2025年业务应用与数据安全防护指南报告.docx

业务应用与数防据护安指全南

目录CONTENTS

目录

前言 01

数字化发展带来的变化 02

数字化业务应用倍增 02

安全也逐步适应变化 02

应用数据安全受关注 04

应用数据安全困境风险 05

应用数据安全面临的困境 05

应用面临的十大安全风险 06

应用数据安全防护方案 08

RASP具体方案 09

RASPvsWAF 11

应用数据安全具体能力 12

应用“攻击”威胁防护 12

应用“业务”安全治理 14

应用“数据”全景防护 15

应用数据安全场景案例 17

某金融企业提升应用侧攻击防护能力 17

某企业完善数据链成功发现0day攻击18

5.3某运营商解决外采商业软件安全问题 19

前言

应用程序是数字时代的业务基础。业务应用不仅仅是企业运营的工具，更是企业与客户互动、数据交换的平台。对于攻击者来说，应用就好比金库，其中包含重要的业务和用户数据，虽然金库使用了最坚固的材料和武装齐全的安保，但是只要正常开展业务，就一定会出现安全漏洞。在巨大的收益诱惑下，攻击者会不惜一切代价去寻找抢劫金库的方法。据报道，84%的安全事件发生在应用程序层。因此，保护业务应用和

应用程序是数字时代的业务基础。业务应用不仅仅是企业运营的工具，更是企业与客户互动、数据交换的平台。对于攻击者来说，应用就好比金库，其中包含重要的业务和用户数据，虽然金库使用了最坚固的材料和武装齐全的安保，但是只要正常开展业务，就一定会出现安全漏洞。在巨大的收益诱惑下，攻击者会不惜一切代价去寻找抢劫金库的方法。据报道，84%的安全事件发生在应用程序层。因此，保护业务应用和数据安全成为企业数字化过程中的重要任务。

业务应用与数据安全防护指南

01数带字来化的发变展化

01

数字化发展正深刻改变着各行业企业的运营模式和业务流程，带来了业务应用的倍增，同时也使得应用数据安全成为关注的焦点。

数字化业务应用倍增

在当今数字化时代，不论开展怎样的工作、完成什么样的任务，都离不开数字化应用的支撑与实现，应用程序已经成为企业业务不可或缺的一部分。一项完善的数字化业务，通常是由多个不同功能的应用程序通过API来进行配合构成的。然而，随着应用程序规模的不断扩大和攻击手段的不断演化，应用安全问题愈发凸显，越来越多的攻击事件不断威胁企业业务运行和数据安全。整体来看，数字化发展给企业主要带来以下变化。

根据咨询机构IDC预测，到应用数量暴增2025年全球将创建7.5亿个

根据咨询机构IDC预测，到

应用数量暴增

2025年全球将创建7.5亿个

云原生应用程序。

年全球新产生的数据量将达到

根据咨询机构IDC预测，2027

海量数据产生

291ZB，近乎2022年的3倍。

企业上云与大量中间件产品的

运维形态变迁

采用，管理对象呈现出类别多

样、虚实融合的新现象。

随着云计算、移动互联网和物联网等新技术的发展，应用程序面临的攻击面也在不断扩大。此外，近年来恶意软件、零日漏洞等高级威胁的兴起，对应用程序安全提出了更高要求。国家互联网应急中心（CNCERT）发布《2021年上半年我国互联网网络安全监测数据分析报告》中的数据显示，2021年上半年，国家信息安全漏洞共享平台CNVD）收录通用型安全漏洞13083个，其中：“零日”漏洞数量占比54.3%，同比增长55.1%；Web应用漏洞的影响持续上升，占比达29.6%。

安全也逐步适应变化

随着数字化业务的快速发展，安全领域也在不断适应新的变化。企业通过综合运用多种安全技术并不断增加安全投入，构建了一个多层次、全方位的安全防护体系，以应对不断演变的安全威胁。

1.在安全技术方面

在安全技术方面,安全防御逐步从传统的网络边界安全，深入到终端设备安全和业务应用安全，确保了企业能够在数字化时代中安全地运营和发展。

防火墙、IPS等产品构筑了网网络边界安全络网关侧的第一堵墙。 EDR、HIDS等产品提供了工作

防火墙、IPS等产品构筑了网

网络边界安全

络网关侧的第一堵墙。

EDR、HIDS等产品提供了工作

终端设备安全

负载层面的安全指标监测。

全治理在业务层的视角缺失。

RASP、IAST等产品补足了安

业务应用安全

随着企业安全建设的不断深入，应用安全可以让企业更好的从业务视角看待安全问题，守护攻击者触及业务时的最后一道防线。

图1：应用安全在整体安全中的位置

在整体安全架构中，应用安全是最贴近业务的安全，它直接关联到业务运营。应用安全不仅关注技术层面的防护，更注重从业务角度出发，识别和治理安全风险。它保护的是企业的核心资产?业务应用和数据，确保它们在遭受攻击时能够保持安全和稳定。因此，应用安全对于维护企业的整体安全运营至关重要。

2.在安全投入方面

在安全投入