大会成果抢先看 | CSA大中华区20份关键领域研究报告 - 新鲜讯息

11月15日，云安全联盟大中华区大会将在北京举行，欢迎扫码报名参会！

2024年，CSA大中华区继续致力于推动云计算与下一代数字技术安全的全面研究，紧密结合业务场景和技术创新，深入探索行业的前沿领域。与此同时，CSA大中华区与众多成员单位紧密合作，促使研究成果在实际业务中的落地应用，助力行业在安全、合规与技术发展方面取得更深入的进展。

第八届云安全联盟大中华区大会将于2024年11月15日在北京盛大举行，本届大会的主题为“云安全·AI，迎接未来（Cloud Security·AI For Tomorrow）”。作为全球数字安全领域的重要盛会，大会将汇聚来自全球的领先企业、政府机构、国际组织和行业专家，围绕云安全和人工智能的前沿课题展开深入探讨。

本次大会上，CSA将发布20份涵盖多个关键领域的前沿研究报告，包括大语言模型（LLM）系统的安全设计、负责任AI的治理实践、AI模型的风险管理、非人类身份安全、SaaS安全、云计算关键领域安全指南（第五版），以及历时四年完成的“DevSecOps六大支柱”系列报告。这些报告为网络安全领域提供了有针对性的理论参考和实践建议，帮助行业更好地应对新兴技术带来的安全挑战。

第八届云安全联盟大中华区大会研究报告速览

《基于大语言模型（LLM）系统的关键设计实践》探讨了在基于大语言模型（LLM）的系统中，确保安全授权的关键实践。报告强调LLM的非确定性特性带来的安全挑战，建议将LLM排除在授权决策之外，确保通过外部机制进行身份和权限的验证。

《从原则到实践：动态监管环境中的负责任AI》涵盖了当前AI治理的法律框架及其对生成式AI的影响，并提出了企业如何通过透明性、可解释性和负责任的AI开发来应对这些挑战的建议。报告还分析了数据隐私、安全和伦理问题，强调了不同国家和地区对AI技术的监管差异，以及企业如何在复杂的监管环境中推动创新。

《AI模型风险管理框架》强调通过模型卡、数据表、风险卡和情景规划四个支柱来管理AI模型的风险。该框架旨在提高透明度、解释性、以及通过情景规划进行风险预测和减缓，确保模型的负责任开发和使用。报告还建议通过持续监控和反馈循环，来改进模型的开发和风险管理。

《AI组织责任：核心安全责任》详细介绍了如何通过数据安全措施、访问控制、硬件和网络安全等方法来保障AI系统的安全性，并提出了模型生命周期管理的最佳实践，以确保AI开发和部署的合规性与安全性。

《大语言模型威胁分类》列出了可能的威胁类别，包括模型操控、数据投毒、敏感数据泄露、模型窃取和服务中断等。通过这些分类，帮助组织识别和应对LLM在使用过程中的安全挑战，从而提升AI模型的安全性和合规性。

《AI应用于攻防安全》指出，AI可通过自动化和优化任务，如侦察、扫描、漏洞分析和攻击执行，提升安全测试的效率和广度。同时，AI技术也存在风险，如假阳性、假阴性和潜在的滥用，因此需要在实际应用中结合人类监督来保证其有效性和安全性。

《关于AI治理的现实思考》建议通过成熟度模型来衡量AI治理的进展，提出了不同规模企业在AI采纳过程中面临的关键问题，并详细介绍了如何应对AI系统带来的隐私、解释性和安全性等问题，以确保AI的负责任使用和符合监管要求。

《人工智能和安全现状调查报告》通过调查探讨了AI在安全领域的现状和未来趋势，强调了AI对网络安全的潜力和挑战。报告显示，2024年将成为AI实施的关键年份，企业将加速采用生成式AI技术，推动安全防护的变革。

