商用密码测评师 工作内容

浅谈商用密码应用安全性评估 (密评)商用密码应用安全性评估，是对采用商用密码技术、产品和服务集成建设的网络和信息系统中，密码应用的合规性、正确性、有效性进行评估的过程。

密评是其简称。

密评工作在法律法规中有明确规定。

《中华人民共和国密码法》规定，要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。

此外，商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

为规范密评工作，XXX制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件。

其中，《商用密码应用安全性评估管理办法（试行）》规定，在重要领域网络与信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估。

如果评估未通过，责任单位应当限期整改并重新组织评估。

此外，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。

对其他信息系统则要定期开展检查和抽查。

在参考标准方面，《中华人民共和国密码法》、《商用密码应用安全性评估管理办法（试行）》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。

这些标准的实施，有助于提高商用密码应用的安全性和有效性，保障关键信息基础设施的安全运行。

信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。

国家密码管理局商用密码检测中心招聘简章一、单位简介国家密码管理局商用密码检测中心，是专门从事产品密码检测、密码检测技术研究和密码检测标准制定的事业单位。

密码检测业务主要包括：商用密码产品的密码检测、含密码技术信息产品的密码检测、商用密码行政执法的产品密码鉴定、信息安全等级保护信息系统密码测评、信息安全产品强制性认证的密码检测等。

二、招聘岗位及要求有志于从事密码安全事业，有强烈的信息安全责任意识。

以下各岗位，应聘者为中共党员优先、具有北京市户口优先。

（一）、岗位代码 001招聘人数：2人岗位职责：主要承担产品密码检测；参与检测标准制定；参与密码检测技术研究与开发。

岗位要求：信息安全、计算机、通讯及电子工程相关方向，本科以上学历，英语4级以上；精通C/C++，熟悉MS SQL、MySQL、Oracle数据库系统架构与原理；具备良好的沟通协调能力。

（二）、岗位代码 002招聘人数：1人岗位职责：维护检测质量体系运行；对各送检单位的送检资料初审；档案图书的管理；仪器设备的管理等。

岗位要求：信息安全、计算机、通讯及电子工程相关方向，专科以上学历；精通Office 办公软件，具备较强的文字写作能力和良好的沟通协调能力。

（三）、岗位代码101招聘人数：1人岗位职责：主要承担计算机软件研发工作；参与密码检测技术研究与开发；参与密码检测标准制定。

岗位要求：计算机软件相关专业本科或以上学历，具备较强英文阅读能力；具备良好的代码编程习惯及较强的文档编写能力；精通面向对象的软件设计方法和C++、Java、PHP等高级编程语言；熟悉MS SQL、MySQL等数据库系统架构与原理，能够进行数据库系统应用开发；熟悉8/32/64位CPU汇编语言编程；熟悉软件测试方法；具备多核多线程程序、Windows/Linux系统内核编程及调试经验者优先。

（四）、岗位代码102招聘人数：1人岗位职责：主要承担计算机网络管理工作；参与密码检测标准制定；参与密码检测技术研究与开发。

按照测评内容的不同，密码测评体系主要分为三个层次：密码算法测评、密码模块测评和密码系统评估。

密码算法测评的主要对象是底层的密码算法，如分组算法、序列算法、公钥算法；实现了密码算法的密码模块是密码评测的第二层内容，密码模块有硬件实现、软件实现、或软硬件混合实现等方式；实现了多个密码模块的密码系统是评测体系的第三层内容。

由于密码系统最终会由其他应用所使用，所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。

密码算法测评现有的技术存在一些问题：如检测方法过多地集中于黑盒式测试；缺乏有效的白盒测试方法；密码分析的自动化程度偏低，主要还是使用人工测试为主；检测方法存在着大量冗余检测，很多检测方法存在重叠，检测效率较低；算法评估缺乏科学有效的评估模型与机制，无法有效的评估密码算法是否合规是否安全。

我们密码算法测评的研究也主要是研究这些问题的解决方法，主要的研究内容有：1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。

2、检测方法相关性分析研究,研究各类现有检测方法，分析其关联性，提高检测效率。

3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。

4、评估模型、密码检测指标研究,形成密码评估检测标准，为密码算法的合理评估提供科学依据与量化指标。

关于密码模块的测评研究，我们主要集中在密码模块的自动化检测技术方面，主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。

