- 博客(94)
- 收藏
- 关注
RSS订阅原创 CSA发布| Cloud Threat Modeling v2.0 (2025) 深度分析与解读
报告最终的落脚点在于行动。v2.0在最后概括了从理论到实践的跃迁路径,强调“左移”不仅仅是口号,而是通过早期介入降低修复成本的经济学必然。对于正在进行数字化转型的企业,这意味着无需等待完美工具,而是应立即利用现有资源(如简单的卡片法),在AI系统大规模部署前建立起基本的风险免疫系统。CSA《Cloud Threat Modeling v2.0》不仅仅是一份操作指南,更是云安全治理向左移(Shift Left)和智能化转型的宣言。对于企业的核心建议立即启动,从小做起。
2025-11-26 17:28:20
804
原创 不止于密码:卢浮宫失窃案带来的网络安全教训
窃贼从全世界最受欢迎的博物馆盗走法国王室珠宝震惊世人。这起事件揭示的问题远不止随意的口令设置这么简单。卢浮宫窃案为网络安全界“贡献”了重要且颇具启示性的教训。
2025-11-21 16:24:13
967
1
原创 构建AI原生工程组织:关于速度、文化与安全的经验
不久前,我领导了一家快速发展的科技公司的工程组织的转型。我们的目标是从一个传统的、高功能的团队转向。它不是从全面战略开始的。它始于令人不舒服的经验。一个新的IDE。少数重新构想的流程。一些工程师愿意挑战他们的习惯。但随着这些变革逐渐深入人心,我们发现自己正在构建一种截然不同的存在。团队行动更快,协作更流畅,依靠人工智能不是作为搭档,而是作为我们未曾料到的是,熟悉的根基竟会如此迅速地失效。向原生AI开发的转型带来了,但也随之暴露了**能见度、身份泛滥和安全态势等方面的严峻挑战。
2025-11-17 11:24:13
727
原创 CSA三项认证入选《上海市境外职业资格证书认可清单(3.0版)》
近日,上海市人力资源和社会保障局正式发布《上海市境外职业资格证书认可清单(3.0 版)》。云安全联盟(CSA)的。《上海市境外职业资格证书认可清单》是上海深化人才发展体制机制改革、推进高水平人才高地建设的重要举措。该清单对进行分类认可,为持证人才在本市执业、就业、落户及职称评定等方面提供相应便利。1.外籍人员可凭相关单位邀请函件办理有效期5年以内的多次签证,或凭工作许可办理有效期5年以内的工作居留许可;
2025-11-11 10:08:10
423
原创 无密码认证--应对凭证式攻击的数字信任变革
凭证式攻击(Credential-Based Attack)是一种网络攻击类型,攻击者试图窃取并滥用用户凭证(如用户名、电子邮件地址、密码),以未经授权的方式访问系统、网络与应用程序。其核心目标是绕过认证机制、冒充授权用户,从而获取机密信息与敏感资源。若此类攻击未能得到有效处置,往往会导致企业声誉受损、财务损失和数据泄露。无密码认证(Passwordless Authentication)是一种认证机制,允许用户无需手动输入密码或回答预设安全问题即可访问应用程序或系统。
2025-11-04 15:53:47
761
原创 五大理由揭示:未接入应用正成为企业不可再忽视的风险
市场、工程、客户服务等业务部门常依赖那些不支持 “基于角色访问控制(RBAC)” 的工具,由此催生固定的临时解决方案(workaround):账号凭证被存储于电子表格、在企业协作工具 Slack 中传阅,或通过邮件发送给外包人员。无论企业规模大小,均需依托身份与访问管理(IAM)、身份治理与管理(IGA)及特权访问管理(PAM)来保障账号登录安全、安全策略执行并满足合规要求,此类平台构成现代身份安全体系的核心支柱。外包人员、合作机构及临时员工获取访问权限的流程普遍不规范,缺乏透明度,更无法实现有效治理。
