数据出境安全迎来新规，企业如何应对数据出境合规风险？

经过数年的酝酿，《数据出境安全评估办法》（以下简称《办法》）终于在2022年7月7日审议通过，并于9月1日起开始实施。该《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。

1. 出境数据资产梳理

《办法》中明确提出数据出境安全评估重点内容包括出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险等。

因此企业必须全面掌握出境数据的整体情况，避免出现出境数据合规风险。而API作为连接数据与应用的重要通道，成为出境数据传输过程中的重要一环。企业保证出境数据安全可控的前提是需要对承载数据的出境API资产进行有效梳理，出境API资产的全面可见是出境数据安全的基础。

然而，很多企业对出境API的开放对象及数量、API关联的敏感数据类型、API的活跃状态及安全状况态等安全风险情况无法全面掌握。永安在线API安全管控平台可以在完成全量出境API及出境数据资产梳理的基础上，主动识别承载在出境API之上的涉敏数据，并自动对出境数据进行分级分类，帮助企业形成清晰的API及出境数据资产视图。

• 出境API资产梳理

永安在线API安全管控平台可以为企业呈现全量出境API，帮助企业形成清晰的API及出境数据资产视图，包括API安全状态、出站总数据量、境外出站数据量、境外风险出站数据量以及访问出境数据的区域分布等关键信息。

• 出境敏感数据分级分类

通过流量梳理出境API资产的同时，API安全管控平台还能对流量中流动的敏感出境数据资产进行识别和提取，对提取出来的敏感出境数据类型进行分级分类，确保出境数据资产持续更新和可见。

永安在线的敏感数据分级分类引擎内置了84类敏感数据的检测，支持敏感出境数据的自定义检测和分级分类，同时会根据对敏感出境数据访问的异常行为进行分析，及时预警出境数据泄漏风险。

2. 出境数据风险检测

在对出境API资产和出境数据资产可见并进行分级分类的基础之上，企业还需要对出境数据及个人信息安全提供持续有效的安全防护。《办法》中提到的数据出境安全评估内容重点涉及企业数据安全和个人信息权益是否能够得到充分有效保障。永安在线API安全管控平台可对企业出境API风险进行及时预警，实时识别数据出境过程中API的漏洞及攻击风险，还能协助企业对已泄漏的出境数据进行溯源分析。

• 出境API漏洞检测

API安全管控平台可以对出境API在设计和开发方面存在的漏洞进行评估，检测出境API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。

永安在线基于代理蜜罐情报可以持续跟踪攻击者如何利用新型API漏洞来进行攻击，通过对新型攻击面和攻击特征的分析，持续迭代优化API漏洞检测引擎，覆盖业务API的逻辑漏洞以及开源系统API的未授权漏洞。

针对出境数据安全方面的设计缺陷，对关键出境数据未脱敏、返回数据过多、敏感出境数据伪脱敏等漏洞进行检测，支持7大类46项安全漏洞检测，全面覆盖OWASP API Top10 安全问题。

• 出境API攻击检测

攻击者利用大量的动态代理IP，伪装成正常的请求流量，对企业的出境敏感数据进行低频慢速的爬取，或者买通企业内部人员，利用内部运营系统的特权批量查询出境敏感数据。

永安在线基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报，构建出境API访问的行为基线，利用机器学习检测出境API访问序列中的异常行为，及时告警撞库、扫号、出境数据爬取等攻击风险。

除此之外，永安在线情报监测平台对暗网上泄漏的出境数据交易进行实时监测告警，基于泄漏出去的出境数据，可利用API安全管控平台对其进行溯源分析，定位到关联数据访问的账号、API、IP，追踪出境数据泄漏的源头，为企业进行下一步处置提供可靠的依据。

3. 出境数据动态合规自审

《办法》中提出数据出境安全评估应坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。因此，企业在数据出境之前需要进行全面的安全评估以确保数据能够安全合规出境。

永安在线通过部署API管控平台，每天定时更新数据出境动态，自动审计出境数据合规指标，对当前业务中包含的个人信息出境数据量、个人敏感信息出境数据量进行分析，对企业数据出境情况进行安全评估，帮助企业及时发现数据出境合规风险。

在数据出境合规压力日益增加的形势下，企业必须直面迎接数据出境合规带来的挑战，永安在线通过API安全管控平台帮助企业建立完善的数据出境合规管控机制，搭建立足自身、动态监测、灵活可持续的数据出境合规体系，极大降低企业出境运维成本，实现数据安全合规出境。