在數(shù)字化轉(zhuǎn)型的浪潮中，數(shù)字安全已成為維護社會穩(wěn)定和推動經(jīng)濟發(fā)展的關(guān)鍵。近日，國內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機構(gòu)數(shù)世咨詢正式發(fā)布《數(shù)字安全藍皮書：本質(zhì)屬性與重要特征》，人民郵電出版社出版，是國內(nèi)首部“數(shù)字安全”概念、理論、內(nèi)涵及方法論和落地實踐等研究成果的正式出版物。

瑞數(shù)信息深度參編《數(shù)字安全藍皮書》。作為現(xiàn)代WAF/WAAP領(lǐng)域能力領(lǐng)航者，受邀在“數(shù)字安全能力詳解”篇章中為現(xiàn)代WAF進行定義，并就現(xiàn)代WAF在金融行業(yè)中的應(yīng)用實踐進行分享和分析。

《數(shù)字安全藍皮書》的編寫集合了數(shù)世咨詢與各細(xì)分領(lǐng)域領(lǐng)航者，確保了內(nèi)容的專業(yè)性和權(quán)威性。每一位領(lǐng)航者都是在經(jīng)過數(shù)世咨詢嚴(yán)格的技術(shù)和綜合實力評審后甄選而出，代表了數(shù)字安全領(lǐng)域的頂尖水平。該書深入探討了數(shù)字安全的定義、本質(zhì)屬性及其重要性，從數(shù)字基礎(chǔ)設(shè)施保護到數(shù)據(jù)安全，從安全運營到行業(yè)最佳實踐，涵蓋數(shù)字安全的各個方面，幫助讀者提升對數(shù)字安全全面性、系統(tǒng)性、重要性的認(rèn)知。

瑞數(shù)信息：現(xiàn)代WAF/WAAP能力領(lǐng)航者

《數(shù)字安全藍皮書》“數(shù)字安全能力詳解”篇章中，瑞數(shù)信息作為現(xiàn)代WAF/WAAP能力領(lǐng)航者，受邀對現(xiàn)代WAF進行定義，并剖析了現(xiàn)代WAF的核心能力與應(yīng)用場景。

現(xiàn)代WAF的定義

現(xiàn)代WAF事指一種保護Web應(yīng)用程序的綜合性解決方案，它與WAF最大的區(qū)別在于支持不限于規(guī)則的防控策略（語義分析、動態(tài)令牌），支持虛擬化部署，支持與其他安全資源和產(chǎn)品的協(xié)同聯(lián)動。

除WAF常用場景外，還主要支持API保護、Bot防護等新型業(yè)務(wù)場景。

現(xiàn)代WAF的核心功能

• Web應(yīng)用程序防護
• Bot管理
• API安全防護
• 動態(tài)安全技術(shù)
• 底層聯(lián)動
• 主動防御和AI引擎

現(xiàn)代WAF的應(yīng)用場景

• 惡意網(wǎng)絡(luò)爬蟲防護
• API安全風(fēng)險管控
• 資源搶占防護

現(xiàn)代WAF的定義、核心功能、應(yīng)用場景

數(shù)字安全最佳實踐：現(xiàn)代WAF在金融行業(yè)的應(yīng)用

《數(shù)字安全藍皮書》“數(shù)字安全最佳實踐”篇章中，以瑞數(shù)現(xiàn)代WAF-WAAP解決方案為例，介紹了現(xiàn)代WAF在金融行業(yè)中的實際應(yīng)用，與為用戶帶來的諸多有益成效。

瑞數(shù)現(xiàn)代WAF- WAAP的金融行業(yè)應(yīng)用

隨著金融數(shù)字化進程不斷加速，為方便客戶接入、快速發(fā)展客戶，商業(yè)銀行為客戶提供了多種接入渠道，包括手機銀行 App 訪問、web 網(wǎng)站訪問、H5 頁面訪問、微信公眾號訪問、微信小程序訪問和API訪問等。