2025-10-17 17:22:10
800
原创 身份安全:2025 年云环境中的最薄弱环节
关注国际云安全联盟公众号,回复关键词 “身份安全”即可获取报告完整版。在云环境中,身份安全已正式超越其他所有风险,成为首要关注点。根据云安全联盟(CSA)是头号云安全风险。如今,混合云与多云部署已成为常态,而身份正是连接所有环节的核心纽带 —— 这也使其成为攻击者首要瞄准的薄弱点。
2025-10-10 11:22:21
626
原创 以美为鉴:构建现代化的核能行业网络安全合规体系--为人工智能革命提供动力
人工智能的迅猛发展,对能源生产提出了前所未有的巨大需求。核能行业是否已做好准备?如今,单是OpenAI的ChatGPT,在全球范围内的提示词(prompts)日处理量已经超过 20 亿条,。未来,这一数字还会进一步攀升。倘若再将所有人工智能模型的训练、所有数据中心的持续运转以及所有智能系统的学习过程所消耗的能源叠加起来,。相关数据触目惊心,而传统能源根本无法满足人工智能对电力的巨大需求。。
2025-09-30 09:50:26
628
原创 CSA AICM 国际标准:安全、负责任地开发、部署、管理和使用AI技术
该工具包被战略性地定位为 CSA 不断扩展的 STAR(安全、信任、保障和风险)计划向 AI STAR 计划发展的基础,该计划预计在不久的将来涵盖专门的AI认证和认证途径。该矩阵涵盖的领域不仅包括数据安全与隐私、治理、风险与合规以及事件响应等关键基础领域,还涵盖模型鲁棒性、对抗性防御、AI 生命周期管理和问责制等专业 AI 主题。这使得 AICM 套件成为一个前瞻性且精心打造的解决方案,适用于。
2025-09-17 17:46:14
737
原创 智能体AI亟待解决的身份问题
智能体AI(即旨在跨数字环境进行推理、规划和行动的自主软件系统)正悄然重塑工作的开展方式,同时也带来了大多数组织尚未准备好应对的身份与安全方面的挑战。通过将每个软件组件视为一个独立的、具备身份识别能力的工作负载,并将可观测性与上下文执行相结合,组织可以为智能体AI建立坚实的安全基础。与早期的自动化形式不同,智能体AI并不局限于重复性的、脚本化的任务。是协调执行的协调器?:日志记录应超越传统的访问记录,捕捉完整的因果链(从用户指令到智能体推理,再到API调用),确保在安全、合规和运营监督方面具备可追溯性。
2025-09-04 16:20:11
622
原创 CSA发布 | 云计算关键领域安全指南v5
云计算关键领域安全指南》(简称:云安全指南)由云安全联盟(CSA)于2009年首次发布,成为了全球实施云安全的必备手册,为云计算用户、服务提供商及安全专家提供实用的安全策略,帮助他们在快速变化的云环境中有效地实施安全控制和防护措施。这些元素共同构成了对⽹络威胁的强⼤防御措施,确保利⽤云技术的企业的云基础设施的完整性和弹性。随着云平台将众多数据中心的管理功能和服务整合到统一的可通过互联网访问的Web控制台和应用程序编程接口 (API)中,IAM成为云原生安全的新防线,保护敏感资源免遭未经授权的访问和滥用。
2024-12-27 15:15:59
977
原创 CCSK试题等你来答!
