/attached/file/20231012/20231012135220842084.pdf
由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2023 SecGo云和软件安全大会”在上海成功召开,会上正式发布《2023API安全发展白皮书》。
在日益严峻的API挑战下,企业需要主动关注API安全问题并开展API安全防护体系建设。
第一步:基于API生命周期构建安全防护模型
对企业而言,想要做好安全管理,全生命周期的API管理很有必要。首先,API是企业的私有化资产,从设计和开发就是在企业内部完成,API问题的产生通常也是由企业自身产生。所以,企业在管理角度上,有必要从开发和设计环节就开始考虑整个API的管理。
其次,API在整个业务生命周期当中变化非常快,API实现逻辑一旦发生变化,很容易引入新的风险。因此,从API全生命周期来考虑API安全,围绕规划、开发、测试、部署、运行到下线的每一个环节加强安全建设显得尤为重要。
第二步:构建基于IPDRR安全架构的API安全管理闭环
在日益严峻的网络安全环境下,API安全建设绝非易事。API全生命周期管理涉及企业各部门角色的参与,投入工作量极大,企业应该根据实际情况来调整投入产出比。而从高效防御的角度出发,企业可以从API的上线运行阶段入手,基于IPDRR安全模型实现API安全闭环管理,结合自身的业务情况有序开展API安全实践。
基于 IPDRR 模型,企业可通过持续识别 API 资产潜在威胁和漏洞、提供安全保护措施、实施实时监测和事件检测、迅速响应安全事件、以及实施恢复策略和业务持续性计划,全面保护API的安全性和可靠性,最大化降低甚至避免API风险。
附件:威胁猎人联合中国信通院发布《API安全发展白皮书(2023)》
针对复杂多样的企业网络环境,对典型零信任架构的关键技术能力进行分析,重点讨论了每种架构的技术特点和应用场景,为全面建设零信任的实施方案提供参考
以云原生安全管理的变革为主线对中国云原生安全市场现状进行了年度洞察,以期为中国云原生安全的发展和企业云原生安全建设提供借鉴和参考
以路特斯机器人的信息安全保护实践作为蓝本进行介绍,抛砖引玉,希望将路特斯机器 人在智能驾驶方面的信息安全建设的思考和实践经验分享给行业各位
《云原生安全技术规范》提升云原生类产品技术,帮助更多安全从业人员解决在规划、实施和维护云原生安全架构时遇到的问题,针对云原生安全体系中涉及的每类技术制定的标准
提供扫码消费服务的经营者在收集使用消费者个人信息时,应当遵守相关法律法规;提供扫码消费服务的经营者应当向消费者提供注销账号服务,不得为账号注销功能设置捆绑注销
信安秘字〔2023〕124号;围绕文本、图片、音频、视频四类生成内容给出了内容标识方法,可用于指导生成式人工智能服务提供者提高安全管理水平
白皮书旨在帮助读者更好地应对通用人工智能大模型带来的安全风险和挑战,同时也为网络安全等级保护在通用人工智能领域的合规落地提供了指导和建议
数据安全产品广泛应用于在数据资产识别,数据安全检查,数据安全 防护,数据风险监测,数据共享流通安全;数据安全防护类产品涵盖了数据保护类,访问控制类,追踪溯源类的诸多产品
报告对工控系统漏洞,联网工控设备,工控蜜罐与威胁情报数据等情况进行了阐释及分析,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势
企业内部基础设施建设不完善,拥抱数字化转型后缺少有效的安全防护措施;高额赎金已经成为网络攻击者极高的犯罪动力;远程办公增加安全风险
分析了量子安全通信发展机遇,研究了量子安全通信关键技术和产业标准规范,给出了基于端到端量子加密网络内生安全的解决方案,打造重点行业量子安全通信应用标杆
网络预约汽车服务数据包括用户数据如手机号码,位置信息,支付信息,行踪轨迹和行程录音录像等;业务数据如驾驶员数量,乘客数量,行程订单量和里程总数等
