如何实现企业数据安全和个人信息安全的防护

（文章来源：北国网）
       随着新一轮信息技术的发展，移动互联网、云计算、大数据、下一代通信技术、物联网等新技术应用不断深入，在加剧传统行业变革的同时，也带来了新的网络安全需求。面对网络安全新形势，企业不仅要严防精心策划的外部攻击，还要防范来自企业内部威胁，数据及信息安全已成为企业战略中的关键部分，是企业全局发展的重要基石。

在此背景下，以中小银行为代表的金融机构及企业的数据安全和个人信息安全防护面临三大挑战：数据安全治理、隐私权限安全，以及软件安全开发。

如何解决呢?大数据处理技术可以很好的解决这个问题。通付盾最新一代数据源管理平台，基于大数据处理技术，为银行等金融企业客户提供多数据源融合、并符合数据隐私保护标准的统一数据源管理;平台建立统一的数据输入输出标准，帮助客户提升数据融合、数据管理及数据应用能力，例如接口一站式接入、在线测试、实时监控、智慧任务、数据路由器等。

在数据源管理平台基础上，企业结合自身强有力的组织架构，完善的管理制度及工作流程支撑，规范数据管理各项工作的开展，从而发现、充实、集成和管理数据的整个生命周期，提升企业风险管理能力及精细化管理要求。

面对APP越权问题,我们认为，当前监管部门的整顿难点在于举证过程。例如，有媒体报道，某款大众化APP被怀疑存在窃听用户信息的行为，用户在通话记录中提到“牙痛”这个词，该APP就给用户推送牙痛相关广告，用户即便发现这一问题并进行举报，接下来也要面临十分困难的举证过程，它要求用户将APP的敏感权限调用情况，无论是静态或动态情况下，按照标准给出证据。

目前，移动应用合规检查产品中的权限检测技术可以解决这类问题，权限检测技术专门针对APP/SDK使用全过程的权限进行检测，该技术基于以符号执行为核心的静态分析引擎和以运行态沙盒为核心的动态检测引擎，旨在快速、准确地检测APP/SDK中存在的敏感权限调用。

目前通付盾权限检测系统能够基于全局权限申请调用进行检测;基于应用启动权限申请进行检测;基于应用运行过程权限进行检测;基于应用静默运行权限进行监测，提供支持判定结果的检测依据，包括运行中截图及抓包数据文件等，全面掌握应用及第三方SDK权限调用情况，解决用户举证难题。

Web应用安全测试技术经过多年发展取得巨大进步，目前业界公认最前沿的技术为“IAST”，交互式应用安全测试技术，被Gartner公司列为信息安全领域的Top10技术之一。“IAST”技术融合了SAST和DAST技术的优点，漏洞检出率极高、误报率极低，同时可以定位到API接口和代码片段，整个过程无需安全专家介入，无需额外安全测试时间投入，不会对现有开发流程造成任何影响，符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。

目前通付盾已经开发出基于“IAST”技术的IAST代码审查系统，该系统主要由三部分组成：核心检测能力，平台基础功能和外部集成接口。其中核心检测能力基于交互式应用安全检测技术实现，包括服务端和检测探针;平台基础功能则提供了各类丰富的操作功能，包括组织结构配置、权限分配、安全弱点检测管理、统计分析等;外部集成接口为平台与其他研发过程中的系统对接预留接口。

通付盾IAST代码审查系统分为服务端和检测端两类，采用B/S的架构部署，服务端部署在内网服务器上，其内置了关系数据库、NoSQL数据库及异步消息队列服务;检测端Agent直接植入到被测试应用微服务Docker容器中，对开发和测试人员无感知。