商用密码测评师 工作内容
商用密码应用安全性评估
我国商用密码应用法定要求
目录
01 密评意义
03 密评主要内容
02 密评责任主体及对象 04 密评体系发展历程
目录
05 密评体系总体架构
07 密评相关标准
06 密评试点机构
商用密码应用安全性评估,简称“密评”,是指在采用商用密码技术、产品和服务集成建设的络和信息系统 中,对其密码应用合规性、正确性和有效性进行评估。
感谢观看
3.商用密码应用有效性评估
商用密码应用有效性评估是指判定信息系统中实现的密码保障系统是否在信息系统运行过程中发挥了实际效 用,是否满足了信息系统的安全需求,是否切实解决了信息系统面临的安全问题。
密评体系发展历程
密评最早于 2007年提出,经过十余年的积累,密评制度体系不断成熟,其发展经历了四个阶段。
2.商用密码应用正确性评估
商用密码应用正确性评估是指判定密码算法、密码协议、密钥管理、密码产品和服务使用是否正确,即系统 中采用的标准密码算法、协议和密钥管理机制是否按照相应的密码国家和行业标准进行正确的设计和实现,自定 义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码 产品和服务的部署和应用是否正确。
《中华人民共和国密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的 关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安 全性评估。
为有效控制安全风险,关键信息基础设施的运营者应当在规划、建设等必要阶段进行评估,系统投入运行后, 还应当定期开展评估。
第四阶段:密评试点开展期(2017年 10月-今)。试点开展过程同时也是机构培育过程,包括机构申报遴选、 考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。
浅谈商用密码应用安全性评估 (密评)
浅谈商用密码应用安全性评估 (密评)商用密码应用安全性评估,是对采用商用密码技术、产品和服务集成建设的网络和信息系统中,密码应用的合规性、正确性、有效性进行评估的过程。
密评是其简称。
密评工作在法律法规中有明确规定。
《中华人民共和国密码法》规定,要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。
此外,商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
为规范密评工作,XXX制定印发了《商用密码应用安全性评估管理办法(试行)》、《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》等管理文件。
其中,《商用密码应用安全性评估管理办法(试行)》规定,在重要领域网络与信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码应用安全性评估。
如果评估未通过,责任单位应当限期整改并重新组织评估。
此外,关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。
对其他信息系统则要定期开展检查和抽查。
在参考标准方面,《中华人民共和国密码法》、《商用密码应用安全性评估管理办法(试行)》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。
这些标准的实施,有助于提高商用密码应用的安全性和有效性,保障关键信息基础设施的安全运行。
信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。
国家密码管理局商用密码检测中心
国家密码管理局商用密码检测中心招聘简章一、单位简介国家密码管理局商用密码检测中心,是专门从事产品密码检测、密码检测技术研究和密码检测标准制定的事业单位。
密码检测业务主要包括:商用密码产品的密码检测、含密码技术信息产品的密码检测、商用密码行政执法的产品密码鉴定、信息安全等级保护信息系统密码测评、信息安全产品强制性认证的密码检测等。
二、招聘岗位及要求有志于从事密码安全事业,有强烈的信息安全责任意识。
以下各岗位,应聘者为中共党员优先、具有北京市户口优先。
(一)、岗位代码 001招聘人数:2人岗位职责:主要承担产品密码检测;参与检测标准制定;参与密码检测技术研究与开发。
岗位要求:信息安全、计算机、通讯及电子工程相关方向,本科以上学历,英语4级以上;精通C/C++,熟悉MS SQL、MySQL、Oracle数据库系统架构与原理;具备良好的沟通协调能力。
(二)、岗位代码 002招聘人数:1人岗位职责:维护检测质量体系运行;对各送检单位的送检资料初审;档案图书的管理;仪器设备的管理等。
岗位要求:信息安全、计算机、通讯及电子工程相关方向,专科以上学历;精通Office 办公软件,具备较强的文字写作能力和良好的沟通协调能力。
(三)、岗位代码101招聘人数:1人岗位职责:主要承担计算机软件研发工作;参与密码检测技术研究与开发;参与密码检测标准制定。
