奇安信API安全能力建设桔皮书202235页

API安全能力建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561 第 2 页，共 35 页 API安全能力建设 桔皮书 奇安信科技集团股份有限公司 2022年1月 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。 前 言 对数据要素掌控和利用能力，已成为经济增长的核心驱动力。在数字化时代，数据是重要资产，数据的安全是网络安全乃至国家安全和社会安定不可或缺的重要要素。在云计算、大数据、人工智能等新兴技术的推动下，众多行业都在经历一场轰轰烈烈的数字化转型大潮。伴随着数字化进程的发展，API作为连接数据和应用的重要通道，在物联网、微服务、云原生等场景都得到了非常广阔的应用，通过API的能力将企业的数据资源整合，即将其服务、能力和资产打包到可重复利用的模块化软件中，让数据在不同环境中使用，包括将其与合作伙伴及其他第三方有价值的资产结合起来。API在数字化转型中的扮演的角色将愈发重要，通过API进行数据交换成为最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象。 近两年来因API安全问题导致的数据泄漏事件频频发生， 可以看到API安全是一个常见但似乎又不为人熟知的挑战。行业对API安全的认识仍处于早期，OWASP API Security Top 10（失效的对象级授权、失效的用户认证、过度的数据暴露、资源缺失&速率限制、功能级别授权已损坏等）指出了API最常见的安全风险。 本报告结合面向实战化的安全实践，通过将API的安全能力和组件，嵌入到业务体系，构建自适应的内生安全机制。按照“发现”、“检测”、“防护”、“响应”的安全模型进行API安全体系建设，并不断地创新与迭代，提供万物互联时代的数据交换、大规模分布式架构、云计算、数字化改造等场景的数据安全保障 目 录 一、 数字化转型浪潮催生API高速发展 ...................... 1 (一) API发展历程 ...........