密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据，从而提高对密码产品安全隐患的发现能力。

密码系统评估技术研究,可以使用一个金字塔模型来概括：（一）研究适合于密码系统的风险评估原理和模型；（二）研究能够反映密码系统安全性需求的指标体系，包括评估准则、风险指标体系的建立等；（三）研究密码系统的评估方法和密码系统安全风险管理；（四）研究密码系统评估的原型系统设计与实现等内容；最终达到金字塔的顶端：形成完善的密码系统评估准则；合理的密码系统评估流程；实用的密码系统评估方法。

按照测评内容的不同，密码测评体系主要分为三个层次：密码算法测评、密码模块测评和密码系统评估。

密码算法测评的主要对象是底层的密码算法，如分组算法、序列算法、公钥算法；实现了密码算法的密码模块是密码评测的第二层内容，密码模块有硬件实现、软件实现、或软硬件混合实现等方式；实现了多个密码模块的密码系统是评测体系的第三层内容。

由于密码系统最终会由其他应用所使用，所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。

密码算法测评现有的技术存在一些问题：如检测方法过多地集中于黑盒式测试；缺乏有效的白盒测试方法；密码分析的自动化程度偏低，主要还是使用人工测试为主；检测方法存在着大量冗余检测，很多检测方法存在重叠，检测效率较低；算法评估缺乏科学有效的评估模型与机制，无法有效的评估密码算法是否合规是否安全。

我们密码算法测评的研究也主要是研究这些问题的解决方法，主要的研究内容有：1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。

2、检测方法相关性分析研究,研究各类现有检测方法，分析其关联性，提高检测效率。

3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。

4、评估模型、密码检测指标研究,形成密码评估检测标准，为密码算法的合理评估提供科学依据与量化指标。

关于密码模块的测评研究，我们主要集中在密码模块的自动化检测技术方面，主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。

密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据，从而提高对密码产品安全隐患的发现能力。

密码系统评估技术研究,可以使用一个金字塔模型来概括：（一）研究适合于密码系统的风险评估原理和模型；（二）研究能够反映密码系统安全性需求的指标体系，包括评估准则、风险指标体系的建立等；（三）研究密码系统的评估方法和密码系统安全风险管理；（四）研究密码系统评估的原型系统设计与实现等内容；最终达到金字塔的顶端：形成完善的密码系统评估准则；合理的密码系统评估流程；实用的密码系统评估方法。

密码测评作业指导书
密码测评作业指导书是指导密码测评工作的规范性文件，通常包括以下内容：
1. 引言：介绍密码测评的目的、意义和背景。

2. 测评范围：明确密码测评的范围，包括被测系统的名称、版本、功能和涉及的密码算法等。

3. 测评依据：列出密码测评所依据的国家和行业标准、规范和要求，例如GM/T系列国家密码标准、ISO/IEC系列国际密码标准等。

4. 测评方法：描述密码测评的具体方法和技术，包括密码算法的分析和验证、密码协议的设计和验证、密码管理系统的安全性和可用性评估等。

5. 测评流程：详细描述密码测评的流程，包括准备工作、实施测评、结果分析和报告编写等阶段。

6. 测评工具：列出用于密码测评的工具和软件，例如密码分析软件、协议分析软件、漏洞扫描工具等。

7. 安全措施：明确在密码测评过程中应采取的安全措施，例如保护测试数据、确保测试环境的安全性、防范潜在的安全风险等。

8. 附录：提供与密码测评相关的补充资料，例如被测系统的技术文档、密码算法的相关资料等。

在编写密码测评作业指导书时，需要结合具体的被测系统和测评需求进行定制化编写，确保指导书的针对性和可操作性。

同时，还需要根据实际情况不断更新和完善指导书，以适应不断变化的密码技术和安全要求。

北京人工智能行业商密评估师岗位介
绍JD模板
岗位名称：商密评估师
岗位关键词：网络安全运维,安全运维
职责描述：
1.开展商用密码应用安全性评估，包括编写密码应用方案、测评方案编制及现场测评、以及报告编写等工作；
2.跟踪研究密码技术在关键基础设施、关键软件和数字经济领域的应用和测评技术研究；
3.辅助开展商用密码咨询规划和建设整改工作。

任职要求：
1.信息安全、网络安全、计算机科学与技术、通信工程、电子信息等相关专业
2.政治立场坚定、思想端正，有较强的组织纪律性；
3.具有商用密码评估、运维和集成等实施经验。

