关键信息基础设施-API安全评估服务方案_v0 .pdfVIP

关键信息基础设施

API安全评估服务方案

2022年12月

目录

1服务概述

1.1服务概念

1.2服务必要性

1.2.1API面临的数据安全挑战.

1.2.2合规监督力度加强

1.3服务收益

2实施标准和原则

2.1政策文件或标准

2.2服务原则

3服务详情

3.1API安全专家分析服务（SPA-DSP/ADP）

3.1.1服务内容

3.1.2服务范围

3.1.3服务方式

3.1.4服务流程

3.1.5服务工具

3.1.6服务交付物

3.2API安全调研咨询服务.

3.2.1服务内容

3.2.2服务范围

3.2.3服务方式

3.2.4服务流程

3.2.5服务交付物

3.3API安全渗透测试服务.

3.3.1服务内容

3.3.2服务范围

3.3.3服务方式

3.3.4服务流程

3.3.5服务工具

3.3.6服务交付物

4服务优势

4.1方案优势

4.1.1API安全调用全程跟踪.

4.1.2API安全建设全面可视.

4.1.3API安全隐患深入排查.

4.2服务优势

4.2.1提供质量稳定的效果

4.2.2提供问题闭环的方案

4.2.3提供高性价比的服务

4.3工具优势

1服务概述

1.1服务概念

数字化转型过程中的信息流通以及各种程序、应用和系统之间的连接，API在应用架构中

变得更加普遍，作为连接数据和应用之间的重要通道，在提升业务服务效能的同时，也增加了

企业的风险敞口，尤其是数据泄漏问题。

API安全评估服务通过调研咨询、专家分析和技术评估等手段，针对API在传输、存储、

认证、授权、输入和输出的各个阶段的脆弱性和风险进行评估检测，深度排查客户实际应用架

构中的潜在API安全隐患。服务内容主要包括三种类型：API安全专家分析服务（SPA-DSP/ADP）、

API安全调研咨询服务、API安全渗透测试服务。

1.2服务必要性

1.2.1API面临的数据安全挑战

随着数字化转型的不断深入，各行各业的业务不断向云化、微服务化的趋势发展，API在

应用架构中的使用变得更加普遍，承载着越来越复杂的应用程序逻辑和越来越多的敏感数据。

API作为数字化转型过程中的信息流通以及各种程序、应用和系统之间的重要通道，已成为黑

产的重点攻击目标，国内外因为API而遭受安全攻击的事件屡见不鲜，并且带来了巨大的影响。

在未来，业务云化、微服务的演化步伐会逐渐渗透进各类信息化，这会导致API的爆发性增长，

面对这些变化，传统的应用防护方案捉襟见肘，一方面无法贴合客户的业务，另一方面也很难

对抗当前出现的各类基于API服务的数据泄露问题，这些API导致的大规模数据泄露风险正面

临诸多挑战。

据统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿

次，API滥用将使得针对API的攻击成为最常见的攻击方式。随着数据的重要性与价值越来越

高，针对数据的泄露与网络攻击行为也越来越多，研究部门SaltLabs发布的《2022年第一季度

API安全状况报告》显示，过去12个月，恶意API流量增加了681%，95%的组织都经历了API

安全事件；根据Gartner提供的数据显示，到2025年，将有50%的企业出现API安全防护缺位，

1

并且有90%的企业仅能为其公开发布的API进行保护，而其他API则不受监控。API已成为数

据安全最大的风险敞口。

1.2.2合规监督力度加强

数据作为继土地、劳动力、资本、技术之外的第五大生产要素，数据的价值在于融合与流

动，数据共享有利于促进数据的融合与治理，提升数据价值，推动数字经济和公共治理的发展。

近几年，国家相继出台了《网络安全法》、《数据安全法》和《个人信息保护法》，对企业数

据处理活动、保障数据安全、促进数据开发利用，保护个人、组织的合法权益等工作，都提出

了更高的要求。在新形势下，API接口作为数据共享传输的重要手段，不管是已建成或未来将

建设的API接口，都需在现有基础上继续提高口数据安全防护手段，以便