數據流動治理整體解決方案目錄01/需求背景分析概述03/平臺解決方案04/平臺優勢亮點05/典型合作案例02/平臺整體介紹01需求背景分析概述相關政策帶來的數字化轉型加速國家標準化管理委員會2023年初，下達2022年第四批推薦性國家標準計劃，《數字化轉型管理參考架構》《數字化轉型管理能力體系建設指南》《數字化供應鏈體系架構》《數字化供應鏈成熟度模型》和《數字化供應鏈通用安全要求》5項國家標準正式獲批立項。2024年的《政府工作報告》提出，實施制造業數字化轉型行動，加快工業互聯網規模化應用。各地各部門積極出臺支持政策，在加快數字化轉型中賦能經濟社會發展，塑造高質量發展新動能新優勢。2024年初廣東省財政下達中小企業數字化轉型資金7.74億元，重點支持廣州、珠海、汕頭等14個省級中小企業數字化轉型試點地市，推動中小企業在設計、制造、銷售、服務、管理、安全等各環節數字化升級。數字化轉型過程中，催生更多業務系統，數據流動更加頻繁智慧化智能化數字化信息化數據化政府企業金融更多研發SVNGitPLM生產MESERPSCADA銷售CRMWMSSCM管理OAHRMail其他BIEAMDB數字化轉型加劇，導致數據交換、共享、開放、交頻繁，數據在流動中才能產生價值，數據之間的交互80%以上以API方式實現。數據流動中的安全風險日益加劇Web、APP、小程序、本地應用、云原生應用功能和數據開發與風險暴露程度同步自動化攻擊（BOTs）泛濫，漏洞探測、黑客、木馬等規?；?，高價值數據單體應用防護產品和方案，復雜和高維護成本的困境，防護效率低API接口資產梳理不清；API風險導致敏感數據；無有效的API風險防護手段威脅入口擴大和分散攻擊規模化、業務化防御手段簡單低效API風險日益凸顯APl(ApplicationProgrammingInterface)是一種接口，它讓應用程序可以輕松地使用另一個應用程序的數據和資源。API就像數據流轉的閥門，連接著各種服務、應用和終端。同時也鏈接著企業的職能部門、客戶和合作伙伴，甚至整個商業生態。API成為數字化轉型的連接器API安全風險與挑戰分析API資產管理API敏感數據API異常訪問API安全攻擊防護API安全管控如何梳理API資產？API敏感數據識別與脫敏如何識別高頻調用等異常訪問？如何防護惡意攻擊？如何實時阻斷、限流等？安全法規和標準對數據流動安全治理提出具體要求