第十二题答案&解析:选项C,最小权限原则严格限制用户的访问权限,仅限于其任务所需的内容,从而减少潜在滥用或泄露的风险。第七题答案&解析:选项A,ZTNA的原则是,除非得到验证,否则用户或设备不被信任,从而通过要求身份验证来提高安全性。第三题答案&解析:选项C,定期进行风险评估和安全审计有助于持续识别潜在的风险和漏洞,从而实现主动的风险管理。第十一题答案&解析:选项A,云事件响应团队需要持久的读取访问权限,查看所有部署的资源和配置,以帮助分析事件。A.持续的读取访问和关键情况下的受控写入访问。
2024-12-20 14:06:19
456
原创 听听学员与专家眼中的CCSK v5升级价值
在一次为金融服务公司迁移大量敏感数据到云平台的项目中,通过CCSK v4中学到的技术,制定了数据分类与加密策略,根据数据的敏感级别实施不同的加密手段,并建立了基于角色的访问控制体系,确保只有授权人员能够访问敏感数据。例如,在最近设计云上应用安全架构体系的过程中,我结合了v5中的零信任、云原生安全和云上身份认证安全等内容,为客户打造了一套涵盖安全需求分析、安全规划设计、安全开发、安全测试和安全运营的一体化DevSecOps体系,同时结合了SASE技术,更好地保障了云上租户和数据的安全。
2024-12-16 12:04:07
1007
原创 从V4到V5,CCSK将AI、零信任和数据湖融入云安全实践中
CCSK v5将AI和生成式AI的内容纳入课程,帮助云安全专业人员理解AI技术在云环境中的潜在风险和挑战,特别是数据偏见、模型滥用以及如何保护AI模型的安全性。移除“安全即服务”(SECaaS)部分:SECaaS曾经是云安全的一个热门话题,但随着市场的成熟,这一概念已经不再是独立的服务,而是融入了整个云安全框架中。CCSK v5进一步加强了如何确保云安全治理和合规性的内容,帮助学员理解如何设计符合不同法规要求的安全架构,同时进行持续的审计和合规性检查。身份管理是云安全的核心领域之一。
2024-12-05 18:06:18
738
原创 大会成果抢先看 | CSA大中华区20份关键领域研究报告
2024年,CSA大中华区继续致力于推动云计算与下一代数字技术安全的全面研究,紧密结合业务场景和技术创新,深入探索行业的前沿领域。与此同时,CSA大中华区与众多成员单位紧密合作,促使研究成果在实际业务中的落地应用,助力行业在安全、合规与技术发展方面取得更深入的进展。第八届云安全联盟大中华区大会将于2024年11月15日在北京盛大举行,本届大会的主题为“云安全·AI,迎接未来(Cloud Security·AI For Tomorrow)”。作为全球数字安全领域的重要盛会,大会将汇聚来自全球的领先企业、政
2024-10-30 23:32:26
807
原创 CSA发布 | 医疗行业变革下的治理、风险管理与合规性策略
随着医疗行业的迅猛发展,云计算、人工智能(AI)、区块链和物联网(IoT)等新兴技术正在推动行业发生深刻变革。这些技术在提升医疗服务质量与效率的同时,也伴随着数据安全、合规性和风险管理方面的新挑战。医疗保健机构(HDO)在充分利用这些技术时,必须确保数据的安全性与合规性,这使得建立和优化治理、风险管理与合规性(GRC)框架变得至关重要。为帮助医疗保健行业深入理解并有效应对这些风险,云安全联盟大中华区发布了《医疗保健中的信息技术治理、风险与合规(第二版)》报告。该报告重点强调了在云计算环境下设计健全的GR
2024-10-28 21:59:55
846
原创 AI与云安全:数字新时代的交汇与变革,11月15日北京,携手共迎未来挑战!
