商用密码与区块链 商用密码领域

一、国家密码管理局商用密码检测中心招聘

国家密码管理局商用密码检测中心招聘信息

国家密码管理局商用密码检测中心（SCCTC）作为由国家密码管理局举办的具有独立法人资格的公益二类事业单位，现面向社会公开招聘以下岗位：

一、密码研究岗位

招聘人数：4人岗位职责：跟踪研究密码科研发展动向，开展密码算法及协议研究、标准研制和实现开发。岗位要求：

硕士及以上学历；

信息科学相关专业，数学/密码学/信息安全专业优先；

具备务实严谨、客观公正的职业素养，具备良好的问题解决、学习改进和开拓创新的能力；

了解密码政策和行业知识者、熟练掌握一门编程语言者优先。

二、标准研究岗位

招聘人数：1人岗位职责：开展商用密码标准化发展战略、规划和政策研究，建立完善商用密码标准体系，研究制定商用密码相关标准，跟踪研究密码国际标准及行业应用发展动态。岗位要求：

硕士及以上学历；

理工科专业，密码学/信息安全/计算机等相关专业优先；

具备务实严谨、客观公正的职业素养，具备较强的实践能力、文档撰写和沟通交流能力，具备良好的团队合作精神；

了解密码政策和行业知识者优先。

三、政策与情报研究岗位

招聘人数：2人岗位职责：跟踪研究国内外商用密码发展政策和管理法规，追踪分析国内外重大信息安全事件，定期编辑单位内部情报研究刊物，研究制定商用密码发展战略和规划。岗位要求：

