首页 · 快讯 · 正文

《业务安全能力要求》标准发布,为企业安全体系提供建设指引

  在近日召开的“2022首届业务与应用安全发展论坛”上,中国信通院云大所开源和软件安全部工程师卫斌发布并解读了《业务安全能力要求》标准体系。该标准体系由中国信通院联合顶象等多家公司联合制定,对业务安全场景进行分类梳理,提出相应的安全能力要求,为国内企业有效识别和防护业务风险提供了指引和行业准绳。

  制定技术标准,推动行业发展

  数字经济规模快速扩张,企业的数字业务风险逐渐凸显。在电商、支付、信贷、账户、交互、交易等各种形态的业务场景中,存在着形式多样的薅羊毛、刷单炒信、账号盗用、虚假账号、信贷欺诈、刷票刷流量、信用卡套现等欺诈行为,结合自动化、智能化的新兴技术,对购物、金融、社交、出行、教育、游戏等业务造成极大威胁。

  面对数字业务的特性及需求,以及愈加复杂的业务风险,中国信通院联合顶象等公司制定并发布《业务安全能力要求》标准体系。该标准有利于建立行业互信互认机制,助力业务安全策略、技术的共享和联防联控安全机制建设,促进行业共同进步。

1656906600266945.png

  基于《业务安全能力要求》标准体系,企业能够发现识别自身薄弱环节和潜在风险,验证自身风险的可控程度及风险管理水平,借鉴到同行业优秀实践,进一步增强业务安全管理体系。

  欲知平直,则必准绳;欲知方圆,则必规矩。没有标准,无以知方圆,更无以证曲直。2021年印发的《国家标准化发展纲要》要求,2025年标准化更加有效推动国家综合竞争力提升,促进经济社会高质量发展,在构建新发展格局中发挥更大作用。并特别强调,加强关键技术领域标准研究,同步部署技术研发、标准研制与产业推广。以科技创新提升标准水平,健全科技成果转化为标准的机制,完善标准必要专利制度,加强标准制定过程中的知识产权保护。

  《业务安全能力要求》的制作过程

  《业务安全能力要求》标准体系制定过程中,充分参考了《数据保护法》和《个人信息保护法》以及工信部2020年第48号公告中的《基于云计算的业务安全风险解决方案技术要求》,并紧密结合了企业业务安全的具体应用需求和各类新技术,给出具体可落地的应对方案。

  该标准将常见的业务安全场景分为内容安全、信贷安全、营销安全、交易安全、钓鱼安全、防伪溯源安全、私域安全等七大类,并分别提出相应的安全能力要求。

1656906607592467.png

  以“营销安全”为例。《业务安全能力要求》标准体系对营销安全的功能、风控技术、性能、产品自身安全功能等方面进行检验,风控技术包括数据识别、规则管理、管控策略、案件管理、风险反查、名单管理、关联查询、客户风险等级管理等。

  “2022首届业务与应用安全发展论坛”上公布了首批通过《业务安全能力要求》标准体系认证的5款产品,顶象防御云是首批也是唯一通过“营销安全”认证的产品。

  顶象助力行业标准编制

  《业务安全能力要求》标准体系由中国信通院联合顶象等多家公司联合制作发布。其中,中国信通院是工业和信息化部直属科研事业单位,以“国家高端专业智库产业创新发展平台〞为发展定位,在信息通信行业重大战略、规划、政策标准和测试认证等方面发挥了有力支撑作用。云计算与大数据研究所作为中国信通院设置的核心业务单元,旨在对云计算、大数据、人工智能、区块链等新兴技术展开深入研究,推进相关标准的制定以及生态圈打造,促进ICT技术加速与工业、金融、医疗、电力等传统行业的深度融合,助力我国产业互联网和实体经济发展。

  顶象是业务安全引领者,自成立以来就积极推动业务安全发展。技术创新上,率先推出智能验证码、设备指纹、实时决策引擎、智能模型平台、风控中台、业务感知防御平台、防御云等一系列领先的业务安全产品和方案;市场推广上,出版国内首部业务安全专著《攻守道—企业数字业务风险与安全》;客户服务上,已为银行、电商、航空、出行、政务等24个行业2000多家企业提供业务安全服务,为企业避免770多亿元业务损失。

  “2022首届业务与应用安全发展论坛”由中国信息通信研究院、中国通信标准化协会主办,来自中国信通院、顶象、阿里巴巴、华为、字节跳动、浪潮云等机构和企业的近百位专家齐集一堂,就国内业务安全现状、发展和未来趋势进行了深入探讨。会上还公布了“2022安全守卫者计划—业务/应用安全专题优秀案例评选结果”、“业务安全推进计划”成员单位、“业务安全全景视图”,并发布了国内首部专门研究数字业务安全的白皮书《业务安全白皮书—数字业务风险与安全》。