智慧科技护航应用安全 筑牢数字金融基石：代码逻辑风险检测助力应用内生安全

业务安全事件案例-豆瓣“羊毛事件” 核心风控问题分析 发布缺少审核 事件时间2026年3月2日凌晨 未实现对活动配置的自动校验和审核流程业务逻辑的管控，导致异常配置直接上线。 事件起因 事件概述 优惠设置未设阈值 运营失误将“满200减20”优惠券误设为“满200减200”，导致价格漏洞。 未实现对优惠力度的阈值校验业务逻辑，无法识别并拦截异常优惠配置。 事件经过 使用无限制 漏洞迅速传播，大量用户涌入抢购，商品短时间内售罄。 未实现对优惠券使用场景、用户身份及次数的限制业务逻辑，导致漏洞被无差别利用。 事件结果 平台损失惨重，被迫自动退款并补偿，引发用户争议和品牌信任危机。 批量下单无阻断 系统未在业务逻辑层面设计对异常批量下单行为的识别与拦截规则，导致恶意行为无法被有效识别和阻断。 风险趋势 Ø2025年线上业务欺诈风险持续高企，相关攻击事件超13亿条。 Ø2025年全年数据泄露事件共41644起，较2024年全年环比上升10.83%。 Ø银行业数据泄露风险连续三年排行第一，消费金融行业则强势反超电商行业，跃升至第二位，软件应用行业首次登上前10。 环境挑战 开放生态 业务多样性 应用攻击高发 能力挑战 专业人员配比不足缺乏针对性检测工具数据孤岛 监管趋势 技术趋势 Ø传统安全运营模式中，安全介入相对滞后，多为事中、事后性处置，不论是风险影响和修复成本都较高； Ø搭建新型的研发安全体系，将“被动防御”转变为“主动防护”，将安全左移前置，从源头预防，势在必行。 安全漏洞趋势 Ø75 %的安全漏洞已发生在应用程序层，而非我们以往认知的网络层 ------Gartner Group Ø超过77%的安全漏洞存在于代码应用上 应用安全风险来源 构建应用安全智脑，为企业输送应用安全数字员工 1个平台，2大特色引擎，多维数据融合 清科万道创新推出代码级业务逻辑漏洞检测、API资产检测两大特色引擎，具有非侵入，速度快，效率高，识别准的特点，在原有代码及开源代码检测的基础上，进一步实现了对业务逻辑漏洞的分析能力，更加全面地识别安全风险，补齐原有工具不足；还能快速识别应用API，为网络资产管理、受攻击面控制提供基础。同时，该平台还支持与原有代码扫描工具集成、与其它安全工具联动，打通多源数据，有效辅助提升应用系统内生安全保障能力。 应用安全风险发现与识别能力提升 检测漏洞类型 垂直越权指低权限用户绕过系统的权限控制机制，行使高权限的功能或权限 特色功能介绍-业务逻辑漏洞检测 Ø有别于目前静态代码检测主要关注于常规的语法类代码缺陷，我们的工具提供更加贴合企业业务的检测引擎，针对常见的越权、资源消耗等业务逻辑漏洞进行识别。 Ø工具提供审计功能，能够通过审计反馈数据，优化扫描规则，持续提高检测的准确率。 特色功能介绍- API资产识别及安全分析 Ø通过对源代码的扫描实现对API资产的识别，无需插桩，无侵入性，不依赖流量，快速高效。Ø支持与开发环境集成，持续扫描版本迭代，跟踪API资产变更，动态跟踪掌握API资产情况。Ø支持与其它流量类工具对接，通过融合开发、测试与运维各阶段的多态数据，实现API安全管理左移，形成安全管理闭环，有效识别当前应用风险API，进一步提升对API资产的管理能力。 API资产识别与分类分级 API风险标识 •统一安全视图，综合安全编码、业务逻辑漏洞、开源组件等多引引擎检测结果，对API中存在的各类型风险进行标识和汇总分析 •有效识别应用系统中的API接口；•自动提取API详细信息，辅助API资产管理； 特色功能介绍-漏洞可触达性分析 通过对代码语法树的构建和分析，对于代码中的调用和依赖关系进行分析，进而识别所发现漏洞的可触达性（或可利用性），更有效地定位安全漏洞、指导有效控制。 工具应用 多引擎代码安全检测工具可跨岗位赋能，为安全工程师、开发人员、测试人员、运维人员等提供全方位的安全辅助。 工具实际检测效果汇总对比分析 *注：以上数据是由多家金融机构实际测试数据结果综合统计得出，检出率与覆盖率均提升200%，工作效率提升400%。 数字时代的信息困境 传统压缩方案失效 存储成本高企 带宽资源紧张 海量视频传输占用大量网络带宽，造成实时监控卡顿、远程访问缓慢，严重影响业务协同效率。 传统技术难以平衡“高压缩比”与“高保真度”，且存在软硬件兼容问题，无法从根本上解决存储传输困境。 高清音视频数据量指数级增长，导致存储硬件投入持续攀升，陷入“越存越贵”的恶性循环。 