/attached/file/20231012/20231012135220842084.pdf
由中國信息通信研究院(以下簡稱“中國信通院”)和中國通信標(biāo)準(zhǔn)化協(xié)會聯(lián)合主辦的“2023 SecGo云和軟件安全大會”在北京成功召開,會上正式發(fā)布《2023API安全發(fā)展白皮書》。
在日益嚴(yán)峻的API挑戰(zhàn)下���,企業(yè)需要主動關(guān)注API安全問題并開展API安全防護(hù)體系建設(shè)。
第一步:基于API生命周期構(gòu)建安全防護(hù)模型
對企業(yè)而言��,想要做好安全管理,全生命周期的API管理很有必要�����。首先�,API是企業(yè)的私有化資產(chǎn),從設(shè)計和開發(fā)就是在企業(yè)內(nèi)部完成���,API問題的產(chǎn)生通常也是由企業(yè)自身產(chǎn)生����。所以����,企業(yè)在管理角度上,有必要從開發(fā)和設(shè)計環(huán)節(jié)就開始考慮整個API的管理���。
其次�����,API在整個業(yè)務(wù)生命周期當(dāng)中變化非����?欤珹PI實現(xiàn)邏輯一旦發(fā)生變化����,很容易引入新的風(fēng)險。因此�,從API全生命周期來考慮API安全,圍繞規(guī)劃����、開發(fā)、測試���、部署、運(yùn)行到下線的每一個環(huán)節(jié)加強(qiáng)安全建設(shè)顯得尤為重要���。
第二步:構(gòu)建基于IPDRR安全架構(gòu)的API安全管理閉環(huán)
在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下�����,API安全建設(shè)絕非易事�����。API全生命周期管理涉及企業(yè)各部門角色的參與���,投入工作量極大�,企業(yè)應(yīng)該根據(jù)實際情況來調(diào)整投入產(chǎn)出比��。而從高效防御的角度出發(fā)����,企業(yè)可以從API的上線運(yùn)行階段入手,基于IPDRR安全模型實現(xiàn)API安全閉環(huán)管理��,結(jié)合自身的業(yè)務(wù)情況有序開展API安全實踐���。
基于 IPDRR 模型��,企業(yè)可通過持續(xù)識別 API 資產(chǎn)潛在威脅和漏洞��、提供安全保護(hù)措施����、實施實時監(jiān)測和事件檢測�����、迅速響應(yīng)安全事件���、以及實施恢復(fù)策略和業(yè)務(wù)持續(xù)性計劃��,全面保護(hù)API的安全性和可靠性��,最大化降低甚至避免API風(fēng)險����。
附件:威脅獵人聯(lián)合中國信通院發(fā)布《API安全發(fā)展白皮書(2023)》
針對復(fù)雜多樣的企業(yè)網(wǎng)絡(luò)環(huán)境,對典型零信任架構(gòu)的關(guān)鍵技術(shù)能力進(jìn)行分析,重點討論了每種架構(gòu)的技術(shù)特點和應(yīng)用場景,為全面建設(shè)零信任的實施方案提供參考
以云原生安全管理的變革為主線對中國云原生安全市場現(xiàn)狀進(jìn)行了年度洞察,以期為中國云原生安全的發(fā)展和企業(yè)云原生安全建設(shè)提供借鑒和參考
以路特斯機(jī)器人的信息安全保護(hù)實踐作為藍(lán)本進(jìn)行介紹,拋磚引玉�,希望將路特斯機(jī)器 人在智能駕駛方面的信息安全建設(shè)的思考和實踐經(jīng)驗分享給行業(yè)各位
《云原生安全技術(shù)規(guī)范》提升云原生類產(chǎn)品技術(shù),幫助更多安全從業(yè)人員解決在規(guī)劃��、實施和維護(hù)云原生安全架構(gòu)時遇到的問題���,針對云原生安全體系中涉及的每類技術(shù)制定的標(biāo)準(zhǔn)
提供掃碼消費(fèi)服務(wù)的經(jīng)營者在收集使用消費(fèi)者個人信息時,應(yīng)當(dāng)遵守相關(guān)法律法規(guī);提供掃碼消費(fèi)服務(wù)的經(jīng)營者應(yīng)當(dāng)向消費(fèi)者提供注銷賬號服務(wù),不得為賬號注銷功能設(shè)置捆綁注銷
信安秘字〔2023〕124號;圍繞文本���、圖片����、音頻、視頻四類生成內(nèi)容給出了內(nèi)容標(biāo)識方法�����,可用于指導(dǎo)生成式人工智能服務(wù)提供者提高安全管理水平
白皮書旨在幫助讀者更好地應(yīng)對通用人工智能大模型帶來的安全風(fēng)險和挑戰(zhàn),同時也為網(wǎng)絡(luò)安全等級保護(hù)在通用人工智能領(lǐng)域的合規(guī)落地提供了指導(dǎo)和建議
數(shù)據(jù)安全產(chǎn)品廣泛應(yīng)用于在數(shù)據(jù)資產(chǎn)識別,數(shù)據(jù)安全檢查,數(shù)據(jù)安全 防護(hù),數(shù)據(jù)風(fēng)險監(jiān)測,數(shù)據(jù)共享流通安全;數(shù)據(jù)安全防護(hù)類產(chǎn)品涵蓋了數(shù)據(jù)保護(hù)類,訪問控制類,追蹤溯源類的諸多產(chǎn)品
報告對工控系統(tǒng)漏洞,聯(lián)網(wǎng)工控設(shè)備,工控蜜罐與威脅情報數(shù)據(jù)等情況進(jìn)行了闡釋及分析,有助于全面了解工控系統(tǒng)安全現(xiàn)狀,多方位感知工控系統(tǒng)安全態(tài)勢
企業(yè)內(nèi)部基礎(chǔ)設(shè)施建設(shè)不完善,擁抱數(shù)字化轉(zhuǎn)型后缺少有效的安全防護(hù)措施;高額贖金已經(jīng)成為網(wǎng)絡(luò)攻擊者極高的犯罪動力;遠(yuǎn)程辦公增加安全風(fēng)險
分析了量子安全通信發(fā)展機(jī)遇,研究了量子安全通信關(guān)鍵技術(shù)和產(chǎn)業(yè)標(biāo)準(zhǔn)規(guī)范,給出了基于端到端量子加密網(wǎng)絡(luò)內(nèi)生安全的解決方案,打造重點行業(yè)量子安全通信應(yīng)用標(biāo)桿
網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)包括用戶數(shù)據(jù)如手機(jī)號碼,位置信息,支付信息,行蹤軌跡和行程錄音錄像等;業(yè)務(wù)數(shù)據(jù)如駕駛員數(shù)量,乘客數(shù)量,行程訂單量和里程總數(shù)等
