數據泄露事件頻發，企業該如何應對應用數據安全問題？

隨著數字經濟的快速崛起，萬物互聯、企業上云等趨勢的不斷推進，數據已經成為最有價值的資產之一。然而，數字經濟迎來新發展機遇的同時，數據泄露事件也在持續高頻發生。

2020年3月，萬豪國際酒店約有520萬名酒店客人的信息被泄露，泄露資料包括客人的聯系方式、地址、出生日期等。

2020年4月，視頻會議軟件Zoom因存在嚴重的隱私安全漏洞，造成了至少15000名用戶視頻記錄被公開在網上，超過50萬Zoom賬戶在交易網站上被低價出售，其中包括郵箱、密碼以及個人會議鏈接和密鑰。

2021年4月，Facebook再次被爆出5.33億用戶的個人數據被泄露，包括用戶的個人信息，如電話號碼、Facebook ID、地點、出生日期、電子郵件地址以及一些生物信息。

相比媒體的報道，安全監測機構發布的數據更是讓人觸目驚心。據Canalys報告顯示，2020年全球數據出現爆炸式增長，12個月內泄露的記錄比過去15年的總和還多。數據泄露不僅帶來了嚴重的安全問題，還給企業造成了巨大的損失。據IBM Security研究報告顯示，在2021年，統計的企業平均每起數據泄露事件成本為424萬美元，是自2004年來的最高值。

互聯網應用逐步深入 加劇企業數據泄露風險

企業數據泄露風險加劇，很大程度來源于企業互聯網化進程的不斷深入，越來越多的業務被遷移到互聯網上，大量的應用數據被產生、傳輸、公開、共享。與此同時，新一代應用通過Web、H5、App、API、微信和小程序等多種業務渠道接入，導致應用敞口風險和鏈條管控難度加大，加之各類變化多端的撞庫攻擊、暴力破解、爬蟲攻擊，使得企業面臨越來越嚴峻的數據安全風險。

與此同時，近幾年國家對網絡安全的立法工作在逐步加速，一系列法律法規、政策條例陸續出臺，從 2016年11月《網絡安全法》的頒布，到2021年6月《數據安全法》的頒布，再到同年11月《個人信息保護法》的正式實施，標志著數據安全已經上升到國家戰略的高度，企業對于數據保護的安全建設需求也將提升到一個全新的層次。

值得注意的是，《數據安全法》確立了對于數據的安全與發展的宗旨，并明確提出了兩個較新的數據處理環節 ?“提供”“公開”，這是企業數字化深化過程中出現頻率越來越多的使用和處理環節，也是近年來數據泄露風險最常發生的環節。結合威瑞森《2021年數據泄露調查報告》的數據可以看到，80%的數據泄露來自外部，這正是應用數據安全治理的核心。

解決數據在應用中的風險 瑞數信息推出“應用數據安全解決方案”

針對一系列新的應用數據安全風險，瑞數信息推出了“應用數據安全主動防御解決方案”，重點解決數據處理中“傳輸”“提供”“公開”環節的數據安全問題，保障應用數據傳輸安全，防止API敏感數據泄露、實現對應用身份信息防護、惡意爬蟲防護。

作為中國動態安全技術的創新者和Bots自動化攻擊防護領域的專業廠商，瑞數信息以創新的“人機識別”技術+“動態混淆”技術為基礎，結合行為分析技術，提供全業務渠道應用數據安全主動防御能力，輕松識別各種Bots的應用數據安全攻擊，如：撞庫、爬蟲等；提供API敏感數據的管控能力，自動識別API敏感接口、檢測API敏感數據，對異常批量獲取敏感數據的行為進行脫敏和攔截，保障應用數據訪問傳輸安全，具體而言：

• 全業務接入渠道

瑞數應用數據安全主動防御解決方案覆蓋所有的應用接入渠道，包括 Web、H5、APP、API、微信、小程序等業務接入渠道，實現全業務渠道應用數據安全防護；通過用戶賬號等唯一標識和全訪問記錄，將各業務接入渠道的數據訪問進行融合，實現用戶訪問數據追蹤和透視。

• 數據傳輸保護

瑞數應用數據安全主動防御解決方案通過動態混淆技術，實現對應用代碼、Cookie混淆；有效防止攻擊者分析應用代碼，盜用Cookie獲取身份信息，提高攻擊門檻；同時，對數據傳輸進行動態混淆，防止攻擊者攔截數據傳輸報文發起中間人攻擊，有效保證數據傳輸的保密性和完整性，覆蓋數據處理的傳輸、提供、公開環節。

• 身份信息防護

瑞數應用數據安全主動防御解決方案，通過“人機識別”技術和內置的各種業務威脅模型，透視撞庫和暴力破解行為，實時攔截攻擊行為，防止由于賬號泄露造成的進一步數據泄露。

• 爬蟲攻擊防護

瑞數應用數據安全主動防御解決方案，通過人機識別和可編程對抗技術實現對各種自動化工具的識別，提供實時和深入的Bots 攻擊抵御，有效防止爬蟲攻擊，守住應用數據安全風險的入口。

• API敏感數據管控

近期大規模數據泄露事件都和API接口有關，API接口的敏感數據管控成為各企業數據安全建設重點。瑞數應用數據安全主動防御解決方案，通過API敏感接口自動識別、敏感數據和攻擊檢測、訪問行為分析和異常處置，實現API敏感數據泄露防護。通過API資產自動發現和建立數據訪問API的安全基線，對可能造成批量數據泄漏的API濫用、API異常數據獲取等行為進行數據安全風險識別和管控，解決供應鏈交互數據安全問題。

總體來說，瑞數信息“應用數據安全主動防御解決方案”實現了涵蓋Web、H5、APP、API、微信、小程序等全渠道的應用數據安全防護，其核心在于瑞數信息獨創的“動態安全”技術，完全顛覆了傳統安全依賴攻擊特征與策略規則的被動式防御技術，可對已知和未知的自動化攻擊，各種利用自動化工具發起的惡意行為做到更及時、更高效地攔截。

結合“動態安全”與“AI人工智能”兩大核心技術的協同效力，瑞數信息“應用數據安全主動防御解決方案”讓企業能夠構建起Web、App和API等應用的主動防御體系，將安全能力提升至可持續安全對抗的新臺階，從而高效應對應用數據安全風險。