一周网络安全资讯（第50期）

12月3日，由永安在线举办的首届API安全管理论坛在深圳举办。在论坛上，OWASP中国的广东区域负责人肖文棣、腾讯技术工程事业群安全专家胡珀、乐信集团信息安全中心总监刘志诚等专家从不同视角对API安全带来的挑战与风险进行了深度剖析，并分享了针对性应对策略与治理的最佳实践。

永安在线COO邵付东在《API安全管理的更优解：以情报建立API安全基线》的主题演讲中谈到，API在当前成为数据流转的主要通道和基础设施，也形成了新的攻防面，因为每一个API都有可能会成为系统的薄弱点，而API更是承载着业务和数据的安全。永安在线所提出的基于情报的API安全解决方案则可以从API资产梳理，API风险评估以及API风险感知等方面全方位帮助企业从容地应对API安全问题。

安全419关注到，当前API安全已在业界引起了广泛的关注，本次活动是业内首个聚焦于API安全问题的专业论坛，为业界搭建了一个深度交流和探讨API安全问题的平台，让参与本次论坛的开发人员、设计师、架构师、安全人员等群体对API安全风险与应对策略建立了更深度的认知，为下一步各企业治理API安全风险提供了建设目标与方向指引。

2、《上海市数据条例》明确实行数据安全责任制

11月25日，上海数据交易所在上海浦东新区正式揭牌成立。无独有偶，上海市十五届人大常委会第三十七次会议也在这一天表决通过了《上海市数据条例》（以下简称“条例”），并将于2022年1月1日起施行。

在《条例》中的基本定义中，就明确了数据处理是指数据的收集、存储、使用、加工、传输、共享、开放、流通等；数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。与此同时，针对数据权益和数据安全保障，《条例》根据国家《数据安全法》《个人信息保护法》《网络安全法》《关键信息基础设施安全保护条例》等上位法要求，结合刚向社会公示的《网络数据安全管理条例（征求意见稿）》，涵盖了数据分级分类保护、重要数据目录管理、数据安全管理等配套措施，落实重要数据备案和数据安全评估制度。

一是实行数据安全责任制，明确数据处理者的主体责任和安全保护义务。
二是建立健全数据分类分级保护制度，确定本市重要数据目录，对列入目录的数据进行重点保护。
三是明确信息化职能整合后市级责任部门和市大数据中心的数据安全责任。
四是建立监测预警和应急处置机制，推动数据安全检测评估、认证等服务机构的发展。

3、漏洞优先级厂商零零信安完成千万级天使轮融资奇安基金独家投资

2021年11月，北京零零信安科技有限公司成功完成千万级天使轮融资，奇安基金独家投资，航行资本担任财务顾问。

4、火线安全宣布接连完成Pre-A轮、A轮融资

据「火线安全」消息，其已于日前连续完成Pre-A轮和A轮融资，两轮融资投资方分别为经纬中国和五源资本，融资总额为数百万美金级别，源和资本担任独家财务顾问。

5、四部门联合发布《信息安全测试员国家职业技能标准》

近日，人力社保办公厅、中央网信办秘书局、工信化部办公厅、公安部办公厅共同颁布《信息安全测试员国家职业技能标准》。该标准以《中华人民共和国职业分类大典》为依据，将“信息安全测试员”职业定义为通过对评测目标的网络和系统进行渗透测试，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人员。将相关从业人员划分为四个等级，对各等级从业者的技能水平和理论知识水平进行了明确规定，网络安全相关从业者可通过申报考核的方式获取相应技能等级证书。

6、北京银行因发生重要信息系统突发事件未向监管报告被罚40万

银保监会官网行政处罚显示，北京银行因发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则，被罚款40万元。《银行业重要信息系统突发事件应急管理规范（试行）》指出，银行应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门，并在事件发生后12小时内提交正式书面报告。

7、中国电子正式推出国资云蓝信工作群服务

12月1日，中国电子在北京奇安信安全中心召开发布会,针对近期工作群信息泄露事件频发， 发布了基于“国资云”中国电子云的蓝信工作群服务——全新升级的中电蓝信，将通过中国电子云和蓝信全场景智能化安全协同平台Saas产品服务，打造“一云一端”，以产品服务化的形式服务更多大型政企客户提供没后门、有管理、可追溯及可审计的安全协同办公平台。

8、酷德啄木鸟正式发布新品-“析微”SCA软件成分分析系统

11月30日，开发安全厂商酷德啄木鸟在北京举行新品发布会，正式发布旗下新品——“析微”SCA软件成分分析系统。“析微”能够通过分析目标软件中包含的一些信息和特征，对目标软件的识别、管理、追踪的技术能够高效的检测出软件中的组件分布信息，识别安全风险并准确定位告警，从而有效的帮助开发人员消除应用中的缺陷、协议违禁、减少安全隐患，为软件的信息安全保驾护航。