瑞数信息的安全防护哲学在“动”不在“静”

在智能化、自动化技术推动下，数字化经济时代已经到来，给各行各业带来了业务转型的迫切需求的同时，也令黑客造成的安全威胁和攻击的范围不断扩大。利用自动化工具进行的漏洞攻击、网页篡改、“薅羊毛”、短信网关轰炸、撞库、入侵企业内部系统、零日漏洞、DDoS攻击、信息泄露、批量盗取个人账号密码及交易信息等网络犯罪事件层出不穷。瑞数信息CEO余亮揭示调查结果表示：“随着业务模式的的复杂多样化，企业面临巨大的危机与损失，仅在2015年中国境内的安全事件就攀升517%，每起事件平均经济损失超过 1700万元。”

尽管许多用户已经部署了防火墙、IDS/IPS、WAF等设备，但还是避免不了安全问题的发生。传统的安全技术只能通过不停地找漏洞、打补丁来亡羊补牢，明显落后新兴威胁一步。响应滞后、被动防御、管理复杂等问题凸显。安全防护技术手段在数字化变革中也需要有所变化，一是要在企业转型过程中保障网络安全不受侵害，二是IT架构的升迁转型需要安全防护不断作出变化，保障安全防护的连续性。瑞数信息认为，客户需要更领先、更创新的动态安全方案保障在线业务的不间断运行。

瑞数信息的安全防护哲学

瑞数信息( River Security )成立于2012年，总部位于上海，作为专注于数字业务防护的安全厂商，瑞数信息首先提出“ 动态安全解决方案 ”理念，认为安全必须具备全面高效、主动防护和轻量管理等特点，倡导通过动态安全对在线业务给予全流程和全态势的主动防护，依靠动态安全技术的自主创新实践来颠覆传统安全被动防御的缺陷，以主动的姿态抵御各类新兴自动化攻击和未知威胁。

近日，瑞数信息举行了主题为“赢在安全动态，引领数字化业务的防护新航向” 的安全产品发布暨战略合作签约仪式。发布会上，瑞数信息全面推出用于动态保护数字业务及资产的新一代动态安全产品，旨在为企业的在线业务（目前主要是app和web端）和数据资产提供主动、动态的安全防护，保证在线业务及应用的安全连续运营，为企业在提升黑客攻击成本的同时降低管理负担、加快防护响应速度。

RAS以中国血脉 “先发制人，掌握先机”

“瑞数信息围绕保护用户在线业务安全而打造的动态安全产品以‘先发制人，掌握先机’的防护哲学颠覆攻防态势，提升黑客攻击难度，加快防护响应速度，降低企业管理负担，为在线业务提供全程安全防护，平均每天可阻挡高达1200万个恶意交易数量；以及4500万个交易欺诈行为。”瑞数信息CEO余亮补充表示：“作为国内首家推出动态安全的本土厂商，瑞数信息是一家纯内资公司，拥有100%自主知识产权。在完全自主创新下的多个安全专利技术，不仅保护了上万亿客户资产和2.5亿多账户，更可将99%的自动化攻击高效阻挡于门外。”

具体到新一代动态安全产品的安全防护手段，瑞数信息首席战略官马蔚彦介绍到：“瑞数动态安全系统(RAS)会架设在web服务器与终端之间，通过四大技术功能来实现在一次交易过程中对交易环境和业务数据的主动防护。”

• 动态封装：对网页底层代码做动态封装，隐藏攻击入口，升攻击难度。—— RAS 每次都采用不同的封装算法，将在发起访问请求时对网页底层代码的动态加密封装，对试图扫描漏洞的攻击者隐藏攻击入口。
• 动态验证：运行环境验证，有效甄别“人”还是“自动化”攻击，打击自动化攻击的有效工具。—— RAS 通过对个人PC和移动设备的指纹采集，以及对主流浏览器的属性和环境变量进行超过16万种组合的随机抽取，来验证客户端的合法性，识别bots并提升攻击者使用自动化工具冒充合法客户端的难度。
• 动态混淆：对客户端敏感数据进行混淆，保护数据传输安全，保护终端请求内容及交易内容。——在交易过程中， RAS使用一次性的混淆算法与密钥组合，对终端请求内容(cookie、url、表单等数据)进行动态混淆加密，以防止SQL注入、通过中间人攻击进行的请求伪造或窃听/篡改交易内容；
• 动态令牌：一次性动态令牌，确保执行正确的业务逻辑，保障业务逻辑正确运行。 RAS 对通过上述三点判断为合法请求的访问发放一次性令牌，通过对动态令牌合法性的校验，来防止攻击行为的发生。

马蔚彦进一步补充表示：“在性能与客户体验方面，瑞数的动态安全系统可支持400万的并发访问，6Gbps的吞吐带宽，以及每秒2万7千次的新建连接；客户端侧的延迟一般10~30ms，客户几乎感知不到。 ”

积极寻求合作，将安全能力延伸至云端

最后，在本次瑞数信息新一代动态安全产品发布会上，瑞数信息也以实际行动表态将积极发力云安全服务市场。瑞数信息宣布通过采用Azure的先进技术，正式成为微软云生态系统中的安全专家和重要技术合作伙伴。同时， 瑞数信息全面展开与神州云科在云端的合作计划，双方针对用户云安全的痛点，共同打造企业云安全管理服务平台，为客户提供更加专业化、定制化、多样性的云安全服务，应对中国市场不断激增的云及信息安全需求。北京神州云科信息服务有限公司总经理阎璐进一步介绍到：“瑞数信息与神州云科在云服务与信息安全方面的深入合作将促进中国本地企业在云服务领域的应用，我们将为中国客户提供更加出色且更具多样性的云安全服务，用户可以通过神州云科的云平台来访问瑞数信息与云科联合发布的各类云安全服务。”

瑞数信息在北京和深圳分别设有分支机构，并在成都设立了研发中心，未来，瑞数信息将继续为各行各业用户提供更加优质的主动安全防护和云端安全服务，帮助用户构建安全可控的信息体系，保障网络及数据的完整性、安全性和可靠性，助力企业快速向数字化转型。 余亮表态：“未来瑞数信息将与更多合作伙伴携手，发力全国市场，共同构建安全的生态体系，为广大用户构建更强大的安全支撑和保护，真正实现数字化业务安全无忧！”