熟悉商用密码应用安全性评估相关政策和标准；
4.沟通能力强，具有较强的组织能力、推动能力，良好的客户服务观念、工作责任心及团队合作精神；
5.以上职位具有密评师证、CISSP，CISP证书优先，具有CTF等大赛获奖者优先。

密码测评技术员题库一、单项选择题（每题2分，共20分）密码测评技术员的主要职责是：A. 设计密码算法B. 对密码应用进行安全性评估C. 维护密码设备D. 培训密码使用人员以下哪项不属于密码测评技术员需要掌握的专业知识？A. 密码学理论B. 网络安全技术C. 编程语言D. 市场营销策略商用密码应用安全性评估的承担单位是：A. 测评机构B. 密码设备生产商C. 信息安全主管部门D. 网络安全公司密码测评技术员在评估过程中应遵循的原则是：A. 主观臆断B. 科学、公正、客观C. 随意变更评估标准D. 忽略细节问题密钥管理类产品主要是指：A. 密码算法库B. 密码芯片C. 提供密钥产生、分发、更新等功能的产品D. 加密机密码模块安全等级中，最高安全等级是：A. 一级B. 二级C. 三级D. 四级在密码测评中，对密码应用的合规性进行评估主要是指：A. 密码算法是否符合国家标准B. 密码设备是否先进C. 密码使用人员是否专业D. 密码管理制度是否完善下列哪项是密码测评技术员在评估过程中不需要考虑的因素？A. 密码算法的强度B. 密码应用的环境C. 密码设备的价格D. 密码管理的流程密码测评过程中，对数据的完整性进行评估主要是为了确保：A. 数据内容不被泄露B. 数据在传输过程中不被篡改C. 数据存储的安全性D. 数据处理的速度在密码测评报告中，以下哪项内容是不必要的？A. 评估目的和范围B. 评估方法和过程C. 评估人员的个人喜好D. 评估结果和建议二、多项选择题（每题3分，共15分）密码测评技术员需要具备的能力包括：A. 扎实的密码学理论知识B. 丰富的密码应用实践经验C. 良好的沟通能力和文档撰写能力D. 较高的英语水平密码测评过程中，需要收集和分析的信息包括：A. 密码算法的使用情况B. 密码设备的配置信息C. 密码管理的制度和流程D. 密码使用人员的个人信息密码测评技术员在评估过程中应遵循的职业道德包括：A. 保守被评估方的商业机密B. 客观公正地进行评估C. 随意透露评估结果D. 对评估结果负责密码测评技术员在编写评估报告时，应包含以下内容：A. 评估的背景和目的B. 评估的方法和过程C. 评估的结果和发现的问题D. 评估人员的个人意见和感受密码测评技术员在职业发展过程中，可以通过以下哪些途径提升自己的能力？A. 参加专业培训课程B. 阅读密码学相关的最新研究文献C. 与同行进行交流和讨论D. 增加个人娱乐时间三、判断题（每题2分，共10分）密码测评技术员只需要掌握密码学理论知识，不需要了解网络安全相关知识。

商用密码测评基本要求
商用密码测评是指用一系列测试手段和技术，对企业或组织使用
的密码进行评估和测试，以发现其中的安全漏洞、弱点和问题。

商用密码测评的基本要求包括：
1. 测评方式：应选择科学、系统、综合的密码测评方式，如黑
盒测试、白盒测试、灰盒测试等，以确保测评结果的准确性和可靠性。

2. 测评范围：应明确测评的密码范围、系统范围、网络范围、
应用范围等，以便于全面发现和解决潜在的安全问题。

3. 测评标准：应遵循一定的测评标准和规范，如《密码管理规范》、《口令安全规范》等，以确保密码的安全性和可靠性。

4. 测评人员：应聘请专业合格的密码测试人员，具备相关技能
和经验，以保证测评的有效性和可靠性。

5. 测评报告：应当按照科学、客观、准确、实用的原则，撰写
测评报告，并提出改进建议和措施。

6. 保密措施：应采取严格的保密措施，确保测评过程和结果不
受泄露，不影响客户的商业机密和利益。

商用密码测评的实施是保障企业信息安全的重要措施。

企业应当
定期对所使用的密码进行测评和检查，及时发现和解决潜在的安全问题，确保密码系统的安全和可靠性。