在數字化轉型的浪潮中,數字安全已成為維護社會穩定和推動經濟發展的關鍵。近日,國內數字化産業第三方調研與諮詢機構數世諮詢正式發佈《數字安全藍皮書:本質屬性與重要特徵》,人民郵電出版社出版,是國內首部“數字安全”概念、理論、內涵及方法論和落地實踐等研究成果的正式出版物。
瑞數資訊深度參編《數字安全藍皮書》。作為現代WAF/WAAP領域能力領航者,受邀在“數字安全能力詳解”篇章中為現代WAF進行定義,並就現代WAF在金融行業中的應用實踐進行分享和分析。
《數字安全藍皮書》的編寫集合了數世諮詢與各細分領域領航者,確保了內容的專業性和權威性。每一位領航者都是在經過數世諮詢嚴格的技術和綜合實力評審後甄選而出,代表了數字安全領域的頂尖水準。該書深入探討了數字安全的定義、本質屬性及其重要性,從數字基礎設施保護到數據安全,從安全運營到行業最佳實踐,涵蓋數字安全的各個方面,幫助讀者提升對數字安全全面性、系統性、重要性的認知。
瑞數資訊:現代WAF/WAAP能力領航者
《數字安全藍皮書》“數字安全能力詳解”篇章中,瑞數資訊作為現代WAF/WAAP能力領航者,受邀對現代WAF進行定義,並剖析了現代WAF的核心能力與應用場景。
現代WAF的定義
現代WAF事指一種保護Web應用程式的綜合性解決方案,它與WAF最大的區別在於支援不限于規則的防控策略(語義分析、動態令牌),支援虛擬化部署,支援與其他安全資源和産品的協同聯動。
除WAF常用場景外,還主要支援API保護、Bot防護等新型業務場景。
現代WAF的核心功能
Web應用程式防護
Bot管理
API安全防護
動態安全技術
底層聯動
主動防禦和AI引擎
現代WAF的應用場景
惡意網路爬蟲防護
API安全風險管控
資源搶佔防護
現代WAF的定義、核心功能、應用場景
數字安全最佳實踐:現代WAF在金融行業的應用
《數字安全藍皮書》“數字安全最佳實踐”篇章中,以瑞數現代WAF-WAAP解決方案為例,介紹了現代WAF在金融行業中的實際應用,與為用戶帶來的諸多有益成效。
瑞數現代WAF- WAAP的金融行業應用
隨著金融數字化進程不斷加速,為方便客戶接入、快速發展客戶,商業銀行為客戶提供了多種接入渠道,包括手機銀行 App訪問、web網站訪問、H5頁面訪問、微信公眾號訪問、微信小程式訪問和API訪問等。
伴隨流量的提升,API業務帶來的Web敞口風險和風險管控鏈條的擴展和延伸,各種利用 Web應用漏洞進行攻擊的事件與日俱增,各類擬人化攻擊、自動化攻擊API攻擊、0day漏洞攻擊對金融數字化業務的影響進一步擴大,攻擊手段愈發多元化。
在此背景之下,瑞數現代WAF- WAAP安全平臺通過動態技術實現對手機銀行App、Web網站、H5頁面、微信公眾號、微信小程式和API的統一防護,在現代WAF安全平臺上實現對各類接入客戶端數據的融合,並通過來源IP地址、賬號資訊對各平臺訪問數據進行關聯與信譽評分,實現多平臺業務資訊的聯動與威脅感知,達到精準識別與攔截惡意自動化非法請求的目的。
瑞數現代WAF- WAAP解決方案框架
全渠道訪問的統一防護
實現了全渠道業務(手機銀行APP、Web網站、H5頁面、微信公眾號、微信小程式和API)統一防護,實現了網頁代碼隱藏和自動化工具攻擊防護,對網站的網頁代碼進行隱藏,防止惡意攻擊者分析網站代碼,從而發起有針對性的攻擊。實觀對各種自動化工具攻擊的高效識別和防護,如針對網站的漏洞掃描工具、批量識別和防護金融欺詐工具。
跨渠道數據統一融合分析
通過完整的數據記錄,系統可以透視用戶的訪問軌跡,追蹤用戶的訪問行為,實現數據在各個業務之間的共用,形成銀行的風控數據積累,提升整體風險控制能力、安全防護能力,實現統一數據輸出和融合。
構建應用安全的統一標準
建立能快速上線部署的安全標準,在整個安全流程規範化的同時,實現異構整合,滿足安全能力的無縫對接,降低了金融業務創新成本。異構整合能夠快速融合新安全能力,提高相容性,分別實現安全能力的快速整合和前臺應用的快速調用。
此前,瑞數資訊現代WAF- WAAP安全平臺已多次獲得國內外各權威諮詢機構與第三方媒體的認可。2023年,根據IDC數據,瑞數資訊下一代WAF産品以13.2%的市場份額排名2023年中國私有雲WAF市場份額Top2,以獨特的“動態安全”為核心技術,以Bot防護為核心功能,廣泛應用在政府、電信、金融、醫療、教育、電力能源、網際網路等眾多行業和領域。未來,瑞數資訊將繼續加大研發投入、深化技術創新、持續開拓市場,為客戶提供更加全面和高效的網路安全解決方案。