前言
随着云计算、大数据、人工智能的蓬勃发展,越来越多的应用开发深度依赖于API之间的相互调用,API安全受到广泛重视。与此同时,API也正成为攻击者重点光顾的目标,国际国内API遭受攻击的事件屡见不鲜,通过攻击API来破坏信息系统和窃取数据,将成为数字时代黑产活动最集中的方向之一。
API安全评估详情
在此背景下,中国信通院云大所可信安全团队联合多家银行、互联网企业、安全厂商,共同撰写了《应用程序接口全生命周期安全管理要求》。该标准由API开发、API测试、API发布、API运维、API迭代、API下线六个阶段构成,并对每个阶段内的安全能力进行规范。
标准参考框架
API安全能力成熟度评估
从API产品视角出发,重点关注运维阶段的API安全,提出资产管理、安全监测、安全防护、API审计四大安全模块,共计100余项标准细则,并基于不同能力要求,分为基础级、增强级、先进级三大能力水平。
截至目前,通过API安全能力成熟度评估的企业有:
兴业银行股份有限公司
腾讯云计算(北京)有限责任公司
上海喜数信息科技有限公司
全知科技(杭州)有限责任公司
杭州安恒信息技术股份有限公司
京东集团
深圳永安在线科技有限公司
贵州白山云科技股份有限公司
评估价值及收益
通过评估前自查,帮助企业识别自身薄弱环节和潜在风险
通过评估前自查,企业可了解自身安全层面或安全解决方案的风险点,识别自身存在的薄弱环节和潜在风险,及时修补漏洞,明确改进方向。
借助第三方评估,帮助企业验证自身风险的可控程度及风险管理水平
借助第三方评估,企业可验证自身安全层面或安全解决方案全生命周期的安全和风险是否达到适当的可控程度,以及可验证相关内部控制和风险管理机制是否达到适当的程度。
对标同业优秀实践,提升企业能力建设,建立行业互信互认机制
企业可以对比同行业在安全方面的优秀实践,相互取长补短,从多个方面全面提升自身的安全能力。通过中国信息通信研究院权威评估验证,建立行业内企业互信互认机制,促进行业共同进步。
助力企业积极响应监管要求,建立健全企业安全管理体系
标准制定过程中紧密结合了企业安全的具体应用需求,给出具体可落地的应对方案。企业通过评估,可以积极落实监管要求,建立健全安全的管理体系。
【第五批】API安全评估开启报名!
报名时间:即日起-10月
报名方式:添加下方业务联系人
材料提交:即日起-10月
评估审查:10月
评估发布:2024年 云和软件安全相关活动
评估流程
业务联系人
马铭洋 | 开源和软件安全部
云计算与大数据研究所 | 中国信息通信研究院
电话:18600235069
卫斌 | 开源和软件安全部 副主任
云计算与大数据研究所 | 中国信息通信研究院
电话:18618259777
长按二维码关注
链接云端,可信而安
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...