數字化轉型已深入各行各業，伴隨著數據流動、使用場景大幅增加，API作為連接數據和應用的重要通道，在各類數字業務中廣泛應用，API接口數量與日俱增，但由此而衍生的安全風險也更為嚴峻，近年來，針對API攻擊已成為主要的非法數據獲取手段，是影響數據安全和個人信息保護的重要風險來源，加強API安全管理，亟需各單位組織重點關注。

 API數據安全問題越來越嚴峻 

SaltSecurity《State of API Security Report, Q32021》報告顯示，2021年上半年，整體API流量增長了141%，API攻擊流量則增長了348%，針對API的攻擊流量正在以普通API流量的3倍速度增長。

據Gartner研報預測，到2022年API濫用將是最常見的攻擊方式；到2024年，API安全隱患導致的相關數據泄露將近乎翻倍。

政企單位落地建設API安全卻依然存在不少挑戰：

• 現有API資產不清，版本迭代過程中的歷史API缺乏跟蹤，如何進行API資產統一管理? 

• API資產面臨各種風險，如何有效識別和防護？

• 如何識別API訪問中的敏感數據并進行過濾和攔截? 

• 如何有效管理API的訪問行為，識別異常的訪問行為? 

• 數據泄露后，如何自證清白？如何追溯數據從哪個系統被誰泄露的?

 美創API安全監測與訪問控制系統 

美創API安全監測與訪問控制系統是為解決應用API接口訪問場景下的安全問題推出的一款Web應用側數據安全產品。系統基于API資產治理、身份治理、流量管控、訪問鑒權、機器學習等多種核心技術，幫助用戶梳理龐雜的應用及接口，繪制接口畫像和接口訪問軌跡，監測敏感數據流動風險，識別接口調用的異常用戶行為，為應用系統的業務數據合規正常使用和流轉提供數據安全保障。

API安全監測與訪問控制系統核心能力：

資產識別

通過對流量進行智能分析，配合機器學習引擎識別并過濾靜態資源以及html響應中的資源，自動發現流量中的API接口，實現API接口自動識別和分組管理。

API資產畫像

基于全量分析技術精準構建API資產畫像，快速統計各個業務的API情況，包括資產的請求數、訪問日歷、Web站點統計、API列表統計、發現時間、活躍時間等。

身份梳理

基于http/https網絡、數據庫通訊協議解析和流量分析，從人、應用、賬號、終端四個維度自動發現網絡中的身份，并對發現的身份信息進行管理。

風險監測

系統利用各種檢測與分析引擎，從資產脆弱性、資產暴露面、賬戶共用、異常訪問等維度，檢測API接口資產風險，并對風險進行實時告警處置。

訪問控制

基于資產、身份、行為權限矩陣，采用主動防御機制，實現應用數據的訪問行為控制、危險操作阻斷、可疑行為審計。根據預定義的禁止和許可策略讓合法的操作行為通行，而對非法違規操作進行攔截阻斷，實現應用/API請求的危險操作行為的主動預防、實時審計。

 產品能為各行業提供的安全價值 

資產全面掌握

智能自動化實時發現、識別網絡中的資產信息，內嵌敏感數據識別智能算法，快速識別接口和應用中流轉的敏感數據，方便企業及時進行合規檢查和整改。

數據流動全了解

通過對數據流量的監控及分析記錄，并以敏感數據與正常數據為維度，對數據的流轉趨勢進行分析并記錄，以數據流的展現形式，將整個數據流轉的情況記錄在系統中，通過大屏進行數據流動態勢展示，從而實現一眼能夠掌控數據全部流動情況。

數據流動風險全可控

配合風險預測結果，提供審計、脫敏、訪問控制等管控手段，做到風險檢測、風險告警、風險響應的全流程安全管理機制，達成數據安全智能管控的“可視化”、“可量化”、“可感知”、“可管控”、“可追溯”。

數據流動過程全可審

支持應用程序對敏感數據調用及輸出以及業務操作行為的記錄，滿足法規和監管機構對日志記錄要求。