清科万道 方芳：筑牢数字金融基石--代码逻辑风险检测助力应用内生安全.pdf

《清科万道 方芳：筑牢数字金融基石--代码逻辑风险检测助力应用内生安全.pdf》由会员分享，可在线阅读，更多相关《清科万道 方芳：筑牢数字金融基石--代码逻辑风险检测助力应用内生安全.pdf（26页珍藏版）》请在三个皮匠报告上搜索。

1、清科万道（北京）信息技术有限公司智慧科技护航应用安全筑牢数字金融基石-代码逻辑风险检测助力应用内生安全事事件件概概述述事件起因事件起因运营失误将“满200减20”优惠券误设为“满200减200”，导致价格漏洞。事件经过事件经过漏洞迅速传播，大量用户涌入抢购，商品短时间内售罄。事件结果事件结果平台损失惨重，被迫自动退款并补偿，引发用户争议和品牌信任危机。事件时间事件时间2026年3月2日凌晨业务安全事件案例-豆瓣“羊毛事件”核心风控问题分析核心风控问题分析发布缺少审核发布缺少审核未实现对活动配置的自动校验和审核流程业务逻辑的管控，导致异常配置直接上线。优惠设置未设阈值优惠设置未设阈值未实现对优惠

2、力度的阈值校验业务逻辑，无法识别并拦截异常优惠配置。使用无限制使用无限制未实现对优惠券使用场景、用户身份及次数的限制业务逻辑，导致漏洞被无差别利用。批量下单无阻断批量下单无阻断系统未在业务逻辑层面设计对异常批量下单行为的识别与拦截规则，导致恶意行为无法被有效识别和阻断。风险趋势2025年线上业务欺诈风险持续高企，相关攻击事件超13亿条。2025年全年数据泄露事件共41644起，较2024年全年环比上升10.83%。银行业数据泄露风险连续三年排行第一，消费金融行业则强势反超电商行业，跃升至第二位，软件应用行业首次登上前10。数据来源：威胁猎人2025年互联网黑灰产趋势年度总结报告环境挑战环境挑战

3、！开放生态！业务多样性！应用攻击高发能力挑战能力挑战！专业人员配比不足！缺乏针对性检测工具！数据孤岛2025年业务欺诈攻击情报数2025年1月至12月数据泄露事件所属行业T0P102025年1月至12月监管趋势信息安全技术 个人信息安全规范 数据管理能力成熟度评估模型信息安全技术 信息技术产品安全检测机构条件和行为准则信息安全技术 信息技术产品安全可控评价指标信息安全技术 个人信息去标识化指南信息安全技术 个人信息安全影响评估指南信息安全技术 数据安全能力成熟度模型信息安全技术 数据库管理系统安全评估准则网络产品安全漏洞管理规定App违法违规收集使用个人信息行为认定方法公共互联网网络安全威胁监

4、测与处置办法网络数据安全管理条例网络安全审查办法人脸识别技术应用安全管理办法个人信息保护合规审计管理办法数据安全管理办法（征求意见稿）网络安全审查办法关键信息基础设施安全保护条例（国务院令第745号）关于印发常见类型移动互联网应用程序必要个人信息范围规定的通知贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见GBT22239-2019 信息安全技术 网络安全等级保护基本要求GBT28448-2019 信息安全技术 网络安全等级保护测评要求2021年数据安全法2017年网络安全法2021年个人信息保护法我国我国第一部系统性提出网络空间治理的法律第一部系统性提出网络空间治理的法律

5、法规法规明确了个人信息保护方面的要求规范了相关网络安全监管部门的责权范围明确了个人信息保护相关主体的法律责任2015年国家安全法我国以法律的形式确定总体国家安全观的指导地位我国以法律的形式确定总体国家安全观的指导地位国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，关键基础设施和重要领域信息系统及数据的安全可控我国数据领域的基础性法律我国数据领域的基础性法律建立国家级数据安全工作协调机制建立数据分类分级保护制度重要数据、重点保护、重点监管明确数据安全评估、安全审查要求我国我国个人信息保护领域的基本法个人信息保护领域的基本法明确个人信息处理的基本原则明确了个人信息处理的合法性基础明确了

6、主体权利到处理者系列法律义务第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规安全技术措施同步规划、同步建设、同步使用划、同步建设、同步使用。技术趋势安全左移的优势安全左移的优势安全漏洞趋势安全漏洞趋势75%的安全漏洞已发生在应用程序层，而非我们以往认知的网络层 -Gartner Group超过77%的安全漏洞存在于代码应用上 -NIST传统安全运营模式中，安全介入相对滞后，多为事中、事后性处置，不论是风险影响和修复成本都较高；搭建新型的研发安全体系，将“被动防御”转变为“主动防护”，将安全左移前置，从源头预防，势在必行。应用安全风险来源应用安