学习
实践
活动
专区
工具
TVP
写文章

TCE高分通过密码应用安全性评估(3级)

仅90余天,借助腾讯安全云鼎实验室的商用密码合规解决方案,腾讯专有云企业版Tencent Cloud Enterprise(Tencent TCE)于2021年11月高分通过第三方密评机构的密码应用安全性评估 本次测评由国家密码局授权的权威评估机构——深圳市网安计算机安全检测技术有限公司,依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等要求对腾讯专有云平台进行综合测评。 本次TCE云平台顺利通过了商用密码应用安全性评估,并获得了3级密评的85.84分高分,有效化解行业客户对于业务上云过程中的密码安全应用合规压力,并以领先的数据安全能力支撑客户云上应用系统的整体安全,让客户可专注于云上应用 腾讯云鼎试验室的商用密码合规解决方案完美地解决了3级密码应用要求的合规性、多厂商加密机兼容性,并且未来具备对接多厂商密码应用平台的能力。 覆盖密评机构、密码整改机构、创新密码产品、腾讯应用生态、软件、安全集成开发商生态。

59810

评估云的安全性

在这篇文章中,我们将介绍六个方面,用于分析和评估一个组织目前的安全状态。若是一个组织能清晰认识到他们目前的情况,那么就可以知道他们对未来的期望所在,并制定出高效的发展策略。 1. 你可以通过以下几个问题来评估你所处组织的规范性: 本组织所需遵守的规范都有哪些? 目前是怎样来确保遵守这些规范的? 目前是怎样来报告这些规范性的? 哪些方面还需要改进? 这些评估有助于找出差距和需要改进的方面,以便能够系统性地运用适合的安全技术和方式来解决。在下一步,你就可以高效地将规范性相关的问题整合到总安全策略当中了。 另外:在评估流程的时候,不仅要考虑安全本身,还涉及安全流程有没有与开发和运营相结合,确保这三个部门在协同工作,这样才能以云上的速度成长和运作。 实施一个成功的云安全策略 评估一个组织的安全状态的最好方法,就是通过以上提到的这六个方面来系统性地创建一个清晰和详细的画像。

44570
  • 广告
    关闭

    游戏安全场景解决方案

    基于腾讯20余年的防护技术积累,一站式解决游戏服务端、客户端安全问题

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    提升Oracle用户密码安全性的技巧

    环境:Oracle 11.2.0.4 客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好 这个在之前的文章《Oracle 11g 安全加固》中的“1.8.数据库密码安全性校验函数”章节就已经有了确切的解决方案,核心内容如下: select limit from dba_profiles where ' and resource_name='PASSWORD_VERIFY_FUNCTION'; prompt ============================= prompt == 8.数据库密码安全性校验函数 prompt ============================= prompt 执行创建安全性校验函数的脚本 @? ,而客户目前的需求就只有一个,不允许密码和用户名完全一样或过于相似就可以了。

    11120

    技巧:如何提升Oracle用户密码安全性

    环境:Oracle 11.2.0.4 客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好 这个在之前的文章《Oracle 11g 安全加固》中的“1.8.数据库密码安全性校验函数”章节就已经有了确切的解决方案,核心内容如下: select limit from dba_profiles where and resource_name='PASSWORD_VERIFY_FUNCTION'; prompt ============================= prompt == 8.数据库密码安全性校验函数 prompt ============================= prompt 执行创建安全性校验函数的脚本 @? ,而客户目前的需求就只有一个,不允许密码和用户名完全一样或过于相似就可以了。

    46750

    PHP中散列密码安全性分析

    本文实例讲述了PHP中散列密码安全性。分享给大家供大家参考,具体如下: php的基本哈希函数已经不再安全? php手册中有专门的一个部分来介绍这个问题 http://php.net/manual/zh/faq.passwords.php 很多应用,都是将用户的密码都是直接通过md5加密直接存储到数据库中的, 上面我们对所有的密码都使用的同样的盐,这中方式是不大安全的。比如,张三和李四的密码是一样的,则存储在数据库中的密文也是一样的,这无疑让黑客更容易破解了。 $salt); echo $res; 关于盐的存储 可以将盐和密文一起存在数据库的用户信息表中,优点是数据库查询取出密码的同时也可以取出盐,进行加密比对操作,一次数据查询就可以搞定,缺点是安全性差,如果黑客 ,即每次登陆都需要从redis中取出对应的盐,牺牲了一定的性能,提高了安全性

    39530

    密码学原语安全性证明思路总结

    1 Introduction 密码学中的安全性证明有时可以理解为游戏序列(sequence-of-games)。这是一种可用来解决复杂的安全性证明的有效工具。 注意:该技术不适用于所有安全性证明。即使该技术适用,它也只是用于组织证明的工具。密码构造和安全性分析的必须来自其他地方。 在形式定义中,有一个安全性参数:一个趋于无穷大的整数,“efficient”表示安全性参数中由多项式限定的时间,而“very close to”表示对于足够大的安全性参数值,它的倒数趋于0,可忽略。 1.2 Some Historical Remarks 多年来,“混合论证(Hybrid arguments)”已在密码学中广泛使用。这种论点实质上是基于不可区分性的一系列转变。 1.3 Outline of the Rest of the Paper 在下一节中回顾了一些相当标准的表示法之后,以下各节说明了在分析许多经典密码结构时使用游戏序列技术。

