數果學堂|API視角下的企業資料資産安全探索

引言

在大資料領域提到資料安全，無論是從業者還是行業專家，似乎都可以随時蹦出幾個諸如“資料脫敏”、“風險識别”、“通路控制”、“資料加密”等詞彙。

事實上，市面上常見的資訊和資料安全類書籍，多集中在網絡、web和軟體安全等幾個方面，而從API視角去闡釋資料安全的資料卻寥寥無幾。

Q：為什麼要從API的視角去進行資料安全探索？

A：

API最初的應用基本都在本地系統之上，随着技術的疊代發展，API逐漸成為各類軟體系統（尤其是大型Web系統）內建的一種重要技術手段；

Web API的普及，相應的傳輸協定（如HTTP）和架構規範（REST）也随之産生，它們被設計為使用API來接收或發送消息，確定不同系統之間或不同程式設計語言之間能夠快速實時共享資訊和資料。

API架構的流行，為層出不窮的前端裝置和後端的通信提供了便捷，但由此産生的安全問題也日益凸顯。

近年來，國内外已發生多起由于API 漏洞被惡意攻擊或安全管理疏漏導緻的資料安全事件。

資料服務管理平台V3.0

API安全的覆寫面非常廣，涉及加密、認證、授權、注入攻擊、跨站請求僞造等一系列專業範疇。

數果智能從使用者需求的角度出發，直面資料API服務管理中的資料資産安全痛點和薄弱點，自研了資料服務管理平台V3.0，為企業提供了統一、安全、高效、易用的一站式企業資料資産統一管理服務平台，嚴密保護企業資料資産安全。

在前幾期的數果學堂中，我們向大家介紹了資料服務管理平台是如何整合企業内、外部資料接口中繼資料，對外封裝成統一标準的資料服務接口提供給消費方調用，實作對資料服務全生命周期的一站式管理。

點選回顧：數果學堂|資料API全生命周期管理大揭秘！

今天，我們将圍繞API安全的幾個實踐場景和大家一起探讨學習！

實踐場景

01 内外隔離

數果智能如何幫助客戶？

數果智能在API服務網關環節，通過運用反向代理、負載均衡、SSL解除安裝等技術，實作企業 資料的内外隔離，確定企業所有資料庫、Web Service、Restful API等在安全、統一的 API 服務形式實作對外開放，大幅降低企業對外資料互聯互通安全成本。

圖：資料服務管理平台内外隔離流程

02 資料格式轉換

數果智能如何幫助客戶？

數果智能的資料服務管理平台能夠確定無論在後端的資料是何種格式，最終呈現在網際網路前端都是Restful API，資料一緻性得到強有力的保障。

穩定、高效的資料格式轉換也為企業業務應用的快速釋出提供了可能，企業開發者也能夠得到良好的使用者體驗。

圖：資料服務管理平台中資料格式轉換流程

03 企業API資産安全管理

數果智能如何幫助客戶？

在數字化轉型的浪潮下，企業API數量呈爆炸式增長，但很多企業往往不清楚、不了解自己究竟擁有多少個API，這些API處于什麼樣的狀态，缺乏有效手段去進行統一的API管理和使用監控。

數果智能研發的資料服務管理平台V3.0，通過深度的API資産梳理，幫助企業安全團隊全面了解企業API資産的真實情況，科學評估資料暴露的風險；

在API資産管理的環節，數果智能通過對通路流量的全面分析，自動識别、梳理、分組埋藏在流量中的API接口，通過從API網關上擷取API注冊資料，與企業現有的API資産智能對比，發現未知的API接口并自動添加。

圖：資料服務管理平台的企業API資産管理界面

04 企業敏感資料管控

數果智能如何幫助客戶？

業務系統資料庫中存儲的資料往往包含了許多敏感資訊，如果不對資料做脫敏處理和加密傳輸，一旦資料被不法分子截獲、破解，将對企業和公民的個人權益造成嚴重影響。除此之外，資料洩密也會發生在未脫敏資料在傳輸至前端時，被接收方終端緩存導緻。

針對企業敏感資料管控，數果智能研發的資料服務管理平台會有效識别API傳輸中諸如手機号、銀行卡号、身份證号等的敏感資料，通過前後置腳本的脫敏規則對資料進行識别和過濾，将敏感資料進行脫敏處理或者實時攔截，結合資料加密、傳輸通道加密等方式保護API 資料傳輸安全。

圖：資料服務管理平台脫敏規則示意圖

05 使用者認證授權

數果智能如何幫助客戶？

企業中往往存在多業務領域的系統，資料服務管理平台可以根據每個業務系統之間的資料互動要求，可将使用者按組織機構屬性綁定用戶端分别授權，進而實作各使用者用戶端隻允許在權限範圍内進行資料互動的相關操作，涉及CRUD資料的操作權限隻有管理者才擁有。

例如：在不同業務場景下，我們通過資料服務管理平台，還可以就相關資料的敏感性和安全性進行比較，根據重要性進行資料表的字段授權，增加access_token參數，使用者請求隻可以檢視部分字段。

在平台中，既可設定使用者通路權限，又能确定使用者身份，防止未授權的API被非法調用，有效保障企業的API接口隻能被合法使用者通路！

圖：資料服務管理平台中的API接口通路配置界面

06 API接口全天候監控

數果智能如何幫助客戶？

在資料服務管理平台中，我們提供了API接口平均執行時間、每日執行次數、成功次數、失敗次數統計、失敗原因日志檢視等監控功能，還提供了監控政策配置與異常預警消息推送配置，輔助以優秀的可視化設計，輕松實作接口的全天侯實時監控。

自定義監控政策，同時增加對高頻登入嘗試、空Referer等具有典型機器行為特征的操作重點監控，發現異常登入、調用等惡意行為時進行智能分析，及時推送告警。

圖：API接口監控可視化界面示意圖

//總結

企業資料資産的安全問題一直是API服務過程中的痛點和薄弱點，通過部署資料服務管理平台V3.0，企業的資料安全得到有效保障，API接口可用、可管、可控，資料消費方實作了統一便捷的調用，深度賦能企業業務的發展！

更多精彩等待你去發掘，歡迎登入數果智能官網體驗！