第八届云安全联盟大中华区大会将于11月15日在北京盛大举行。本次大会将聚焦人工智能、数据隐私、云安全等热点议题,邀请众多国际知名专家学者及行业领袖,共同探讨行业前沿技术与发展趋势。
2024-10-14 19:55:23
186
1
原创 全球视角下的AI安全挑战:面向未来的准备
在全球科技创新的洪流中,人工智能(AI)无疑是最引人瞩目的浪尖。随着OpenAI、谷歌DeepMind、微软等科技巨头相继发布其在AI安全领域的最新进展,一场围绕AI安全的全球对话正悄然升级。这些举措不仅揭示了当前AI安全技术的最前沿,也预示着面向未来,构建安全、可靠、负责任的AI生态体系已经成为国际共识。
2024-06-27 10:42:28
2021
原创 国内首发 | CSA大中华区启动《AI安全产业图谱(2024)》调研
在人工智能(AI)技术的快速发展浪潮中,AI安全已成为全球关注的焦点。为应对AI安全带来的挑战,确保AI技术的健康发展,全球范围内的研究机构、企业和技术社区都在积极探索解决方案。在这一背景下,CSA大中华区于等机构的专家,致力于构建一个多方参与、共同治理的AI安全生态系统。CSA大中华区在AI安全领域开展了多项研究工作并取得显著成果。先后发布了》等研究成果;与OpenAI、亚马逊、谷歌、微软等行业巨头合作,共同发起了AI安全倡议。
2024-05-06 18:45:40
1572
1
原创 CSA发布| 务实的DevSecOps实施解读(上) 之 DevSecOps黄金流水线与关键角色
云安全联盟大中华区发布DevSecOps的六大支柱:务实的实现(以下简称“报告”)该报告中的 DevSecOps 实施指南被组织成一系列实际职责和活动,旨在帮助数字安全领导者在开始进行DevSecOps时做出务实决策。
2024-04-03 10:20:17
852
原创 CSA发布| 科技创新和云计算趋势中的网络安全因素
云安全联盟大中华区发布了报告《安全驱动创新和云趋势(Security-Enabled Innovation and Cloud Trends)》(以下简称报告),通过一系列的翔实的调研数据,可以系统性的让读者了解到IT行业内基于网络安全驱动科技创新的最新进展、由此带来的科技创新成果以及当前云计算技术最新的发展趋势。
2024-03-21 19:16:00
1442
1
原创 CSA发布|《面向IAM的零信任原则与指南》
本指南结合零信任对身份和访问管理进行了细致说明,为企业实施零信任架构或策略时提供了访问控制过程中的最佳实践。
2024-03-14 19:52:57
1056
原创 专访|云安全攻防:从理论到应用的全面探索
对于云安全领域的贡献和价值,CCPTP云渗透测试认证专家作为全球首个云渗透测试能力培养课程及人才培养认证,弥补了国内云渗透测试认知的差距和技能型人才培养的空白。其次相关人员在完成CCPTP课程的学习之后,会获得相应的认证和证书,该证书在云安全行业中具有一定的权威性和认可度,有助于提升在云安全领域的职业竞争力。在这一背景下,云安全联盟大中华区发布的CCPTP(云渗透测试认证专家)课程为安全专业人士提供了针对云计算渗透测试所需的专业实操技能,弥补云渗透测试认知的差距和技能人才培养的空白,以更好应对云安全威胁。
2024-03-07 21:02:03
1311
原创 你不可不知的数据安全词汇都在这!
在这一背景下,我们深感需要有一个统一的、全面的数据安全术语基础,以便行业从业者之间能够有效沟通和协作。正是出于这样的需求,云安全联盟。我们邀请全球的网络安全专业人员、学者和政策制定者一起加入我们的行列,共同努力,为建设一个更安全的数字世界贡献力量。此外,我们也认识到,随着技术的发展和全球数据治理政策的变化,数据安全领域的术语和概念将持续更新。我们的目标是通过这份词汇表,为数字安全专业人员、研究人员以及政策制定者提供一个清晰、准确的参考框架,以促进知识的共享和行业标准的制定。文末附《白皮书》获取方式。
2024-03-01 19:44:38
672
原创 开展云计算业务?你需要一个CAST认证!