岗位要求:计算机软件相关专业本科或以上学历,具备较强英文阅读能力;具备良好的代码编程习惯及较强的文档编写能力;精通面向对象的软件设计方法和C++、Java、PHP等高级编程语言;熟悉MS SQL、MySQL等数据库系统架构与原理,能够进行数据库系统应用开发;熟悉8/32/64位CPU汇编语言编程;熟悉软件测试方法;具备多核多线程程序、Windows/Linux系统内核编程及调试经验者优先。
(四)、岗位代码102招聘人数:1人岗位职责:主要承担计算机网络管理工作;参与密码检测标准制定;参与密码检测技术研究与开发。
商用密码测评
按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。
密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。
由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。
密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。
我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。
2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。
3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。
4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。
关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。
密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。
密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。
商用密码测评
按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。
密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。
由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。
密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。
我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。
2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。
3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。
4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。
关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。
密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。
密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。
行业密码测评作业指导书
密码测评作业指导书
密码测评作业指导书是指导密码测评工作的规范性文件,通常包括以下内容:
1. 引言:介绍密码测评的目的、意义和背景。
2. 测评范围:明确密码测评的范围,包括被测系统的名称、版本、功能和涉及的密码算法等。
3. 测评依据:列出密码测评所依据的国家和行业标准、规范和要求,例如GM/T系列国家密码标准、ISO/IEC系列国际密码标准等。
4. 测评方法:描述密码测评的具体方法和技术,包括密码算法的分析和验证、密码协议的设计和验证、密码管理系统的安全性和可用性评估等。
5. 测评流程:详细描述密码测评的流程,包括准备工作、实施测评、结果分析和报告编写等阶段。
6. 测评工具:列出用于密码测评的工具和软件,例如密码分析软件、协议分析软件、漏洞扫描工具等。
7. 安全措施:明确在密码测评过程中应采取的安全措施,例如保护测试数据、确保测试环境的安全性、防范潜在的安全风险等。
8. 附录:提供与密码测评相关的补充资料,例如被测系统的技术文档、密码算法的相关资料等。
在编写密码测评作业指导书时,需要结合具体的被测系统和测评需求进行定制化编写,确保指导书的针对性和可操作性。
同时,还需要根据实际情况不断更新和完善指导书,以适应不断变化的密码技术和安全要求。
商用密码技术应用测评
密性与完整性保护机制;应查看技术文档,了解通信双方主体鉴别机制,以及通信过程中的保密性 和完整性保护机制;应检查密码产品,查看与身份鉴别、数据完整性和保密性保护相关的配置是否 正确;应测试密码产品,验证通信双方身份鉴别,以及数据传输保密性和完整性保护的有效性;应 查看密码算法、密码协议是否符合密码相关国家标准和行业标准,密码产品是否获得相应证书 测评方法:对于通信双方的实体鉴别,参考对真实性实现的测评方法:需要注意 这里是针对“网络 和通信安全”层面的测评,测评的对象主要是VPN设备。对鉴 别过程中鉴别信息的传输,参考 对传输保密性实现的测评方法
