从问题分析视角看接口泄露保护:
组织管理
内控监管意识薄弱,用控制解决一切问题,以控代监;接口安全停留在倒查的工作层面,被动监管,风险事件发生了再追溯源头;监管着力点在客体(应用系统)不在主体(人和行为)。
技术保护
业务系统接口设计不标准,遗留数据泄露的漏洞;接口没有统一纳管,撒花式开放,存在大量僵尸API;安全技术侵入接口业务,需要ISV,业务方支持,实施阻力大周期长。
安全运营
业务理解和接口管理经验不足,无法识别数据操作与业务的合法性与必要性;记录日志量大,信息量过大,无法提炼有效信息,工作无法下手;风险模型趋于理论化,误报高,安全运营成本大,有效风险产出量少。
… …