等技术，能够将隐藏在海量正常业务流量中的异常流量准确识别出来，扫除以经验规则运营为主的传统API风险防控产品容易产生的风险漏判、误判等弊端。

03、API风险溯源：风险可解释，支持攻击上游溯源

平台能够支持攻击上游定位，对于所有识别的风险会给出具体的攻击团伙以及攻击者的攻击方法。同时，系统能够还原攻击者攻击的真实情况，并提供情报侧的数据印证，具备极强的对未知风险的可解释、可溯源能力，为企业进行下一步处置提供可靠的依据。

永安在线API安全管控平台与传统的基于经验规则进行风险审计的产品相比，更具前沿性和易用性。通过外部情报更能准确识别未知风险，很好的增强在流量侧对业务风险的识别能力，目前已经帮助我们发现不少隐蔽风险并进行治理，在新的法规下，对于我们保障业务的安全合规价值很大。

——该金融企业评价

目前，永安在线API安全管控平台已广泛应用于数据安全治理、护网行动支撑、新上线API安全测试、数据泄露事件追溯等场景。帮助金融、教育、企业服务、电商等领域的众多企业实现API全生命周期的安全防护，深度保障API安全运行，助力企业业务获得平稳、高效增长。

[课程]Android-CTF解题方法汇总！