/attached/file/20231012/20231012135220842084.pdf
由中國(guó)信息通信研究院(以下簡(jiǎn)稱“中國(guó)信通院”)和中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦的“2023 SecGo云和軟件安全大會(huì)”在北京成功召開(kāi)�,會(huì)上正式發(fā)布《2023API安全發(fā)展白皮書(shū)》。
在日益嚴(yán)峻的API挑戰(zhàn)下�,企業(yè)需要主動(dòng)關(guān)注API安全問(wèn)題并開(kāi)展API安全防護(hù)體系建設(shè)。
第一步:基于API生命周期構(gòu)建安全防護(hù)模型
對(duì)企業(yè)而言�����,想要做好安全管理,全生命周期的API管理很有必要��。首先�,API是企業(yè)的私有化資產(chǎn),從設(shè)計(jì)和開(kāi)發(fā)就是在企業(yè)內(nèi)部完成����,API問(wèn)題的產(chǎn)生通常也是由企業(yè)自身產(chǎn)生。所以���,企業(yè)在管理角度上,有必要從開(kāi)發(fā)和設(shè)計(jì)環(huán)節(jié)就開(kāi)始考慮整個(gè)API的管理�。
其次,API在整個(gè)業(yè)務(wù)生命周期當(dāng)中變化非���?����,API實(shí)現(xiàn)邏輯一旦發(fā)生變化�,很容易引入新的風(fēng)險(xiǎn)。因此����,從API全生命周期來(lái)考慮API安全���,圍繞規(guī)劃、開(kāi)發(fā)��、測(cè)試����、部署、運(yùn)行到下線的每一個(gè)環(huán)節(jié)加強(qiáng)安全建設(shè)顯得尤為重要���。
第二步:構(gòu)建基于IPDRR安全架構(gòu)的API安全管理閉環(huán)
在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下����,API安全建設(shè)絕非易事���。API全生命周期管理涉及企業(yè)各部門(mén)角色的參與�����,投入工作量極大�,企業(yè)應(yīng)該根據(jù)實(shí)際情況來(lái)調(diào)整投入產(chǎn)出比��。而從高效防御的角度出發(fā)�����,企業(yè)可以從API的上線運(yùn)行階段入手,基于IPDRR安全模型實(shí)現(xiàn)API安全閉環(huán)管理�����,結(jié)合自身的業(yè)務(wù)情況有序開(kāi)展API安全實(shí)踐�����。
基于 IPDRR 模型����,企業(yè)可通過(guò)持續(xù)識(shí)別 API 資產(chǎn)潛在威脅和漏洞����、提供安全保護(hù)措施、實(shí)施實(shí)時(shí)監(jiān)測(cè)和事件檢測(cè)����、迅速響應(yīng)安全事件、以及實(shí)施恢復(fù)策略和業(yè)務(wù)持續(xù)性計(jì)劃�,全面保護(hù)API的安全性和可靠性,最大化降低甚至避免API風(fēng)險(xiǎn)�。
附件:威脅獵人聯(lián)合中國(guó)信通院發(fā)布《API安全發(fā)展白皮書(shū)(2023)》
針對(duì)復(fù)雜多樣的企業(yè)網(wǎng)絡(luò)環(huán)境,對(duì)典型零信任架構(gòu)的關(guān)鍵技術(shù)能力進(jìn)行分析,重點(diǎn)討論了每種架構(gòu)的技術(shù)特點(diǎn)和應(yīng)用場(chǎng)景,為全面建設(shè)零信任的實(shí)施方案提供參考
以云原生安全管理的變革為主線對(duì)中國(guó)云原生安全市場(chǎng)現(xiàn)狀進(jìn)行了年度洞察,以期為中國(guó)云原生安全的發(fā)展和企業(yè)云原生安全建設(shè)提供借鑒和參考