時間國家/地區政策2018年12月法國新修訂《法國數據保護法》2018年7月印度《2018個人數據保護法(草案)》2018年6月美國加州《加州消費者隱私法案》

2018年5月歐盟《通用數據保護條例》(GDRP)2018年5月巴西《通用數據保護法》2015年9月俄羅斯《個人數據保護法》2015年5月日本《個人信息保護法案》我國陸續出臺具有重大影響的數據安全法規國網《電力監控系統安全防護規定》《國網營銷系統數據脫敏規范》醫療《信息安全技術健康醫療數據安全指南GB/T39725-2020》等網信和工信《某著名企業與互聯網行業提升網絡數據安全保護能力專項行動方案》《金融行業數據分級分類規范》《證券期貨數據分級分類指引》《金融行業數據安全生命周期技術要求》等保2.0對數據安全提出具體要求各國快速推進數據安全立法公安《關于緊急排查整改重要數據和公民個人信息安全隱患的通知》(319整改方案)《教育直屬機關數據安全管理辦法》等銀行教育監管機構和重要行業數據安全要求和措施傳統方案串糖葫蘆方式重繁難貴，同時無法解決API安全問題方案設計驗證實施重設備廠商品類功能繁日常學習運維排障難商務采購使用更換貴02平臺整體介紹平臺架構概述引擎業務安全發布API安全治理數據流動安全總控配置管理數據可視統一監控商城WAF、訪問控制、SSL卸載、脫敏安全與防護應用負載均衡優化與效率弱密碼檢測、防BOT機器人監控與分析更多插件...帶寬控制、請求頻率控制、流量鏡像、流量編排控制與策略純軟件部署-虛擬化軟硬一體機部署平臺插件平臺幫助客戶實現業務安全發布、API風險監測、API安全治理、數據流動安全等目標,并通過加載插件，實現業務系統的安全強化、管控細化、性能優化，讓業務更安全、更高效、更可靠地運行用戶業務系統“平臺+插件”的創新模式,讓平臺成為組織數據流動治理的首選方案API風險監測平臺技術架構概述應用場景可視掌控API風險監測API資產梳理API弱點預警API可視API調用可視API資產詳情API關系盤點API調用趨勢業務可視業務狀態可視業務調用排行業務健康檢查訪問量可視全局可視數據流動大屏API調用總覽來訪數據可視C/S排行趨勢安全與防護ACL、WAF、SSL加密、防CC預處理高可用HA部署Cluster部署虛擬機VM軟硬一體機華為DCS旁路鏡像主機Agent代理模式靈活插件分析治理部署形態API安全治理未知API梳理敏感數據脫敏業務安全發布替代Nginx收縮暴露面業務安全發布傳統方案補充數據安全防護更多場景護網重保爬蟲撞庫控制與策略流控、頻率控制監控與分析防BOT、弱密查等優化與效率SLB、解壓縮更多JWT、OAuth2風險可視風險弱點記錄涉敏脫敏可視Web安全防護阻斷降頻記錄配置管理統一配置下發監控運行狀態集中存儲日志復用公共策略梳理APIAPI審計記錄API內容拆解API標簽標定API關系梳理評估弱點OWASPTop10弱密碼弱認證錯誤缺陷暴露命令注入偽造監測風險內容涉敏涉密行為高頻異地質量耗時高錯主動掃描漏洞處置問題阻斷/重定向降頻/驗證碼脫敏/換內容流控編排轉發更多能力健康檢查負載均衡Nginx平替代理轉發數據采集南北向東西向3-7層協議識別RESTful、SOAPWebSockethttp/https內容發現鍵值文件賬號憑證請求響應結構化內容標簽性能指標協議特征存庫入表導入庫導出列表Syslog熱裝卸載平臺介紹平臺部署于業務系統前端,包含總控和引擎。總控統一管理多套引擎、采集各引擎的日志等運行數據、統一關聯分析后以多種報表可視化呈現。商城的插件經總控加載至對應引警,實現3至7層數據包的識別、提取、處理、轉發等,滿足業務需求商城商城提供豐富的插件功能,已上架了WAF、負載均衡、SSL卸載、流量控制、脫敏等插件.客戶按需試用和選購?？蛻?、生態服務商及第三方開發者亦可自行開發插件上架至商城,獲得積分或收益平臺數據處理流程總控統一管理集中配置數據采集報表可視智能引擎高性能流量采集多模態流量匹配流量處理...3層4層7層API安全治理業務安全發布API風險監測流量編排OA1OA2商城財務ACLSLBBWCDLP引擎03平臺解決方案介紹業務安全發布解決方案API風險監測解決方案API安全治理解決方案數據流動安全解決方案業務安全發布：業務統一代理發布、收縮暴露面收縮暴露面，一個IP發布多個業務系統業務經發布，隔離黑客等風險多種安全插件加持，增強業務安全能力優勢亮點OAERP業務應用MES…內網用戶門戶網站第三方平臺…公有云互聯網用戶分支機構平臺做業務安全代理，僅發布**的IP和端口多套業務系統對應多個域名，用**一個IP發布搭建業務發布邏輯區，黑客等風險先觸達**方案通過NAT發布業務，IP、端口直接暴露多套業務系統導致暴露面大且占用較多IP資源黑客等風險直接觸達業務系統，缺少隔離防護現狀不足ACL訪問控制：細粒度管控訪問權限、保障業務安全基于五元組的權限管控粒度過于粗放應用FW等ACL通常管控至協議域名URL缺失進一步細化的、針對API的管控現狀不足支持基于請求頭、路徑等的訪問控制策略支持深入HTTP協議的訪問控制支持基于用戶、角色、行為的訪問控制**方案提供更細致、靈活的訪問控制策略業務發布、用戶來訪管控更精準精細實現對API級的安全防護與訪問控制優勢亮點業務系統用戶請求方法空格URL空格協議版本回車符換行符HTTP協議頭部字段名稱:值回車符換行符...頭部字段名稱:值回車符換行符空行(回車符或換行符)請求包體...TCP選項TCP協議...源端口號目的端口號...目的IPIP協議源IP...版本首部長度服務類型總長度即ACL顆粒度如下：源IP、目的IP目標端口、目標域名目標域名、URL、路徑頭部匹配：存在、包含、精準查詢參數匹配：存在、包含、精準方法匹配：GET、POST、PUT等WAF防護：深入內容的安全防護傳統WAF串接部署、無關流量也需處理現有WAF是否足夠安全，不得而知通常只有處置模式，無監測、漏掃模式現狀不足只有指定業務流量才經由WAF插件處理與原WAF配合使用、于業務邊界處再防護掃描、監測、處置等工作模式，靈活選擇**方案輕量：插件小而美，處理邏輯輕便簡潔高效：按業務部署，其他業務無需處理靈活：多種工作模式，更容現狀優勢亮點業務系統用戶工作模式主動掃描

