应用程序是数字时代的业务基础。业务应用不仅仅是企业运营的工具，更是企业与客户互动、数据交换的平台。对于攻击者来说，应用就好比金库，其中包含重要的业务和用户数据，虽然金库使用了最坚固的材料和武装齐全的安保，但是只要正常开展业务，就一定会出现安全漏洞。在巨大的收益诱惑下，攻击者会不惜一切代价去寻找抢劫金库的方法。据报道，84%的安全事件发生在应用程序层。因此，保护业务应用和数据安全成为企业数字化过程中的重要任务。

数字化发展带来的变化

数字化发展正深刻改变着各行业企业的运营模式和业务流程，带来了业务应用的倍增，同时也使得应用数据安全成为关注的焦点。

一、数字化业务应用倍增

在当今数字化时代，不论开展怎样的工作、完成什么样的任务，都离不开数字化应用的支撑与实现，应用程序已经成为企业业务不可或缺的一部分。一项完善的数字化业务，通常是由多个不同功能的应用程序通过API来进行配合构成的。然而，随着应用程序规模的不断扩大和攻击手段的不断演化，应用安全问题愈发凸显，越来越多的攻击事件不断威胁企业业务运行和数据安全。整体来看，数字化发展给企业主要带来以下变化。

1.应用数量暴增：根据咨询机构IDC预测，到2025年全球将创建7.5亿个云原生应用程序。

2.海量数据产生：根据咨询机构IDC预测，2027年全球新产生的数据量将达到291ZB，近乎2022年的3倍。

3.运维形态变迁：企业上云与大量中间件产品的采用，管理对象呈现出类别多样、虚实融合的新现象。

随着云计算、移动互联网和物联网等新技术的发展，应用程序面临的攻击面也在不断扩大。此外，近年来恶意软件、零日漏洞等高级威胁的兴起，对应用程序安全提出了更高要求。

二、安全也逐步适应变化

随着数字化业务的快速发展，安全领域也在不断适应新的变化。企业通过综合运用多种安全技术并不断增加安全投入，构建了一个多层次、全方位的安全防护体系，以应对不断演变的安全威胁。

1.在安全技术方面

在安全技术方面,安全防御逐步从传统的网络边界安全，深入到终端设备安全和业务应用安全，确保了企业能够在数字化时代中安全地运营和发展。

（1）网络边界安全：防火墙、IPS等产品构筑了网络网关侧的第一堵墙。

（2）终端设备安全：EDR、HIDS等产品提供了工作负载层面的安全指标监测。

（3）业务应用安全：RASP、IAST等产品补足了安全治理在业务层的视角缺失。

随着企业安全建设的不断深入，应用安全可以让企业更好的从业务视角看待安全问题，守护攻击者触及业务时的最后一道防线。

图1 应用安全在整体安全中的位置

在整体安全架构中，应用安全是最贴近业务的安全，它直接关联到业务运营。应用安全不仅关注技术层面的防护，更注重从业务角度出发，识别和治理安全风险。它保护的是企业的核心资产——业务应用和数据，确保它们在遭受攻击时能够保持安全和稳定。因此，应用安全对于维护企业的整体安全运营至关重要。

2.在安全投入方面

在安全投入方面，市场提供了各种解决方案帮助企业提高其应用程序的安全性并确保其跟上不断变化的威胁形势。应用安全主要分为两个细分市场：应用程序安全扫描工具和运行时保护工具。统计发现，随着数字化发展，应用数量迅速增长，安全威胁不断演进，企业在应用安全支出方面也在不断上升

图2 2017-2023年全球应用安全投入

据Gartner预测，到2025年生成式人工智能（GenAI）将促使企业网络安全投入激增，其中应用程序和数据安全支出将增加15%以上。

三、应用数据安全受关注

在数字化业务中，应用与数据安全的关系变得尤为紧密，它们共同构成了企业信息安全的核心。应用层面的安全措施直接关系到数据的安全与完整性，而数据层面的保护策略也影响着应用的稳定性与可靠性。

图3 应用与数据安全的关系

近年来，应用与数据安全备受关注，各种政策措施不断出台。2022年12月，《中共中央 国务院 关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）对外发布。2023年10月国家数据局正式揭牌，这标志着我国对于数据的重视与保护进入全新阶段，数据要素市场制度进一步完善，是中国数据领域的一项重大改革。2024年4月1日召开的首次全国数据工作会议，强调了数据标准化实施的重要性。会议提出了数据标准化的流程和方法，旨在解决标准从制定到落地的全过程管理。这不仅包括标准的制定和发布，更重要的是确保这些标准能够在实际工作中得到有效执行。

应用与数据安全的关系是相辅相成的。应用层面的防护是确保数据安全的关键，而数据安全的政策和标准则为应用防护提供了指导和支持。确保应用安全不仅能够保护企业和个人的数据资产，还能够促进数字经济的健康发展。