金融领域资料存储监管要求 保监发〔2017〕54号 银监办发〔2017〕110号 证监会令第130号/ 177号 分级保存要求 核心保存范围 一般保存期限 保险期≤1年存5年 匹配方案、告知警示、录音录像、自查报告等。 至少保留至产品终止或合同解除后6个月。 保险期>1年存10年 纠纷特殊规定 纠纷特殊规定 长期合规要求 若发生纠纷，需延长保存至纠纷最终解决后。 涉及纠纷时，至少保存至纠纷结束后2年。 保存期限不少于20年，需妥善保管接受检查。 解决思路与原理：影像冗余与压缩方案 影像文件中的信息冗余 核心解决方案 空间冗余(Spatial Redundancy) 视觉无损压缩(Visual Lossless) 基于离散像素采样，未能充分利用相邻像素间的空间相关性。 原理：剔除人眼不可视范围内的信息，保留主观视觉效果。 时间冗余(Temporal Redundancy) 特点：不改变原始文件格式，保证无感知损失。 相邻帧图像间的高度相似性，导致数据在时间轴上的重复存储。 视觉冗余(Visual Redundancy) 信息密度增强(Density Enhancement) 人眼对色度、亮度的感知敏感度有限，大量信息无法被视觉感知。 原理：提取时空冗余信息，采用更集约化的方式进行存储。 信息熵冗余(Entropy Redundancy) 特点：改变原始文件格式，显著减少存储空间占用。 用于表达某一信息所需的比特数总是大于理论最小值，存在编码浪费。 一体化视频压缩解决方案 流量解决方案：实时数据传输 存量解决方案：历史数据优化 适用场景：针对海量历史数据，解决存储空间不足问题 适用场景：针对实时采集数据，解决带宽不足与传输延迟 核心技术： 核心技术： 流式实时处理，数据不落地，毫秒级响应异常监测，确保传输稳定性播放端无感切换，保障用户体验智能选模 索引重构自适应压缩算法智能质检（可选）智能选模 压缩比率范围：50% ~ 90% 注：压缩比率视原始文件格式、大小、清晰度，以及用户方对保真效果的要求而动态调整。 方案核心优势 保存原始信息 大幅节省资源 画质高保真 高比率压缩技术，最高可压缩至原文件的几分之一，极大降低带宽和存储成本。 构建摄像头元数据，完整保留来源、时间戳等关键信息，便于溯源。 特有底层编码技术，不改变帧数、不改变分辨率，确保影像质量无损。 广泛格式兼容 智能压缩策略 保留原有格式 全面支持全球常见的音频、视频、图像格式，适应多样化数据源。 压缩后与原文件格式完全一致，可直接使用原软件任意调取、编辑处理。 依据视频内容特征和信息价值衰减曲线，综合选择基础、静态或深度压缩。 其他核心功能 熵差分量化重组 环验证技术 智能画质评估 构建视频全库，进行跨文件联合压缩，在原有基础上进一步提升整体压缩效率。 基于拉普拉斯方差算法，自主评估媒体文件的清晰度，为压缩决策提供辅助依据。 对摄像头帧联合时间签名，精准取证时间信息，确保数据的真实性和可追溯性。 区块链视频特征存证 面向AI的视频压缩 支持水印 以AI评价框架为导向构建压缩模型，显著提高AI对压缩后文件分析的准确率。 支持自定义水印内容和多种形态，用于标识文件信息、事件溯源，保护数据安全。 利用区块链技术提升文件可信度，主要用于纠纷处理、取证等高要求场景。 降本增效，合规无忧 项目背景：某保险公司按监管要求需永久保存双录视频。存量数据约2PB，年增量约500TB，存储单价120元/TB/月 首年成本节省 次年降本激增 压缩前年均存储: 2798 TB压缩后:年均存储1264 TB 压缩前年均存储: 2298 TB压缩后年均存储: 1581 TB 220万元/年 100万元/年 持续长期收益 快速盈亏平衡 项目实施第二年起，节省成本完全覆盖设备投入，正式实现收益。 收回成本后，预计每年稳定节省超200万+开支，实现显著的长期优化。 客户案例:视频效果对比 客户案例:同帧截取画质比对 压缩性能综合对比 高保真与低码率的完美平衡 极致的成本节约与效率提升 无损压缩下，相比原视频节省99%空间（26.8GB→287MB）;极致压缩下，相比原视频节省99.8%空间(26.8GB→47.2MB)，相比其他工具再节省7.8%，显著降低存储传输成本。 无损压缩码率可降至2877kb/s，VMAF评分高达96分；极致压缩下，码率降低至951kb/s，VMAF评分仍保持83分，远超竞品的47.9分，实现低码率下的高保真体验。 智慧科技赋能数字金融 清科万道（北京）信息技术有限公司 0 1 0 - 8 2 3 9 5 8 8 2北京市海淀区学清路甲38号金码大厦B座1509室s e c @ t u s w i t . c o m