2023年4月23日,由数字中国建设峰会组委会指导,福建省通信管理局主办,中国电子信息产业发展研究院、工业和信息化部教育与考试中心、中国软件评测中心(工业和信息化部软件与集成电路促进中心)联合承办的2023数字中国创新大赛网络数据安全赛道-数据安全产业解决方案创新赛成功举办。成都思维世纪科技有限责任公司荣获“2023数字中国创新大赛网络数据安全赛道优胜奖”。
2023数字中国创新大赛网络数据安全赛道-数据安全产业赛包含解决方案创新赛和人才能力挑战赛两大赛题方向。旨在促进数据安全技术创新、人才培养、成果转化等数据安全产业高质量发展,贯彻落实《中华人民共和国数据安全法》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》,推动我国数据安全产业健康、持续、高质量发展,夯实数字中国建设基础,支撑数字经济蓬勃发展。
本次数据安全产业解决方案创新赛采用公开式竞赛,参赛单位涉通信、互联网、能源、烟草、安全、教育等多个行业领域。围绕数据安全治理,评审专家组对参赛方案的创新性、可行性、可推广性、效益性等多个维度进行评判。经过激烈角逐,成都思维世纪科技有限责任公司与中国移动通信集团福建有限公司、中国移动通信集团有限公司联合申报的《基于数据安全的API监测网关》从百余个参赛方案中脱颖而出,以第13名的优异成绩荣获“2023数字中国创新大赛网络数据安全赛道优胜奖”。
《基于数据安全的API监测网关》
01
方案简介
API安全监测系统方案是基于API安全监测系统,协助组织机构梳理庞杂的应用及接口,绘制接口画像和接口访问轨迹,监测敏感数据流动风险,识别接口调用的异常用户行为,为应用系统的业务数据合规使用和流转提供数据安全保障。
02
核心功能
API资产管理
依托获取的流量数据,对系统、账号、API接口、敏感数据等资产进行发现,对敏感数据进行分类管理。从接口上线、运行、下线三个阶段,按照新增接口、存量接口、废置接口三个状态,对API接口进行整体管理。
API流向监测
数据流向监测主要是针对业务系统应用衍生、系统内部、合作伙伴、公开等接口数据流转关系进行梳理分析,发现敏感数据明文传输、批量传输、跨境传输等数据泄露风险,并结合图形化方式可视化呈现被监测业务系统的数据流向关系视图。
API风险监测
对API原始数据流量进行解析还原形成流量日志,结合API风险监测策略,从API备案变更风险、API资产弱点风险、API数据泄露事件“三位一体”对流量日志进行分析预警。同时根据API脆弱性关联,对API资产风险进行管理,形成脆弱性视图。
API资产画像
平台从接口调用层面、用户账户访问层面、系统对外提供服务层面配置基线规则,根据流量数据内容分析结果自动对基线值进行学习,通过基线值自动学习结果形成不同维度画像数据,并通过图表方式进行直观画像结果展示。
风险溯源
平台提供全文检索功能,根据风险事件关键信息,追溯风险事件产生的具体日志信息,从中分析风险事件产生原因、产生风险的原始数据和风险关联的用户线索等风险源头信息,对风险事件进行整体精准溯源分析。
第三方平台对接
平台支持支持第三方工单系统、处置平台、阻断能力对接。此外,可将日志信息通过API接口、FTP、Syslog等协议发送到第三方日志管理平台统一管理。
03
产品价值
● API资产全掌握
自动化实时发现、识别流量中的数据资产信息,内嵌敏感数据识别算法,快速识别接口和应用中流转的敏感数据,方便组织机构及时进行合规风险排查和整改。
● 数据流动可感知
通过对数据流量的监控及分析,以系统画像、账号画像、接口画像形式将整个数据的流转情况记录在平台中,并通过大屏进行数据流动态势展示,从而协助组织机构直观掌控全量数据流动情况。
● 数据风险全可控
平台可实时发现流转过程中的接口鉴权有效性风险、敏感数据暴露风险、资产信息暴露风险以及API脆弱性等风险;可有效协助组织机构发现并处置API安全风险。
● 安全合规有保障
平台支持应用程序对敏感数据调用、输出、业务操作行为的全流程记录,可有效满足法规和监管机构对日志记录的相关要求。