硕士及以上学历；

情报学/密码学/信息安全相关专业，英语能力优秀者优先；

具备务实严谨、客观公正的职业素养，具备较强的实践能力、文档撰写和沟通交流能力，具备良好的团队合作精神；

了解密码政策和行业知识者优先。

四、新技术、新应用研究岗位

招聘人数：4人岗位职责：开展侧信道安全性分析评估与防御技术研究；开展云服务密码技术以及区块链密码技术研究、标准制修订和产品检测。岗位要求：

硕士及以上学历；

信息科学相关专业，密码学/数学/信息安全/电子/微电子专业优先；

具备务实严谨、客观公正的职业素养，具备良好的沟通交流和实验动手能力；

熟练掌握一门编程语言，了解侧信道分析或云服务密码应用技术或区块链密码应用技术基本原理者优先。

五、密码认证岗位

招聘人数：10人岗位职责：开展认证方案制定以及现场检查、服务审查、体系审核和获证后监督等工作。岗位要求：

本科及以上学历；

理工科专业，密码学/信息安全/计算机等相关专业优先；

具备务实严谨、客观公正的职业素养，具备良好的团队合作精神和沟通交流能力，具备良好的风险管控意识；

了解密码政策和行业知识者优先。

六、密码测评岗位

招聘人数：8人岗位职责：开展商用密码产品和系统测评，开展商用密码产品和系统测评技术、标准和工具的研究研制以及重要领域重要信息系统密码应用安全性评估。岗位要求：

本科及以上学历；

理工科专业，密码学/信息安全/计算机等相关专业优先；

具备务实严谨、客观公正的职业素养，具备较强的实践能力、文档撰写和沟通交流能力，具备良好的团队合作精神；

了解密码政策和行业知识者优先。

七、电子认证岗位

招聘人数：1人岗位职责：研究、规划、建设与运维CA信任体系，跟踪研究国内外电子认证相关技术及政策。岗位要求：

硕士及以上学历；

理工科专业，密码学/信息安全/计算机/软件工程等相关专业优先；

具备良好的团队合作精神，具备信息系统建设、运维相关基础知识；

熟悉电子签名法、密码法、电子认证服务密码管理等相关法律者优先。

八、信息化岗位

招聘人数：1人岗位职责：开展信息化项目规划、建设、运行与维护，建立与完善信息化管理制度。岗位要求：

本科及以上学历；

理工科专业，计算机技术等相关专业优先；

具备网络故障排查、桌面设备维护能力，具备良好的组织协调能力和公文写作能力；

熟悉主流交换机、防火墙、路由器、IPS/IDS、网闸等网络安全产品的操作与配置以及WINDOWS/LINUX等主流操作系统者优先。

九、认证管理岗位

招聘人数：3人岗位职责：开展商用密码产品、服务和管理体系认证受理和日常管理。岗位要求：

本科及以上学历；

管理类专业，计算机软硬件/通信/网络等相关专业优先；

具备良好的风险管控意识，具备良好的问题解决、持续改进和组织协调的能力，具备保密意识和严谨规范的职业素养；

熟悉商用密码行业知识、认证管理专业知识者优先。

十、质量体系管理岗位

招聘人数：2人岗位职责：开展密码产品检测认证业务管理、档案管理以及检测认证质量体系建设、实施和内审。岗位要求：

本科及以上学历；

管理类专业，计算机/通信/网络等相关专业优先；

具备务实严谨、客观公正的职业素养，具备良好的沟通交流能力，具备质量体系、档案和行政管理相关知识；

了解密码政策和行业知识者优先。

十一、行政管理岗位

招聘人数：1人岗位职责：开展机构内部管理、内外协调工作，制定完善行政管理制度体系，提供及时有效的行政保障服务。岗位要求：

本科及以上学历；

管理类专业，文秘/中文/行政管理等相关专业优先；

具备良好的沟通能力以及团队协作能力，具备保密意识和严谨规范的职业素养，具备良好的服务意识和较强的执行力；

具备较强的公文写作能力，熟悉使用office办公软件者优先。

薪资福利

薪酬：包括基本工资、月度绩效工资、年度绩效工资和津贴补贴（包括住房补贴、交通补贴、通信补贴、保密津贴、伙食津贴、职务津贴、工龄补贴和高温补贴等）。福利：提供北京市工作居住证、法定社会保险、住房公积金、补充医疗保险、带薪假期、健康体检和节日慰问等。培训：提供入职培训、导师制培训、业内专家学者技术交流分享会等。

欢迎有志之士加入国家密码管理局商用密码检测中心，共同为国家的密码事业贡献力量。

二、信息安全等级保护商用密码

信息安全等级保护与商用密码密切相关，商用密码是等级保护体系的“技术盾牌”，二者协同保障关键信息基础设施与数据安全。

在法律要求上，《网络安全法》《关键信息基础设施安全保护条例》要求关键信息基础设施运营者“使用商用密码进行保护”，等保三级及以上系统需通过商用密码应用安全性评估（密评），运行后每年至少评估一次且评估结果需备案。

从技术应用看，依据等保安全等级，商用密码需满足对应加密、认证要求。在数据安全方面，采用国密算法（如SM4）对存储、传输数据加密，构建“加密隧道”；在身份认证方面，通过数字签名（SM2）、区块链认证等技术实现设备与用户身份校验。

商用密码安全等级分为四级，一级适用于基本通信数据保护，二级适用于一般性敏感数据保护，三级适用于较高敏感数据保护，四级适用于极度机密数据保护。不同等级需匹配不同加密强度与管理措施。密评重点包括技术层面的密码算法安全性、密钥管理、设备合规性，以及管理层面的密码应用方案、人员资质、应急响应机制。

等保和密评存在一定差异。等保依据《网络安全法》《等保条例》，保护整体信息系统，关注系统综合安全；密评依据《密码法》《商用密码管理条例》，聚焦商用密码的技术应用与合规性，关注算法安全、密钥管理、设备认证。

在实践中，金融、政务、能源等关键领域需同时通过等保测评与密评，确保密码技术“自主可控”，并且要对系统全生命周期落实密码保障措施。

三、冬训营丨商用密码应用建设解决方案

冬训营丨商用密码应用建设解决方案

随着数字化、网络化、智能化的深入发展，大数据、云计算、区块链、AI等技术的变革不断催生出各行业的新业态，但同时也导致网络安全隐患日益突出。为了应对这一挑战，构建以商用密码为核心的信息系统安全防护体系显得尤为重要。本方案基于密码法、GB/T 39786等密码标准，旨在解决密码应用不正确、不规范、不安全等问题，为网络和信息系统的安全提供坚实保障。

一、密评概述

密评定义商用密码应用安全性评估（简称“密评”）是对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。通过密评，可以逐步规范商用密码的使用和管理，确保商用密码在网络和信息系统中有效使用，构建起坚实可靠的网络安全密码屏障。

