商用密码应用安全性测评机构资质流程

商用密码应用安全性测评机构（简称密评机构）资质建设相关指导性材料包括：

1、《商用密码应用安全性测评机构能力要求》

2、《商用密码应用安全性测评机构能力评审实施细则（试行）》

3、《商用密码应用安全性测评机构管理办法（试行）》

4、《商用密码应用安全性评估管理办法（试行）》

相关政策法规和规范性文件层次关系如下，其中《密码法》是上位法，2023年4月14日审议通过《商用密码管理条例（修订草案）》。

一、密评机构能力自检表

类别	要求项	自检情况(Y/N)
基本情况	(1)在中华人民共和国境内注册，由国家投资、法人投资或公民投资成立的企事业单位
(2)产权关系明晰，注册资金 500 万元以上
(3)成立年限在 2 年以上，从事信息系统安全相关工作 1 年以上，无违法记录
人员情况	(1)配备测评技术负责人与质量负责人各1人，应熟悉信息系统密码应用安全性测评业务，从事商用密码或质量管理相关工作5年以上
(2)测评人员应为签订正式合同的员工，具有本科及以上学历和密码相关经验，且通过“密码应用安全性测评人员考核”的测评人员不少于10人
(3)测评人员的审核以通过培训考核的测评人员名单为依据
测评实验室	(1)工作场所不小于200平米，配有必要的防污染、防火、控制进入等安全措施
(2)对相关区域进行隔离（包括空间隔离、电磁场隔离等），采取措施消除影响
仪器设备
(1)具备符合相关要求的机房及必要的软硬件设备，以满足技术培训、测评验证和模拟测试的需要（如密码相关标准符合性分析工具、网络数据分析工具、网络协议分析仪），对于国家密码管理部门认可的专用测评工具，或测评结构自己研发的测评工具应保证是最新版本或进行验证、校准
(2)具备完备的设备和工具管理制度
(3)仪器设备具有完整的操作、维护规程，仪器设备使用说明书、校准报告、使用记录、定期维修核查制度和记录、存放地点及管理人等规范完整
测评实施能力	(1)具有把握国家密码政策，理解和掌握相关技术标准，熟悉测评方法、流程和工作规范等方面知识及能力的 测评人员
，测评人员应能够依据测评结果做出专业判断及出具测评报告等
(2)具备密码应用安全性 技术测评实施能力
，包括身份鉴别、访问控制、数据安全、密钥管理、安全审计等方面作业指导书开发、使用、维护机获取相关结果的专业能力
(3)具备密码应用安全性 管理测评实施能力 ，包括人员、制度、实施、应急等方面测评指导书的开发、使用、维护及获取相关结果的专业判断
(4)具备 系统整体测评能力 ，能根据单位测评的结果记录部分、结果汇总部分和问题分析部分、进行综合分析、给出测评结论
(5)具备搭 建密码应用模拟系统的能力 ，以展示技术测评实施能力、管理测评实施能力和详细测评工作流程（证明密评能力的重要手段）
(6)依据测评工作流程，有计划有步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制（四个阶段：测评准备阶段、方案编制阶段、现场测评阶段和报告编制阶段）
质量管理能力	(1)建立 质量管理体系 ，制定相应的质量目标，指定质量主管，并明确其管理职责
(2)根据国家有关保密规定制定 保密管理制度
，明确保密范围、保密职责及有关罚则等内容，定期对工作人员进行保密教育，防止发生泄露国家秘密、商业秘密、敏感信息和个人隐私的事件，测评人员应签订《保密责任书》，规定其应当履行的安全保密义务和承担的法律责任
(3)制定 测评项目管理程序 ，主要应包括测评工作的组织形式、工作职责、测评各阶段的工作内容和管理要求等
(4)保证 管理系统的有效运行 ，持续改进自身的测评质量和管理水平，发现问题及时反馈并采取纠正措施，确保其有效性
(5)制定投 诉及争议处理制度 ，严格遵守制度并记录采取的措施
风险控制能力	(1)充分估计测评过程可能给被测系统带来的风险（测评活动、测评设备和工具接入、测评活动残留数据的保护和清理、重要信息泄露）
(2)针对以上风险制定规避和控制措施

二、密评机构能力评审程序

由国家秘密管理局组成评审专家组，组织专家评审，评审程序分为三个阶段。

阶段	评审内容
材料核查

专家组对申请单位提交的材料进行审查。申请材料包括：

(1)《商用密码应用安全性测评机构申请表》

(2)从事与商用密码相关工作情况的说明

(3)开展测评工作所需软硬件及其他服务保障设施配备情况

(4)管理制度建设情况（需要提供相关制度的文本文件）

(5)申请单位及其测评人员基本情况（需要提供人员的基本信息）

(6)申请单位认为有必要提交的其他材料

(7) 《商用密码应用安全性测评机构能力评估申请表》

现场评审|
专家组前往申请单位，采取查看、问询、模拟考试、问卷考试等形式，对照《商用密码应用安全新评估测评机构能力要求》对机构进行评审（即上面密评机构能力自检表中的7项），并对照《商业密码应用安全性测评结构能力评审专家评分表》逐项打分。
综合评议|
专家组组长召开会议，综合材料审查和现场评审情况进行研讨和评议。汇总专家评审情况，填写《商用密码应用安全性测评机构能力评审汇总表》，提交国家密码管理局。另增加实际测评能力仿真评价环节，确保申请机构有实战经验，而且能力特别突出。

三、密评机构申请流程

步骤	具体工作
(1)机构提交申请材料

申请测评机构应提交的材料包括

(1)《商用密码应用安全性测评机构申请表》

(2)从事与商用密码相关工作情况的说明

(3)开展测评工作所需软硬件及其他服务保障设施配备情况

(4)管理制度建设情况（需要提供相关制度的文本文件）

(5)申请单位及其测评人员基本情况（需要提供人员的基本信息）

(6)申请单位认为有必要提交的其他材料

(2)材料初审| 国际密码管理局设立申请材料初审工作组，对申请材料进行初审，出具初审结论。初审结论按程序报批后，告知申请单位。
(3)测评人员培训考核| 通过初审的申请单位，应在60个工作日内参加培训、考核和能力评审。
(4)机构能力评审| 国家密码管理局设立测评机构能力评审专家组，负责申请单位的能力评审工作，具体就是开展材料审核、现场评审和综合评议。
(5)确定机构名单| 国家密码管理局组织召开综合评定会，研究形成综合评定结论，确定测评机构名单，并印发试点地区和部门。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！