案例名稱

通付盾Web應用和接口安全保護（WAAP）解決方案

(相關資料圖)

案例簡介

Web應用和接口安全保護（WAAP）解決方案，基于機器人防火墻和零信任API安全訪問管理兩項核心技術，通過對各類應用場景下的流量智能檢測和對系統(tǒng)間API接口進行規(guī)范統(tǒng)一管理，幫助客戶快速搭建數(shù)據(jù)安全框架下的Web應用安全與API接口安全防護體系，保障企業(yè)內(nèi)部網(wǎng)絡安全、調(diào)用安全、數(shù)據(jù)安全、身份安全，構建企業(yè)內(nèi)外部API安全生態(tài)，聚力業(yè)務安全發(fā)展。

系統(tǒng)適配及安全

防范化解金融風險的能力

Web應用防護采用動態(tài)防護方式進行防護。不依賴傳統(tǒng)特征庫和策略規(guī)則等。通過隱藏網(wǎng)頁路徑及可能攻擊入口，對站點進行動態(tài)安全加固，如動態(tài)加密、動態(tài)混淆等，從而令自動化攻擊、漏洞掃描及模擬正常業(yè)務操作的工具等完全失效，實現(xiàn)無代碼、零開發(fā)提升網(wǎng)站應用自身安全的能力。解決傳統(tǒng)安全產(chǎn)品依賴于靜態(tài)防御和被動防御下安全能力不足，缺少主動防御機制等問題。接口安全防護為企業(yè)客戶提供符合數(shù)據(jù)隱私保護標準的API安全管理工具箱。其實施方便、開箱即用、自主可控，通過對數(shù)據(jù)提供方的接口進行免代碼接入和標準化轉換，配置豐富的路由策略，采用加密傳輸、動態(tài)脫敏等方式，供各使用方進行數(shù)據(jù)調(diào)用的同時，最大程度保障數(shù)據(jù)資產(chǎn)安全，達到數(shù)據(jù)安全合規(guī)地實現(xiàn)共享交換的目標。

安全性

Web應用和接口安全保護（WAAP）解決方案已經(jīng)通過公安部產(chǎn)品測評，項目滿足等保2.0安全性評估要求。同時采用前后端分離技術實現(xiàn)數(shù)據(jù)與應用分離、能力與界面分離，充分保障系統(tǒng)運行的穩(wěn)定性與安全性。

兼容適配性

支持自主研發(fā)CPU（如兆芯、飛騰）、操作系統(tǒng)（如統(tǒng)信、麒麟）、數(shù)據(jù)庫（如達夢、人大金倉）等基礎軟硬件；支持各類服務器（如寶德、申威、華為）、云操作系統(tǒng)（如天翼云、聯(lián)想云）和桌面云系統(tǒng)（如凌云9000云桌面軟件），完成了全棧兼容的適配工作。

集成創(chuàng)新效果

金融行業(yè)作為國民經(jīng)濟和社會發(fā)展的重要支柱行業(yè)，信息化建設的穩(wěn)定、可靠、安全都是關系國計民生的一項重要工作，數(shù)據(jù)安全更是金融行業(yè)信息技術應用創(chuàng)新建設無法繞開的話題。

江蘇某銀行旗下消費金融公司，依托互聯(lián)網(wǎng)領域消費場景提供消費金融服務，通過渠道“貸款超市”獲得的業(yè)務流量參差不齊，尤其是類似此種以API流量導入的服務，缺乏有效的防范措施。

傳統(tǒng)WAF基于網(wǎng)絡請求分析進行防控，針對WEB應用有較好的防范手段，但是對于以API提供的“貸款超市”類似服務卻鮮有涉及，通付盾WAAP解決方案可深入技術層，通過對API流量鏡像的控制和分析，自學習的方式進行檢測和預警，替代傳統(tǒng)防范方式上以端口一刀切的做法，更詳細的檢查級別來區(qū)分潛在的攻擊和合法流量，從而為業(yè)務提供安全保障的同時提升精準度。

已過濾近十萬級非法API請求，針對API層次的數(shù)據(jù)共享，進行有效的防范和高效識別，將大大減少業(yè)務端風控服務的壓力同時，也避免因技術漏洞導致的安全風險。

項目牽頭人

汪德嘉 CEO

關鍵詞：