Security Insights · 安全资讯

不发公关稿
只写工程师真正用得上的

密评合规怎么做才能首次通过？数安法台账如何自动维护？国密 SM2 和 RSA 性能差多少？这些是我们在帮客户落地过程中真实踩过的坑，整理出来分享给同样在一线的从业者。

浏览全部文章订阅更新

EDITORIAL PRINCIPLES · 编辑原则

可验证所有技术细节来自真实项目，数据可溯源，不使用「业内领先」等无依据描述

有立场我们会说「这个方案不适合你们」，不为了成交而回避局限性

不软文技术文章与产品推广严格区分，明确标注

从业者写给从业者默认读者有基本技术背景，不做过度科普

精选文章

密评首次通过的完整方法论——从评审官视角看整改清单

数安商用密码工程团队 2025-03-15 12 min read

我们服务过清远市中级人民法院、广东省交通厅等多个密评项目，首次通过率 100%。这篇文章把评审官最常驳回的 7 个问题整理成操作清单：密码算法不规范、密钥管理缺失、日志不完整……每条对应具体的整改动作，而不是笼统的「加强密码应用」。

密评合规国密算法密钥管理等保三级

全部文章

最新发布

显示 13 篇

SM2 vs RSA：性能、安全强度与迁移成本的真实对比

很多工程师第一次接触国密算法时会问：SM2 和 RSA-2048 安全强度相当吗？性能差多少？我们用实际基准测试给出数据，并分析从 RSA 迁移到 SM2 的改造成本。结论出乎意料：SM2 签名速度比 RSA-2048 快 3–5 倍，但验签慢约 20%。

数安法数据分类分级：从「怎么分」到「台账怎么维护」的完整流程

很多单位在数安法检查前才开始手动整理台账，这是最大的误区。台账是动态的，数据结构变了台账就要跟着变。这篇文章讲清楚三件事：分级标准怎么定、规则引擎怎么配、变更如何触发自动更新。

个保法第二十六条逐条解析：人脸识别合规的最低要求是什么

个保法对生物特征信息的处理有专门规定，但条文比较模糊。这篇文章从合规角度分析：哪些行为属于违规？单独同意的边界在哪里？零存储方案（如 MPC 认证）如何证明自己不属于「处理」生物特征信息？

密钥管理的五个反模式：你的系统中了几个

硬编码密钥、密钥与密文同库存储、用同一个密钥加密所有数据、从不轮换密钥、没有密钥托管机制——这五个反模式在审计中出现频率极高。逐一分析危害和正确做法，附带密钥生命周期管理检查清单。

清远市中级人民法院密评项目复盘：4周交付首次通过的关键决策

为什么选密码服务平台而不是直接改造各系统？为什么密评材料要在改造前就开始准备而不是事后补？这篇复盘文章整理了项目中几个关键决策点，以及如果重来一次我们会做什么不同的事。

格式保留加密（FPE）是什么？为什么它需要硬件密码机

很多产品宣传「FPE脱敏后数据可继续使用」，但没有告诉你 FPE 的计算强度要求以及为什么软件实现在生产环境下性能不够。这篇文章解释 FPE 的数学原理、性能特征，以及什么情况下应该用 FPE、什么情况下用遮掩就够了。

等保三级密码应用检查清单：42条逐项说明

等保三级对密码应用有 42 条具体要求，覆盖物理层、网络层、主机层、应用层和数据层。这份清单把每条要求翻译成可执行的检查项，并标注哪些是「必须」哪些是「建议」，以及测评机构通常如何验证。

MPC 多方安全计算签名原理：为什么私钥从不出现在任何一台机器上

门限签名协议（TSS）是无密码认证的密码学基础。这篇文章用尽量少的数学符号解释：什么是秘密分享、门限方案如何工作、为什么即使攻克了一个参与方也无法伪造签名。最后附带与 HSM 方案的优劣对比。

数安法实施三年：哪些执法案例值得关注，政务机构风险在哪里

整理了数安法实施以来公开的处罚案例，归纳出三类高频违规场景：数据出境未备案、个人信息泄露未及时通报、数据分类分级缺失。分析对政务机构的具体风险和应对措施。

广州极飞科技密码服务平台接入复盘：多语言 SDK 适配的技术细节

极飞的开发团队同时使用 C、Java、Go、Python 四种语言，密码服务平台需要为每种语言提供同等质量的 SDK。这篇文章讲接入过程中遇到的跨语言兼容问题、性能调优，以及如何在不中断业务的情况下完成迁移。

政务单位如何用 4 个月从零搭建零信任基础架构

零信任不是一次性采购，而是分阶段建设。从身份验证基础层开始，到数据访问控制，再到密码基础设施统一，每个阶段的目标、工作量和验收标准分别是什么？以一家政务机关的真实实施路径为例。

个保法实施后被问最多的 8 个问题：合规部门的实操答疑

「员工工作邮件算个人信息吗？」「单独同意需要单独一个弹窗吗？」「脱敏后的数据还需要保护吗？」整理了被问最多的 8 个问题，给出可落地的回答，而不是引用条文后让你自己判断。

密码服务平台选型踩坑记：8 个问题帮你排除掉 80% 的供应商

「支持国密算法」几乎所有供应商都声称支持，但细问下去差距巨大。TPS 是软件计算还是硬件加速？密评认证是平台自己拿的还是基于底层 HSM 的转述？SDK 是哪几种语言？这 8 个问题帮你快速筛选。

主题专栏

按主题深入阅读

密评流程、等保三级、密钥管理合规——来自一线项目的真实操作经验

国密算法、MPC、FPE、密钥管理——有数据支撑的技术深度解析

数安法、个保法、密评标准——不引用条文的实操解读，说清楚你该做什么

真实项目复盘，包括决策失误和后续修正——学别人踩过的坑

行业动态

近期值得关注的政策与事件

仅摘要，不构成法律建议

国家密码局发布《商用密码应用安全性评估管理办法》征求意见稿

来源：国家密码局官网 · 摘要整理

广东省出台数据安全管理实施细则，政务数据跨部门共享需经安全评估

来源：广东省政府官网 · 摘要整理

CISA 发布无密码认证迁移指南，与 FIDO2 标准完全兼容

来源：CISA · 摘要整理

国家互联网信息办公室：个人信息保护合规审计管理办法正式施行

来源：国家互联网信息办公室 · 摘要整理

某省级政务云发生数据泄露事件，涉及公民个人信息约 200 万条

来源：公开报道整理 · 细节已脱敏