2024年初始，“新质生产力”成了高频热词，而各家银行也纷纷挖掘起属于银行的新质生产力，金融生态环境正在持续激发出新的能量和更优良的生产力。6月20-21日第三届银行CIO战略大会于杭州召开，多家银行的科技及相关条线领导专家们一起解析了什么是银行的新质生产力。

大会演讲嘉宾包括2家国有大行，2家全国性股份制银行，以及数家头部城商行农商行的领导专家，从系统建设、数据治理、大模型等角度对行业进行了细致的剖析。

爱加密作为国内知名的移动信息安全综合服务提供商受邀出席参会。爱加密技术专家杨平以《安全威胁可见可控实践探索》为题发表了专题演讲。

目前网络安全失效情况普遍存在，其常见根源有下列5大类，难以避免，且难以发现。

对于网络安全治理，我们认为有两大思路。我们首先要做业务内生的安全，减少业务系统自身存在的漏洞和弱点。另一方面，我们要做好网络安全防御，构建能够抵御攻击的网络安全防御体系，从这两个角度去实现安全能力的提升。

但目前部分企业工作陷入三大困境。

一、安全防护有效性缺乏管理

安全运营需全面掌握安全防护有效性情况，任何未知资产、应用服务、业务变化都可能造成安全防护失效，成为木桶理论中最短的那块板。如：安全设备能力不足，对新型或已知攻击手段，覆盖不足，导致能失效；设备应用错误，包括流量未覆盖、设备异常、规则未应用等 。

二、传统风险评估能力的不足

传统的漏扫+渗透+安服人员风险评估，全面排查难覆盖、人工检查局限性、运营资源不够、缺乏运营指导、量化度量困难、成本到人员能力等问题，凸显传统风险评估的不足。

三、缺少事前阶段高质量数据

安全运营管理类平台系统（如态感、SOC/SIEM）缺少事前阶段安全防御水平情况的高质量数据，反而因传统风评数据割裂和缺少体系化全局视角，造成数据噪音、分析及提升改善安全运营困难。

BAS是改善安全运营效果的最佳切入点，可实现对防御系统的常态化验证。爱加密基于此推出自动化解决方案——爱加密安全有效性验证平台。可以连续、全面地利用模拟攻击测试安全设备中的各种防御策略有效性，找出当前网络环境中存在的安全问题。

爱加密安全有效性验证平台是基于攻击者视角，通过模拟针对边界网络、内部网络等资产的攻击行为，以攻促防，为企业建立并持续性优化安全运营能力提供支撑，是企业搭建数字安全防御体系的重要保障。可实现降本增效、完善防御体系并提升安全等级、确定潜在的攻击向量、辅助红蓝演习、安全风险评估、安全常态化等六大目标！

在应用侧安全防护方面，传统WEB边界防护存在的不足，如无法有效抵挡0day攻击；误报率过高，造成运营干扰；无法解决内部业务攻击；历史漏洞难以修复。

RASP全称为Runtime application self-protection，即运行时应用自我保护。可像“疫苗”一样注入到应用程序里面，与应用程序融为一体，使应用程序在运行时实现自我安全保护，并且安装过程无需修改任何应用程序自身代码，仅需简单配置即可实现自我防护机制。

弥补了当前“边界防护”技术体系的不足，为应用系统的安全防护提供了创新性的解决方案，防御能力得以本质提升。

爱加密运行时应用自免疫系统（RASP)产品将安全保护代码嵌入到运行中的应用程序，并与应用程序同时启动，监听与应用程序交换的重要节点，覆盖所有应用程序的访问行为，从而实时监测并拦截漏洞攻击行为。可以抵御传统WAF无法识别的攻击，如针对未知漏洞和业务逻辑漏洞的利用攻击。 

从下图中可以看到，请求参数ids的值中，ids的参数值并不包含任何攻击的Payload，传统的WEB防护产品无法识别该攻击行为，但触发了爱加密RASP的SQL零规则检测，从而断定该接口存在SQL注入漏洞。

这是⼀个非常典型的SQL注入案例，我们通常在处理 where in 查询的时候会因为无法直接使用SQL预编译而选择了拼接SQL的方式来实现业务，从而也就导致了SQL注入的产生。

会议期间，爱加密专题演讲吸引众多参会银行领导先后到访展台，同爱加密深入探讨安全风险管理。

长期以来，爱加密凭借对安全风险及安全防护深厚的理解，持续研发核心技术，产品及服务能力广受广大客户认可，已获得众多国有大行、股份行、城商行、农商行认可。未来，爱加密继续加大研发投入，将为各行业带来更高效、安全的移动应用安全产品，助力企业合规建设，持续加强对监管部门的技术支撑能力，践行产业报国！

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注，不错过下次精彩内容