《AI韧性：AI安全的革命性基准模型》介绍了一种用于衡量AI系统韧性的革命性基准模型，强调AI系统在快速发展的科技和监管环境中如何确保安全和合规。

《人工智能在医学研究中的应用与考量》重点介绍了AI在药物发现、诊断与治疗中的重要作用，报告强调了AI在提升医疗效率、精度和个性化治疗中的关键作用，同时也提出了隐私保护、算法偏见等需要解决的问题。

《非人类身份安全现状》分析了非人类身份，如API密钥、服务账户和OAuth令牌等，给组织带来的安全挑战。报告发现，由于工具和策略的碎片化，非人类身份的安全性不足，导致安全事件频发。

《2025年度Saas安全调查报告：计划与优先事项》发现，70%的组织已设立专门的SaaS安全团队，并在过去一年增加了预算和人员。虽然SaaS安全能力有所提高，但仍面临应用配置错误、第三方集成风险等挑战。

《通过实现高性能计算安全增强研究完整性》强调了HPC系统中安全与性能的权衡，提出了通过架构优化、输入验证、错误处理、内存安全、网络安全和零信任模型等多种技术手段来增强安全性。安全措施不仅能保护HPC系统，还能提高科学研究的质量和可信度，确保数据和结果的准确性和完整性。

《医疗保健中的信息技术治理、风险与合规》强调了为云环境设计健全的信息技术治理、风险管理和合规性框架的必要性，探讨了AI和其他新兴技术在GRC中的应用，并提供了遵守全球和本地法规的建议，以确保组织的合规性和安全性。

《基于云控制矩阵的量子安全治理》基于CSA云控制矩阵（CCM）的量子安全治理，强调了量子计算技术对云安全的潜在影响。报告指出，量子计算机可能破坏现有的加密算法，特别是公钥加密，因此，组织需要评估相关风险并制定缓解计划。

《定义零信任保护面》绍了零信任保护面的定义和实施步骤，重点在于通过识别和保护组织的关键业务资产，如数据、应用程序、资产和服务（DAAS）。报告探讨了如何将这些元素组成保护面以实现零信任安全，并强调了优先保护敏感数据和系统的重要性。

《数据分类分级实践指南》详细介绍了数据分类分级的国内外政策现状、技术发展趋势和目标意义。报告通过分析国内外的相关法规、标准和技术趋势，提出了数据分类和分级的方法，帮助组织有效管理和保护数据资产。

《Kubernetes安全白皮书》提供了一个全面的Kubernetes安全指南，涵盖了从基础架构到高级威胁管理的各个方面。报告详细介绍了Kubernetes的关键组件和架构，分析了潜在的安全风险，并提供了一系列的检测和防护措施。

《融合AI的身份威胁》深入探讨了人工智能（AI）与身份安全结合的多个方面，包括AI在身份威胁检测、欺诈预防、隐私保护和身份生命周期管理中的应用。报告指出AI能提高身份认证的准确性和访问控制的智能化，同时在检测异常行为和自动化响应方面展现出巨大潜力。

历时四年，完成“DevSecOps六大支柱”系列的报告，这6份报告分别是集体责任、协作与集成、务实的实施、建立与发展的桥梁、自动化，以及测量、监测、报告和行动。每个支柱都针对组织在实施DevSecOps时应关注的关键领域，特别是《测量、监测、报告和行动》，其目标是为安全领导者提供工具和指标，以评估安全实践的有效性，并将安全全面融入软件开发生命周期。

《云计算关键领域安全指南》第五版基于前几版的安全指南进行了增强，并结合了过去十年的经验教训，涵盖了在当今复杂环境中取得成功所需的技能，该指南是专业人士理解现代云组件和云安全最佳实践的首选参考资料。新增内容包括最新的零信任、生成式AI、CI/CD、安全监控与操作、韧性、云遥测与安全分析以及数据湖方面的进展。

CSA GCR

大会报名入口

11月15日北京

推荐阅读