传感器|API安全形势严峻，企业如何正确保护？( 二 ) 算法|网络安全

第一， API资产的安全管理。企业要梳理API开放的数量、API的活跃状况、僵尸API、影子API等，清理影子API；识别和分类流经每个 API 的数据；从是否授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历、返回数据过多等方面严格检测、评估API的安全性。

第二，数据分级分类管理，访问行为管控。此前有相关新闻报道，内部人员通过应用系统的API违规或数据，如国内头部旅游公司的大量航班订单信息被内部人员泄露。因此，对于企业来说，数据安全的建设从数据访问的边界开始，构建以API为基础的流动数据的安全防护体系，如对敏感数据进行识别和过滤，对敏感数据进行脱敏等，在人员行为管控上，设置访问权限、身份验证等等。
第三， API攻击监测和防护。随着企业数字化程度的加深，数据资料变得越来越有价值，尤其是企业机密信息、用户数据、技术发明、市场策略等核心数据资产，这些都极易遭到非法窃取。因此，面对越来越多的API攻击和数据泄露风险，企业应从多个维度来构建防御体系，更需要基于风险情报来构建攻击检测模型，做到及早感知及时防御，从而保障企业及其用户的数据安全。

最后，值得注意的是，企业要减少API 的滥用，在选择一些办公应用产品时，可选择没有复杂API对接的产品。