随着《中華人民共和國網絡安全法》《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》和《關鍵資訊基礎設施安全保護條例》“三法一條例”的陸續釋出,從國家、社會與個人已經逐漸形成了加強資料安全保護的态勢。
2023年1月中旬,工業和資訊化部等十六部門聯合釋出的《關于促進資料安全産業發展的指導意見》指出,到2025年,大陸資料安全産業基礎能力和綜合實力将明顯增強,産業規模迅速擴大,資料安全産業規模将超過1500億元,年複合增長率超過30%。
在此背景下,為了貫徹學習“意見”精神,探讨資料安全産業健康發展的觀點與方法,2023年3月16日下午,安全牛在北京成功舉辦“2023年資料安全技術創新與管理認證研讨會”。 近百位甲方使用者機關代表和網絡安全廠商代表齊聚一堂,超過三千人次嘉賓線上觀看會議直播。
會上,安全牛聯合瑞數資訊等國内資料安全領域代表性廠商,共同釋出《資料安全管理認證建設指引》&《資料安全管控平台應用指南》研究報告,為廣大政企使用者更好地開展新一代資料能力建設與技術應用提供幫助和參考。
本次會議旨在産業快速發展的背景下,聚焦資料安全技術的應用實踐,分别從資料安全技術的建設應用、管理認證和創新發展等視角,深入剖析目前國内資料安全行業的應用需求和發展現狀,并展望未來資料安全技術的演進趨勢。
《資料安全管控平台應用指南》報告,則從目前國内資料安全的防護現狀,資料安全管控平台的建設、技術實作、應用場景、應用建議和落地案例等多元度切入,深度解析以資料安全管控平台為中心的資料安全體系化防護。
瑞數資訊在報告中指出,傳統的資料安全治理大多關注在内部資料上,關注收集、存儲、傳輸等環節。但《資料安全法》中明确提出了兩個較新的資料處理環節——“提供”“公開”,這是企業數字化深化過程中出現頻率越來越多的使用和處理環節,也是近年來資料洩露風險最常發生的環節。
是以,作為資料安全領域的代表性廠商,瑞數資訊以瑞數資料安全管控平台在某營運商的實際應用為案例,針對營運商的資料安全風險,就資料處理過程中的“傳輸”“提供”“公開”“使用和存儲”等環節的資料安全問題進行處理,保障資料傳輸安全,防止API敏感資料洩露,實作身份資訊防護和惡意爬蟲防護,助力企業建構資料安全的主動防禦體系。
瑞數資料安全管控平台
瑞數資訊基于資料的傳輸、提供、公開、使用、存儲關鍵生命周期節點,推出了基于多種安全技術打造的資料安全管控平台,助力營運商建構資料安全的主動防禦體系。
瑞數資料安全管控平台産品架構圖
瑞數資料安全管控平台可一體化承載Web、H5、App、API、微信和小程式等多種應用資料的安全,覆寫資料的傳輸、提供、公開、使用和存儲多個環節,通過動态安全引擎、AI資料行為分析引擎、響應與應急恢複引擎技術,依托平台建立的資料安全底座,提供資料異常通路監控、資料洩露管控、資料濫用行為、資料勒索行為等資料安全防護。
資料傳輸環節:以“動态防護”技術為核心,采用一次一密技術進行資料混淆,使得傳輸内容的混淆結果每次不同,進而提高攻擊者的破解難度,實作安全傳輸,防止中間人攻擊及産生的資料僞造或篡改。
資料提供環節:瑞數API動态安全方案,可以從敏感資料的接口識别、攻擊檢測、異常行為處置、行為審計四大方面,實作對API的資料風險檢測、防護和處置,避免因API濫用導緻的敏感資料洩露。
資料公開環節:通過人機識别、行為分析、按需攔截等技術,對Web、APP、小程式、H5、微信、API等全應用接入管道,實作外挂和資料爬蟲的防護。
資料使用和存儲環節:以瑞數資料安全底座為支撐,采用了基于創新AI人工智能的快速資料檢測與響應技術,提供資料使用中的風險管理、實時智能行為檢測、威脅驗證和快速恢複等功能,有效反擊黑客勒索、 防止批量資料洩露和破壞的安全能力,構築起事前、事中、事後三道防線的縱深防禦體系。
特色
全應用接入管道
瑞數資料安全管控平台涵蓋所有的業務接入管道,包括 Web、H5、APP、API、微信、小程式等業務接入管道,實作全業務管道的資料安全防護;通過使用者賬号等唯一辨別和全通路記錄,将各業務接入管道的資料通路進行融合,實作使用者通路資料追蹤和透視。
資料安全防護
以創新的“人機識别”技術(包括一次性令牌、用戶端合法性驗證、用戶端行為識别、運作環境偵測技術)+“動态混淆”技術(包括應用代碼混淆、Cookie 混淆、資料傳輸混淆技術)為基礎,結合行為分析技術,提供全業務管道資料安全主動防禦能力。
輕松識别各種Bots安全攻擊,如撞庫、爬蟲等;提供API敏感資料的管控能力,自動識别API敏感接口、檢測API敏感資料,對異常批量擷取敏感資料的行為進行脫敏和攔截,保障應用資料通路傳輸安全。
安全牛評價
瑞數資訊将資料安全管控平台的切入點放入業務層面,以監管資料API接口、外發機構為核心,防住敏感資料的外洩。瑞數資訊将資料安全防護能力主要放在邊緣接入端,注重應用智能化的手段,能夠針對海量資料進行分析,提升分析性能。
就本營運商應用案例而言,注重依托AI技術對流轉、使用中的資料進行安全監控,采用動态安全技術,提升應用、業務當中資料安全風險防範能力。