研究

总览工作组研究成果研究专家参与调研

分类筛选

全部研究成果

2022.05.10

CAST认证主要是为了提升云应用类产品在生命周期各阶段的安全性、提升云应用类产品的整体安全能力，同时节省客户的安全评估成本、增强客户的安全认可度。CAST聚焦云应用领域，坚持安全技术与安全合规并重，渗透测试与管理评估并举的原则，致力于提升云应用类产品的安全能力，增强客户对云应用类产品安全的信任。 CAST认证作为独立的第三方认证，相关的评估体系和标准由国际云安全联盟大中华区、公安部第三研究所安全防范与信息安全产品及系统检验实验室组织数十家云应用、网络安全或相关领域的头部厂商共同参与制定，旨在客观公正的对云应用进行安全和可信能力测评。

查看详细

《物联网安全控制框架指南》(第二版）

2022.05.10

本次的编写工作由CSA大中华区物联网安全工作组共同完成，在一片物联网蓬勃发展的局面下，我们也不能忽视，物联网安全是物联网能够广泛应用的先决条件。随着越来越多的物联网终端接入到网络中，大量的数据接入点被添加到物联网系统中，这为企业的整体物联网安全防护提出严峻的挑战。因此CSA云安全联盟推出了物联网安全关键技术白皮书，旨在帮助广大的企业面对物联网的安全挑战时能够有所参考和依据，本白皮书的内容对于如何做好物联网的安全防护、安全检测有现实的参考作用。在使用中可以根据自己的实际情况进行适配。

查看详细

《实战零信任架构》

2022.05.10

企业利益相关者必须考虑与日俱增的实时系统复杂度所带来的挑战、新网络安全策略带来的需求，以及在复杂和混合世界中安全地运行系统所需的强大文化支持。零信任等新兴技术解决方案和方法对于满足美国总统拜登的第14028号行政令《改善国家网络安全》中的要求至关重要。本文探讨了新兴的、丰富的、多元化的解决方案格局的影响以及组织机构最终交付零信任架构(ZTA)的能力所面临的挑战。对行业如何改善关键利益相关者群体之间的协作以加速企业领导者和安全从业者在其环境中采用零信任提出了建议。

查看详细

《区块链的十大攻击、漏洞及弱点》

2022.05.09

这份报告覆盖了针对加密货币和DLT的十大攻击类型。也对这十大攻击类型进行了整体概述。虽然每种攻击类型都可以成为一篇单独的文章，因为篇幅有限，在此次报告中只总结描述了十大攻击，并提供了说明性示例和代价高昂的教训。本文可以帮助开发者，安全合规人员以及日常加密货币用户教育自己如何避免落入许多相同的陷阱。

查看详细

《微服务架构模式》

2022.04.29

随着数字化时代的到来，微服务应用进入飞速发展时代。微服务是一种新兴的分布式系统开发范式，在架构层面，安全性是必需认真考虑的重要工作。我国随着《数据安全法》和《个人信息保护法》的颁布，对安全和数据保护的重视程度日益提高，架构层的安全问题必将上升到组织安全治理层面。如何保证微服务架构的安全？本文档给出了CSA的最佳实践与总结，通过CSA 微服务安全参考架构以及安全控制措施叠加的新思路，保证了微服务在架构层面的安全性，CSA微服务安全工作组也在陆续推出微服务安全相关的指南与白皮书，文章深入浅出，值得大家参考。

查看详细

《基于NIST网络安全框架的勒索软件风险管理内部报告》

2022.04.24

2022年2月，美国商务部下设的国家标准与技术研究所（NIST）发布了最终版《基于NIST网络安全框架的勒索软件风险管理内部报告》，这是对2020年以来重大勒索攻击事件从技术和管理层面的整体策略回应，同时也是履行其基于2014年《网络安全促进法》和制定、完善《提升关键基础设施网络安全框架》（Framework for Improving Critical Infrastructure Cybersecurity，2018年1.1版本，本文统称网络安全框架，下同）的行政职责。 CSA大中华区隐私与个人信息保护法律工作组翻译了该文件（有删减），以期对国内的关键信息基础设施保障和提高应对勒索攻击的能力上有所借鉴，特别是在支持《关键信息基础设施安全保护条例》制度落地的方法论和策略方面，且在具体的应用场景上与网络安全等级保护的措施形成有益的补充和对照。值得注意的是，本报告的风险控制主要是在组织层面实现，这与《关键信息基础设施安全保护条例》专章突出行业、领域的保护工作部门的机制有所不同，企业在参考时应予以关注和区别。

查看详细