中国信通院“应刃而解——应用安全发展论坛”成功召开

2022年12月28日，由中国信息通信研究院（以下简称“中国信通院”）主办的“应刃而解——应用安全发展论坛”成功召开。会议重磅发布了首批API安全能力评估结果、公布了业务安全推进计划新成员名单、发布并解读了《勒索软件防护发展报告（2022）》，并邀请多名企业代表围绕应用安全的发展现状及发展趋势发表了主题演讲。

致辞

中国信通院云大所开源和软件安全部副主任（主持工作）郭雪表示，在全行业积极进行数字化改造的过程中，应用安全事件频发。黑灰产、恶意爬虫、恶意攻击等诸多应用安全风险日益凸显，如何在日渐复杂的数字环境中解决应用层面风险，已成为企业数字化的必答题。在此背景下，中国信通院云大所针对应用安全已开展多项工作，并取得多项成果，今后将继续集聚行业智慧、交流创新思维，与各行业共同探索前沿技术，推动应用安全产业的可持续性发展。

【首批】API安全能力评估结果发布

为规范行业API安全能力，助力企业不断优化升级安全技术，中国信通院牵头制定了《应用程序接口全生命周期安全管理要求》标准，从API开发、测试、发布、运维、迭代、下线等各个阶段规范API安全能力。2022年中国信通院依据标准开展了首批评估，并在论坛中发布了首批评估结果。

【首批】通过评估的企业名单如下（排名不分先后）：

API安全管理成熟度评估：

中国联合网络通信有限公司软件研究院-中国联通数字化能力开放平台

API安全能力成熟度评估：

深圳永安在线科技有限公司-API安全管控平台

杭州安恒信息技术股份有限公司-应用系统安全审计系统

贵州白山云科技股份有限公司-数聚蜂巢平台Orchsym软件

京东集团-京东业务安全框架（WAAP）

业务安全推进计划【新成员单位】公布

在2022年“业务与应用安全发展论坛”上，中国信通院结合产、学、研各方力量，牵头成立了“业务安全推进计划”，旨在加快业务安全领域标准建设，更好把握业务安全产业发展趋势。本次论坛公布了新一批成员单位。

《勒索软件防护发展报告（2022）》解读

企业在数字化转型的过程中，面临着包括勒索攻击、双重勒索等勒索软件带来的巨大威胁。云计算开源产业联盟牵头撰写了《勒索软件防护发展报告（2022）》报告，旨在通过对勒索软件攻击发展现状、主要特点、发展趋势以及防护体系建设等多个方面进行梳理、总结和分析。论坛上，中国信通院云大所高级业务主管卫斌对该报告带来了精彩解读。

企业专家精彩演讲

《中国联通能力开放平台接口安全实践》

中国联合网络通信有限公司济南软件研究院平台研发负责人朱峰以中国联通安全为例，总结了接口开放过程中常见的几种安全攻击手段的特征，并给出了有效可靠的对策。

《从API视角看业务安全》

深圳永安在线科技有限公司产品总监黄巍指出，传统业务安全多是从账号、内容、设备、IP等主体视角来构建业务安全的防御体系，但是往往在攻击发生后才能进行针对性的建模和防御。当下，研发侧不断迭代和更新业务逻辑带来了API的爆发式增长，导致安全侧疲于应对。通过对业务的流量进行分析，从API的视角来及早感知和修复业务的脆弱点，在攻击尝试的阶段检测到攻击者的攻击入口、攻击资源和攻击方法，或许是对业务安全整体防护的新补充。

《新一代API安全解决方案》

杭州安恒信息技术股份有限公司高级产品经理王梦瑶指出，随着数字化转型的深入，越来越多的场景需要通过 API进行数据共享、交换和开放。在快捷获取数据的同时也存在着API梳理不清、脆弱性不明、API数据滥用等API安全问题。安恒提出新一代以数据为中心的API风险管控方案，集成API资产发现、脆弱监测、行为监测、内容识别、数据溯源等能力，实现对API数据共享全方面的风险监测。

《电商场景下WAAP——大流量下的机器流量过滤》

京东集团信息安全架构师王崇茗指出，在电商场景下API的防护中，面临着羊毛党、黄牛等攻击者带来的风险。随着攻击者的产业化程度越来越高，企业面临的风险也不断上升。在此背景下，我们需要以更合适的方式将安全能力进行体系化联动，并最大化实现Bot流量的识别与阻断。

《分布式云时代下云WAF到WAAP的蜕变》

天翼云科技有限公司高级产品经理杜茜介绍了天翼云基于全国各地的分布式边缘网络资源，提供的统一WAAP服务。该服务依托边缘云WAF平台强大的Web安全保护能力，整合爬虫防护能力、API安全网关能力、应用层DDoS防护能力，可有效缓解恶意请求流量，高性能抵御超大规模并发攻击，构建边缘云安全防护防线，全面保护企业Web及API服务不受攻击影响。

《WAAP标准体系全景介绍》

中国信通院云大所工程师李忆晨介绍了WAAP标准体系。Gartner将多年来发布的WAF象限改为了WAAP象限，进一步扩展了安全防护范围和安全深度。中国信通院联合众多企业专家，牵头制定了《云WEB应用防火墙能力要求》、《应用程序接口全生命周期安全管理要求》、《Web应用程序和API保护WAAP安全能力要求》等多项应用安全体系标准，为企业安全体系建设提供了参考依据，助力应用安全产业规范有序发展。

未来，中国信通院云大所将继续与各方企业合作，通过标准制定、平台搭建、报告研制等形式加深API安全、WAAP、勒索防护等应用安全领域研究，助力企业在数字化转型过程中的安全发展。