數(shù)字化建設(shè)加速向前“奔跑”，Web應(yīng)用與各行各業(yè)深度融合。傳統(tǒng)的Web應(yīng)用安全解決方案往往專注于Web安全側(cè)的威脅防御，隨著數(shù)據(jù)中心化加速了應(yīng)用與應(yīng)用之間的連接建設(shè)進程，API側(cè)面臨的安全防御威脅也日益加劇，Web應(yīng)用安全防御亟需新的突破。

Web API作為Web應(yīng)用程序編程接口，主要用于不同Web應(yīng)用間的數(shù)據(jù)交換和功能調(diào)用，通過對調(diào)用者數(shù)字身份的認證授權(quán)，確保合法用戶通過API訪問來自Web應(yīng)用的功能和數(shù)據(jù)。Gartner發(fā)布的《Hype Cycle for Application Security,2022》報告中提出，API作為企事業(yè)單位數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施已逐漸成為攻擊者的主要攻擊目標。API攻擊應(yīng)納入Web應(yīng)用安全防護系統(tǒng)之中。

天融信Web+API安全解決方案集合了天融信Web應(yīng)用防火墻強大的防御能力與天融信API安全防護系統(tǒng)API側(cè)管控與檢測能力。應(yīng)用安全體系的建設(shè)不僅需要Web安全防御，也需要從細微的Web API接口杜絕入侵的可能性。

1、 Web安全威脅防御

隨著應(yīng)用網(wǎng)站的普及和數(shù)字化轉(zhuǎn)型的加速，Web攻擊逐漸增多并日益復雜。常見的攻擊包括SQL注入、跨站腳本攻擊（XSS）、跨站請求偽造（CSRF）、爬蟲攻擊等。

天融信Web應(yīng)用防火墻作為天融信構(gòu)建應(yīng)用安全防護體系的核心防御產(chǎn)品，集預(yù)防、處置、恢復整改等功能于一體，專注應(yīng)對HTTP類網(wǎng)站攻擊行為。

● 基于漏洞掃描與虛擬補丁的預(yù)防機制，可掃描站點存在的安全風險，并對應(yīng)生成虛擬補丁，形成預(yù)防性的防護規(guī)則；

● 基于參數(shù)智能學習與規(guī)則防護的處置機制，可校驗應(yīng)用站點服務(wù)器與客戶端間交互雙向HTTP報文中的安全因素，及時阻斷SQL注入、跨站腳本攻擊（XSS）、跨站請求偽造（CSRF）等威脅報文；

● 基于數(shù)據(jù)分析與網(wǎng)頁防篡改的恢復整改機制，可在事件發(fā)生后回放攻擊報文，追蹤攻擊來源，并恢復被篡改的網(wǎng)頁數(shù)據(jù)，為客戶提供專業(yè)全面的Web安全防護能力。

2、API側(cè)安全威脅防御

Web API作為公開的接口，面臨著缺乏強大的認證授權(quán)和訪問控制機制、API數(shù)據(jù)傳輸未加密、輸入驗證與過濾機制不完善等安全問題。攻擊者可通過各種手段竊取敏感數(shù)據(jù)、未經(jīng)授權(quán)訪問應(yīng)用程序或干擾正常的業(yè)務(wù)流程。

天融信API安全防護系統(tǒng)從API安全評估、安全控制、安全監(jiān)測、安全響應(yīng)、安全審計5個維度出發(fā)，全面筑牢客戶的Web API安全防線。

該系統(tǒng)集成了API數(shù)據(jù)傳輸加密、API安全防護、安全審計等功能，通過API訪問鑒權(quán)機制，認證服務(wù)提供者可對訪問請求進行授權(quán)判斷，實現(xiàn)API使用者的身份與權(quán)限認證。同時，輔以細粒度的訪問控制策略，確保用戶以最小權(quán)限訪問所需的資源。

截至目前，天融信Web+API安全解決方案已在政府、醫(yī)療等行業(yè)成功落地實踐，從Web與API兩方面為客戶提供全面的應(yīng)用安全防護能力。此外，天融信Web應(yīng)用防火墻在2021年與2022年連續(xù)兩年位居Frost & Sullivan大中華區(qū)市場占有率排名前列。在權(quán)威咨詢機構(gòu)IDC正式發(fā)布《IDC Perspective：中國API安全市場洞察，2022》報告中，天融信API安全產(chǎn)品和解決方案憑借深厚的技術(shù)能力與實踐積累入編此報告，并成為IDC推薦廠商，Web應(yīng)用防火墻與API安全防護系統(tǒng)的綜合能力均受到市場的充分肯定。

數(shù)字化浪潮席卷而來，加強應(yīng)用安全防護的需求日趨迫切。作為中國網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，天融信將持續(xù)深耕網(wǎng)絡(luò)安全領(lǐng)域，為企業(yè)提供技術(shù)先進的網(wǎng)絡(luò)安全產(chǎn)品、方案與服務(wù)，為千行百業(yè)的數(shù)字化轉(zhuǎn)型保駕護航，為數(shù)字中國建設(shè)貢獻企業(yè)力量。