在近日召开的“2022首届业务与应用安全发展论坛”上，中国信通院云大所开源和软件安全部工程师卫斌发布并解读了《业务安全能力要求》标准体系。该标准体系由中国信通院联合顶象等多家公司合制定，对业务安全场景进行分类梳理，提出相应的安全能力要求，为国内企业有效识别和防护业务风险提供了指引和行业准绳。

技术标准推动行业更好发展

数字经济规模快速扩张，企业的数字业务风险逐渐凸显。在电商、支付、信贷、账户、交互、交易等各种形态的业务场景中，存在着形式多样的薅羊毛、刷单炒信、账号盗用、虚假账号、信贷欺诈、刷票刷流量、信用卡套现等欺诈行为，结合自动化、智能化的新兴技术，对购物、金融、社交、出行、教育、游戏等业务造成极大威胁。

面对数字业务的特性及需求，以及愈加复杂的业务风险，中国信通院联合顶象等公司制定并发布《业务安全能力要求》标准体系。该标准有利于建立行业互信互认机制，助力业务安全策略、技术的共享和联防联控安全机制建设，促进行业共同进步。

基于《业务安全能力要求》标准体系，企业能够发现识别业务自身薄弱环节和潜在风险，验证自身风险的可控程度及风险管理水平，借鉴到同行业优秀实践，进一步增强业务安全管理体系。

欲知平直，则必准绳；欲知方圆，则必规矩。没有标准，无以知方圆，更无以证曲直。2021年印发的《国家标准化发展纲要》要求，2025年标准化更加有效推动国家综合竞争力提升，促进经济社会高质量发展，在构建新发展格局中发挥更大作用。并特别强调，加强关键技术领域标准研究，同步部署技术研发、标准研制与产业推广。以科技创新提升标准水平，健全科技成果转化为标准的机制，完善标准必要专利制度，加强标准制定过程中的知识产权保护。

《业务安全能力要求》标准体系的制作过程

《业务安全能力要求》标准体系制定过程中，充分参考了《数据保护法》和《个人信息保护法》以及工信部2020年第48号公告中的《基于云计算的业务安全风险解决方案技术要求》，并紧密结合了企业业务安全的具体应用需求和各类新技术，给出具体可落地的应对方案。

该标准将常见的业务安全场景分为内容安全、信贷安全、营销安全、交易安全、钓鱼安全、防伪溯源安全、私域安全等七大类，并分别提出相应的安全能力要求。

以“营销安全”为例。《业务安全能力要求》标准体系对营销安全的功能、风控技术、性能、产品自身安全功能等方面进行检验，风控技术包括数据识别、规则管理、管控策略、案件管理、风险反查、名单管理、关联查询、客户风险等级管理等。

“2022首届业务与应用安全发展论坛”上公布了首批通过《业务安全能力要求》标准体系认证的5款产品，顶象防御云是首批也是唯一通过“营销安全”认证的产品。

顶象助力行业标准编制

《业务安全能力要求》标准体系由中国信通院联合顶象等多家公司联合制作发布。其中，中国信通院是工业和信息化部直属科研事业单位，以“国家高端专业智库产业创新发展平台”为发展定位，在信息通信行业重大战略、规划、政策标准和测试认证等方面发挥了有力支撑作用。云计算与大数据研究所作为中国信通院设置的核心业务单元，旨在对云计算、大数据、人工智能、区块链等新兴技术展开深入研究，推进相关标准的制定以及生态圈打造，促进ICT技术加速与工业、金融、医疗、电力等传统行业的深度融合，助力我国产业互联网和实体经济发展。

顶象是业务安全引领者，自成立以来就积极推动业务安全发展。技术创新上，率先推出智能验证码、设备指纹、实时决策引擎、智能模型平台、风控中台、业务感知防御平台、防御云等一系列领先的业务安全产品和方案；市场推广上，出版国内首部业务安全专著《攻守道—企业数字业务风险与安全》；客户服务上，已为银行、电商、航空、出行、政务等24个行业2000多家企业提供业务安全服务，为企业避免770多亿元业务损失。

“2022首届业务与应用安全发展论坛”由中国信息通信研究院、中国通信标准化协会主办，来自中国信通院、顶象、阿里巴巴、华为、字节跳动、浪潮云等机构和企业的近百位专家齐集一堂，就国内业务安全现状、发展和未来趋势进行了深入探讨。会上还公布了“2022安全守卫者计划—业务/应用安全专题优秀案例评选结果”、“业务安全推进计划”成员单位、“业务安全全景视图”，并发布了国内首部专门研究数字业务安全的白皮书《业务安全白皮书—数字业务风险与安全》。