    1.7K20

    密码学可证明安全性-学习攻略

    不同密码方案的安全性可能基于不同的困难问题. 积累困难问题将有利于开阔安全归约证明的视野. 作者推荐读者阅读一篇总结报告——“VERCAUTEREN F. 报告中详细整理了密码学方案设计中常用到的 128 个困难问题的定义、提出背景、困难性分析、应用以及参考文献等等. 2.4.算法 如何针对某种新的密码概念进行算法定义是应用密码学的基础. 2.5.安全模型 任何方案的安全性都是相对的、有条件的. 作者建议按上述方法,尝试自己定义以下密码概念和安全性模型。然后跟原论文比对。锻炼这种能力。 ? ? 3.2 经典方案推荐 我看到了知识的海洋...... ? 由于目前安全证明的书写缺乏标准, 读者应该会发现每一篇文章的安全证明描述方式不尽相同, 概念的应用也缺乏一致性.

    2K20

    Web 应用安全性: HTTP简介

    这是关于web安全性系列文章的第2篇,第一篇可点击以下查看: Web 应用安全性: 浏览器是如何工作的 HTTP是一个美好的东西:一个存在了20多年而没有太多变化的协议。 正如我们在前一篇文章中看到的,浏览器通过HTTP协议与web应用程序交互,这是我们深入研究这个主题的主要原因。 HTTPS 的目标是提高HTTP 协议的安全性,而 H2 的目标是为其带来更快的速度。 正如我提到的,你正在开会,需要拼写你的网上银行密码。你需要找到一种方法来加密你的交流,这样只有你和你的伴侣才能理解你的谈话。 正如我们将在下一篇文章中看到的,HTTP安全头文件提供了一种改进应用程序安全状态的方法,下一篇文章将致力于理解如何利用它们。 你的点赞是我持续分享好东西的动力,欢迎点赞!

    34020

    应用密码学初探

    密码学可以细分为密码协议,密码技术以及密码算法,本文不会详尽学习密码学的所有角落,而是专门针对区块链应用到的密码学知识进行学习。 下面来谈谈数字签名的安全性,它是由数学问题进行保障。目前常见的数字签名算法往往需要选取何时的随机数作为配置参数,配置参数不合理的使用或泄露都会造成安全漏洞,需要进行安全保护。 多重签名可以有效地被应用在多人投票共同决策的场景中。多重签名的主要目的是在身份和文件完整性验证的基础上,由多人投票确认签名文件本身是否合法。 总结 本文简单介绍了应用密码学中区块链相关的一些问题和算法。掌握这些知识,对于帮助理解区块链系统如何实现隐私保护和安全防护都很有好处。 另一方面,区块链系统和诸多新的场景也对密码学和安全技术提出了很多新的需求,反过来也将促进相关学科的进一步发展。 参考资料 应用密码学(协议、算法与C源程序) 区块链(原理、设计与应用

    84780

    Android 应用安全性改进: 全面助力打造 零漏洞 应用

    作者 / Patrick Mutchler 和 Meghan Kelly, Android 安全和隐私团队 帮助 Android 应用开发者构建 "零漏洞" 的安全应用有助于推动整个生态系统的健康发展 Android 安全改进计划介绍 当应用提交到 Google Play 商店后,我们会扫描并检查应用是否存在安全漏洞。一旦发现应用存在潜在威胁,我们会立即通知开发人员,并协助他们修复这些问题。 ? 迄今为止,安全改进计划已帮助 30 多万名开发者共修复了超过 100 万个应用。仅在 2018 年,受益的开发者就达 3 万余人,修复的应用数量总计超过 75 万。 计划涵盖的安全漏洞类型 应用安全改进计划涵盖了Android 应用中的各种安全威胁,小到某特定版本开发库中的安全问题 (例如 CVE-2015-5256),大到 TLS/SSL 证书验证漏洞。 我们知道安全问题通常十分棘手,开发者在编写应用的过程中也难免会犯错。我们希望这个项目能在未来几年内不断发展,助力全球开发者为用户带去值得信赖的应用。 点击这里了解更多 P&E 相关产品内容 ?