以路特斯機(jī)器人的信息安全保護(hù)實(shí)踐作為藍(lán)本進(jìn)行介紹����,拋磚引玉�,希望將路特斯機(jī)器 人在智能駕駛方面的信息安全建設(shè)的思考和實(shí)踐經(jīng)驗(yàn)分享給行業(yè)各位
《云原生安全技術(shù)規(guī)范》提升云原生類(lèi)產(chǎn)品技術(shù),幫助更多安全從業(yè)人員解決在規(guī)劃���、實(shí)施和維護(hù)云原生安全架構(gòu)時(shí)遇到的問(wèn)題����,針對(duì)云原生安全體系中涉及的每類(lèi)技術(shù)制定的標(biāo)準(zhǔn)
提供掃碼消費(fèi)服務(wù)的經(jīng)營(yíng)者在收集使用消費(fèi)者個(gè)人信息時(shí),應(yīng)當(dāng)遵守相關(guān)法律法規(guī);提供掃碼消費(fèi)服務(wù)的經(jīng)營(yíng)者應(yīng)當(dāng)向消費(fèi)者提供注銷(xiāo)賬號(hào)服務(wù),不得為賬號(hào)注銷(xiāo)功能設(shè)置捆綁注銷(xiāo)
信安秘字〔2023〕124號(hào);圍繞文本�����、圖片�、音頻、視頻四類(lèi)生成內(nèi)容給出了內(nèi)容標(biāo)識(shí)方法��,可用于指導(dǎo)生成式人工智能服務(wù)提供者提高安全管理水平
白皮書(shū)旨在幫助讀者更好地應(yīng)對(duì)通用人工智能大模型帶來(lái)的安全風(fēng)險(xiǎn)和挑戰(zhàn)����,同時(shí)也為網(wǎng)絡(luò)安全等級(jí)保護(hù)在通用人工智能領(lǐng)域的合規(guī)落地提供了指導(dǎo)和建議
數(shù)據(jù)安全產(chǎn)品廣泛應(yīng)用于在數(shù)據(jù)資產(chǎn)識(shí)別,數(shù)據(jù)安全檢查,數(shù)據(jù)安全 防護(hù),數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè),數(shù)據(jù)共享流通安全;數(shù)據(jù)安全防護(hù)類(lèi)產(chǎn)品涵蓋了數(shù)據(jù)保護(hù)類(lèi),訪問(wèn)控制類(lèi),追蹤溯源類(lèi)的諸多產(chǎn)品
報(bào)告對(duì)工控系統(tǒng)漏洞,聯(lián)網(wǎng)工控設(shè)備,工控蜜罐與威脅情報(bào)數(shù)據(jù)等情況進(jìn)行了闡釋及分析,有助于全面了解工控系統(tǒng)安全現(xiàn)狀,多方位感知工控系統(tǒng)安全態(tài)勢(shì)
企業(yè)內(nèi)部基礎(chǔ)設(shè)施建設(shè)不完善,擁抱數(shù)字化轉(zhuǎn)型后缺少有效的安全防護(hù)措施;高額贖金已經(jīng)成為網(wǎng)絡(luò)攻擊者極高的犯罪動(dòng)力;遠(yuǎn)程辦公增加安全風(fēng)險(xiǎn)
分析了量子安全通信發(fā)展機(jī)遇,研究了量子安全通信關(guān)鍵技術(shù)和產(chǎn)業(yè)標(biāo)準(zhǔn)規(guī)范,給出了基于端到端量子加密網(wǎng)絡(luò)內(nèi)生安全的解決方案,打造重點(diǎn)行業(yè)量子安全通信應(yīng)用標(biāo)桿
網(wǎng)絡(luò)預(yù)約汽車(chē)服務(wù)數(shù)據(jù)包括用戶數(shù)據(jù)如手機(jī)號(hào)碼,位置信息,支付信息,行蹤軌跡和行程錄音錄像等;業(yè)務(wù)數(shù)據(jù)如駕駛員數(shù)量,乘客數(shù)量,行程訂單量和里程總數(shù)等
