登录
首页
会员
活动
研究
培训
评测认证
解决方案
关于我们
《融合AI的身份威胁》
2025.04.17
《融合AI的身份威胁》聚焦数字化时代身份安全与AI技术的深度关联,指出随着零信任架构普及和非人类身份激增,传统身份安全面临种类复杂、管理困难及云计算环境下的继承管理员、影子访问等挑战,而AI技术既带来算法漏洞、数据滥用、深度伪造等新威胁,也在身份智能治理、欺诈检测、行为分析等领域展现赋能潜力。报告系统梳理AI发展历程与安全挑战,分析其对数字身份行业的影响,探讨国内外监管合规框架,阐述AI在风险情报识别、威胁检测、数字身份工程建设等方面的应用路径,以及数字身份如何反哺AI系统安全,最后展望AI融合身份威胁检测与响应(ITDR)的发展前景并给出技术研发、标准制定等建议,为构建安全高效的数字身份生态提供参考。
查看详细
《AI模型风险管理框架》
2025.04.09
《AI模型风险管理框架》探讨了模型风险管理在AI模型应用任开发、部署和使用方面的重要性,适用于对该主题有兴趣的读者群体,包括直接参与AI开发的从业者以及专注于AI治理的业务和合规监管机构。本报告强调了与AI模型相关的内在风险,如数据偏见、事实性错误或信息不相关(通常被称为“幻觉”或“虚构”)、以及潜在的滥用行为。同时,提出了一个全面的MRM框架的需求,该框架基于四个相互关联的支柱:模型卡片(ModelCards)、数据手册(DataSheets)、风险卡片(RiskCards)和场景规划(ScenarioPlanning),上述支柱协同工作,通过持续的反馈循环来识别和减轻风险,并改进模型开发与风险管理。具体而言,模型卡片和数据手册为风险评估提供信息,风险卡片则指导场景规划,场景规划进一步优化风险管理和模型开发。
查看详细
《DevSecOps 的六大支柱:协作与集成》
2025.04.03
DevSecops 是基于 Devops 的安全敏捷化的一场变革,其中 DevOps 名著《加速:企业数字化转型的 24 项核心能力》中第 22个能力要求即是协作能力 ,协作是支持和促进团队之间的合作,反映了传统上孤立的团队在开发,运营和信息安全方面的互动程度。其中第3个能力要求即是集成能力,集成能力是实现持续交付的第一步。这是一种开发实践。
本报告以在 Devops 中引入安全性为起点,由浅入深地介绍基于 Devops 的安全开发生命周期,需要在每个阶段充分地理解软件生命周期各阶段的安全都需要人员、文化、流程和技术的组合推进。安全的本质是一项团队运动,需要各种组织角色之间的全面协作,包括业务领导者、领域专家、安全人员、架构师、软件开发人员、渗透测试人员、SOC 分析师和产品/项目经理。
查看详细
《零信任指导原则》
2025.04.03
零信任(ZT)是一种战略思维模式,对于组织而言,在数字化转型以及其他旨在增强组织安全性与弹性的工作中,采用零信任理念极具价值。然而,由于安全行业内信息混杂且缺乏统一标准,零信任常很容易被误解也容易被过度复杂化。事实上,零信任是基于一些长期存在的原则,随着我们工作和生活方式的改变,这些原则变得愈发关键,例如远程办公、对第三方依赖的增加、云计算的采用,以及机器学习(ML)、自然语言处理(NLP)和大语言模型(LLM)等人工智能(AI)技术的广泛和加速应用。本文档旨在填补这些空白,通过梳理基本原则,包括诸如最小权限原则、职责分离原则和分段原则等既定的信息安全(InfoSec)原则,来阐明零信任理念。这些指导原则将在所有零信任支柱、不同的应用场景、环境和产品中都将保持一致。随着行业的发展,本指南也会不断演进。
查看详细
《Kubernetes安全指南》
2025.01.17
《Kubernetes安全指南》参考了Kubernetes官方文档,简要介绍了Kubernetes的主要组件,帮助不熟悉Kubernetes集群的从业人员初步了解其组件及功能。此外,指南基于Kubernetes的技术架构和基本组件,结合ATT&CK模型,深入探讨了Kubernetes平台的攻防技术,并通过攻击矩阵从攻击者的角度列举了Kubernetes可能存在的风险,结合实例使内容更加直观,提供了应对安全挑战的详细分析和防御策略。此指南适合一线安全人员使用。
查看详细
上一页下一页
