API安全合规审查与溯源审计

本文介绍了API安全功能中的监测敏感数据跨境流转、溯源敏感数据泄露事件的安全合规审查与溯源审计功能。

一、合规审查

API安全合规审查功能可以对基于API的数据跨境流转情况进行监测和统计,检测当前是否存在数据出境风险,以便帮助您掌握业务中敏感数据跨境流转的情况。通过相应的统计数据,帮助您完成数据出境申报或备案。在API安全页面单击合规审查页签,可以查看自去年11日起至今的生效对象的API合规审查数据。

重要
  • 该功能目前仅中国内地可以开通API安全服务的Web应用防火墙包年包月版本实例支持。

  • 合规审查功能默认关闭,您可以在策略配置 > 生效对象配置页签,开启目标防护对象的合规审查开关。具体操作,请参见生效对象配置

设置生效对象

合规审查对开启合规审查功能的防护对象进行分析,如果您不需要分析某些防护对象的流量,可关闭该防护对象的合规审查开关。具体操作,请参见生效对象配置

查看合规审查检测结果及详细检测信息

合规审查页面详细的功能模块说明,如下表所示。

说明
  • 检测结果数据为去重统计。

  • 检测信息默认显示自去年11日至今,除检测结果和检测列表外,其他检测展示模块可在模块中选择展示最近1个月、最近3个月、最近6个月、最近12个月的数据

功能模块

说明

检测结果

单击右上角检测配置,您可以选择查看内置或自定义的个人信息数据类型和个人敏感信息数据类型。在自定义面板中,单击新增配置,添加自定义敏感数据,具体配置操作请参见敏感数据配置

自定义查看通过统计数据,展示个人信息数据类型定义、个人敏感信息数据类型定义在指定时间段的检测结果:

  • 不存在数据出境风险。

  • 存在数据出境风险(需申报)。

检测列表

通过统计数据,展示合规要求、检测项及评估结果。

数据出境数据走势

通过趋势图,展示出境敏感信息数量、个人信息总数、出境个人信息数量在指定时间段的走势。

个人信息出境TOP流量分布

模块左侧默认降序展示出境流量前十的国家及该国家具体出境个人信息数量。您可以通过调节高低水位来筛选地图中高亮的国家(分布排名不随筛选水位调整变动而变化)。通过世界地图,展示出境数据流向的分布情况。颜色越深,表示流向的数据越多。

  • 鼠标悬置地图上,可查看数据出境的目的地,以及出境的个人信息数量和敏感信息数量。

  • 支持放大或缩小世界地图。

个人信息出境类型统计

通过列表,展示指定时间段内向境外提供的不同数据量级的个人信息、敏感个人信息,及其评估结果。统计记录支持根据数据类型、敏感等级等属性进行记录筛选。关于评估结果的评判标准,请参见出境数据申报和备案的标准是什么

个人信息涉及站点及接口统计

通过列表,展示指定时间段内不同站点下的API接口出境的个人信息、敏感个人信息数量。

二、溯源审计

API安全溯源审计为您提供近30天内的敏感数据流量情况监测,以及敏感数据溯源查询功能。当您发生敏感数据泄漏事件时,可以通过该功能,定位数据泄漏可能的时间点及泄漏链路,帮助您及时合理处置泄漏事件,减少业务损失。在API安全页面单击溯源审计页签,可以进入溯源审计页面。

重要
  • 该功能目前仅中国内地可以开通API安全服务的Web应用防火墙包年包月版本实例支持。

  • 溯源审计功能默认关闭,您可以在策略配置 > 生效对象配置页签,开启目标防护对象的溯源审计开关。具体操作,请参见生效对象配置

功能

说明

日志查询

支持溯源获取敏感数据泄露IP地址、接口和所属域名、敏感数据泄漏的详细信息等。

  • IP地址统计:展示获取敏感信息的IP地址,并根据敏感信息量级,从大到小排序。

  • 域名统计:展示出站敏感数据的域名,并根据敏感数据量级,从大到小排序。

  • 敏感数据类型统计:展示泄露的敏感数据类型,并根据不同类型的数据量级,从大到小排序。

  • 敏感数据接口统计:展示泄漏敏感数据的接口和所属域名,并根据敏感数据量级,从大到小排序。

  • 访问日志详情:展示敏感数据泄露的详细日志信息。您可以通过域名、API敏感数据类型、IP地址等筛选具体的日志信息。

说明

关于敏感数据类型的详细信息,请参见API安全支持检测哪些敏感数据

关于接口的敏感等级说明,请参见API安全的接口敏感等级如何划分

数据溯源

设置要查询的敏感数据样例,获取溯源结果。

  1. 策略配置 > 生效对象配置页签,开启目标防护对象的数据溯源开关。

  2. 选择敏感数据类型后,填写要查询的样例数据。

    说明

    输入的样例数据越多,交叉验证后,溯源的准确性越高。支持最多输入5个查询样例数据,多个样例数据间用半角逗号(,)隔开。

  3. 单击溯源结果操作列的查看详情,在日志查询页签,查看溯源信息。