/attached/file/20231012/20231012135220842084.pdf
由中國信息通信研究院(以下簡稱“中國信通院”)和中國通信標準化協(xié)會聯(lián)合主辦的“2023 SecGo云和軟件安全大會”在北京成功召開,會上正式發(fā)布《2023API安全發(fā)展白皮書》。
在日益嚴峻的API挑戰(zhàn)下,企業(yè)需要主動關(guān)注API安全問題并開展API安全防護體系建設(shè)。
第一步:基于API生命周期構(gòu)建安全防護模型
對企業(yè)而言,想要做好安全管理,全生命周期的API管理很有必要。首先,API是企業(yè)的私有化資產(chǎn),從設(shè)計和開發(fā)就是在企業(yè)內(nèi)部完成,API問題的產(chǎn)生通常也是由企業(yè)自身產(chǎn)生。所以,企業(yè)在管理角度上,有必要從開發(fā)和設(shè)計環(huán)節(jié)就開始考慮整個API的管理。
其次,API在整個業(yè)務(wù)生命周期當(dāng)中變化非?欤珹PI實現(xiàn)邏輯一旦發(fā)生變化,很容易引入新的風(fēng)險。因此,從API全生命周期來考慮API安全,圍繞規(guī)劃、開發(fā)、測試、部署、運行到下線的每一個環(huán)節(jié)加強安全建設(shè)顯得尤為重要。
第二步:構(gòu)建基于IPDRR安全架構(gòu)的API安全管理閉環(huán)
在日益嚴峻的網(wǎng)絡(luò)安全環(huán)境下,API安全建設(shè)絕非易事。API全生命周期管理涉及企業(yè)各部門角色的參與,投入工作量極大,企業(yè)應(yīng)該根據(jù)實際情況來調(diào)整投入產(chǎn)出比。而從高效防御的角度出發(fā),企業(yè)可以從API的上線運行階段入手,基于IPDRR安全模型實現(xiàn)API安全閉環(huán)管理,結(jié)合自身的業(yè)務(wù)情況有序開展API安全實踐。
基于 IPDRR 模型,企業(yè)可通過持續(xù)識別 API 資產(chǎn)潛在威脅和漏洞、提供安全保護措施、實施實時監(jiān)測和事件檢測、迅速響應(yīng)安全事件、以及實施恢復(fù)策略和業(yè)務(wù)持續(xù)性計劃,全面保護API的安全性和可靠性,最大化降低甚至避免API風(fēng)險。
附件:威脅獵人聯(lián)合中國信通院發(fā)布《API安全發(fā)展白皮書(2023)》
針對復(fù)雜多樣的企業(yè)網(wǎng)絡(luò)環(huán)境,對典型零信任架構(gòu)的關(guān)鍵技術(shù)能力進行分析,重點討論了每種架構(gòu)的技術(shù)特點和應(yīng)用場景,為全面建設(shè)零信任的實施方案提供參考
以云原生安全管理的變革為主線對中國云原生安全市場現(xiàn)狀進行了年度洞察,以期為中國云原生安全的發(fā)展和企業(yè)云原生安全建設(shè)提供借鑒和參考
以路特斯機器人的信息安全保護實踐作為藍本進行介紹,拋磚引玉,希望將路特斯機器 人在智能駕駛方面的信息安全建設(shè)的思考和實踐經(jīng)驗分享給行業(yè)各位
《云原生安全技術(shù)規(guī)范》提升云原生類產(chǎn)品技術(shù),幫助更多安全從業(yè)人員解決在規(guī)劃、實施和維護云原生安全架構(gòu)時遇到的問題,針對云原生安全體系中涉及的每類技術(shù)制定的標準
提供掃碼消費服務(wù)的經(jīng)營者在收集使用消費者個人信息時,應(yīng)當(dāng)遵守相關(guān)法律法規(guī);提供掃碼消費服務(wù)的經(jīng)營者應(yīng)當(dāng)向消費者提供注銷賬號服務(wù),不得為賬號注銷功能設(shè)置捆綁注銷
信安秘字〔2023〕124號;圍繞文本、圖片、音頻、視頻四類生成內(nèi)容給出了內(nèi)容標識方法,可用于指導(dǎo)生成式人工智能服務(wù)提供者提高安全管理水平
白皮書旨在幫助讀者更好地應(yīng)對通用人工智能大模型帶來的安全風(fēng)險和挑戰(zhàn),同時也為網(wǎng)絡(luò)安全等級保護在通用人工智能領(lǐng)域的合規(guī)落地提供了指導(dǎo)和建議
數(shù)據(jù)安全產(chǎn)品廣泛應(yīng)用于在數(shù)據(jù)資產(chǎn)識別,數(shù)據(jù)安全檢查,數(shù)據(jù)安全 防護,數(shù)據(jù)風(fēng)險監(jiān)測,數(shù)據(jù)共享流通安全;數(shù)據(jù)安全防護類產(chǎn)品涵蓋了數(shù)據(jù)保護類,訪問控制類,追蹤溯源類的諸多產(chǎn)品
報告對工控系統(tǒng)漏洞,聯(lián)網(wǎng)工控設(shè)備,工控蜜罐與威脅情報數(shù)據(jù)等情況進行了闡釋及分析,有助于全面了解工控系統(tǒng)安全現(xiàn)狀,多方位感知工控系統(tǒng)安全態(tài)勢
企業(yè)內(nèi)部基礎(chǔ)設(shè)施建設(shè)不完善,擁抱數(shù)字化轉(zhuǎn)型后缺少有效的安全防護措施;高額贖金已經(jīng)成為網(wǎng)絡(luò)攻擊者極高的犯罪動力;遠程辦公增加安全風(fēng)險
分析了量子安全通信發(fā)展機遇,研究了量子安全通信關(guān)鍵技術(shù)和產(chǎn)業(yè)標準規(guī)范,給出了基于端到端量子加密網(wǎng)絡(luò)內(nèi)生安全的解決方案,打造重點行業(yè)量子安全通信應(yīng)用標桿
網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)包括用戶數(shù)據(jù)如手機號碼,位置信息,支付信息,行蹤軌跡和行程錄音錄像等;業(yè)務(wù)數(shù)據(jù)如駕駛員數(shù)量,乘客數(shù)量,行程訂單量和里程總數(shù)等