隨著數智化演進，應用程序接口（API）已成為連接各類應用與系統的紐帶，其使用廣度與深度持續拓展。數據顯示，全球API流量占比已高達71%，企業平均管理的API接口數量達613個；在國內，得益于GSMA開放網關及14家運營商的推動，中國不僅以94%的市場份額領跑全球網絡API市場，更在游戲、金融等領域加速部署按需配置的優質商業化API，展現出強勁的發展動能。

然而，API的大規模應用也伴隨著日益凸顯的安全挑戰。激增的接口數量、潛藏的影子與僵尸API、敏感數據明文傳輸隱患，以及隱蔽的異常訪問行為等“不可見風險”，正持續威脅企業數據安全。這意味著，API既是驅動業務增長的關鍵引擎，也可能成為破壞業務的潛在漏洞。因此，企業若想在數字化時代筑牢網絡安全防線，構建完善的API安全防護體系已成為不可或缺的核心環節。

劉燁，Akamai北亞區技術總監

那么，企業該如何構建API安全防護體系，又該采用哪些安全策略呢？近日舉辦的2025MWC上海大會上，圍繞網絡API發展趨勢的討論成為業內焦點。Akamai北亞區技術總監劉燁結合自身在該領域的長期觀察與客戶實踐，提出了關于構建API安全防護體系的新思路，為企業破解API安全防護難題帶來了全新思考。

網絡安全的又一戰場，為何API安全愈發重要？

API（Application Programming Interface，應用程序編程接口）是一組規則和協議，定義了不同軟件應用或組件之間的溝通與交互方式。它如同中間件，讓開發者能訪問和使用特定功能或數據，無需深究背后的實現細節。隨著企業數字化轉型的推進，一項研究顯示，API數量較去年增長了82%，這也使得API安全成為未來“網絡安全新戰場”，這一論斷并非空穴來風。

Akamai新近發布的針對亞太地區的深度研究報告《2025年API安全影響研究》（以下簡稱報告）就印證了這一點。報告指出，過去一年多來，亞太地區的API攻擊呈快速增長態勢。攻擊者利用API的開放性和互聯性，通過SQL注入、跨站腳本攻擊、惡意數據請求等手段，企圖竊取敏感信息、破壞系統功能或癱瘓業務運營。報告還指出，85%的企業在過去12個月內遭遇過API安全事件。其中，國內企業的遭遇API安全事件比例為83%，而解決API安全事件的成本更是高達5,687,373元。

更值得關注的是，盡管亞太地區92%的高管表示其組織在過去一年遭遇過API安全事件，但僅有37%的受訪者確認清楚哪些API暴露了敏感數據。這表明，即便人們對API漏洞的認識在提升，整個亞太地區的高層領導和安全團隊對API安全的重視程度卻未同步跟進，進而導致了代價高昂的API攻擊頻發。中關村在線認為，各企業迫切需要就API安全在網絡安全優先事項中的地位達成共識。

安全迫在眉睫，企業應該如何應對API安全？

在API安全面臨嚴峻挑戰的當下，企業亟需構建全面有效的API安全策略，以此守護關鍵數據、客戶關系及內部團隊。中關村在線認為，這一過程的首要任務，是在API安全事件的成因、影響及優先級上形成共識。這就要求企業強化內部溝通與培訓，著力提升高管層對API安全風險的認知深度，讓其清晰認識到API安全事件可能對企業戰略布局與業務運營造成的潛在沖擊。

而在完成認知層面的革新后，具體防護措施的落地同樣關鍵。Gartner分析師建議，企業可通過API的發現與分類實現有效安全防護。劉燁認為，企業應當優先考慮構建持久的恢復能力，包括全面清點API、定期進行測試以確保API編碼正確、實施運行時檢測以區分“正常”和“異常”API活動等。具體來看，企業需系統性構建API安全防護機制：

第一步是持續開展API發現，特別是識別出“三無API”，這些是攻擊者最容易利用的盲點；在此基礎上，需建立威脅管理系統，定期匯總風險、漏洞以及修復進展，幫助管理層全面掌握安全情況。即便接口在發布前已進行了充分測試，仍需部署運行時保護能力以實時攔截潛在攻擊。最后，應強化主動測試。建議企業結合OWASP和MITRE等框架開展自動化API測試，將問題前移至開發階段，從源頭上增強安全韌性。

這些防護舉措，正是應對API安全挑戰的抓手。當前，API已成為全球重要IT基礎設施的基石，其安全與否直接關系到企業的穩健發展。正因如此，深入了解API安全風險、主動采用如Akamai提供的API安全解決方案這類適配的防護手段，不僅能幫助企業構筑堅實的API安全防線、確保API安全，更對維護企業整體安全、保障業務正常運行乃至推動企業可持續發展具有至關重要的意義。

應對API安全，Akamai打造豐富的解決方案

應對API安全問題，企業不僅需深刻認識其重要性、構建完善的API安全防護機制，更要選用適配性強的API安全解決方案。正如劉燁在演講中所坦言的，Akamai的解決方案與Gartner分析師提出的“通過發現和分類API實現有效安全防護”理念高度契合。那么，這些解決方案具體包含哪些內容？又能為企業帶來怎樣的實際效果呢？

其中，Akamai的APP&API Protector是一款強大的WAF解決方案，可幫助企業快速識別漏洞并抵御復雜威脅，為Web和API架構提供全面保護。它通過兩個AI驅動的自適應安全引擎和一個行為DDoS引擎，提升檢測效率和準確性。

另一重要方案是Akamai的API Security，它利用AI技術自動發現組織內所有在用的API，并檢測敏感數據、訪問行為及業務邏輯。該方案提供針對OWASP十大API風險的檢測和防護，幫助組織實現高效合規與風險管理。并且整合了Akamai于2024年收購的專業API安全公司NonameSecurity的先進技術。

“簡而言之，App&API Protector（AAP）專注于保護Web和API環境中已知且常見的應用層漏洞，而API Security則致力于防御API特有的濫用行為和業務邏輯漏洞。”劉燁如是說。

據劉燁介紹，敦煌網（DHgate）通過部署Akamai的API Security，App & API Protector以及Bot Manager，在整個API生命周期中實現了API可視化與高效保護，且無需對現存的應用架構進行重大修改。

隨著全球企業數字化轉型的進一步推進以及各行業對高效數據管理和系統集成需求的增加，應用程序接口（API）將迎來進一步爆發，其安全性將得到進一步重視，對于企業而言，進一步加強API安全防護也變得尤為重要，采用API安全防護策略也將為企業務的健康運行提供必要的保障。

面向未來，隨著技術手段的持續進步、企業API安全意識的不斷提升，以及以Akamai為代表的企業在API安全領域的深耕研發與投入，企業API安全防護將得到進一步加強與完善，為企業的數字化轉型和創新發展筑牢堅實可靠的保障基石。