更多关于CAST认证的信息,以及如何应用CSA《云应用安全技术规范》以强化您的云安全实践,请访问CSA大中华区的官方网站(https://c-csa.cn/)。通过CAST认证,厂商可以快速向租户证明其云应用的安全能力与合规能力,节省云厂商选型的评估成本,增强客户信任,提升产品的市场竞争力。CAST认证所使用的测评标准由云安全联盟大中华区和公安三所联合三十多家云厂商和安全厂商,基于CSA标准《云应用安全技术规范》起草。为云应用厂商研发安全的云应用产品提供明确指导,帮助云厂商构建安全的云应用。
2024-02-23 14:12:56
923
原创 法律视角下的数据出境《2023年数据出境合规年鉴》
报告汇总了数据出境规则施行一年以来的规则沿革、规则适用中的重大事件、市场主体在规则适用中探索的最佳实践等内容,以形成规则施行元年的出境全貌,为涉及到数据跨境业务的监管、行业主管、企事业建立和规范出境活动提供参考。
2024-01-31 19:58:20
926
原创 CSA大中华区发布《AI安全白皮书》,中国电信、蚂蚁集团、华为、百度安全等单位参编
关注国际云安全联盟公众号,回复关键词“AI”即可获取报告完整版
2024-01-30 15:39:46
1921
原创 CSA发布 | 云原生可观测性技术研究与应用
通过CCSK的考试测试了关于云安全广泛知识基础,确保与云计算相关的从业人员对云安全架构、云安全威胁和云安全最佳实践有一个全面的了解和广泛的认知,帮助安全专业人员深入了解云安全,并为解决云安全问题提供帮助。云安全联盟大中华区发布《云原生可观测性技术研究与应用》(以下简称报告),报告深入探讨了在云原生领域可观测性的底层技术、架构设计、成熟度模型,阐述了在云原生场景使用eBPF技术完成可观测性数据采集的技术实现及优势。此外,报告对云原生可观测性在安全领域的应用和优秀开源项目做了介绍。
2024-01-05 10:23:22
1095
原创 谁登榜? 2023数据安全平台神兽企业
数据安全平台是一个全面的集成系统,能够提供数据资产管理、数据安全风险监测与预警、数据安全策略管控、数据安全审计监督、以及数据安全运营等关键功能,融合了机器学习、智能流程编排和隐私计算等众多先进技术,并能实现对数据资产识别、数据分类分级、数据访问控制、数据加密、数据脱敏、数据水印、数据审计、数据泄露防护等多种数据安全能力组件的集中联动和管控,确保数据在全生命周期中受保护以及保障数据处理的合法合规。数据安全平台展现出极高的灵活性和扩展性,适应于不同环境下的多样化数据安全需求。并为以上企业颁发神兽企业证书。
2023-12-07 10:36:07
246
原创 云融未来,安全内在—第七届云安全联盟大中华区大会将于12月21日在深圳举办
为应对数字时代的新挑战,构建更加安全可靠的数字信任体系,助力技术创新及数据价值释放,CSA大中华区将举办主题为“云融未来,安全内在”的第七届云安全联盟大中华区大会,协同CSA成员单位,包括OPPO、中国电信、百度安全、启明星辰、腾讯、蚂蚁安全实验室、天融信、深信服、奇安信、指掌易、观安信息等数字科技企业分享数字安全趋势与挑战、先进经验及最佳实践,以及北京大学、北京邮电大学、西安电子科技大学、澳门科技大学、浙江大学、深圳大学等高校教育专家围绕主题进行深入研讨和人才培养观点交流。
2023-11-30 16:48:26
614
原创 DWC数字世界大会先导论坛将于10月13日在宁波举办 | 数字技术赋能世界可持续发展
大会将与联合国科学和技术促进发展委员会等国际机构及政企合作举办,作为发布全球数字合作规则,数字技术标准,国际权威奖项等专业国际平台,打造为数字经济、数字技术领域的最高学术标准,最具市场价值的国际权威会议。DWC先导论坛以“数字技术赋能世界可持续发展”为主题,设置了由多位科学家围绕“数字技术赋能世界可持续发展”的科研对话、由国际机构领导人围绕“构建属于数字世界创新与国际平台”的巅峰对话,以及多个先进数字企业的最佳数字实践。敬请关注官方公众号“数字世界大会”,持续关注DWC的发展。
2023-10-07 15:46:07
463
原创 CSA研讨会|聚焦云原生安全,探讨技术与应用策略
