翼城旭日辉煌网络科技工作室

一、密評：

密碼産業發(fā／fà)展的關鍵一環

　　（一）密碼：保障網絡空間安全的核心技術和基礎支撐

　　《中華人民共和國密碼法》明确密碼定義：密碼是指采用(yòng)特定變換的方法對(duì)信息等進行(háng / xíng) 加密保護、安全認證的技術、産品和服務。密碼技術是保障網絡信息安全的核心技術，從功能(néng)上看，主要(yào / yāo)包括加密保護技術和安全認證技術。加密保護是指采用(yòng)特定變換的方法，将原來可(kě)讀的信息變成不能(néng)直接識别的符号序列。安全認證是指采用(yòng)特定變換的方法，确認信息是否完整、是否被篡改、是否可(kě)靠以及行(háng / xíng)爲是否真實。密碼在網絡空間中對(duì)于(yú)身份鑒别、安全隔離、信息加密、完整性保護和抗抵賴性等方面具有不可(kě)替代的重要(yào / yāo)作用(yòng)，可(kě)實現信息的機密性、真實性、數據的完整性和行(háng / xíng)爲的不可(kě)否認性。

　　《中華人民共和國密碼法》中将密碼劃分爲核心密碼、普通密碼和商用(yòng)密碼。核心密碼、普通密碼屬于(yú)國家(jiā)秘密，商用(yòng)密碼用(yòng)于(yú)保護不屬于(yú)國家(jiā)秘密的信息，公民、法人和其(qí)他組織可(kě)以依法使用(yòng)商用(yòng)密碼保護網絡與信息安全，一般生(shēng)活中接觸更多的是商用(yòng)密碼。

　　商用(yòng)密碼技術，是保障信息安全的核心技術：從功能(néng)上看，主要(yào / yāo)包括加密保護技術和安全認證技術；從内容上看，主要(yào / yāo)包括密碼算法、密鑰管理和密碼協議。

　　商用(yòng)密碼産品，即承載密碼技術、實現密碼功能(néng)的實體。按照形态劃分：分爲六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能(néng)劃分：分爲七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼防僞類和綜合類。

　　（二）密評：密碼行(háng / xíng)業發(fā／fà)展不可(kě)或缺的一環

　　1、什麽是密評？

　　商用(yòng)密碼應用(yòng)安全評估（簡稱“密評”）：是指對(duì)采用(yòng)商用(yòng)密碼技術、産品和服務集成建設的網絡和信息系統密碼應用(yòng)的合規性、正确性、有效性進行(háng / xíng)評估。合規性：信息系統使用(yòng)的密碼算法、密碼協議、密鑰管理是否符合法律法規的規定和密碼相關國家(jiā)标準、行(háng / xíng)業标準的有關要(yào / yāo)求，使用(yòng)的密碼産品和密碼服務是否經過(guò) 國家(jiā)密碼管理部門核準或由具備資格的機構認證合格。正确性：系統中采用(yòng)的标準密碼算法、協議和密鑰管理機制按照相應的密碼國家(jiā)和行(háng / xíng)業标準進行(háng / xíng)正确的設計和實現，密碼保障系統建設或改造過(guò)程中密碼産品和服務的部署和應用(yòng)正确。有效性：密碼安全防護機制設計合理，在系統運行(háng / xíng)過(guò)程中能(néng)夠發(fā／fà)揮密碼效用(yòng)，保障信息的機密性、完整性、真實性、抗抵賴性。

　　2、主要(yào / yāo)密評對(duì)象

　　密評的主要(yào / yāo)對(duì)象包括關基、等保三級及以上系統、國家(jiā)政務系統，密評頻率爲每年(nián)至少一次。根據《商用(yòng)密碼管理條例（修訂草案征求意見稿）》第六章第三十(shí)八條，非涉密的關鍵信息基礎設施、等保三級及以上系統、國家(jiā)政務等重要(yào / yāo)信息系統，其(qí)運營者應當使用(yòng)商用(yòng)密碼進行(háng / xíng)保護，開展商用(yòng)密碼應用(yòng)安全性評估，通過(guò)商用(yòng)密碼應用(yòng)安全性評估方可(kě)投入運行(háng / xíng)，運行(háng / xíng)後(hòu)每年(nián)至少進行(háng / xíng)一次評估。同時，根據《商用(yòng)密碼應用(yòng)安全性評估管理辦法（試行(háng / xíng)）》第一章第三條：“涉及國家(jiā)安全和社會(huì)公共利益的重要(yào / yāo)領域網絡和信息系統的建設、使用(yòng)、管理單位應當健全密碼保障體系，實施商用(yòng)密碼應用(yòng)安全性評估”。重要(yào / yāo)領域網絡和信息系統包括：基礎信息網絡、涉及國計民生(shēng)和基礎信息資源的重要(yào / yāo)信息系統、重要(yào / yāo)工業控制系統、面向社會(huì)服務的政務信息系統，以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。

