在数字化转型的浪潮中,数字安全已成为维护社会稳定和推动经济发展的关键。近日,国内数字化产业第三方调研与咨询机构数世咨询正式发布《数字安全蓝皮书:本质属性与重要特征》,人民邮电出版社出版,是国内首部“数字安全”概念、理论、内涵及方法论和落地实践等研究成果的正式出版物。
瑞数信息深度参编《数字安全蓝皮书》。作为现代WAF/WAAP领域能力领航者,受邀在“数字安全能力详解”篇章中为现代WAF进行定义,并就现代WAF在金融行业中的应用实践进行分享和分析。
《数字安全蓝皮书》的编写集合了数世咨询与各细分领域领航者,确保了内容的专业性和权威性。每一位领航者都是在经过数世咨询严格的技术和综合实力评审后甄选而出,代表了数字安全领域的顶尖水平。该书深入探讨了数字安全的定义、本质属性及其重要性,从数字基础设施保护到数据安全,从安全运营到行业最佳实践,涵盖数字安全的各个方面,帮助读者提升对数字安全全面性、系统性、重要性的认知。
瑞数信息:现代WAF/WAAP能力领航者
《数字安全蓝皮书》“数字安全能力详解”篇章中,瑞数信息作为现代WAF/WAAP能力领航者,受邀对现代WAF进行定义,并剖析了现代WAF的核心能力与应用场景。
现代WAF的定义
现代WAF事指一种保护Web应用程序的综合性解决方案,它与WAF最大的区别在于支持不限于规则的防控策略(语义分析、动态令牌),支持虚拟化部署,支持与其他安全资源和产品的协同联动。
除WAF常用场景外,还主要支持API保护、Bot防护等新型业务场景。
现代WAF的核心功能
- Web应用程序防护
- Bot管理
- API安全防护
- 动态安全技术
- 底层联动
- 主动防御和AI引擎
现代WAF的应用场景
- 恶意网络爬虫防护
- API安全风险管控
- 资源抢占防护
现代WAF的定义、核心功能、应用场景
数字安全最佳实践:现代WAF在金融行业的应用
《数字安全蓝皮书》“数字安全最佳实践”篇章中,以瑞数现代WAF-WAAP解决方案为例,介绍了现代WAF在金融行业中的实际应用,与为用户带来的诸多有益成效。
瑞数现代WAF- WAAP的金融行业应用
随着金融数字化进程不断加速,为方便客户接入、快速发展客户,商业银行为客户提供了多种接入渠道,包括手机银行 App 访问、web 网站访问、H5 页面访问、微信公众号访问、微信小程序访问和API访问等。
伴随流量的提升,API业务带来的Web敞口风险和风险管控链条的扩展和延伸,各种利用Web应用漏洞进行攻击的事件与日俱增,各类拟人化攻击、自动化攻击API攻击、0day漏洞攻击对金融数字化业务的影响进一步扩大,攻击手段愈发多元化。
在此背景之下,瑞数现代WAF- WAAP安全平台通过动态技术实现对手机银行App、Web网站、H5 页面、微信公众号、微信小程序和API的统一防护,在现代WAF安全平台上实现对各类接入客户端数据的融合,并通过来源IP地址、账号信息对各平台访问数据进行关联与信誉评分,实现多平台业务信息的联动与威胁感知,达到精准识别与拦截恶意自动化非法请求的目的。
瑞数现代WAF- WAAP解决方案框架
- 全渠道访问的统一防护
实现了全渠道业务(手机银行APP、Web网站、H5页面、微信公众号、微信小程序和API)统一防护,实现了网页代码隐藏和自动化工具攻击防护,对网站的网页代码进行隐藏,防止恶意攻击者分析网站代码,从而发起有针对性的攻击。实观对各种自动化工具攻击的高效识别和防护,如针对网站的漏洞扫描工具、批量识别和防护金融欺诈工具。
- 跨渠道数据统一融合分析
通过完整的数据记录,系统可以透视用户的访问轨迹,追踪用户的访问行为,实现数据在各个业务之间的共享,形成银行的风控数据积累,提升整体风险控制能力、安全防护能力,实现统一数据输出和融合。
- 构建应用安全的统一标准
建立能快速上线部署的安全标准,在整个安全流程规范化的同时,实现异构集成,满足安全能力的无缝对接,降低了金融业务创新成本。异构集成能够快速融合新安全能力,提高兼容性,分别实现安全能力的快速集成和前台应用的快速调用。
此前,瑞数信息现代WAF- WAAP安全平台已多次获得国内外各权威咨询机构与第三方媒体的认可。2023年,根据IDC数据,瑞数信息下一代WAF产品以13.2%的市场份额排名2023年中国私有云WAF市场份额Top2,以独特的“动态安全”为核心技术,以Bot防护为核心功能,广泛应用在政府、电信、金融、医疗、教育、电力能源、互联网等众多行业和领域。未来,瑞数信息将继续加大研发投入、深化技术创新、持续开拓市场,为客户提供更加全面和高效的网络安全解决方案。
