案例名稱

通付盾Web應用和接口安全保護（WAAP）解決方案

案例簡介

Web應用和接口安全保護（WAAP）解決方案，基于機器人防火墻和零信任API安全訪問管理兩項核心技術，通過對各類應用場景下的流量智能檢測和對系統間API接口進行規范統一管理，幫助客戶快速搭建數據安全框架下的Web應用安全與API接口安全防護體系，保障企業內部網絡安全、調用安全、數據安全、身份安全，構建企業內外部API安全生態，聚力業務安全發展。

系統適配及安全

防范化解金融風險的能力

Web應用防護采用動態防護方式進行防護。不依賴傳統特征庫和策略規則等。通過隱藏網頁路徑及可能攻擊入口，對站點進行動態安全加固，如動態加密、動態混淆等，從而令自動化攻擊、漏洞掃描及模擬正常業務操作的工具等完全失效，實現無代碼、零開發提升網站應用自身安全的能力。解決傳統安全產品依賴于靜態防御和被動防御下安全能力不足，缺少主動防御機制等問題。接口安全防護為企業客戶提供符合數據隱私保護標準的API安全管理工具箱。其實施方便、開箱即用、自主可控，通過對數據提供方的接口進行免代碼接入和標準化轉換，配置豐富的路由策略，采用加密傳輸、動態脫敏等方式，供各使用方進行數據調用的同時，最大程度保障數據資產安全，達到數據安全合規地實現共享交換的目標。

安全性

Web應用和接口安全保護（WAAP）解決方案已經通過公安部產品測評，項目滿足等保2.0安全性評估要求。同時采用前后端分離技術實現數據與應用分離、能力與界面分離，充分保障系統運行的穩定性與安全性。

兼容適配性

支持自主研發CPU（如兆芯、飛騰）、操作系統（如統信、麒麟）、數據庫（如達夢、人大金倉）等基礎軟硬件；支持各類服務器（如寶德、申威、華為）、云操作系統（如天翼云、聯想云）和桌面云系統（如凌云9000云桌面軟件），完成了全棧兼容的適配工作。

集成創新效果

金融行業作為國民經濟和社會發展的重要支柱行業，信息化建設的穩定、可靠、安全都是關系國計民生的一項重要工作，數據安全更是金融行業信息技術應用創新建設無法繞開的話題。

江蘇某銀行旗下消費金融公司，依托互聯網領域消費場景提供消費金融服務，通過渠道“貸款超市”獲得的業務流量參差不齊，尤其是類似此種以API流量導入的服務，缺乏有效的防范措施。

傳統WAF基于網絡請求分析進行防控，針對WEB應用有較好的防范手段，但是對于以API提供的“貸款超市”類似服務卻鮮有涉及，通付盾WAAP解決方案可深入技術層，通過對API流量鏡像的控制和分析，自學習的方式進行檢測和預警，替代傳統防范方式上以端口一刀切的做法，更詳細的檢查級別來區分潛在的攻擊和合法流量，從而為業務提供安全保障的同時提升精準度。

已過濾近十萬級非法API請求，針對API層次的數據共享，進行有效的防范和高效識別，將大大減少業務端風控服務的壓力同時，也避免因技術漏洞導致的安全風險。

項目牽頭人

汪德嘉 CEO

責任編輯：方杰