首页 > 其他分享 >《商用密码随机抽查事项清单》要点解读与应对策略

《商用密码随机抽查事项清单》要点解读与应对策略

时间:2024-09-05 13:52:46浏览次数:13  
标签:安全 VulHunter 商用 抽查 密码 算法 应用 清单

近期,国家密码管理局发布了《商用密码随机抽查事项清单(2024年版)》公告,抽查类别包括商用密码检测和商用密码应用、电子认证服务使用密码、电子政务电子认证服务。其中抽查清单序号3的抽查类别为商用密码应用与应用安全息息相关,要求使用国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),并采取必要的密码安全防护措施,并防止数据泄露、篡改等。

主要抽查内容

合规性:检查网络与信息系统运营者是否按照相关法律法规和政策要求使用商用密码进行保护,例如是否使用经国家密码管理部门批准的商用密码产品,是否按照密码安全要求进行密码配置和使用等。

正确性:检查网络与信息系统运营者是否正确地使用商用密码技术、产品和服务的,例如是否正确地配置密码算法、密钥管理、密码协议等,是否采取了必要的密码安全防护措施等。

有效性:检查网络与信息系统运营者使用商用密码技术、产品和服务的实际效果,例如密码保护机制是否能够有效防止数据泄露、篡改等安全风险,密码安全事件是否能够得到及时有效的处理等。

VulHunter检测密码技术,保障应用安全与合规

开源网安灰盒安全测试平台VulHunter基于交互式应用安全测试 (IAST) 技术,可帮助企业检测应用是否使用了国家规定的密码技术,以及该密码技术是否存在安全风险,从而保障应用安全性与合规性。

VulHunter通过深入分析应用运行时的行为,上报应用使用的加解密算法。通过持续监控和实时警报,开发人员和安全团队可以迅速响应,替换为更安全的国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),极大增强应用安全性。

此外,VulHunter可以监控API请求中是否使用了加解密算法以及加解密的算法类型。VulHunter在完成业务功能测试的同时,也能完成API加解密算法的检测,避免通过API传输的敏感数据泄露。

VulHunter另一大亮点是支持自定义算法函数。企业可以根据自身业务需求和安全策略,自定义需要监控的加密与解密算法函数,包括通用商用加解密算法(如AES、RSA等)以及国密算法(如SM2、SM3、SM4等)。通过简单的配置界面,可以添加、修改或删除算法函数列表,精准检测出请求中使用的密码算法类型。

开源网安灰盒安全测试平台VulHunter

开源网安灰盒安全测试平台(VulHunter),作为国内首款基于IAST技术自主研发的灰盒安全检测产品,可在研发测试阶段实时检测运行时的应用及API漏洞,具有高覆盖、低误报、实时检测等优点,并可与DevSecOps流程无缝融合。

推荐阅读

一文精讲,用IAST工具做API安全防护

银行开发安全的这些难题,IAST工具真能破解码?

标签:安全,VulHunter,商用,抽查,密码,算法,应用,清单
From: https://blog.csdn.net/weixin_55163056/article/details/141892565

相关文章

  • 待办事项清单-网页页面和功能展示
    初始页面添加待办事项划去已完成待办事项删除已完成待办事项全选待办事项清空已完成待办事项......
  • 【重点必读】|《商用密码随机抽查事项清单》要点解读与应对策略
    近期,国家密码管理局发布了《商用密码随机抽查事项清单(2024年版)》公告,抽查类别包括商用密码检测和商用密码应用、电子认证服务使用密码、电子政务电子认证服务。其中抽查清单序号3的抽查类别为商用密码应用与应用安全息息相关,要求使用国密算法(SM1、SM2、SM3、SM4、SM7、SM9、ZUC等),并......
  • 07 Midjourney从零到商用·基础篇:参数合集详解
    在使用Midjourney生成图片时,除了Prompt(提示词)要写好之外,Parameters(后缀参数)也是非常重要的一部分。它可以帮助我们更加精确地控制图像生成的方式,例如:图像的宽高比、风格化程度、完成度等等,是提高AI绘画能力必须了解的部分。因此,今天我们将系统学习下后缀参数的使用方法......
  • Vue3+Vite+Vant-UI+Pinia+VueUse开发双端业务驱动技术栈商用项目
    前言:个人git仓库,全是干货一、本次搭建项目涉及到vue3、vite、pinia、vue-router、typescript、element-plus,下面先简单介绍一下大家比较陌生的框架或库1、vue3vue团队官宣:2022年2月7日,vue3作为vue的默认版本。现在打开vue官网,界面默认显示的是vue3版本的指导文档。vue团队在......
  • P7技术专家30k前端架构-商用级产品架构,业务实现+开发提效双线并进
    P7技术专家30k前端架构-商用级产品架构,业务实现+开发提效双线并进最近部门招聘,很多工程师,包括我在内都参与了内推和面试的过程,经过这次招聘,我发现能够最终拿到offer的人,基本上在看到简历的那一瞬间就已经定下来了,后续的面试只不过是一种验证而已(注意,是验证,而不是走过场),除非你......
  • 生成式人工智能(大语言模型)上线备案清单准备
    一、大模型备案所需资料详解1、大模型上线备案表这是备案申请的核心材料,需详细填写大模型的基本情况、模型研制过程、服务内容、安全防范措施、安全评估结果及自愿承诺等信息。表格内容应真实、准确,无遗漏,为后续审核提供全面依据。2、语料标注规则语料标注是训练大模型的基......
  • AI大模型上线必备清单:备案所需资料全解析
    大模型上线备案所需资料(1)大模型上线备案表,包含以下具体内容:基本情况:模型名称、主要功能、适用人群、服务范围等。模型研制:模型备案情况、训练算力资源(自研模型)、训练语料和标注语料来源与规模、语料合法性、算法模型的架构和训练框架等。服务与安全防范:推理算力资源、服务方......
  • 金蝶云星空组织间结算清单增加自定义字段说明
    单据增加字段相关结算单增加,基础资料控件,映射资料。 业务单据-其他出库单增加字段 配置功能特性   创建结算清单时,会生成到自定义字段上      ......
  • 创建结算清单时提示冲突解决方案
     一、报错界面  二、原因分析【我的冲突列表】下没有这个冲突  原来组织间结算单独表单显示。依次点击【供应链】→【组织间结算】→【基础资料】→【组织间结算冲突操作列表】,如下图所示  三、解决方式  ......
  • Stable Audio文本转音乐 免费商用无版权限制 本地一键包使用教程
    StabilityAI的发布再次打破了创新的界限。这款前沿模型在其前作的成功基础上,增添了一系列突破性功能,可能彻底改变艺术家和音乐家创建及操作音频内容的方式。StableAudio2.0标志着人工智能生成音频的一个重要里程碑,为音质、多功能性和创意潜力设定了全新标准。这个模型......