9月6日(周三)下午14:30-18:00, CSA大中华区联合探真科技举办CSA研讨会|云原生安全技术与应用。会上还将深度解读CSA《云原生应用保护平台调查报告》白皮书。该报告旨在深入了解组织的云安全优先事项和挑战,揭示 CNAPP 部署的当前状态,并确定安全态势管理、云工作负载保护和 DevSecOps 方面的当前方法和挑战。
2023-08-30 10:31:03
1051
原创 聚焦数据安全,“2023数据安全平台神兽企业”调研正式启动
本次调研面向数据安全平台相关企业,具体包括提供数据安全管理平台、数据安全治理平台、数据安全运营平台、数据安全管控平台和数据监测与报告平台等相关产品的厂商。
2023-08-29 14:17:58
258
原创 8月11日|CSA研讨会:国标要点解读《信息安全技术 个人信息处理中告知和同意实施指南》
据此,《信息安全技术 个人信息处理中告知和同意的实施指南》(下称《实施指南》)正式发布,该指南围绕告知和同意这两个重要措施进行了较为详细的通用和专用的规定。2023年8月11日(本周五)19:00-20:30,由CSA大中华区隐私与个人信息保护法律工作组举办CSA研讨会—国家标准: 个人信息处理中告知和同意实施指南解读与实践分享,本次研讨会邀请了《实施指南》的起草人之一,CSA大中华区专家、数字丝路安全智库青年专家马可老师为大家分享《实施指南》解读与实践分享。会议议程及预约入口请见下方。
2023-08-09 18:37:47
420
原创 如何做好云渗透测试的威胁建模(上)
2]注:CSA每年都会推出云计算顶级威胁,帮助企业实现云威胁建模,已推出的白皮书包括《云计算的11类顶级威胁》、《云原生安全威胁分析报告》、《为实现成功的网络安全威胁情报交换构建坚实基础》《云计算的顶级威胁:深度分析》等内容。CSA推荐应用一致的STRIDE模型与方法,这一方法由微软首次提出,并广泛地应用于微软的Azure[4], 在安全开发生命周期(SDLC)中识别系统的安全问题,形成基于DevOps的DevSecOps安全交付价值流。并且在对云原生应用程序进行威胁建模时,团队必须考虑额外的安全挑战。
2023-06-30 14:18:39
677
原创 保护云环境:云渗透测试和安全策略探究
云渗透测试认证专家(Certified Cloud Penetration Test Professional, CCPTP)认证与培训项目由云安全联盟大中华区发布,是全球首个针对云环境渗透测试能力的认证课程,旨在提供针对云计算渗透测试所需的专业实操技能,弥补云渗透测试认知的差距和技能人才培养的空白,提升专业人员能力及提供认证证书,为云计算产业发展提供渗透人才队伍保障。10. 第三方供应商风险管理:如果使用第三方供应商的云服务,确保对其进行适当的尽职调查和安全评估,以确保他们符合相关的安全标准和最佳实践。
2023-06-25 14:47:53
779
原创 云安全与云渗透
云渗透测试认证专家(Certified Cloud Penetration Test Professional, CCPTP)认证与培训项目由云安全联盟大中华区发布,是全球首个针对云环境渗透测试能力的认证课程,旨在提供针对云计算渗透测试所需的专业实操技能,弥补云渗透测试认知的差距和技能人才培养的空白,提升专业人员能力及提供认证证书,为云计算产业发展提供渗透人才队伍保障。本文将详细探讨这两个主题。无论是云安全还是云渗透,都是确保我们在享受云计算带来的便利的同时,能够保护我们的数据和系统免受威胁的关键。
2023-06-16 17:35:50
511
原创 如何成为一名专业云渗透测试工程师
但从安全角度来看,这也意味着安全态势变得更加复杂,安全的范畴也变得更加广泛,漏洞存在于每个地方、攻击可以由世界任何一个地方发起,对于网络安全的准确预测成为保障安全的关键前提。通过CCPTP课程学习,要求学员系统掌握如何开展云环境下的渗透测试工作,在云上授权目标系统中寻找弱点和漏洞,并以合规的方式评估目标系统的安全状态,同时针对相关的弱点和漏洞要能提供有效的安全改进或加固建议。渗透测试人员、安全评估人员、信息安全管理人员和其他对云计算安全有兴趣的人员等,需具备一定的云计算、云安全,或渗透测试的基础知识。
2023-06-14 17:42:30
1020
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人