    34220

    Web应用程序安全性测试指南

    安全测试中使用的一些关键术语 在继续进行之前,熟悉一些Web应用程序安全性测试中经常使用的术语将很有用: 什么是“漏洞”? 这是Web应用程序中的弱点。 Web安全测试方法 #1)密码破解 Web应用程序的安全测试可以通过“密码破解”开始。为了登录到应用程序的私有区域,可以猜测用户名/密码,也可以使用一些密码破解工具。 常见的用户名和密码列表以及开源密码破解程序均可用。 如果Web应用程序不强制使用复杂的密码(例如, 使用字母,数字和特殊字符,或者至少需要一定数量的字符),则破解用户名和密码的时间可能不会很长。 如果用户名或密码未加密就存储在Cookie中,则攻击者可以使用其他方法来窃取Cookie以及存储在Cookie中的信息(例如用户名和密码)。 重要说明:在安全性测试期间,测试人员应非常小心,不要修改以下任何一项: 应用程序或服务器的配置 服务器上运行的服务 应用程序托管的现有用户或客户数据 此外,应避免在生产系统中进行安全测试。

    48830

    ERP系统的效益评估应用价值

    很多学者就ERP冲效益问题进行了研究,从管理和经济角度,提出了许多定性、定量的评估方法,多数ERP效益评估重点关注ERP的投资回报,更关注外在的结果;王惠芬提出ERP系统实施应用过程中的企业管理模式趋同理论 针对模块的应用首先要做两项工作:一方面要使已经上线的模块能够更平稳的运行,扩大企业效益;另一方面是对系统已有但尚未应用的功能进行深度的应用。 管理提升与系统应用是相辅相成的关系,系统应用的深化同样可以促使管理水平的提升。 3 传统效益评估的方法及局限性 让ERP价值显现出来,需要一种合理的评估方法,目前信息系统效益评估的方法种类繁多,到底应该选择哪种价值评估方法,评估者除了考虑方法本身的特点外,更应当考虑被评估系统所处运行阶段及组织运作方式等影响 、应用信息经济等等。

    55710

    使用PaaS实现更好的云应用安全性

    为了从PaaS安全性中获得更多的好处,我们应了解IaaS和 PaaS之间的基本安全性差异,并选择具有良好安全意识的PaaS供应商,开发应用程序以求实现PaaS云应用安全性的最大化,当规划新的云应用和迁移时 因为应用程序是采用中间件工具进行开发的,所以如果组合中间件支持应用程序过于复杂,那么就会迅速蠕变形成安全性问题和错误。在IaaS中,每一个应用程序都集成在机器镜像中,而镜像中还包括了操作系统和中间件。 如果所有支持特定业务流程的应用程序都是基于不同操作系统和中间件工具的,那么云计算对于应用程序的支持将不得不沿用所有的这些方法以全面确保应用程序的安全性。 通过使用PaaS,用于应用程序连接和工作流程的工具是更加标准化和更易于维护。 黑客需要黑进应用程序或系统才能做坏事,这就意味着接口安全性是至关重要的。 如果安全性和访问控制对于您的云应用安全性是特别重要的,那么您将需要一个提供完整操作系统和中间件工具的PaaS策略,并将其作为平台的一部分或通过相关性分析。

    85170

    云上密码应用最佳实践

    ,并介绍了腾讯安全在云上密码应用中的最佳实践。 密码产业人才短缺,开发门槛高,密码行业尚处于产业规模化发展的初期阶段是“难做”;密码算法、密码产品、密码应用三者明显脱节,用户需要大量的开发工作,因此“难用”;密码应用分散,行业缺乏统一化标准,密码技术应用及运维管理工作复杂 云上密码应用最佳实践多维度助力数据加密 云数据安全中台对应了各种基础设施,云上密码应用做出一系列最佳实践。 针对密钥权限的管控、加密算法库的依赖、国密算法的改造、数据密钥的策略管理、私钥的安全性管控、密钥材料的信任、密钥所有权等一系列问题,KMS根据敏感数据、高性能本地数据、非对称密钥、BYOK(Bring 借助CASB,用户可以轻松实现基于商用密码算法的应用免改造、字段级加密,以及基于密码应用的防黑客攻击的数据安全保护方案。

    1.2K31

    使用内存安全工具提升应用质量和安全性

    Android 内存安全工具是一个可帮助您提升应用质量和安全性的综合工具包。通过本文您可以了解到我们推出的各种内存安全工具及其使用场景,以及了解如何通过这些工具来找到并修复问题。 Play 商店中超过 50% 的应用包含有原生代码,即便您没有直接使用原生代码来实现应用中的功能,也可能会因为使用第三方 SDK 或库而间接包含原生代码。 引入 HWASan 大约会使应用的性能降低两倍,我们建议您在开发和测试阶段中使用 HWASan。 总结 Android 内存安全工具可以检测代码库中的内存错误,修复此类错误可帮助提高质量和安全性。确保内存安全的诀窍是使用内存安全工具运行代码找到错误,然后修复这些错误。 感谢您阅读本文章,期待您使用我们所提供的工具提升 Android 生态系统的质量和安全性 欢迎您 点击这里 向我们提交反馈,或分享您喜欢的内容、发现的问题。您的反馈对我们非常重要,感谢您的支持!

    14420

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • 云访问安全代理

      云访问安全代理

      云访问安全代理(CASB),是一款面向应用的数据防护服务,采用免应用开发改造的配置方式,提供面向服务侧的字段级数据存储加密防护,有效抵御内外部数据安全威胁。服务已通过国家密码管理局的安全认证,满足商用密码应用安全性评估的相关合规要求。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券