首页 > 其他分享 >【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略

【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略

时间:2024-09-04 14:54:05浏览次数:11  
标签:应用 安全 VulHunter 商用 抽查 密码 算法 必读 清单

近期,国家密码管理局发布了《商用密码随机抽查事项清单(2024年版)》公告,抽查类别包括商用密码检测和商用密码应用、电子认证服务使用密码、电子政务电子认证服务。其中抽查清单序号3的抽查类别为商用密码应用与应用安全息息相关,要求使用国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),并采取必要的密码安全防护措施,并防止数据泄露、篡改等。

【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略_加解密


【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略_密码技术_02


主要抽查内容

合规性:检查网络与信息系统运营者是否按照相关法律法规和政策要求使用商用密码进行保护,例如是否使用经国家密码管理部门批准的商用密码产品,是否按照密码安全要求进行密码配置和使用等。

正确性:检查网络与信息系统运营者是否正确地使用商用密码技术、产品和服务的,例如是否正确地配置密码算法、密钥管理、密码协议等,是否采取了必要的密码安全防护措施等。

有效性:检查网络与信息系统运营者使用商用密码技术、产品和服务的实际效果,例如密码保护机制是否能够有效防止数据泄露、篡改等安全风险,密码安全事件是否能够得到及时有效的处理等。

VulHunter检测密码技术,保障应用安全与合规

开源网安灰盒安全测试平台VulHunter基于交互式应用安全测试 (IAST) 技术,可帮助企业检测应用是否使用了国家规定的密码技术,以及该密码技术是否存在安全风险,从而保障应用安全性与合规性。


【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略_应用安全_03


VulHunter通过深入分析应用运行时的行为,上报应用使用的加解密算法。通过持续监控和实时警报,开发人员和安全团队可以迅速响应,替换为更安全的国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),极大增强应用安全性。


此外,VulHunter可以监控API请求中是否使用了加解密算法以及加解密的算法类型。VulHunter在完成业务功能测试的同时,也能完成API加解密算法的检测,避免通过API传输的敏感数据泄露。

【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略_应用安全_04


VulHunter另一大亮点是支持自定义算法函数。企业可以根据自身业务需求和安全策略,自定义需要监控的加密与解密算法函数,包括通用商用加解密算法(如AES、RSA等)以及国密算法(如SM2、SM3、SM4等)。通过简单的配置界面,可以添加、修改或删除算法函数列表,精准检测出请求中使用的密码算法类型。

【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略_应用安全_05


开源网安灰盒安全测试平台VulHunter

开源网安灰盒安全测试平台(VulHunter),作为国内首款基于IAST技术自主研发的灰盒安全检测产品,可在研发测试阶段实时检测运行时的应用及API漏洞,具有高覆盖、低误报、实时检测等优点,并可与DevSecOps流程无缝融合。

标签:应用,安全,VulHunter,商用,抽查,密码,算法,必读,清单
From: https://blog.51cto.com/u_15891519/11917808

相关文章

  • 生成式人工智能(大语言模型)上线备案清单准备
    一、大模型备案所需资料详解1、大模型上线备案表这是备案申请的核心材料,需详细填写大模型的基本情况、模型研制过程、服务内容、安全防范措施、安全评估结果及自愿承诺等信息。表格内容应真实、准确,无遗漏,为后续审核提供全面依据。2、语料标注规则语料标注是训练大模型的基......
  • AI大模型上线必备清单:备案所需资料全解析
    大模型上线备案所需资料(1)大模型上线备案表,包含以下具体内容:基本情况:模型名称、主要功能、适用人群、服务范围等。模型研制:模型备案情况、训练算力资源(自研模型)、训练语料和标注语料来源与规模、语料合法性、算法模型的架构和训练框架等。服务与安全防范:推理算力资源、服务方......
  • 金蝶云星空组织间结算清单增加自定义字段说明
    单据增加字段相关结算单增加,基础资料控件,映射资料。 业务单据-其他出库单增加字段 配置功能特性   创建结算清单时,会生成到自定义字段上      ......
  • 创建结算清单时提示冲突解决方案
     一、报错界面  二、原因分析【我的冲突列表】下没有这个冲突  原来组织间结算单独表单显示。依次点击【供应链】→【组织间结算】→【基础资料】→【组织间结算冲突操作列表】,如下图所示  三、解决方式  ......
  • 论文小白必读指南(4)| 有关文献引证,你想知道的都在这里!!
    参考文献是在论文中所引用其他文献来源的明确标注,为读者提供了查阅和验证作者观点的一句,也为读者展示了相关学术资源来源信息。正确、科学、规范地标注参考文献,是对他人知识产权的尊重,也是学术严谨性、学术研究的继承与创新的重要保证。作为论文写作者,必须要了解有关参考文献......
  • 如何防止图纸外泄?图纸安全管理措施有哪些(必备清单)
    当今数字化和信息化的时代,图纸作为企业设计、制造等环节中的重要资料,其安全性尤为重要。图纸的泄露不仅可能导致企业的技术秘密被竞争对手获取,还可能造成巨大的经济损失和法律纠纷。因此,建立健全的图纸安全管理措施是每个企业都必须重视的工作。一、制定严格的内部管理制度......
  • 自动生成依赖清单:pipreqs,Python项目的救星
    文章目录**自动生成依赖清单:pipreqs,Python项目的救星**背景:为何选择pipreqs?pipreqs是什么?如何安装pipreqs?库函数使用方法场景应用场景一:新项目初始化场景二:更新现有项目依赖场景三:排除特定库常见Bug及解决方案Bug1:找不到项目中的某些依赖Bug2:生成的依赖文件中包含错误......
  • 前端新入职必备清单,保姆级教程
    前端新人入职的第一天通常就是配置环境,熟悉项目。本文就来分享前端新人入职第一天应该如何配置环境,保姆级教程,值得收藏!本文以Mac电脑为例,使用Windows的小伙伴也可以参考!开发环境Node.js通常我们的项目都是依赖Node.js环境的,所以第一步就来安装Node.js。打开Nod......
  • Ai大模型书籍,必读巨作,带你制霸AI大模型开发之旅
    本文即将推荐几本适合AI大模型开发的书籍,这些书籍涵盖了从基础理论到实际操作的各个方面。不论你是刚刚入门的初学者,还是希望深入了解并应用AI大模型的开发者,这些书籍都将为你提供宝贵的知识与实用的技巧,助你在这个快速发展的领域中取得突破。乘风破浪。1AI大模型开发之路......
  • 大模型入门必读:全面解析大型模型实用技术与应用
    Gemma模型架构和参数计算近期,大模型相关的技术和应用层出不穷,各个方向的论文百花齐放,底层的核心技术是大家公认的精华部分。本文从技术的角度聚焦大模型的实战经验,总结大模型从业者关注的具体方向以及相关发展,帮助打算参与到大模型工作的人高效上手相关工作。基座模型参数......