被動監測

實時防護可視分析防御走勢類型趨勢流量走勢處理分析攻擊類型攻擊TOP10防御次數放通次數安全防護BOT防范爬蟲防范掃描防范協議防范配置屬性日志令牌PHPIISAPI路徑SQL注入WebShellSQLJAVAPHP漏洞XSS漏洞JAVA漏洞通用漏洞協議攻擊表單攻擊文件攻擊命令執行WAF插件**引擎SESSL加密/卸載：提升業務安全、降低損耗智能引擎高性能流量采集多模態流量匹配流量編排轉發…3層4層7層**引擎SESS**商城用戶HTTP業務系統SSL據統計互聯網80%以上的流量已加密明文HTTP發布業務不安全、暴露面多服務器處理SSL加解密、特別消耗性能現狀不足SSL插件將服務器HTTP明文流量加密為HTTPS密文流量同時**能將SSL加密流量解密為明文流量**方案降低SSL加解密對服務器性能的損耗SSL加密后發布業務，暴露面大幅減少無需業務或服務器任何改造，實施簡便優勢亮點HTTPSDM數據脫敏：防止敏感數據業務系統A業務系統B姓名手機號郵箱姓名工號身份證號123456姓名手機號郵箱張*138****5678姓名工號身份證號李*1****644030020******1234傳統靜/動態脫敏作用于數據庫，不靈活基于業務系統定制開發的脫敏，耗時耗力現狀不足重寫業務系統回傳數據包內指定字段/內容針對指定API/頁面/表單等