　　等保三級信息系統：在《信息安全等級保護管理辦法》中，根據信息系統在國家(jiā)安全、經濟建設、社會(huì)生(shēng)活中的重要(yào / yāo)程度，信息系統遭到破壞後(hòu)對(duì)國家(jiā)安全、社會(huì)秩序、公共利益以及公民、法人和其(qí)他組織的合法權益的危害程度，将網絡信息系統的安全等級保護從低到高分爲五級。等保三級信息系統指信息系統受到破壞後(hòu)，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴重損害，或者對(duì)國家(jiā)安全造成損害的信息系統。

　　關鍵信息基礎設施：關基的概念首次提出和範圍明确是在《網絡安全法》中，是指公共通信和信息服務、能(néng)源、交通、水利、金融、公共服務、電子政務等重要(yào / yāo)行(háng / xíng)業和領域，以及其(qí)他一旦遭到破環、喪失功能(néng)或數據洩露，可(kě)能(néng)嚴重危害國家(jiā)安全、國計民生(shēng)、公共利益的關鍵信息基礎設施。

　　3、密評工作參考的主要(yào / yāo)标準

　　基本要(yào / yāo)求：主要(yào / yāo)依據國家(jiā)标準 GB/T 39786-2021《信息安全技術信息系統密碼應用(yòng)基本要(yào / yāo)求》，此标準于(yú) 2021 年(nián) 10 月 1 日正式實施，旨在指導、規範信息系統密碼應用(yòng)的規劃、建設、運行(háng / xíng)及測評，對(duì)于(yú)規範和引導信息系統合規、正确、有效應用(yòng)密碼，切實維護國家(jiā)網絡與信息安全具有重要(yào / yāo)意義。評估方法：目前主要(yào / yāo)參考的文件是 2021 年(nián)發(fā／fà)布的 GM/T 0115-2021《信息系統密碼應用(yòng) 測評要(yào / yāo)求》、GM/T 0116-2021《信息系統密碼應用(yòng)測評過(guò)程指南》，中國密碼學會(huì)密評聯委會(huì)修訂形成的《信息系統密碼應用(yòng)高風險判定指引》《商用(yòng)密碼應用(yòng)安全性評估量化評估規則》。量化評估結果判定規則：根據《商用(yòng)密碼應用(yòng)安全性評估量化評估規則》，若整體量化評估結果爲 100 分，則判定被測信息系統符合 GB/T 39786-2021 相應等級要(yào / yāo)求；結果低于(yú) 100 分、不低于(yú)阈值，且經風險評估發(fā／fà)現沒有高風險，則判定被測信息系統基本符合 GB/T 39786-2021 相應等級要(yào / yāo)求；否則，判定被測信息系統不符合 GB/T 39786-2021 相應等級要(yào / yāo)求。

　　4、密評涉及的主要(yào / yāo)産品及測評技術

　　根據《信息系統密碼應用(yòng)測評要(yào / yāo)求》，進行(háng / xíng)測評的典型密碼産品有智能(néng) IC 卡/智能(néng)密碼鑰匙、密碼機、VPN 産品和安全認證網關、電子簽章系統、動态口令系統、電子門禁系統、證書認證系統。密評通過(guò)相關技術手段對(duì)密碼産品實施測評，檢驗産品是否具備傳輸機密性、存儲機密性、傳輸完整性、存儲完整性、真實性、不可(kě)否認性的密碼功能(néng)。

　　5、以政務信息系統爲例，看密評工作全流程

　　密評工作主要(yào / yāo)分爲兩個階段：一是信息系統規劃階段的密碼應用(yòng)方案評估，這一環節主要(yào / yāo)用(yòng)于(yú)保證建設方案的安全性；二是信息系統建設完成後(hòu)針對(duì)該系統開展現場測試。方案評估階段：主要(yào / yāo)針對(duì)新建或改造信息系統，密碼應用(yòng)改造方案一般由用(yòng)戶單位組織編寫，用(yòng)戶單位編寫密碼應用(yòng)建設方案/改造方案後(hòu)，應委托專家(jiā)對(duì)方案進行(háng / xíng)評估或委托密評機構出具方案密評報告。系統評估階段：主要(yào / yāo)依據國标 GB/T39786-2021《信息安全技術信息系統密碼應用(yòng)基本要(yào / yāo)求》，從物理和環境、網絡和通信、設備和計算、應用(yòng) 和數據、安全管理等方面開展評估。

