华东数交云课堂第五期成功开课！

6月16日，由华东江苏大数据交易中心联合中国通信工业协会数据中心委员会开设的“华东数交云课堂”第五期成功开课！本期云课堂邀请到了瑞数信息技术总监、上海弘晟道缘律师事务所数据安全技术顾问吴剑刚，重点围绕应用数据安全风险、应用数据安全主动防御体系、主动防御应用效果、主动防御价值等话题展开演讲。

华东江苏大数据交易中心副总经理张培对参会嘉宾与观众表示欢迎，并感谢一直以来支持华东数交的朋友。她提到，基于“数据二十条”，为推动数据要素市场的繁荣及可持续发展，华东数交云课堂每期会邀请不同领域的专家针对行业政策法规、前沿话题、研究成果和实践案例进行解读分享，共话数据要素价值释放新图景。

随着工业和信息化部、中央网信办、国家发展改革委等十六部门联合印发《关于促进数据安全产业发展的指导意见》的出台，标志着数据安全在大数据行业的发展的受重视程度的提升。数据安全是数字经济时代的基石，也是当前数字经济发展的核心竞争力，优化数据安全立体防护体系是数字经济发展的重要关注点及支撑。

本期云课堂，瑞数信息技术总监、上海弘晟道缘律师事务所数据安全技术顾问吴剑刚以“如何规避数据传输、提供和公开时的安全风险”为题展开了精彩的观点分享。

目前数据泄露事件愈演愈烈，数据泄露的主要因素涉及web攻击、登录、外部以及人为原因等等。为此，数据安全势在必行。随着《网络安全法》、《国家安全法》、《数据安全法》、《个人信息保护法》、《密码法》、《民法典》等相关法律法规的出台，数据安全保护意识也达到了前所未有的高度。

构建应用数据安全主动防御体系是规避数据安全风险点的有效手段。在应用数据的交互过程中，数据传输阶段可能会收到数据明文传输、中间人攻击的风险、在数据提供阶段，面临着API敏感信息泄露、API数据爬取的可能性，尤其在数据公开阶段，可能会遭受非授权访问、非受控访问、撞库攻击、数据爬取等风险。针对以上问题，在第三方输入时，首先需要确认客户端的合法性，这种手段可以大大降低数据遭受攻击的可能性。通过综合使用应用代码混淆、cookie混淆、数据传输混淆等手段，可以有效降低风险。

目前数据公开，主要以API接口的方式提供，而API安全管控的核心包括：API资产识别、安全攻击防护、敏感信息管控、应用缺陷识别几大功能。通过API安全全景视图、安全攻击检测视图可以直观监视API安全情况。以人机识别+行为分析的工具对抗、保护用户账号安全的防撞库则可以有效保障数据安全需求。

应用数据安全主动防御的价值体现在包括防扫描、攻防演练、数据传输、数据提供、数据公开五个防御阶段。在防扫描阶段，通过网安、主管部门、漏洞扫描通报、防扫描、人工渗透的方式展开。攻防演练可以采用0day常态化、工具泛滥、重保神器等方式。数据传输可以使用应用代码混淆以防分析、传输数据混淆以防篡改、cookie混淆以防劫持。在数据提供阶段通过API接口识别、管理，攻击、缺陷识别，敏感数据、异常行为管控等方式进行防御。通过防撞库、爆破，防爬虫，防批量获取数据可以有效保证数据公开安全。