密评对象密评对象主要包括采用商用密码技术、产品和服务集成建设的网络与信息系统，如政务信息系统、金融信息系统、电子商务系统、工业互联网平台等。

密评相关角色及工作密评角色包含系统责任单位（密码使用单位）、密码服务提供商和测评机构。系统责任单位负责系统规划、建设实施、运行验收和应急预案；密码服务提供商负责密码产品供给、解决方案编制、系统集成和密码服务提供；测评机构负责密码技术基本测评和密码技术应用测评。三方角色在工作中都包含规划阶段、建设阶段和运行阶段，并在各阶段开展相应的密评工作。

密评标准密评工作主要依据以下标准：

GB/T 39786-2021《信息系统密码应用基本要求》

《信息系统密码测评要求》（试行）

《信息系统密码测评过程指南》

《商用密码应用安全性评估管理办法》（试行）

《商用密码应用安全性评估作业指导书》

《商用密码应用安全性评估测评工具使用需求说明》

二、密码应用合规方案设计

密码应用建设需求密码应用建设需求主要包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全以及密码管理等方面。

密码应用合规方案架构密码应用合规方案架构主要包括密码基础设施层、密码服务层、密码应用层和密码管理层。通过各层的协同工作，实现密码技术的全面应用和安全防护。

密码技术建设

物理和环境安全密码建设：更换符合标准的门禁系统，使用国密算法进行密钥分散，实现门禁卡的“一卡一密”，并基于国密算法对人员身份进行鉴别。

网络和通信安全密码建设：部署IPSEC VPN和SSL VPN设备，建立加密信道，保障通信过程中数据的机密性和完整性以及身份真实性校验。

设备和计算安全密码建设：通过堡垒机实现设备的远程安全管理及登录用户身份鉴别，对设备进行升级改造，添加密码模块和设备数字证书，完成设备日志的完整性校验。

应用和数据安全密码建设：部署服务器密码机，通过安全中间件调用密码机接口实现身份鉴别、数据传输加密和数据存储加密。

密码管理建设：建立证书认证体系和密钥管理体系，实现数字证书和密钥的全生命周期管理。同时，建立统一密码服务平台，整合密码资源，向上交付一套密码微服务。

密码部署方案密码部署方案主要包括密码基础设施的部署、密码服务的部署以及密码应用的部署。通过合理的部署方案，确保密码技术在各层级的全面应用和安全防护。

三、特殊场景密码建设方案

物联网场景物联网安全风险主要集中在应用层和感知层。根据物联网安全风险，制定物联网安全防护技术路线，包括网络隔离技术、协议白名单技术、基于PKI/CA体系的身份认证技术以及基于VPN和应用层的数据加密技术。

工业控制场景工业控制系统以“可用性”为第一安全需求。结合工控系统的特点，建立工业控制系统与密码的技术融合机制，包括密码组件的形态选择、工业协议和工控设备的适配改造、密码应用机制选择等。

移动办公场景移动办公场景主要针对移动办公系统网络层、设备层和应用层的安全防护。使用基于PKI/CA的身份认证技术、VPN和应用层数据加密技术以及APP数字签名技术，通过密码产品实现安全防护。

视频监控场景视频监控的密码建设主要包括新建视频监控系统解决方案和已有视频监控系统改造方案。新建系统通过提供一整套包含安全功能在内的完整的视频监控系统实现安全合规；已建系统通过额外部署密码设备，重点保障摄像头与视频监控业务系统之间的身份认证及视频通信传输加密。

四、密码相关产品简介

重点密码产品：统一密码服务平台统一密码服务平台是密码基础设施的统一管理、统一运维平台，整合密码资源，向上交付一套密码微服务。包括身份认证、密钥管理、证书管理、密码计算等功能。

重点密码产品：定制化密码板卡/模组定制化密码板卡/模组是根据客户需求定制的密码产品，可以嵌入到各种设备中，实现密码技术的全面应用和安全防护。

其他密码产品简介其他密码产品包括服务器密码机、SSL VPN设备、堡垒机、密码测评工具等，这些产品共同构成了完整的密码应用体系，为网络和信息系统的安全提供全面保障。

综上所述，本方案通过构建以商用密码为核心的信息系统安全防护体系，并在物联网、工业、移动办公等场景进行密码方案设计，解决了密码应用不正确、不规范、不安全等问题，为网络和信息系统的安全提供了坚实保障。