對指定用戶脫敏**方案無需業務系統定制開發、省時省力快速簡便提升業務數據性、改善業務系統靈活性優勢亮點03平臺解決方案介紹業務安全發布解決方案API風險監測解決方案API安全治理解決方案數據流動安全解決方案API風險監測解決方案主動API資產探測，獲取API資產路徑、參數、調用方式等；對探測到的API接口和相關參數進行類型識別和資產盤點API漏洞檢測報告API弱點及風險告警API風險記錄及趨勢對API接口的請求和回傳報文進行識別，識別手機號、身份證、銀行卡號等敏感信息基于內置弱點規則、風險規則，對API資產清單進行自動弱點及風險識別可以選擇對單個API或者業務系統調用下所有的API進行主動漏洞掃描，識別API漏洞API資產盤點API漏洞掃描API敏感信息檢查API風險監測API檢測報告API風險監測方案部署架構圖運維管理區DMZ區服務器區**總控SE-M、Agent**總控SC互聯網用戶內網用戶業務系統1業務系統2┈業務系統n業務系統1業務系統2業務系統3業務系統4業務系統n流量鏡像SE鏡像AgentAgent客戶價值**引擎SE-M，連接在交換機的鏡像端口上，接收鏡像流量，識別API資產及API風險Agent軟件部署在業務系統的操作系統里（含windows和Linux），將進出業務系統的流量復制后轉發給SE-MSE-M將鏡像流量中的API信息提取出來后，發給SC做綜合分析與呈現一套**總控SC管控多套**鏡像引擎SE-M、鏡像Agent實現對API資產梳理、盤點、風險監測等API資產盤點，API漏洞掃描，API風險發現與監測流量鏡像模式不能實時處置API風險03平臺解決方案介紹業務安全發布解決方案API風險監測解決方案API安全治理解決方案數據流動安全解決方案API安全治理解決方案全方位記錄API訪問行為動態發現API資產并可視化呈現南北向、東西向全量的API識別識別API資產從內網訪問、外網訪問等多維度進行API調用關系盤點從不同系統之間相互調用維度對API調用盤點盤點API關系自動判斷：API版本/用途/風險、是否涉及敏感數據內置各種API弱點、API風險規則，識別API風險及弱點發現API風險對API認證授權、訪問控制等,阻止非法調用通過WAF插件對常見的API攻擊進行有效防護通過脫敏插件對API敏感數據脫敏，防止處置API問題檢視API風險記錄：API資產/路徑、風險等級等精準定位風險API、快速處置API風險、提升API成效檢視API成效API名稱響應方式訪問業務狀態碼源IP請求大小地區響應大小內/外網響應結果請求方法流量請求參數響應時間路徑訪問時間風險規則頻次正常低頻中頻高頻耗時正常延遲長延遲卡頓錯誤率正常低錯誤率中錯誤率高錯誤率黑白名單網絡安全行為安全內容安全定義風險處置風險識別風險檢視成效請求URL請求內容請求方法接收內容響應內容識別API資產：審計API訪問行為并結構化API發現規則涉敏API內/外網APIAPI用途API版本API分類分級規則請求方法請求參數請求路徑響應方式響應狀態碼響應結果請求大小響應大小產生流量訪問時間響應時間源IP源地理位置API名稱目標虛擬服務用戶業務系統針對來訪的HTTP(及解密HTTPS)流量可自定義多種API過濾規則并組合使用API發現規則自動識別API敏感等級，支持自定義可按照API的功能自動定義標簽判斷版本，查詢、新增、刪除等用途判斷API分類分級規則詳細拆解API構成：源、目的、結果等審計記錄API訪問行為、并多維度呈現滿足審計合規要求，為深度分析打下基礎API訪問記錄盤點API關系：API資產分類盤點并拓撲化業務系統歸屬梳理被調用情況相互調用關系內網調用外網調用梳理出API歸屬的業務系統按業務系統視角查看API資產歸屬互聯網調用，局域網調用(支持自定義)系統之間的API互相調用調用各業務系統相互調用API的關系圖梳理同一業務系統的API接口關系圖梳理關系圖發現API風險：主動掃描API漏洞和弱點，自動識別API風險安全漏洞

