在应用/API访问的大流量场景中，需要了解用户的API使用范围，通过记录完整访问日志的情况，快速识别出包含敏感数据API及数据暴露面，梳理敏感等级，制定应用/API监控和安全策略。

通过向用户授予适当的应用访问权限，避免应用/API及数据的意外暴露。粗放的应用准入管控不能适应对应用数据的细粒度管控，需要建立用户、API、数据多维权限矩阵，达到应用合规调研的目的。

系统需内置安全基线，用于识别、发现在应用访问过程中潜在的安全漏洞，通过告警、访问拦截等响应措施保护应用免遭业务逻辑滥用以及其他漏洞利用。

敏感数据泄露防护的重点是：减少API的暴露面和攻击面，通过对应用/API的有效梳理，洞察数据在应用中的流向，发现用户访问应用的异常行为；对包含敏感数据的API进行全程监控，做到API漏洞风险预警、API数据外泄告警和阻断，以及数据安全事件的审计与溯源。

应用API数据安全网关基于深度协议分析技术，对网络中的流量进行分析，实现对网络中的应用、接口、账号等资产进行自动识别，并归类、分组、添加到各自的资产列表中，只需简单的配置，即可实现应用、接口、账号等资产的审计。

应用API数据安全网关为含有敏感数据的应用请求日志打上对应的数据标签，在标签中建立分类分级属性；将数据标签赋能到应用请求的安全风险识别，准确实时地输出安全风险告警，保障数据生命周期内的流动安全。同时，敏感数据分类分级可为API敏感级别划分提供支撑，依据分类分级属性实现数据价值划分，为API及数据差异化管控提供依据。

应用API数据安全网关提取出各个安全服务产品中的通用规则来构建统一的安全策略中心，内置丰富、高效的安全策略算法，提供黑白名单、IP地址过滤、应用过滤、自定义规则，以及大量的风险策略，包括用户未授权访问检测、接口越权调用、敏感数据外泄风险监测等安全规则，并依据用户、接口、数据权限及风险等级，实施不同的事件响应措施。

通过对HTTP/HTTPS进行深度协议解析，可审计到应用请求的请求状态（成功或失败）、执行时长、请求头、请求体、请求cookie、响应头、响应体、响应set-cookie、请求URL、请求方式、请求参数、会话（token）、用户账号、接口URL、数据标签、风险规则、风险等级等内容，帮助用户有效提升审计内容的精确性。

应用API数据安全网关支持与数据治理平台、数据网关对接，能够对以Web应用、API形式调用数据的行为进行解析和监控，并自动分析其中包含的敏感数据，自动对其中的敏感数据进行脱敏处理。

系统内置行业模板。通过动态脱敏的实施案例和技术积累，结合行业特点，汇聚并总结成了行业模板。这可以帮助用户快速实现敏感数据的定义和脱敏规则的创建，大幅减少脱敏系统的配置/维护成本。

API数字水印会通过一定的算法将一些标志性信息嵌入响应结果中，但不破坏响应结果的页面显示效果和内容，不影响结果页面的正常使用。

API数字水印支持文字水印和数据水印两种类型。文字水印以文字为水印，直接显示在页面上，用户访问页面时，可以直观地看到水印内容。数据水印有两种实现方式：一种是将水印信息转换成不可见的字符组合，并将该字符组合随机插入API响应结果的敏感数据中；另一种是以通过随机生成伪列并将其插入新增列中。水印信息包括（或部分包括）网页访问者的信息，如部门、用户账号、IP地址、调用时间以及其他自定义内容等，用来识别网页访问者的唯一身份。

API数字水印主要用于判断网页访问行为是否合规，是否存在非法调用、截屏、拍照、复制等行为，为安全事件发生后的追溯提供依据。

系统支持对数据进行水印溯源，对于用户直接复制敏感数据，或者通过拍照、截屏的方式将敏感数据泄露出去的情况，可以通过水印溯源模块看到溯源的结果和日志详情，定位到相关责任人。

应用API数据安全网关提供3个管理员（系统管理员、安全管理员、审计管理员），由他们分管系统的不同功能模块，满足三权分立要求。

对于爬虫和机器人攻击，应用API数据安全网关可对异常频率访问进行监测，当出现异常访问时，可进行告警。对于严重异常访问，将对其IP地址进行阻断，以防止数据被爬取。