【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略

本文主要是介绍【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

近期,国家密码管理局发布了《商用密码随机抽查事项清单(2024年版)》公告,抽查类别包括商用密码检测和商用密码应用、电子认证服务使用密码、电子政务电子认证服务。其中抽查清单序号3的抽查类别为商用密码应用与应用安全息息相关,要求使用国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),并采取必要的密码安全防护措施,并防止数据泄露、篡改等。

主要抽查内容

合规性:检查网络与信息系统运营者是否按照相关法律法规和政策要求使用商用密码进行保护,例如是否使用经国家密码管理部门批准的商用密码产品,是否按照密码安全要求进行密码配置和使用等。

正确性:检查网络与信息系统运营者是否正确地使用商用密码技术、产品和服务的,例如是否正确地配置密码算法、密钥管理、密码协议等,是否采取了必要的密码安全防护措施等。

有效性:检查网络与信息系统运营者使用商用密码技术、产品和服务的实际效果,例如密码保护机制是否能够有效防止数据泄露、篡改等安全风险,密码安全事件是否能够得到及时有效的处理等。

VulHunter检测密码技术,保障应用安全与合规

开源网安灰盒安全测试平台VulHunter基于交互式应用安全测试 (IAST) 技术,可帮助企业检测应用是否使用了国家规定的密码技术,以及该密码技术是否存在安全风险,从而保障应用安全性与合规性。

VulHunter通过深入分析应用运行时的行为,上报应用使用的加解密算法。通过持续监控和实时警报,开发人员和安全团队可以迅速响应,替换为更安全的国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),极大增强应用安全性。

此外,VulHunter可以监控API请求中是否使用了加解密算法以及加解密的算法类型。VulHunter在完成业务功能测试的同时,也能完成API加解密算法的检测,避免通过API传输的敏感数据泄露。

VulHunter另一大亮点是支持自定义算法函数。企业可以根据自身业务需求和安全策略,自定义需要监控的加密与解密算法函数,包括通用商用加解密算法(如AES、RSA等)以及国密算法(如SM2、SM3、SM4等)。通过简单的配置界面,可以添加、修改或删除算法函数列表,精准检测出请求中使用的密码算法类型。

开源网安灰盒安全测试平台VulHunter

开源网安灰盒安全测试平台(VulHunter),作为国内首款基于IAST技术自主研发的灰盒安全检测产品,可在研发测试阶段实时检测运行时的应用及API漏洞,具有高覆盖、低误报、实时检测等优点,并可与DevSecOps流程无缝融合。

推荐阅读

一文精讲,用IAST工具做API安全防护

银行开发安全的这些难题,IAST工具真能破解码?

这篇关于【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1136624

相关文章

在JS中的设计模式的单例模式、策略模式、代理模式、原型模式浅讲

1. 单例模式(Singleton Pattern) 确保一个类只有一个实例,并提供一个全局访问点。 示例代码: class Singleton {constructor() {if (Singleton.instance) {return Singleton.instance;}Singleton.instance = this;this.data = [];}addData(value)

【测试】输入正确用户名和密码,点击登录没有响应的可能性原因

目录 一、前端问题 1. 界面交互问题 2. 输入数据校验问题 二、网络问题 1. 网络连接中断 2. 代理设置问题 三、后端问题 1. 服务器故障 2. 数据库问题 3. 权限问题: 四、其他问题 1. 缓存问题 2. 第三方服务问题 3. 配置问题 一、前端问题 1. 界面交互问题 登录按钮的点击事件未正确绑定,导致点击后无法触发登录操作。 页面可能存在

MCU7.keil中build产生的hex文件解读

1.hex文件大致解读 闲来无事,查看了MCU6.用keil新建项目的hex文件 用FlexHex打开 给我的第一印象是:经过软件的解释之后,发现这些数据排列地十分整齐 :02000F0080FE71:03000000020003F8:0C000300787FE4F6D8FD75810702000F3D:00000001FF 把解释后的数据当作十六进制来观察 1.每一行数据

Java ArrayList扩容机制 (源码解读)

结论:初始长度为10,若所需长度小于1.5倍原长度,则按照1.5倍扩容。若不够用则按照所需长度扩容。 一. 明确类内部重要变量含义         1:数组默认长度         2:这是一个共享的空数组实例,用于明确创建长度为0时的ArrayList ,比如通过 new ArrayList<>(0),ArrayList 内部的数组 elementData 会指向这个 EMPTY_EL

Spring 源码解读:自定义实现Bean定义的注册与解析

引言 在Spring框架中,Bean的注册与解析是整个依赖注入流程的核心步骤。通过Bean定义,Spring容器知道如何创建、配置和管理每个Bean实例。本篇文章将通过实现一个简化版的Bean定义注册与解析机制,帮助你理解Spring框架背后的设计逻辑。我们还将对比Spring中的BeanDefinition和BeanDefinitionRegistry,以全面掌握Bean注册和解析的核心原理。

GPT系列之:GPT-1,GPT-2,GPT-3详细解读

一、GPT1 论文:Improving Language Understanding by Generative Pre-Training 链接:https://cdn.openai.com/research-covers/languageunsupervised/language_understanding_paper.pdf 启发点:生成loss和微调loss同时作用,让下游任务来适应预训

系统优化要点

这是常用的系统优化要考虑的点,在系统设计和代码评审以及代码优化时加以考虑,最大限度提高系统性能:  1. 优化算法,选择合适高效算法,降低不必要递归,循环,多层循环嵌套,避免循环内初始化等。  2. 避免申请过多不必要的内存  3. 及时释放资源,降低资源使用时间,包括内存,IO,网络,数据库等。  4. 使用缓存:缓存常用的,不易变化的。  5. 慎用数据库锁。确

缓存策略使用总结

缓存是提高系统性能的最简单方法之一。相对而言,数据库(or NoSQL数据库)的速度比较慢,而速度却又是致胜的关键。 如果使用得当,缓存可以减少相应时间、减少数据库负载以及节省成本。本文罗列了几种缓存策略,选择正确的一种会有很大的不同。缓存策略取决于数据和数据访问模式。换句话说,数据是如何写和读的。例如: 系统是写多读少的吗?(例如基于时间的日志)数据是否是只写入一次并被读取多次?(例如用户配

Flink任务重启策略

概述 Flink支持不同的重启策略,以在故障发生时控制作业如何重启集群在启动时会伴随一个默认的重启策略,在没有定义具体重启策略时会使用该默认策略。如果在工作提交时指定了一个重启策略,该策略会覆盖集群的默认策略默认的重启策略可以通过 Flink 的配置文件 flink-conf.yaml 指定。配置参数 restart-strategy 定义了哪个策略被使用。常用的重启策略: 固定间隔 (Fixe

Java后端微服务架构下的API限流策略:Guava RateLimiter

Java后端微服务架构下的API限流策略:Guava RateLimiter 大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿! 在微服务架构中,API限流是保护服务不受过度使用和拒绝服务攻击的重要手段。Guava RateLimiter是Google开源的Java库中的一个组件,提供了简单易用的限流功能。 API限流概述 API限流通过控制请求的速率来防止