默認賬號配置錯誤

管理暴露信息

域名劫持物聯網風險

常見漏洞...Web安全異常調用調用耗時主動掃描指定業務、指定API的漏洞風險掃描常見安全漏洞、管理/配置錯誤等漏洞主動掃描Web安全認證缺陷、身份認證缺陷等安全規范類缺陷如SQL注入等分析API弱點識別包含敏感數據信息的API調用行為IP高頻爬取數據，賬號超量訪問等分析API風險處置API問題：靈活插件應對API風險簡單化黑白名單：ACL內容防護：WAF防護、脫敏、弱密碼行為管控：帶寬管控BWC、頻次控制RL、熔斷控制、認證、鑒權、加密、API黑名單API白名單WAF防護數據脫敏弱密碼檢測熔斷控制帶寬控制頻次控制只發布白名單API、或只阻斷黑名單API(ACL插件實現)黑白名單JWT認證、OAuth2認證、SSL加密，基于身份的管理控制認證鑒權安全防護、數據防護、密碼防護從內容層對發布的API進行防護內容防護管控流量、管控頻次、熔斷控制針對異常行為進行管控和限制行為管控檢視API成效：API治理效果可視化展示來訪用戶、目標業務、API、訪問行為、訪問結果等大屏宏觀可視**綜合大屏、宏觀概覽指定API接口的訪問量、(4xx、5xx)失敗量、調用趨勢等可視呈現API調用趨勢、單API深究訪問總量、(4xx、5xx)失敗量、用戶排行、API排行等整體掌握統計排行、整體把控業務應用的流量、連接數、數據包數、重傳、安全日志等可視分析應用視角、多維分析API安全治理方案部署架構運維管理區DMZ區服務器區**總控**引擎邊車Sidecar**引擎SE、邊車引擎Sidecar**總控SC互聯網用戶內網用戶業務系統1業務系統2┈業務系統n業務系統1業務系統2業務系統3業務系統4業務系統n邊車Sidecar客戶價值一套**總控SC支持管控多套**引擎SE、邊車引擎Sidecar實現對引擎的管理和配置，插件的管理，策略的管理和下發，日志收取、存儲、分析、報表、可視化展現等**引擎SE，反向代理模式部署在DMZ區（用于保護組織對外網發布的業務系統）、服務器區（用于辦公區用戶訪問業務系統的防護）邊車引擎Sidecar，安裝到業務系統所在的操作系統里，對業務流量進行采集、處理并發送至**總控SC進行業務層面的分析API安全治理，處置API風險和問題業務安全發布，且多種插件保障業務安全可靠跨網、跨區的數據流動安全防護03平臺解決方案介紹業務安全發布解決方案API風險監測解決方案API安全治理解決方案數據流動安全解決方案通過插件有效治理業務的數據流動根據業務需求，靈活選擇所需插件響應時間短，資源消耗小，并發能力強一次拆包解包完成所有所需處理優化IT基礎架構，提升安全效果用戶BOT防護ACL管控RL頻控WAF防護BWC流控SSL卸載流量鏡像弱密碼檢測數據脫敏SSL加密請求緩存熔斷控制負載均衡流量編排業務系統第三方全流量態感等第三方WAFFW等**平臺統一的業務運行狀態監控通過配置業務系統健康檢查機制，可視化展現業務系統運行的健康狀態，業務故障率，訪問流量，成功訪問總數等。業務穩定性及業務詳情統一監控統一的數據流動安全治理根據業務系統的需求，靈活按需加載和配置插件來保障業務系統的安全、穩定、高效運行。業務系統加載插件應用后，通過可視化圖表查看各插件應用的效果。04平臺優勢亮點**平臺部署：靈活適配多種網絡環境用戶區服務器區oa用戶業務應用**900OA①OA系統經過**平臺代理發布后，將域名oa域名映射為**代理IP9，用戶訪問業務系統時流量經過**平臺，**平臺可提供相關分析、告警、處置的能力。業務代理模式用戶區服務器區oa用戶業務應用00OA②**平臺接入交換機的鏡像口，用戶訪問業務系統的流量通過鏡像方式到**平臺，由**平臺進行相關的流量分析、日志分析、API資產梳理、風險告警等。流量鏡像模式**

平臺優勢亮點優勢亮點按需擴展通過插件靈活擴展，同時可以引入第三方產品能力，提供可視、管控、安全、優化、高效等能力,充分滿足業務需求共創共贏開放插件開發規范及接口,可同服務商、獨立開發者、客戶等第三方共同開發各類插件,第三方插件上架**商城后，共享收益高效穩定一次拆包解包即完成所需處理,處理效率高;插件加載、版本升級等均不影響業務;控制面與數據面分離，保障高可靠性性價比高不必為傳統安全產品固化但不需要的功能買單,只需針對業務需求購買所需插件簡化結構“平臺+插件”模式,簡化傳統安全“串糖葫蘆”結構，插件豐富且持續更新，一個或多個插件即可實現傳統安全設備同