企业数字化转型 应做好数据安全保护

随着工业互联网、人工智能、5G等新兴技术和产业蓬勃发展，以及企业上云步伐加快，互联网安全成为很多企业普遍关注的话题。记者近日从网宿科技发布的《2021年中国互联网安全报告》（以下简称报告）中看到，随着国际竞争与博弈延伸至网络空间，面向产业链、政府等大规模针对性网络攻击频发，加上疫情的叠加与催化，网络安全形势越发严峻。企业在建设网络安全防御体系时，需要根据攻击技术发展趋势随时调整防护思路和策略，才能有效应对。

“随着企业数据资产价值上升和Web漏洞高发，当前特殊的国际环境下出于政治目的发起的攻击行为正在增加，这些都共同推动了近一年来Web应用攻击持续高速增长。”网宿科技相关负责人特别提示，从攻击行为来看，Web应用攻击的目标以窃取数据为主，随着2021年《数据安全法》《个人信息保护法》等相关法规的实施，企业或组织若未能建立起有效的网络安全防线，不仅将面临数据泄露的经济风险，还将面临法律风险。

记者注意到，就传统的DDoS攻击来看，2021全年网络层DDoS攻击数量呈现持续增长态势，4月至6月增幅最大。主要攻击的行业是游戏业和电子商务，占比分别达到50.53%和16.25%，两者遭受的攻击数量已接近总量的七成。教育行业受“双减”政策影响，其业务规模和投资双双下降，受到的攻击规模也相应下降。

值得关注的是，在数字化转型背景下，企业开放的API越来越多，面临的风险也越来越高，API业务逐渐成为众多黑客的攻击目标。2021年全年，网宿安全平台共监测并拦截147.98亿次针对API业务的攻击，平均每秒发生攻击469次，全年攻击量是2020年的3倍有余，呈爆发式增长。尤其是下半年，攻击量大幅跃升。分行业来看，零售行业成为受API攻击最多的行业，攻击量占整体比重的34.99%。金融行业占31.27%，排在第二。零售与金融行业集中了将近七成的API攻击。体现出这两个数字化转型程度较深的行业，在面临API攻击时，也首当其冲。

企业该如何有效应对互联网安全风险？网宿相关负责人在接受记者采访时说，对于开源软件供应链漏洞，要打出组合拳，以综合手段防护。在漏洞曝光初期，可以通过主机安全产品进行资产采集和漏洞检测，快速定位软件漏洞，尽快推进漏洞应用升级；同时结合Web应用防护产品提供的虚拟补丁来拦截针对该漏洞的攻击利用行为。在应用开发阶段，可以使用软件成分分析（SCA）技术手段，加强应用上线前的安全管控，避免应用带病上线。

此外，面对国家在法律制度上日益完善，采取必要措施保障数据安全和个人隐私信息已经成为企业必须履行的法律义务。对此，网宿建议企业应采用能够自动化发现API、带有API访问行为检测功能，并支持API全生命周期管理的高级API防护产品，以消除僵尸API隐患，防止非授权调用和超额调用，确保数据安全。在此基础上，还要选用支持WAAP（云Web应用程序和API保护）方案的厂商，结合Web应用程序防火墙、DDoS防护、爬虫管理能力，形成应对API攻击、Web应用攻击等的综合防护能力。