案例名稱

通付盾Web應(yīng)用和接口安全保護(hù)（WAAP）解決方案

(相關(guān)資料圖)

案例簡介

Web應(yīng)用和接口安全保護(hù)（WAAP）解決方案，基于機(jī)器人防火墻和零信任API安全訪問管理兩項核心技術(shù)，通過對各類應(yīng)用場景下的流量智能檢測和對系統(tǒng)間API接口進(jìn)行規(guī)范統(tǒng)一管理，幫助客戶快速搭建數(shù)據(jù)安全框架下的Web應(yīng)用安全與API接口安全防護(hù)體系，保障企業(yè)內(nèi)部網(wǎng)絡(luò)安全、調(diào)用安全、數(shù)據(jù)安全、身份安全，構(gòu)建企業(yè)內(nèi)外部API安全生態(tài)，聚力業(yè)務(wù)安全發(fā)展。

系統(tǒng)適配及安全

防范化解金融風(fēng)險的能力

Web應(yīng)用防護(hù)采用動態(tài)防護(hù)方式進(jìn)行防護(hù)。不依賴傳統(tǒng)特征庫和策略規(guī)則等。通過隱藏網(wǎng)頁路徑及可能攻擊入口，對站點進(jìn)行動態(tài)安全加固，如動態(tài)加密、動態(tài)混淆等，從而令自動化攻擊、漏洞掃描及模擬正常業(yè)務(wù)操作的工具等完全失效，實現(xiàn)無代碼、零開發(fā)提升網(wǎng)站應(yīng)用自身安全的能力。解決傳統(tǒng)安全產(chǎn)品依賴于靜態(tài)防御和被動防御下安全能力不足，缺少主動防御機(jī)制等問題。接口安全防護(hù)為企業(yè)客戶提供符合數(shù)據(jù)隱私保護(hù)標(biāo)準(zhǔn)的API安全管理工具箱。其實施方便、開箱即用、自主可控，通過對數(shù)據(jù)提供方的接口進(jìn)行免代碼接入和標(biāo)準(zhǔn)化轉(zhuǎn)換，配置豐富的路由策略，采用加密傳輸、動態(tài)脫敏等方式，供各使用方進(jìn)行數(shù)據(jù)調(diào)用的同時，最大程度保障數(shù)據(jù)資產(chǎn)安全，達(dá)到數(shù)據(jù)安全合規(guī)地實現(xiàn)共享交換的目標(biāo)。

安全性

Web應(yīng)用和接口安全保護(hù)（WAAP）解決方案已經(jīng)通過公安部產(chǎn)品測評，項目滿足等保2.0安全性評估要求。同時采用前后端分離技術(shù)實現(xiàn)數(shù)據(jù)與應(yīng)用分離、能力與界面分離，充分保障系統(tǒng)運行的穩(wěn)定性與安全性。

兼容適配性

支持自主研發(fā)CPU（如兆芯、飛騰）、操作系統(tǒng)（如統(tǒng)信、麒麟）、數(shù)據(jù)庫（如達(dá)夢、人大金倉）等基礎(chǔ)軟硬件；支持各類服務(wù)器（如寶德、申威、華為）、云操作系統(tǒng)（如天翼云、聯(lián)想云）和桌面云系統(tǒng)（如凌云9000云桌面軟件），完成了全棧兼容的適配工作。

集成創(chuàng)新效果

金融行業(yè)作為國民經(jīng)濟(jì)和社會發(fā)展的重要支柱行業(yè)，信息化建設(shè)的穩(wěn)定、可靠、安全都是關(guān)系國計民生的一項重要工作，數(shù)據(jù)安全更是金融行業(yè)信息技術(shù)應(yīng)用創(chuàng)新建設(shè)無法繞開的話題。

江蘇某銀行旗下消費金融公司，依托互聯(lián)網(wǎng)領(lǐng)域消費場景提供消費金融服務(wù)，通過渠道“貸款超市”獲得的業(yè)務(wù)流量參差不齊，尤其是類似此種以API流量導(dǎo)入的服務(wù)，缺乏有效的防范措施。

傳統(tǒng)WAF基于網(wǎng)絡(luò)請求分析進(jìn)行防控，針對WEB應(yīng)用有較好的防范手段，但是對于以API提供的“貸款超市”類似服務(wù)卻鮮有涉及，通付盾WAAP解決方案可深入技術(shù)層，通過對API流量鏡像的控制和分析，自學(xué)習(xí)的方式進(jìn)行檢測和預(yù)警，替代傳統(tǒng)防范方式上以端口一刀切的做法，更詳細(xì)的檢查級別來區(qū)分潛在的攻擊和合法流量，從而為業(yè)務(wù)提供安全保障的同時提升精準(zhǔn)度。

已過濾近十萬級非法API請求，針對API層次的數(shù)據(jù)共享，進(jìn)行有效的防范和高效識別，將大大減少業(yè)務(wù)端風(fēng)控服務(wù)的壓力同時，也避免因技術(shù)漏洞導(dǎo)致的安全風(fēng)險。

項目牽頭人

汪德嘉 CEO

關(guān)鍵詞：