网络和通信安全测评
内部网络安全接入
测评指标:参考密码技术应用要求要点
网络和通信安全测评
内部网络安全接入
测评对象:安全管理员、网络设备、密码产品、技术文档
网络和通信安全ห้องสมุดไป่ตู้评
内部网络安全接入
测评实施:应访谈安全管理员,询问是否采用密码技术对连接到内部网络的设 备进行身份鉴别,以及身份鉴别的实现机制;应查看技术文档,了解对连接到内 部 网络的设备身份鉴别的实现机制;应检查密码产品,查看对连接到内部网络设 备身 份鉴别的相关配置是否正确:应测试密码产品,验证是否有效地对连接到内 部网络 的设备进行身份鉴别:应查看密码算法、密码协议是否符合密码相关国家 标准利行 业标准,密码产品是否获得相应证书
北京人工智能行业商密评估师岗位介绍JD模板
北京人工智能行业商密评估师岗位介
绍JD模板
岗位名称:商密评估师
岗位关键词:网络安全运维,安全运维
职责描述:
1.开展商用密码应用安全性评估,包括编写密码应用方案、测评方案编制及现场测评、以及报告编写等工作;
2.跟踪研究密码技术在关键基础设施、关键软件和数字经济领域的应用和测评技术研究;
3.辅助开展商用密码咨询规划和建设整改工作。
任职要求:
1.信息安全、网络安全、计算机科学与技术、通信工程、电子信息等相关专业
2.政治立场坚定、思想端正,有较强的组织纪律性;
3.具有商用密码评估、运维和集成等实施经验。
熟悉商用密码应用安全性评估相关政策和标准;
4.沟通能力强,具有较强的组织能力、推动能力,良好的客户服务观念、工作责任心及团队合作精神;
5.以上职位具有密评师证、CISSP,CISP证书优先,具有CTF等大赛获奖者优先。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商用密码测评师工作内容
商用密码测评师的工作内容
一、商用密码测评师的定义和职责
商用密码测评师是指具备密码理论知识和实践经验,能够根据商用密码应用安全评估标准,对商用密码应用安全性进行评估和测试的专业人员。
商用密码测评师的职责主要包括以下几个方面:
1. 对商用密码应用进行安全性评估,包括但不限于密码算法、加密协议、密钥管理等方面;
2. 根据评估结果,提出改进建议,制定密码应用安全方案;
3. 协助客户完善密码安全体系,提高密码应用安全性;
4. 撰写密码应用安全性评估报告,为客户提供合规性证明;
5. 参与密码应用安全性相关的技术研究和创新。
二、测评对象及范围
商用密码测评师的主要测评对象包括:
1. 各种加密算法,如对称加密算法、非对称加密算法等;
2. 各种加密协议,如SSL、TLS、IPSec等;
3. 密钥管理,包括密钥生成、存储、分发、销毁等环节;
4. 各种加密设备,如加密机、加密卡、加密软件等;
5. 各种密码应用系统,如身份认证系统、电子签章系统、电子合同系统等。
三、测评方法和工具
商用密码测评师在进行密码应用安全性评估时,通常采用以下方法和工具:
1. 采用合规性检查和渗透测试等方法,对密码应用进行深入检测;
2. 使用各种密码分析工具,如协议分析工具、流量分析工具、解密工具等;
3. 利用现有的密码攻击工具,如字典攻击、暴力攻击等,测试密码系统的安全性;
4. 采用密码算法和协议分析方法,对密码系统的实现进行验证;
5. 利用安全漏洞扫描工具,对密码应用进行漏洞扫描。
四、密码安全评估与风险分析
商用密码测评师在进行密码安全评估时,需要对密码应用进行风险分析,主要包括以下几个方面:
1. 分析密码应用面临的安全威胁和风险,如密码泄露、数据篡改、拒绝服务等;
2. 对密码应用的安全性进行定量和定性评估,包括安全性漏洞的数量、严重程度等;
3. 分析密码应用的安全性发展趋势,预测未来的安全威胁和风险;
4. 根据安全威胁和风险分析结果,提出针对性的安全措施和建议。
五、结果报告与改进建议
商用密码测评师在完成密码应用安全性评估后,需要撰写评估报告,向客户反馈评估结果和建议。
评估报告主要包括以下几个方面:
1. 评估概述:对密码应用的背景、目的、范围等进行介绍;
2. 评估结果:详细描述评估过程中发现的安全性问题和漏洞;
3. 改进建议:根据评估结果,提出针对性的改进建议和措施;
4. 结论:对整个评估过程进行总结和评价。
同时,商用密码测评师还可以根据客户的需求和反馈,提供相应的技术支持和服务,如制定密码安全方案、协助客户完善密码管理体系等。
六、客户关系维护与沟通协调
商用密码测评师需要与客户保持良好的沟通和合作关系,确保评估工作的顺利进行。
具体包括以下几个方面:
1. 与客户进行充分沟通,了解客户需求和期望,确保评估工作的顺利进行;
2. 在评估过程中,及时向客户反馈工作进展和发现的问题,并就改进建议与客户进行沟通和协商;
3. 在评估结束后,向客户提交详细的评估报告和建议,并解答客户的疑问和困惑;
4. 根据客户需求和反馈,提供相应的技术支持和服务。