2023年1月中旬,工業(yè)和信息化部等十六部門聯(lián)合發(fā)布的《關(guān)于促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導意見》指出,到2025年,我國數(shù)據(jù)安全產(chǎn)業(yè)基礎(chǔ)能力和綜合實力將明顯增強,產(chǎn)業(yè)規(guī)模迅速擴大,數(shù)據(jù)安全產(chǎn)業(yè)規(guī)模將超過1500億元,年復合增長率超過30%。
在此背景下,為了貫徹學習“意見”精神,探討數(shù)據(jù)安全產(chǎn)業(yè)健康發(fā)展的觀點與方法,2023年3月16日下午,安全牛在北京成功舉辦“2023年數(shù)據(jù)安全技術(shù)創(chuàng)新與管理認證研討會”。 近百位甲方用戶單位代表和網(wǎng)絡(luò)安全廠商代表齊聚一堂,超過三千人次嘉賓在線觀看會議直播。
會上,安全牛聯(lián)合瑞數(shù)信息等國內(nèi)數(shù)據(jù)安全領(lǐng)域代表性廠商,共同發(fā)布《數(shù)據(jù)安全管理認證建設(shè)指引》&《數(shù)據(jù)安全管控平臺應用指南》研究報告,為廣大政企用戶更好地開展新一代數(shù)據(jù)能力建設(shè)與技術(shù)應用提供幫助和參考。
本次會議旨在產(chǎn)業(yè)快速發(fā)展的背景下,聚焦數(shù)據(jù)安全技術(shù)的應用實踐,分別從數(shù)據(jù)安全技術(shù)的建設(shè)應用、管理認證和創(chuàng)新發(fā)展等視角,深入剖析當前國內(nèi)數(shù)據(jù)安全行業(yè)的應用需求和發(fā)展現(xiàn)狀,并展望未來數(shù)據(jù)安全技術(shù)的演進趨勢。
《數(shù)據(jù)安全管控平臺應用指南》報告,則從當前國內(nèi)數(shù)據(jù)安全的防護現(xiàn)狀,數(shù)據(jù)安全管控平臺的建設(shè)、技術(shù)實現(xiàn)、應用場景、應用建議和落地案例等多維度切入,深度解析以數(shù)據(jù)安全管控平臺為中心的數(shù)據(jù)安全體系化防護。
瑞數(shù)信息在報告中指出,傳統(tǒng)的數(shù)據(jù)安全治理大多關(guān)注在內(nèi)部數(shù)據(jù)上,關(guān)注收集、存儲、傳輸?shù)拳h(huán)節(jié)。但《數(shù)據(jù)安全法》中明確提出了兩個較新的數(shù)據(jù)處理環(huán)節(jié)——“提供”“公開”,這是企業(yè)數(shù)字化深化過程中出現(xiàn)頻率越來越多的使用和處理環(huán)節(jié),也是近年來數(shù)據(jù)泄露風險最常發(fā)生的環(huán)節(jié)。
因此,作為數(shù)據(jù)安全領(lǐng)域的代表性廠商,瑞數(shù)信息以瑞數(shù)數(shù)據(jù)安全管控平臺在某運營商的實際應用為案例,針對運營商的數(shù)據(jù)安全風險,就數(shù)據(jù)處理過程中的“傳輸”“提供”“公開”“使用和存儲”等環(huán)節(jié)的數(shù)據(jù)安全問題進行處理,保障數(shù)據(jù)傳輸安全,防止API敏感數(shù)據(jù)泄露,實現(xiàn)身份信息防護和惡意爬蟲防護,助力企業(yè)構(gòu)建數(shù)據(jù)安全的主動防御體系。
瑞數(shù)數(shù)據(jù)安全管控平臺
瑞數(shù)信息基于數(shù)據(jù)的傳輸、提供、公開、使用、存儲關(guān)鍵生命周期節(jié)點,推出了基于多種安全技術(shù)打造的數(shù)據(jù)安全管控平臺,助力運營商構(gòu)建數(shù)據(jù)安全的主動防御體系。
瑞數(shù)數(shù)據(jù)安全管控平臺產(chǎn)品架構(gòu)圖
