【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略

本文主要是介绍【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

近期,国家密码管理局发布了《商用密码随机抽查事项清单(2024年版)》公告,抽查类别包括商用密码检测和商用密码应用、电子认证服务使用密码、电子政务电子认证服务。其中抽查清单序号3的抽查类别为商用密码应用与应用安全息息相关,要求使用国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),并采取必要的密码安全防护措施,并防止数据泄露、篡改等。

主要抽查内容

合规性:检查网络与信息系统运营者是否按照相关法律法规和政策要求使用商用密码进行保护,例如是否使用经国家密码管理部门批准的商用密码产品,是否按照密码安全要求进行密码配置和使用等。

正确性:检查网络与信息系统运营者是否正确地使用商用密码技术、产品和服务的,例如是否正确地配置密码算法、密钥管理、密码协议等,是否采取了必要的密码安全防护措施等。

有效性:检查网络与信息系统运营者使用商用密码技术、产品和服务的实际效果,例如密码保护机制是否能够有效防止数据泄露、篡改等安全风险,密码安全事件是否能够得到及时有效的处理等。

VulHunter检测密码技术,保障应用安全与合规

开源网安灰盒安全测试平台VulHunter基于交互式应用安全测试 (IAST) 技术,可帮助企业检测应用是否使用了国家规定的密码技术,以及该密码技术是否存在安全风险,从而保障应用安全性与合规性。

VulHunter通过深入分析应用运行时的行为,上报应用使用的加解密算法。通过持续监控和实时警报,开发人员和安全团队可以迅速响应,替换为更安全的国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),极大增强应用安全性。

此外,VulHunter可以监控API请求中是否使用了加解密算法以及加解密的算法类型。VulHunter在完成业务功能测试的同时,也能完成API加解密算法的检测,避免通过API传输的敏感数据泄露。

VulHunter另一大亮点是支持自定义算法函数。企业可以根据自身业务需求和安全策略,自定义需要监控的加密与解密算法函数,包括通用商用加解密算法(如AES、RSA等)以及国密算法(如SM2、SM3、SM4等)。通过简单的配置界面,可以添加、修改或删除算法函数列表,精准检测出请求中使用的密码算法类型。

开源网安灰盒安全测试平台VulHunter

开源网安灰盒安全测试平台(VulHunter),作为国内首款基于IAST技术自主研发的灰盒安全检测产品,可在研发测试阶段实时检测运行时的应用及API漏洞,具有高覆盖、低误报、实时检测等优点,并可与DevSecOps流程无缝融合。

推荐阅读

一文精讲,用IAST工具做API安全防护

银行开发安全的这些难题,IAST工具真能破解码?

这篇关于【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1136624

相关文章

java之Objects.nonNull用法代码解读

《java之Objects.nonNull用法代码解读》:本文主要介绍java之Objects.nonNull用法代码,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐... 目录Java之Objects.nonwww.chinasem.cnNull用法代码Objects.nonN

Python中随机休眠技术原理与应用详解

《Python中随机休眠技术原理与应用详解》在编程中,让程序暂停执行特定时间是常见需求,当需要引入不确定性时,随机休眠就成为关键技巧,下面我们就来看看Python中随机休眠技术的具体实现与应用吧... 目录引言一、实现原理与基础方法1.1 核心函数解析1.2 基础实现模板1.3 整数版实现二、典型应用场景2

SpringBoot如何通过Map实现策略模式

《SpringBoot如何通过Map实现策略模式》策略模式是一种行为设计模式,它允许在运行时选择算法的行为,在Spring框架中,我们可以利用@Resource注解和Map集合来优雅地实现策略模式,这... 目录前言底层机制解析Spring的集合类型自动装配@Resource注解的行为实现原理使用直接使用M

SpringCloud负载均衡spring-cloud-starter-loadbalancer解读

《SpringCloud负载均衡spring-cloud-starter-loadbalancer解读》:本文主要介绍SpringCloud负载均衡spring-cloud-starter-loa... 目录简述主要特点使用负载均衡算法1. 轮询负载均衡策略(Round Robin)2. 随机负载均衡策略(

解读spring.factories文件配置详情

《解读spring.factories文件配置详情》:本文主要介绍解读spring.factories文件配置详情,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录使用场景作用内部原理机制SPI机制Spring Factories 实现原理用法及配置spring.f

Spring MVC使用视图解析的问题解读

《SpringMVC使用视图解析的问题解读》:本文主要介绍SpringMVC使用视图解析的问题解读,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC使用视图解析1. 会使用视图解析的情况2. 不会使用视图解析的情况总结Spring MVC使用视图

Linux中的进程间通信之匿名管道解读

《Linux中的进程间通信之匿名管道解读》:本文主要介绍Linux中的进程间通信之匿名管道解读,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、基本概念二、管道1、温故知新2、实现方式3、匿名管道(一)管道中的四种情况(二)管道的特性总结一、基本概念我们知道多

SpringSecurity 认证、注销、权限控制功能(注销、记住密码、自定义登入页)

《SpringSecurity认证、注销、权限控制功能(注销、记住密码、自定义登入页)》SpringSecurity是一个强大的Java框架,用于保护应用程序的安全性,它提供了一套全面的安全解决方案... 目录简介认识Spring Security“认证”(Authentication)“授权” (Auth

Linux系统之authconfig命令的使用解读

《Linux系统之authconfig命令的使用解读》authconfig是一个用于配置Linux系统身份验证和账户管理设置的命令行工具,主要用于RedHat系列的Linux发行版,它提供了一系列选项... 目录linux authconfig命令的使用基本语法常用选项示例总结Linux authconfi

Redis 内存淘汰策略深度解析(最新推荐)

《Redis内存淘汰策略深度解析(最新推荐)》本文详细探讨了Redis的内存淘汰策略、实现原理、适用场景及最佳实践,介绍了八种内存淘汰策略,包括noeviction、LRU、LFU、TTL、Rand... 目录一、 内存淘汰策略概述二、内存淘汰策略详解2.1 ​noeviction(不淘汰)​2.2 ​LR