数据泄露事件频发，企业该如何应对应用数据安全问题？

随着数字经济的快速崛起，万物互联、企业上云等趋势的不断推进，数据已经成为最有价值的资产之一。然而，数字经济迎来新发展机遇的同时，数据泄露事件也在持续高频发生。

2020年3月，万豪国际酒店约有520万名酒店客人的信息被泄露，泄露资料包括客人的联系方式、地址、出生日期等。

2020年4月，视频会议软件Zoom因存在严重的隐私安全漏洞，造成了至少15000名用户视频记录被公开在网上，超过50万Zoom账户在交易网站上被低价出售，其中包括邮箱、密码以及个人会议链接和密钥。

2021年4月，Facebook再次被爆出5.33亿用户的个人数据被泄露，包括用户的个人信息，如电话号码、Facebook ID、地点、出生日期、电子邮件地址以及一些生物信息。

相比媒体的报道，安全监测机构发布的数据更是让人触目惊心。据Canalys报告显示，2020年全球数据出现爆炸式增长，12个月内泄露的记录比过去15年的总和还多。数据泄露不仅带来了严重的安全问题，还给企业造成了巨大的损失。据IBM Security研究报告显示，在2021年，统计的企业平均每起数据泄露事件成本为424万美元，是自2004年来的最高值。

互联网应用逐步深入 加剧企业数据泄露风险

企业数据泄露风险加剧，很大程度来源于企业互联网化进程的不断深入，越来越多的业务被迁移到互联网上，大量的应用数据被产生、传输、公开、共享。与此同时，新一代应用通过Web、H5、App、API、微信和小程序等多种业务渠道接入，导致应用敞口风险和链条管控难度加大，加之各类变化多端的撞库攻击、暴力破解、爬虫攻击，使得企业面临越来越严峻的数据安全风险。

与此同时，近几年国家对网络安全的立法工作在逐步加速，一系列法律法规、政策条例陆续出台，从 2016年11月《网络安全法》的颁布，到2021年6月《数据安全法》的颁布，再到同年11月《个人信息保护法》的正式实施，标志着数据安全已经上升到国家战略的高度，企业对于数据保护的安全建设需求也将提升到一个全新的层次。

值得注意的是，《数据安全法》确立了对于数据的安全与发展的宗旨，并明确提出了两个较新的数据处理环节 ⸺“提供”“公开”，这是企业数字化深化过程中出现频率越来越多的使用和处理环节，也是近年来数据泄露风险最常发生的环节。结合威瑞森《2021年数据泄露调查报告》的数据可以看到，80%的数据泄露来自外部，这正是应用数据安全治理的核心。

解决数据在应用中的风险 瑞数信息推出“应用数据安全解决方案”

针对一系列新的应用数据安全风险，瑞数信息推出了“应用数据安全主动防御解决方案”，重点解决数据处理中“传输”“提供”“公开”环节的数据安全问题，保障应用数据传输安全，防止API敏感数据泄露、实现对应用身份信息防护、恶意爬虫防护。

作为中国动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商，瑞数信息以创新的“人机识别”技术+“动态混淆”技术为基础，结合行为分析技术，提供全业务渠道应用数据安全主动防御能力，轻松识别各种Bots的应用数据安全攻击，如：撞库、爬虫等;提供API敏感数据的管控能力，自动识别API敏感接口、检测API敏感数据，对异常批量获取敏感数据的行为进行脱敏和拦截，保障应用数据访问传输安全，具体而言：

•  全业务接入渠道

瑞数应用数据安全主动防御解决方案覆盖所有的应用接入渠道，包括 Web、H5、APP、API、微信、小程序等业务接入渠道，实现全业务渠道应用数据安全防护;通过用户账号等唯一标识和全访问记录，将各业务接入渠道的数据访问进行融合，实现用户访问数据追踪和透视。

•  数据传输保护

瑞数应用数据安全主动防御解决方案通过动态混淆技术，实现对应用代码、Cookie混淆;有效防止攻击者分析应用代码，盗用Cookie获取身份信息，提高攻击门槛;同时，对数据传输进行动态混淆，防止攻击者拦截数据传输报文发起中间人攻击，有效保证数据传输的保密性和完整性，覆盖数据处理的传输、提供、公开环节。

• 身份信息防护

瑞数应用数据安全主动防御解决方案，通过“人机识别”技术和内置的各种业务威胁模型，透视撞库和暴力破解行为，实时拦截攻击行为，防止由于账号泄露造成的进一步数据泄露。

• 爬虫攻击防护

瑞数应用数据安全主动防御解决方案，通过人机识别和可编程对抗技术实现对各种自动化工具的识别，提供实时和深入的Bots 攻击抵御，有效防止爬虫攻击，守住应用数据安全风险的入口。

•  API敏感数据管控

近期大规模数据泄露事件都和API接口有关，API接口的敏感数据管控成为各企业数据安全建设重点。瑞数应用数据安全主动防御解决方案，通过API敏感接口自动识别、敏感数据和攻击检测、访问行为分析和异常处置，实现API敏感数据泄露防护。通过API资产自动发现和建立数据访问API的安全基线，对可能造成批量数据泄漏的API滥用、API异常数据获取等行为进行数据安全风险识别和管控，解决供应链交互数据安全问题。

总体来说，瑞数信息“应用数据安全主动防御解决方案”实现了涵盖Web、H5、APP、API、微信、小程序等全渠道的应用数据安全防护，其核心在于瑞数信息独创的“动态安全”技术，完全颠覆了传统安全依赖攻击特征与策略规则的被动式防御技术，可对已知和未知的自动化攻击，各种利用自动化工具发起的恶意行为做到更及时、更高效地拦截。

结合“动态安全”与“AI人工智能”两大核心技术的协同效力，瑞数信息“应用数据安全主动防御解决方案”让企业能够构建起Web、App和API等应用的主动防御体系，将安全能力提升至可持续安全对抗的新台阶，从而高效应对应用数据安全风险。