【密评考试要点】商用密码应用安全性评估从业人员证书考试

【密评考试要点】商用密码应用安全性评估从业人员证书考试

“密评”全称：商用密码应用安全性评估。密评是指对采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估的活动。简单来说，密评就是评估网络和信息系统是否按要求应用了符合国密标准的密码技术。

密评考试要点

考试内容和考试方式

根据国家密码管理局官网2023年6月9日发布的《关于商用密码应用安全性评估从业人员考核的通知》，考核采取由国家密码管理局组织，各省级密码管理部门具体实施，采取线下集中、线上参加考核的模式。考生需自带有显示屏、能够上网、安装浏览器的智能手机作为考核设备，确保可以正常访问考核平台，并确认其续航能力能够支撑考核全程。

考核内容

• 密码政策法规（占比10%）
• 密码技术基础及相关标准（占比20%）
• 密码产品原理、应用及相关标准（占比20%）
• 密评理论、技术及相关标准（占比20%）
• 密码应用与安全性评估实务综合（占比30%）
  考核试卷根据预置题库按上述比例随机抽取、自动生成。

题型分值

均为客观题，共140道，其中：

• 单项选择题60题，每题0.5分
• 多项选择题60题，每题1分
• 判断题20题，每题0.5分
  答题限时90分钟，到时自动交卷。通过考核的人员，印发通过考核证明。

密评报名

报名采取以公司（机构）为单位进行报名，对报名的公司（机构）的要求有三条：

• 第一，报名单位应是在中华人民共和国境内依法注册、能够独立承担法律责任的企事业单位。
• 第二，报名单位及其关联方不从事商用密码产品（检测工具类除外）的生产、销售以及商用密码应用系统集成、商用密码应用系统运营、电子认证服务、电子政务电子认证服务或其他可能影响检测结果公正性的活动。
• 第三，报名单位参加本次从业人员考核的人员，应为报名时在职的正式员工。

关于密评的常见问题

1. 运营单位怎么判定是否需要开展密评?

《密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法（试行）》第三条、第二十条涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下检测责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。
重要领域网络和信息系统包括：

• 基础信息网络
• 涉及国计民生和基础信息资源的重要信息系统
• 重要工业控制系统
• 面向社会服务的政务信息系统
• 以及关键信息基础设施、网络安全等级保护第三级及以上信息系统
  第三条规定范围之外的其他网络和信息系统，其责任单位可以参照本办法自愿开展商用密码应用安全性评估。

2. 不做密评或测评结果不合规有什么影响？

《密码法》第三十七条第一款规定：关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定：对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不能新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法（试行）》第二章第十条规定：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

3. 等保中的密码要求有哪些（以等保三级系统为例）

2. 安全通信网络（8.1.2.2通信传输）

• a) 应采用校验技术或密码技术保证通信过程中数据的完整性。
• b) 应采用密码技术保证通信过程中数据的保密性。

4. 安全计算环境

• 8.1.4.1身份鉴别
• c) 当进行远程管理时，应采取必要的措施防止鉴别信息在网络传输过程中被窃听；
• d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。
• 数据传输完整性、保密性（8.1.4.7 a和8.1.4.8 a）
• 数据存储完整性、保密性（8.1.4.7 b和8.1.4.8 b）

6. 安全管理中心（8.1.5.4 集中管控）

• b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理。

8. 安全建设管理

• 8.1.9.3产品采购和使用
• b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；
• 8.1.9.7测试验收
• b) 应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

10. 安全运维管理（8.1.10.9密码管理）

• a) 应遵循密码相关国家标准和行业标准；
• b) 应使用国家密码管理部门认真核准的密码技术和产品。

4. 云计算安全扩展要求

• 安全计算环境8.2.4.4 镜像和快照保护：应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
• 8.2.4.5 数据完整性和保密性：
• c) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；
• d) 应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。

5. 工业控制系统安全扩展要求

• 安全通信网络
• 8.5.2.2通信传输在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
• 安全区域边界
• 8.5.3.2拨号使用控制
• b) 拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访问控制等措施。
• 8.5.3.3无线使用控制
• c) 应对无线通信采取传输加密的安全措施，实现传输报文的机密性保护。

6. 移动互联安全扩展要求

• 安全区域边界
• 无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。
• 安全计算环境（8.3.3.2移动应用管控）
• b) 应只允许指定证书签名的应用软件安装和运行。
• 安全建设管理
• 8.3.4.1移动应用软件采购
• a) 应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名；
• 8.3.4.2移动应用软件开发
• b) 应保证开发移动业务应用软件的签名证书合法性。