各相關單位:
根據商用密碼應用安全性評估(以下簡稱密評)從業(yè)人員考核工作安排,現(xiàn)將密評從業(yè)人員考核知識點通知如下。
一、考核知識點
1. 密碼政策法規(guī)(占比10%)
黨和國家關于密碼工作的方針政策(1),密碼法律法規(guī)與規(guī)范性文件(2),涉及密碼的網絡安全相關法律法規(guī)(3),密碼應用政策文件(4)。
2. 密碼技術基礎及相關標準(占比20%)
密碼學基礎知識(5),分組密碼(6)、序列密碼(7)、雜湊密碼(8)、公鑰密碼(9)、實體鑒別協(xié)議(10)、密鑰交換協(xié)議(11)、安全通信協(xié)議(12)、隨機數技術(13)、密鑰管理技術(14)、抗抵賴技術(15)、PKI技術(16)、身份認證技術(17)等密碼相關國家標準和行業(yè)標準。
3. 密碼產品原理、應用及相關標準(占比20%)
密碼相關國家標準和行業(yè)標準規(guī)定的各類密碼產品的實現(xiàn)機理、主要功能、使用要求等,包括智能密碼鑰匙(18)、智能IC卡(19)、POS/ATM密碼應用系統(tǒng)(20)、PCI-E/PCI密碼卡(21)、IPSec VPN網關(22)、SSL VPN網關(23)、安全認證網關(24)、密碼鍵盤(25)、金融數據密碼機(26)、服務器密碼機(27)、簽名驗簽服務器(28)、時間戳服務器(29)、安全門禁系統(tǒng)(30)、動態(tài)令牌/動態(tài)令牌認證系統(tǒng)(31)、安全電子簽章系統(tǒng)(32)、電子文件密碼應用系統(tǒng)(33)、可信計算密碼支撐平臺(34)、證書認證系統(tǒng)/證書認證密鑰管理系統(tǒng)(35)、對稱密鑰管理產品(36)、安全芯片(37)、電子標簽芯片(38)、智能IC卡密鑰管理系統(tǒng)(39)、云服務器密碼機(40)、隨機數發(fā)生器(41)、可信密碼模塊(42)、區(qū)塊鏈密碼模塊(43)、安全瀏覽器密碼模塊(44)、其他密碼模塊(45)等28類。
4. 密評理論、技術及相關標準(占比20%)
相關國家標準、行業(yè)標準、指導性文件規(guī)定的密評工作各項基本要求和實施指引,包括密碼應用基本要求(46)、密碼應用測評要求(47)、測評過程(48)、測評內容(49)、測評對象選取(50)、測評指標選擇(51)、測評方法與實施(52)、測評工具使用(53)、量化評估(54)、風險分析(55)、報告編制(56)、測評案例分析(57)、方案密評(58)等。
5. 密碼應用與安全性評估實務綜合(占比30%)
基于上述基礎知識和技能,對密碼應用與安全性評估的理解、分析、實踐、拓展等綜合能力(59)。
二、參考資料
1.《中華人民共和國密碼法》
2.《中華人民共和國網絡安全法》
3.《商用密碼管理條例》
4.《關鍵信息基礎設施安全保護條例》
5.《國家政務信息化項目建設管理辦法》
6.《信息安全等級保護管理辦法》
7.《商用密碼應用安全性評估管理辦法(試行)》
8.《商用密碼應用安全性測評機構管理辦法(試行)》
9.《政務信息系統(tǒng)密碼應用與安全性評估工作指南》(2020版)
10.《信息系統(tǒng)密碼應用高風險判定指引》
11.《商用密碼應用安全性評估量化評估規(guī)則》
12.《商用密碼應用安全性評估FAQ(第二版)》
13.《商用密碼應用安全性評估報告模板(2023版)》
14.GB/T 39786-2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》、GM/T 0115-2021《信息系統(tǒng)密碼應用測評要求》、GM/T 0116-2021《信息系統(tǒng)密碼應用測評過程指南》
15.GM/Y 5001-2021《密碼標準使用指南》(2021版)及其相關密碼國家標準和行業(yè)標準
16.其他密碼相關的正式出版物
國家密碼管理局
2023年3月9日
400-004-1069