伴隨流量的提升，API業(yè)務(wù)帶來的Web敞口風(fēng)險和風(fēng)險管控鏈條的擴展和延伸，各種利用Web應(yīng)用漏洞進行攻擊的事件與日俱增，各類擬人化攻擊、自動化攻擊API攻擊、0day漏洞攻擊對金融數(shù)字化業(yè)務(wù)的影響進一步擴大，攻擊手段愈發(fā)多元化。

在此背景之下，瑞數(shù)現(xiàn)代WAF- WAAP安全平臺通過動態(tài)技術(shù)實現(xiàn)對手機銀行App、Web網(wǎng)站、H5 頁面、微信公眾號、微信小程序和API的統(tǒng)一防護，在現(xiàn)代WAF安全平臺上實現(xiàn)對各類接入客戶端數(shù)據(jù)的融合，并通過來源IP地址、賬號信息對各平臺訪問數(shù)據(jù)進行關(guān)聯(lián)與信譽評分，實現(xiàn)多平臺業(yè)務(wù)信息的聯(lián)動與威脅感知，達到精準(zhǔn)識別與攔截惡意自動化非法請求的目的。

瑞數(shù)現(xiàn)代WAF- WAAP解決方案框架

• 全渠道訪問的統(tǒng)一防護

實現(xiàn)了全渠道業(yè)務(wù)（手機銀行APP、Web網(wǎng)站、H5頁面、微信公眾號、微信小程序和API）統(tǒng)一防護，實現(xiàn)了網(wǎng)頁代碼隱藏和自動化工具攻擊防護，對網(wǎng)站的網(wǎng)頁代碼進行隱藏，防止惡意攻擊者分析網(wǎng)站代碼，從而發(fā)起有針對性的攻擊。實觀對各種自動化工具攻擊的高效識別和防護，如針對網(wǎng)站的漏洞掃描工具、批量識別和防護金融欺詐工具。

• 跨渠道數(shù)據(jù)統(tǒng)一融合分析

通過完整的數(shù)據(jù)記錄，系統(tǒng)可以透視用戶的訪問軌跡，追蹤用戶的訪問行為，實現(xiàn)數(shù)據(jù)在各個業(yè)務(wù)之間的共享，形成銀行的風(fēng)控數(shù)據(jù)積累，提升整體風(fēng)險控制能力、安全防護能力，實現(xiàn)統(tǒng)一數(shù)據(jù)輸出和融合。

• 構(gòu)建應(yīng)用安全的統(tǒng)一標(biāo)準(zhǔn)

建立能快速上線部署的安全標(biāo)準(zhǔn)，在整個安全流程規(guī)范化的同時，實現(xiàn)異構(gòu)集成，滿足安全能力的無縫對接，降低了金融業(yè)務(wù)創(chuàng)新成本。異構(gòu)集成能夠快速融合新安全能力，提高兼容性，分別實現(xiàn)安全能力的快速集成和前臺應(yīng)用的快速調(diào)用。

此前，瑞數(shù)信息現(xiàn)代WAF- WAAP安全平臺已多次獲得國內(nèi)外各權(quán)威咨詢機構(gòu)與第三方媒體的認(rèn)可。2023年，根據(jù)IDC數(shù)據(jù)，瑞數(shù)信息下一代WAF產(chǎn)品以13.2%的市場份額排名2023年中國私有云WAF市場份額Top2，以獨特的“動態(tài)安全”為核心技術(shù)，以Bot防護為核心功能，廣泛應(yīng)用在政府、電信、金融、醫(yī)療、教育、電力能源、互聯(lián)網(wǎng)等眾多行業(yè)和領(lǐng)域。未來，瑞數(shù)信息將繼續(xù)加大研發(fā)投入、深化技術(shù)創(chuàng)新、持續(xù)開拓市場，為客戶提供更加全面和高效的網(wǎng)絡(luò)安全解決方案。