众所周知，作为应用程序之间功能调用和数据流转的重要通道，API技术给数字化转型带来了巨大的便利，近年来API数量呈现出几何倍数增长的疯狂态势。与此同时，API由于其开放的特性，越来越成为滥用和黑客攻击的重灾区，由API安全问题导致的数据泄露事件与日俱增。

　　国际权威咨询机构Gartner曾预测，2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年，API滥用和相关数据泄露将几乎翻倍。

　　目前看来，这一预测正在成为现实。研究部门Salt Labs发布的《2022年第一季度API安全状况报告》显示，过去12个月，恶意API流量增加了681%，95%的组织都经历了API安全事件。国内某安全机构对近两年的数据泄露风险分析表明，API安全已是数据泄露头号风险。

　　与此同时，在信息技术不断变革的当下，运营商不断部署由5G网络与算力资源共同组成的新型基础设施，以“云”为概念的云计算产业已成为支撑全社会经济发展的重要力量。在此背景下，三大运营商大力发展云网融合战略，越来越多的业务和数据，正在以API的形式在云上向互联网共享和开放。

　　另一方面，面对多样性、差异化、不断增长的网络需求，电信运营商展现了对高效、可扩展网络管理解决方案的强烈需求。特别是随着5G的成熟落地，2B行业应用、切片、边缘计算等对业务灵活性、平台高效性和运营敏捷性提出了更高要求。

　　因此，运营商对于云原生、微服务、API等技术的需求更为强烈，有趣的是，Marsh McLennan网络风险分析中心对超过10万个网络安全事件分析发现，由于API应用更加广泛，大型企业遇到API安全事件的可能性是中小型企业的三到四倍。

　　显而易见的是，与其他行业相比，无论是作为大型企业，还是作为数字化浪潮的引领者，运营商都面临着更为严峻的API安全挑战，或成为API安全风险的重灾区，因API滥用或者遭受攻击而导致的数据泄露事件时有发生，

　　2023年1月，美国无线运营商T-Mobile宣布威胁行为者滥用API访问大约 3700 万后付费和预付费客户的个人信息。

　　针对这些情况，我国陆续出台了多部标准，规范了API在不同领域的应用、部署、管理、防护等。在电信运营商行业，工信部网络安全管理局下发的《省级基础电信企业网络与信息安全工作考核要点与评分标准》，其中21年考核要求明确提出要求省级电信运营商建设接口安全能力，2022及2023年的考核要求配套文件中再次强化了接口安全能力的建设要求。

　　为提升API安全防护水平，定期开展API安全风险排查和整治工作十分必要。

　　其中，风险排查的第一步也是最重要的一步，就是API资产的梳理与排查。看不清楚API在哪里才是API面临的最大风险，也是安全防护首先要解决的问题。

　　奇安信的实践显示，客户少则部署了上千个API，多则有十几万甚至数十万个API，很多API的开发过程也是跟着业务拓展“赶鸭子上架”，随着业务变革、人员更替，早就把这些API抛之脑后了，导致僵尸API的出现。即便是安全防护手段充足，也不知道应该保护的对象到底在哪里。

　　对于运营商而言，大量面向消费者业务的API会随着促销、抽奖等活动上线，而一旦活动结束，这些API如果没有及时下线，很可能会成为黑客攻击的对象，这是非常致命的。

　　奇安信认为，在进行API资产梳理时，应确定API资产所属的业务应用及功能属性（如文件上传类、文件下载类、等），最终形成全面的、准确的API资产台账清单。

　　在有了明确的API资产台账清单之后，应基于该台账进行全面的API风险排查，通过对API账号异常监测、API暴露面检测、API数据流转检测、API异常访问监测、境外访问API监测等不同维度的分析方法实时监测API接口，发现API接口存在的安全风险及脆弱性。

　　最后，根据当前API存在的安全风险以及结合当前已具备的API安全能力及现状进行综合评估，弥补当前API安全能力的缺失，如身份认证、访问控制、敏感数据管控、异常行为拦截、数据脱敏、攻击防护、审计溯源、风险发现等。

　　针对目前API安全的现状和防护难点，奇安信API安全卫士提供了一套从发现、检测、分析、防护的持续闭环解决方案，覆盖API的全生命周期。

　　奇安信API安全专家介绍，API安全卫士是一套基于发现、检测、分析、响应的持续监测闭环的API安全解决方案，可通过API资产识别、API敏感数据传输识别、API漏洞攻击检测与防护、API访问控制等技术解决企业当中API资产不清、API漏洞利用攻击无防护手段，API敏感数据泄露无感知、API通信行为无审计等API安全问题。

　　具体而言，在API资产发现方面，通过API资产识别与管理技术，发现已知API和未知API资产，同时具备API的自动打标能力，对API所属业务应用和功能用途进行分类，形成一套完整的API资产清单；

　　在API安全检测方面，通过API敏感数据检测、API漏洞攻击检测、API脆弱性检测等技术，可持续发现存在脆弱性、传输敏感数据和存在漏洞攻击风险的API接口。

　　在API安全分析方面，通过API异常行为分析、API事件分析、API日志审计等技术，实现全量访问日志审计留存的能力，同时结合内置的异常行为检测模型发现存在异常行为的API接口，对于存在攻击威胁和敏感数据传输的API接口提供审计溯源的能力。

　　在API安全防护方面，通过API精细化策略控制、黑白名单、数据脱敏、限流限速等技术，最大化限制针对API的高危访问和攻击行为。

　　毋庸置疑的是，全球企业在积极采用数字化优先战略,推动自身业务的发展。由于业务的特殊性，运营商总是走在数字化浪潮的最前沿。为了实现高效、低成本、高可扩展的“共享”必须要求新旧架构之间基于简单、标准化的接口进行互通，API则成为了各层次之间沟通的关键手段。

　　随着云原生、微服务等技术的快速应用，API成为服务交付的必选，API遭遇的安全困局成了数据安全面临的最核心问题。只有做好API安全防护,才能交出一份满意的数据安全答卷。

　　周末要闻汇总：李强在辽宁调研 进一步深化国资国企改革 采取更有力举措提振民企信心

　　周末要闻汇总：李强在辽宁调研 进一步深化国资国企改革 采取更有力举措提振民企信心

　　已有221家主力机构披露2022-12-31报告期持股数据，持仓量总计2.92亿股，占流通A股63.45%

　　近期的平均成本为58.77元。该公司运营状况尚可，多数机构认为该股长期投资价值较高，投资者可加强关注。

　　限售解禁：解禁2.215亿股(预计值)，占总股本比例32.33%，股份类型：首发原股东限售股份。(本次数据根据公告推理而来，实际情况以上市公司公告为准)

　　投资者关系关于同花顺软件下载法律声明运营许可联系我们友情链接招聘英才用户体验计划

　　不良信息举报电话举报邮箱：增值电信业务经营许可证：B2-20090237