关键信息基础设施商用密码使用管理规定 第一条为规范关键信息基础设施商用密码使用，保护关键信息基础设施安全，根据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规，制定本规定。 第二条 依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律、行政法规和国家有关规定认定的关键信息基础设施的商用密码使用管理，适用本规定。 第三条国家密码管理部门会同国家网信部门、国务院公安部门负责规划、指导和监督全国的关键信息基础设施商用密码使用管理工作，建立关键信息基础设施商用密码使用管理信息共享机制。 县级以上地方各级密码管理部门会同网信部门、公安机关负责指导和监督本行政区域的关键信息基础设施商用密码使用管理工作。 第四条关键信息基础设施保护工作部门（以下简称保护工作部门）在职责范围内负责监督管理本行业、本领域关键信息基础设施商...

近期，公安部发布公网安〔2025〕1846号文件，对3月8日部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。 原文如下： 转载内容丨公安部网安局

FreeMarker SSTI漏洞基础 北京卓识网安技术股份有限公司基础知识Freemarker是一种java模板开发引擎，基于模板和程序数据动态输出文本的通用工具。在freemarker中以ftl文件作为模板文件，其结构类似于html格式，一般由以下几部分组成： 1. 文本，即文本。 2. 注释，与html注释一样。 3. 插值，使用${}包裹，用于动态地从程序中插入数据。 4. ftl标签，内建函数Freemarker中的内建函数：new()和api() 1.new()：new函数用法是"value"?new()，在?的左边你可以指定一个字符串，是TemplateModel实现类的完全限定名，结果是调用构造方法生成一个方法变量，然后将新变量返回。 2.api()：api函数用法是"value"?api，value?api提供访问 value的API(通常是Java API)，比如value?api.someJavaMethod()。api函数使用是有前提条件的： o api_builtin_enabled 配置设置项必须设置为true。为了不降低已有应用程序的安全性，它的默认值是false(至少在2.3.22 版本中)。 o 值本身要支持它。我们在讨论当模板看到的值，它是通过对象包装 从原始对象值(来自于数据模...

素材｜公安部网络安全等级保护评估中心本篇文章来源于微信公众号:卓识网安