API安全应做好一体化、体系化建设

目前，API成为系统、应用互联之间彼此通信以及共享数据和功能的“桥梁”，　API安全保护也是企业非常关注的问题。“API安全是一个复杂问题，需要体系化建设思路。API安全平台＋安全运营，确保安全设备用起来，异常事件能发现，应急响应有章法，事项处置可闭环”。安胜产品总监、网络安全从业者刘东甲在近日新品发布会上这样说。

他认为，影响API安全平台实施成效的关键因素——全量数据留存及分析能力、实时处理能力、场景适配能力、闭环处置能力及可运营的能力，这些都是产品工程化水平的体现。

当天，安胜一体化生长型API安全平台发布。安胜CTO李沙浪介绍，平台集成API安全治理、应用环境威胁感知、敏感信息流动监测、访问实体行为监控等功能，通过精细化运营服务，为金融、能源、运营商、交通等行业提供一致的、可持续运营的API安全解决方案。

对于API安全典型场景，首先API资产梳理，弱点发现与整改，敏感数据发现与分类分级，做好API安全治理，并做好纵深攻击防护；其次做好上线前安全测试，通过自动化越权漏洞检测，业务逻辑安全测试，API漏洞检测，并对数据交互行为进行分析，最后实现业务安全防护、业务运营分析。

受整体大环境影响，安全产业遇到了较大瓶颈。针对API安全未来发展面临的问题，《中国信息安全》杂志社副社长李刚认为，在这样的背景下，从推动产业发展的角度，企业在降成本、增营收基础上，要继续摸清行业用户需求，并积极参与生态合作，争取保持更加长久的企业生命力。

针对API安全的趋势与前景，安胜CTO李沙浪介绍，安胜构建的API安全能力是一种广义的API安全。数据是核心、业务是关键，业务全面API化之后，API成了业务的重要载体，API安全也成了业务安全的核心抓手，而业务安全也就成为了API安全的最终目标。

“目前，国内机构用户的数字化依赖程度普遍还不够高，安全建设的投入很大程度上仍然受到业务需求的影响。因此，API安全作为业务安全的抓手，是一个非常好的切入点。”数世咨询创始人李少鹏说。（记者　李政葳）

（编辑：旦知吉）