1、瑞数应用数据安全解决方案 应用数据安全主动防御瑞数信息 黄志敏34 2020年，网宿拦截了358.54亿次爬虫攻击，平均每秒发生约1134起，攻击量是2019年攻击量的3倍。2020年，恶意爬虫攻击有所上升。攻击源分布来看，恶意爬虫流量90%来自境内，来自海外的攻击同比减少。数据来源：网宿科技2020年中国互联网安全报告5 恶意爬虫是 API 攻击中最主要的攻击方式，占攻击总量的76.39%，与2019年的77.85%基本持平；过半的 API 攻击集中在政府机构和电子商务行业，占比分别为32.79%和21.16%。数据来源：网宿科技2020年中国互联网安全报告6数据来源：F5撞库攻击报告 在过

2、去五年中，报告的凭证泄露事件数量变化很大，但总体呈上升趋势 2020 年的凭证泄露总数仍然多达 18.6 亿。7中华人民共和国数据安全法，自2021年9月1日起施行；中华人民共和国个人信息保护法，自2021年11月1日起施行。数据来源：威瑞森数据泄露调查报告39%的数据泄露事件由Web攻击导致80%的数据泄露来自外部85%的数据泄露涉及人的因素39%80%85%61%的数据泄露牵涉登录61%82020年3月19日，媒体报道新浪微博因用户查询接口被恶意调用导致App数据泄露。新浪微博方面称此次数据泄露可追溯至2018年末，有用户非法调用App用户查询接口，通过批量上传手机通讯录匹配用户账号昵称，

3、并结合其他渠道获取的信息进行出售。9逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝 昵 称、手 机 号 码 等 淘 宝 客 户 信 息 共 计1180738048条；被告人逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某使用共计19712611条。在2020年7月6日到2020年7月13日时，通过mtop订单评价接口绕过平台风控批量爬取加密数据，爬取字段量巨大；7月6日至7月13日之间平均每天爬取数量500万。102021年10月5日，Apache官方发布一批漏洞信息，包含了该Apache HTTP Server路径穿越漏洞 CVE-2021-41773；攻击者可以通过

4、路径遍历攻击将url映射到预期文档根以外的文件，前提是Apache为2.4.49版本且文档根目录以外的文件不受“require all denied”保护；网络空间搜索数据，10月5日漏洞发布时，处于2.4.49版本的apache总数达到11万台，10月11号降至7万余台服务器。11业务战略合规责权划分数据控制权转移数据收集数据存储数据使用数据传输数据提供数据公开数据生命周期安全管理数据资产梳理数据分类分级确定数据安全策略数据风险评估数据保护与审计数据主动防御数据加密数据脱敏分析运营支撑工具数据发现、分类分级数据分布图识别发现认证、授权、访问控制加密、脱敏、匿名化管控保护攻击防护，风险分析环境

5、感知、行为分析告警、阻断检测响应数据安全项目要先从管理和业务开始，避免从技术开始数据安全策略要围绕数据全生命周期数据安全策略要结合数据属性和访问者权限设计灵活恰当的数据访问规则1、平衡业务需求与风险3、标识、优先级排序和管理数据集的生命周期2、数据分类定级4、部署安全产品5、定义安全策略数据加工传统数据安全治理，大多关注在内部数据上，数据安全法明确提出了两个之前不常出现的针对数据的处理“提供”、“公开”，这也成为对外开放性数据安全治理的重点，如：数据防爬、API数据泄露防护等。应用数据安全主动防御系统13Web/H5APP微信小程序API系统管理统一配置和管理个性化展示多租户支持一次性令牌客户

6、端合法性验证应用代码混淆数据传输混淆Cookie混淆运行环境侦测1数据共享丰富的API 接口第三方输入第三方输出全访问记录接入渠道客户端行为识别访问行为分析数据防爬数据传输保护API敏感数据管控身份信息防护系统功能核心技术14主动防御全息指纹智能分析动态响应动态引擎AI引擎业务无感知持续对抗内置多种数据安全模型全业务渠道关联分析多维度威胁信誉评级全息设备指纹用户行为分析精准采集、人机识别全访问记录、威胁透视动态封装动态验证动态混淆动态令牌动态挑战15全日志记录融合分析Web/H5访问API访问APP访问小程序访问动态安全技术AI 威胁分析基于信誉自动拦截端点采集人机识别企业日志中心日志输出We

7、b/APP服务器API 应用服务器全访问记录，多业务融合应用数据安全主动防御系统灵活响应动态对抗API 敏感数据管控17敏感接口识别异常处置敏感数据和攻击检测访问行为分析 API资产、敏感接口自动发现和分组 API资产生命周期管理接口调用顺序识别行为基线比对异常访问识别API敏感数据识别API安全攻击防护API请求参数合规管控异常行为拦截敏感数据脱敏和阻断API数据风险分类、评级和处置 API 敏感数据识别、检测、防护和行为审计 实现API 风险分类、评级和处置特点181920API 安全攻击防护：1.通过规则匹配和AI分析，识别各种安全攻击2.覆盖各种传统安全攻击3.防止攻击者对API业务发

8、起攻击2122API调用顺序检测，用于检测用户实际的API调用顺序是否与预设的保持一致。保障强业务逻辑的API调用关系，防止绕过业务逻辑的访问行为。2324敏感信息脱敏前敏感信息脱敏后25防撞库&防爬虫27工具28验证是否“自动化”攻击验证浏览器的真实性检查浏览器的属性和环境检查操作动作的真实性随机选取检测项目与数量增加不可预测性和攻击难度组合超过16万种29数据传输保护31 表单内容被动态变化成乱码，防止攻击者拦击表单，伪造交易报文。账号和口令、交易内容全部变成乱码，防止账号、密码被窃取。32Cookie内容被动态变化成乱码，防止攻击者拦击Cookie，伪造交易报文。3334使用一次性算法对

9、APP请求内容进行处理，防止请求伪造、中间人嗅探及篡改等攻击35APP服务器返回的数据通过动态算法生成，非明文的乱码使得预测服务器的行为不可能解决方案效果37 攻击者不停更换IP隐藏自己，瑞数通过浏览器指纹进行IP关联分析。封IP、限频率的传统手段完全失效多IP源低频率攻击浏览器指纹分布该指纹对应的IP分布3839攻击者通常对数据包截取后篡改数据包，进行一系列恶意攻击，瑞数动态混淆将数据混淆，攻击者无法篡改数据动态防护系统识别到数据格式非法，说明数据被篡改40“安全能力图谱”把安全能力划分成8个领域、45个一级分类、111个二级分类与24个三级。目的是尽量把各种主流及具备鲜明特点的分类都容纳进来，并尽量的细分化，从而更加的清晰化。瑞数信息在计算环境领域，其中独占了反机器爬虫领域！数世咨询：中国网络安全能力图谱（2020年1月）瑞数的价值42020103040506全业务接入渠道覆盖API敏感数据管控全访问记录、攻击溯源持续防爬对抗能力提供和公开数据安全防护代码混淆、攻击干扰THANKS谢 谢!