瑞數(shù)數(shù)據(jù)安全管控平臺可一體化承載Web、H5、App、API、微信和小程序等多種應用數(shù)據(jù)的安全,覆蓋數(shù)據(jù)的傳輸、提供、公開、使用和存儲多個環(huán)節(jié),通過動態(tài)安全引擎、AI數(shù)據(jù)行為分析引擎、響應與應急恢復引擎技術(shù),依托平臺建立的數(shù)據(jù)安全底座,提供數(shù)據(jù)異常訪問監(jiān)控、數(shù)據(jù)泄露管控、數(shù)據(jù)濫用行為、數(shù)據(jù)勒索行為等數(shù)據(jù)安全防護。
數(shù)據(jù)傳輸環(huán)節(jié):以“動態(tài)防護”技術(shù)為核心,采用一次一密技術(shù)進行數(shù)據(jù)混淆,使得傳輸內(nèi)容的混淆結(jié)果每次不同,從而提高攻擊者的破解難度,實現(xiàn)安全傳輸,防止中間人攻擊及產(chǎn)生的數(shù)據(jù)偽造或篡改。
數(shù)據(jù)提供環(huán)節(jié):瑞數(shù)API動態(tài)安全方案,可以從敏感數(shù)據(jù)的接口識別、攻擊檢測、異常行為處置、行為審計四大方面,實現(xiàn)對API的數(shù)據(jù)風險檢測、防護和處置,避免因API濫用導致的敏感數(shù)據(jù)泄露。
數(shù)據(jù)公開環(huán)節(jié):通過人機識別、行為分析、按需攔截等技術(shù),對Web、APP、小程序、H5、微信、API等全應用接入渠道,實現(xiàn)外掛和數(shù)據(jù)爬蟲的防護。
數(shù)據(jù)使用和存儲環(huán)節(jié):以瑞數(shù)數(shù)據(jù)安全底座為支撐,采用了基于創(chuàng)新AI人工智能的快速數(shù)據(jù)檢測與響應技術(shù),提供數(shù)據(jù)使用中的風險管理、實時智能行為檢測、威脅驗證和快速恢復等功能,有效反擊黑客勒索、防止批量數(shù)據(jù)泄露和破壞的安全能力,構(gòu)筑起事前、事中、事后三道防線的縱深防御體系。
特色
全應用接入渠道
瑞數(shù)數(shù)據(jù)安全管控平臺涵蓋所有的業(yè)務接入渠道,包括 Web、H5、APP、API、微信、小程序等業(yè)務接入渠道,實現(xiàn)全業(yè)務渠道的數(shù)據(jù)安全防護;通過用戶賬號等唯一標識和全訪問記錄,將各業(yè)務接入渠道的數(shù)據(jù)訪問進行融合,實現(xiàn)用戶訪問數(shù)據(jù)追蹤和透視。
數(shù)據(jù)安全防護
以創(chuàng)新的“人機識別”技術(shù)(包括一次性令牌、客戶端合法性驗證、客戶端行為識別、運行環(huán)境偵測技術(shù))+“動態(tài)混淆”技術(shù)(包括應用代碼混淆、Cookie 混淆、數(shù)據(jù)傳輸混淆技術(shù))為基礎(chǔ),結(jié)合行為分析技術(shù),提供全業(yè)務渠道數(shù)據(jù)安全主動防御能力。
輕松識別各種Bots安全攻擊,如撞庫、爬蟲等;提供API敏感數(shù)據(jù)的管控能力,自動識別API敏感接口、檢測API敏感數(shù)據(jù),對異常批量獲取敏感數(shù)據(jù)的行為進行脫敏和攔截,保障應用數(shù)據(jù)訪問傳輸安全。
安全牛評價
瑞數(shù)信息將數(shù)據(jù)安全管控平臺的切入點放入業(yè)務層面,以監(jiān)管數(shù)據(jù)API接口、外發(fā)機構(gòu)為核心,防住敏感數(shù)據(jù)的外泄。瑞數(shù)信息將數(shù)據(jù)安全防護能力主要放在邊緣接入端,注重應用智能化的手段,能夠針對海量數(shù)據(jù)進行分析,提升分析性能。
就本運營商應用案例而言,注重依托AI技術(shù)對流轉(zhuǎn)、使用中的數(shù)據(jù)進行安全監(jiān)控,采用動態(tài)安全技術(shù),提升應用、業(yè)務當中數(shù)據(jù)安全風險防范能力。