登录
研究介绍
CSA大中华工作组是最佳实践、研究和工具的首选来源,适用于在云中提供安全保证和隐私保护,以及新兴技术的安全。 CSA大中华区的企业成员及行业专家聚集一起,不断地通过研究,分析,制定和提供云安全及新兴技术安全的研究,包括标准、指南、白皮书等。 所有研究均根据CSA研究生命周期中的各个阶段进行。
研究院设有云应用安全、软件定义边界、区块链安全、物联网安全、数据安全、智慧城市云网安全、IAM等多个研究工作组,参与单位包括:国家信息安全中心、信通院、微软、亚马逊、阿里、华为、国家电网、腾讯、深信服等近200个单位。
研究院设有云应用安全、软件定义边界、区块链安全、物联网安全、数据安全、智慧城市云网安全、IAM等多个研究工作组,参与单位包括:国家信息安全中心、信通院、微软、亚马逊、阿里、华为、国家电网、腾讯、深信服等近200个单位。
研究工作组
AI安全工作组
AI工作组是负责研究和解决人工智能安全领域的问题。在过去,CSA大中华区已经成立了多个安全组,如数据安全组、隐私保护组和区块链安全组,但在人工智能安全领域的技术研究仍然处于空白状态。因此,AI工作组的设立旨在填补这一空白,并牵头引领人工智能安全领域的解决方案和标准制定工作。
查看详情
数据安全工作组
各项新兴技术带来生产和生活场景的深刻变革,数据呈现井喷式增长,数据的范畴越来越多,采集量级越来越大,传输速度越来越快,这使数据安全风险陡然增加。特别是,随着越来越多的数据被收集和利用,数据安全和隐私保护成为大数据、云业务和智能系统在开发和应用过程中面临的严峻安全挑战。
查看详情
零信任工作组
零信任工作组致力于促进零信任理念及相关技术在中国的应用实践,让中国每一家企业了解零信任安全!
时至今日,汇聚了来自50多个单位的80位多专家成员。这其中就包括腾讯、华为、国家电网、中国移动、中电科、奇安信、中科院、信通院、IBM、埃森哲、启明星辰、天融信、紫光、云深互联、等诸多单位的积极参与。
查看详情
研究成果下载
CSA报告《DevSecOps六大支柱:测量、监控、报告和行动》
云安全联盟的DevSecOps工作组(WG)在“DevSecOps的六个支柱”1中发布了高级别指南,倡导采用新的安全方法。这六个支柱被认为是任何希望实施DevSecOps的组织需要重点关注的领域,其中一个支柱是"支柱6:测量、监测、报告和行动"。支柱6的目标是促进和展示DevSecOps安全状况的确切测量。这将使安全和数字领导者能够确定其安全实践的有效性,以及安全如何融入软件开发生命周期。
查看详细
《基于大语言模型(LLM)的系统安全:关键授权实践》
本报告概述了将 LLM作为更广泛系统组件集成的系统设计模式和最佳实践,涵盖了通过提供额外的上下文或让模型进行推理并与其他组件和外部服务交互的高级模式。每个设计模式包括建议、注意事项和常见误区。这些要素有助于系统架构师在设计决策时做出权衡。
查看详细
《2025年SaaS安全现状调查报告》
随着数字化转型的加速,软件即服务(SaaS)应用已成为现代企业运营的基石。然而,伴随SaaS应用的广泛采用,企业也面临着日益增长的安全挑战,包括可见性差距、影子IT、过度授权访问以及缺乏监控的第三方集成。CSA最新发布的《2025年SaaS安全状况调查报告》深入探讨了这些挑战,揭示了当前SaaS安全态势以及组织应对这些风险的策略。
查看详细
《融合AI的身份威胁》
《融合AI的身份威胁》聚焦数字化时代身份安全与AI技术的深度关联,指出随着零信任架构普及和非人类身份激增,传统身份安全面临种类复杂、管理困难及云计算环境下的继承管理员、影子访问等挑战,而AI技术既带来算法漏洞、数据滥用、深度伪造等新威胁,也在身份智能治理、欺诈检测、行为分析等领域展现赋能潜力。报告系统梳理AI发展历程与安全挑战,分析其对数字身份行业的影响,探讨国内外监管合规框架,阐述AI在风险情报识别、威胁检测、数字身份工程建设等方面的应用路径,以及数字身份如何反哺AI系统安全,最后展望AI融合身份威胁检测与响应(ITDR)的发展前景并给出技术研发、标准制定等建议,为构建安全高效的数字身份生态提供参考。
查看详细
《AI模型风险管理框架》
《AI模型风险管理框架》探讨了模型风险管理在AI模型应用任开发、部署和使用方面的重要性,适用于对该主题有兴趣的读者群体,包括直接参与AI开发的从业者以及专注于AI治理的业务和合规监管机构。本报告强调了与AI模型相关的内在风险,如数据偏见、事实性错误或信息不相关(通常被称为“幻觉”或“虚构”)、以及潜在的滥用行为。同时,提出了一个全面的MRM框架的需求,该框架基于四个相互关联的支柱:模型卡片(ModelCards)、数据手册(DataSheets)、风险卡片(RiskCards)和场景规划(ScenarioPlanning),上述支柱协同工作,通过持续的反馈循环来识别和减轻风险,并改进模型开发与风险管理。具体而言,模型卡片和数据手册为风险评估提供信息,风险卡片则指导场景规划,场景规划进一步优化风险管理和模型开发。
查看详细
《DevSecOps 的六大支柱:协作与集成》
DevSecops 是基于 Devops 的安全敏捷化的一场变革,其中 DevOps 名著《加速:企业数字化转型的 24 项核心能力》中第 22个能力要求即是协作能力 ,协作是支持和促进团队之间的合作,反映了传统上孤立的团队在开发,运营和信息安全方面的互动程度。其中第3个能力要求即是集成能力,集成能力是实现持续交付的第一步。这是一种开发实践。
本报告以在 Devops 中引入安全性为起点,由浅入深地介绍基于 Devops 的安全开发生命周期,需要在每个阶段充分地理解软件生命周期各阶段的安全都需要人员、文化、流程和技术的组合推进。安全的本质是一项团队运动,需要各种组织角色之间的全面协作,包括业务领导者、领域专家、安全人员、架构师、软件开发人员、渗透测试人员、SOC 分析师和产品/项目经理。
查看详细
新闻动态
更多动态
2024.04.17
会员
活动
研究
教育认证
评估认证
关于我们
联系我们
微信号:csagcr
手机:19925407556
邮箱:info@c-csa.cn
手机:19925407556
邮箱:info@c-csa.cn