API风险监测系统（AiAAS ）_数据安全_安恒信息（上市公司）

API风险监测系统

旨在帮助用户梳理和分析政企的应用及API，持续识别API暴露面、生命周期、脆弱性，并监测敏感数据流动风险，识别每一次用户异常调用接口行为，确保业务数据的合规性和正常使用，为数据安全保障提供支持。

申请试用

首页 > 产品 > 数据安全 > API风险监测系统

产品概述

API风险监测系统 API风险监测系统（AiAAS ）是一款能够对API与应用数据进行保护和管理的专业型数据安全产品。系统以流量解析还原和敏感数据识别打标为基础，自动梳理业务系统API以及操作用户，自动分析业务系统API中可被利用的脆弱性，实时监测用户异常访问数据行为，并且支持在泄漏发生时进行溯源分析，全方面守护政企的API数据安全。

产品功能

敏感数据识别

安恒拥有多年积累的敏感数据识别技术，能够自动识别并定位日志文件或文件中的敏感数据。当前支持的敏感数据标签已经超过100个。
API资产梳理

基于网络流量解析技术，对政企内的应用及API资产进行自动梳理，实时监控 API 上线、活跃、失活等活动，降低发生数据泄露安全事件的可能。
API脆弱性评估

实时、自动对API进行脆弱性评估，覆盖OWASP API TOP 10风险，实时监测鉴权认证类、脱敏合规类。
行为风险监测

内置行为风险自动监测引擎，对用户异常调用API获取数据行为等进行实时监控预警，发现逾需拉取、数据爬取等行为风险。
API攻击监测

以数据安全视角出发，无需登记应用或 API，即可自动对全量 API 进行网络攻击风险监测，自动绘制此次攻击路线和快速评估此次事件的影响面。
风险链路刻画

安恒首创以数据为维度的风险监测模型，自动绘制API风险链路关系，结合线索关联排名分析，推测出可疑的数据泄漏路径，实时监测API二次封装和核心数据泄漏风险。

产品优势

开箱即用

采用旁路部署方式，对政企现有业务无干扰；即插即用，快速梳理好资产，并发现有效风险；自动产出API数据安全周报、月报、年报，支持邮件订阅。
告警准确

基于15年数据安全风险告警规则优化经验积累，风险监测准确率高达96.4%，持续保持市场领先。
策略全面

内置100+敏感数据标签、14套数据分类分级模版、10大类脆弱性风险策略、5大类行为风险策略。
性能卓越

通过DPDK报文高速捕获技术和直接调用处理器指令对匹配性能进行加速，同时支持多规则的同步匹配，单产品解析流量大小可达10Gbps。

应用场景

API资产梳理不清
API存在脆弱性漏洞
数据泄漏风险无感

场景描述
政企面临着日益增多的新API和存量API的管理挑战，这些API可能存在安全隐患和风险。如何发现和识别这些新API并管理好存量API，成为政企亟待解决的问题

解决方案
基于网络流量解析技术，识别和评估政企内部所有应用和API资产，通过对API部署情况的全面排查，梳理出API业务类型、API暴露面等资产现状。同时实时监控API的上线、变更和下线等环节，避免API资产管理不当导致的数据泄露。
场景描述
在开发和部署API过程中，不可避免会存在安全漏洞。黑客可以利用API脆弱性（如身份认证不完善、越权漏洞等）窃取政企数据。由于API资产数量庞大且其业务相关性强、变动性大等特点，安全运营人员往往无法快速、全面地对接口进行安全性评估。

解决方案
支持对API进行实时且全面的脆弱性评估，包括但不限于认证权限风险、暴露面风险、脱敏风险等，全面覆盖OWASP API TOP 10问题。实时监控接口运行中的接口未鉴权、Token失效时间过长、单因素认证、弱密码等脆弱性问题。
场景描述
在政企内部系统中，大多数的安全措施主要集中在身份准入性校验上，然而这些安全措施往往无法完全保护政企的数据安全，大部分政企在获取API权限后的调用行为未做监测，往往存在越权操作、黑客攻击和数据泄漏无痕等安全问题。

解决方案
内置行为风险预警引擎，对异常调用API行为等进行实时监控预警，及时发现账号共享、数据爬取、批量下载、数据出境等违规行为，全面感知政企的API数据安全风险。