为提升自主创新产品质量和技术创新能力,助力重点行业自主可控基础设施建设,加速重点行业数字化转型工作进程,促进重点行业产业链数字化升级,推动重点行业数字化、网络化、智能化发展。国家工业信息安全发展研究中心联合中国交通建设集团有限公司、中国海洋石油集团有限公司共同主办,软件融合应用与测试验证工信部重点实验室、关键软件密码研究中心、中关村网络安全与信息化产业联盟、中国交通运输协会信息专业委员会、智慧交通自主创新联合实验室、化工行业信创适配验证中心、双态IT论坛等单位共同承办,开展了“数智赋能 创新领航”2023年数字化转型自主创新解决方案优选征集工作。
中心从方案符合性、材料完备性等方面完成资格审查,并邀请用户单位、高校、行业协会多位专家组成评审组,综合考虑方案的技术体系合理性、技术创新性、产品成熟度、推广价值等方面开展方案评审,最终评审出60个解决方案优选案例。
通付盾WAAP——基于决策智能的Web应用与API防护解决方案入选2023年数字化转型自主创新解决方案安全防护类优选案例。
通付盾WAAP-基于决策智能的Web应用与API防护解决方案
(图 通付盾WAAP解决方案)
通付盾WAAP是一种能够不断自我学习和适应最新攻击行为的网络与数据安全防护技术集合,是一款具有可视化拖拽功能的自动化编排安全体系产品,是一个融合AI Agent(AI智能体)、Web应用防护、API安全、Bot管理、DDOS缓解、风险智能决策等功能的安全工具集成解决方案。通付盾WAAP采用现代技术自适应体系,融合策略、模型、图谱分析进行实时甄别欺诈及批量风险决策,自适应引擎可对复杂环境变化进行快速配置及管理,能够自主分析网络中传输的数据和流量,有效识别并智能拦截恶意攻击,保障现代应用网络与数据安全。
01.解决传统Web防护短板
现代 Web 应用程序的发展,恶意攻击者用来破坏应用程序安全性的技术也在不断发展。有了新的功能和特性,攻击者有更多的表面积可以尝试和瞄准。敏捷方法和 DevOps 实践的采用也导致开发、软件更新和新功能发布的步伐迅速加快。
这些发展趋势也导致传统的 Web 应用防火墙 (WAF) 无法跟上安全需求。WAF 通常依赖于手动调整和持续维护,并且通常只监控开放 Web 应用程序安全项目(OWASP Top 10)列出的前 10 大最严重威胁。所有这一切意味着当今的开发人员、应用程序安全团队和 DevOps 需要一个更好的解决方案来提供可随 Web 应用程序部署扩展的安全性。
02.集成融合形成立体防护
Web应用程序安全市场不断发展以跟上新数字经济的步伐。虽然 Web 应用程序防火墙 (WAF) 已被证明是缓解应用程序漏洞的有效工具,但 API 的激增和攻击者复杂程度的提高引发了 WAF、API 安全、机器人防御、DDoS 缓解和应用程序基础设施保护的融合。WAAP 解决方案可保护应用程序免遭泄露、停机和欺诈。
竞争激烈的数字环境促使组织采用现代软件开发来在市场中取得领先地位,从而实现快速发布周期以引入新功能以及集成、前端用户界面和后端 API 的混搭。因此,新的数字经济需要 Web 应用程序安全进入新时代,以安全地释放创新、有效管理风险并降低运营复杂性。
03.WAAP是网络与数据安全工具的融合与集成
传统Web安全防护更多的点在网络安全层面,针对数据安全需要另外的数据安全产品来补充,一方面,面对不断变化的网络威胁,针对传统Web防护,需要进化与革新,另一方面也需要提供统一的整体防护。WAAP全称是Web应用程序与API保护,它是一个网络安全实现的集合,通过一系列自动伸缩的、云原生的安全模型来保护API和Web应用程序,同时降低机器人扫描的风险,每个模型都有不同的策略来提高安全性,帮助客户提高应用程序的性能与防护能力。以往要解决这些Web问题分别要不同产品和服务获得保护,但是通过WAAP解决方案,可由一个产品或服务就可以提供统一的整体防护,并由一个厂商为解决方案提供支持。
04.WAAP解决的问题
WAAP解决方案通过集成各种安全控制措施来保护应用,从而降低系统入侵、数据泄露、帐户接管和应用停机的风险,包括:Web 应用防火墙 (WAF)、Bot 管理、API 安全、DDoS 缓解。
(图 Web应用和API保护(WAAP))
WAAP通过对API进行漏洞扫描和修复,发现及管理数据资产,及时发现并修复API中的安全漏洞;
(1)通过对API访问进行控制和监控,防止未经授权的访问和恶意攻击;
(2)通过Web动态防御,隐藏攻击入口,提升站点内容保护力度,提高攻击者的攻击成本;
(3)通过基于特征、行为、人机识别等模型,识别与拦截自动化攻击,防范数据爬取,保护数据资产;
(4)通过智能决策,动态应用配置,防范应用层DDOS,降低服务负载,防止过量攻击;
(5)通过体系化的安全模型及防护措施,加强API安全管理,防御自动化攻击,防范数据泄露.
未来,通付盾将继续为推动新一代信息技术与重点行业的深度融合,实现重点行业产业链数字化升级,加强自主可控信息基础设施建设提升行业基础能力和供应链安全水平,助力重点行业数字化网络化、智能化发展贡献力量。