　　6、密評服務收費情況

　　根據密評項目的難度與要(yào / yāo)求不同，密評項目服務收費方差較大，密評服務收費中位數在 16 萬左右。

　　7、商用(yòng)密碼應用(yòng)改造環節

　　密評過(guò)程中不合格以及需進一步提高的環節，需要(yào / yāo)對(duì)其(qí)進行(háng / xíng)密碼改造。密碼改造項目建設單位需從物理和環境安全、網絡和通信安全、設備和計算安全、應用(yòng)和數據安全等四個層面采用(yòng)密碼技術措施，建立安全的密鑰管理方案，采取有效的安全管理措施，進行(háng / xíng) 系統保護。

　　密碼改造産品主要(yào / yāo)包括服務器密碼機、安全網關、簽名驗簽服務器等。功能(néng)來看，服務器密碼機能(néng)夠爲各類業務系統提供數據加/解密、數字簽名/驗簽以及密鑰管理等高性能(néng) 密碼服務；安全網關能(néng)爲用(yòng)戶提供可(kě)信身份認證、訪問控制、傳輸加密等密碼安全服務；簽名驗簽服務器具有數字簽名、身份認證等功能(néng)，可(kě)爲于(yú)電子商務、CA 認證、網上銀行(háng / xíng)等服務器端提供密碼服務。一套系統最小化的密改方案除了上述産品外，客戶端還需加上 key 和安全浏覽器，金額總計爲 60 萬元左右，考慮到客戶信息系統規模大小、功能(néng)，一般改造花費爲 100-200 萬元。

　　從密碼産品及服務供應的産業鏈分析，密碼産業鏈上遊包括安全芯片、印刷電路闆、服務器三大類；中遊爲以密碼技術爲核心的産品，包括密碼機/密碼卡、數字證書、vpn、令牌、電子簽章、量子加密六大類；下(xià)遊主要(yào / yāo)是軟件、系統集成及應用(yòng)領域。

二、密碼行(háng / xíng)業迎來

數字化+合規+信創三重共振曆史機遇

　　（一）密評行(háng / xíng)業處于(yú)推廣發(fā／fà)展期，爲密碼行(háng / xíng)業發(fā／fà)展提供安全屏障

　　根據煉石網絡整理結果，我國密評行(háng / xíng)業經曆了五個時期，當前正處于(yú)推廣發(fā／fà)展期：

　　制度奠基期（2007 年(nián) 11 月至 2016 年(nián) 8 月）：2007 年(nián) 11 月 27 日，國家(jiā)密碼管理局印發(fā／fà)《信息安全等級保護商用(yòng)密碼管理辦法》，要(yào / yāo)求等保密評工作由國家(jiā)密碼管理局指定的測評機構承擔。2009 年(nián) 12 月 15 日，國家(jiā)密碼管理局印發(fā／fà)了管理辦法實施意見，進一步明确了與密碼測評有關的要(yào / yāo)求。

　　再次集結期（2016 年(nián) 9 月至 2017 年(nián) 4 月）：國家(jiā)密碼管理局起草《商用(yòng)密碼應用(yòng) 安全性評估管理辦法(試行(háng / xíng))》。2017 年(nián) 4 月 22 日，正式印發(fā／fà)《關于(yú)開展密碼應用(yòng) 安全性評估試點工作的通知》，在七省五行(háng / xíng)業開展密評第一次試點工作。

　　體系建設期（2017 年(nián) 5 月至 2017 年(nián) 9 月）：國家(jiā)密碼管理局成立了密評領導小組， 2017 年(nián) 9 月 27 日，國家(jiā)密碼管理局印發(fā／fà)《商用(yòng)密碼應用(yòng)安全性測評機構管理辦法 (試行(háng / xíng))》、《商用(yòng)密碼應用(yòng)安全性測評機構能(néng)力評審實施細則(試行(háng / xíng))》、《信息系統密碼應用(yòng)基本要(yào / yāo)求》和《信息系統密碼測評要(yào / yāo)求(試行(háng / xíng))》，我國密評制度體系初步建立。

　　密評試點開展期（2017 年(nián) 10 月至 2021 年(nián)）：2019 年(nián)開啓第二批密評試點工作。2020 年(nián) 7 月 29 日，國家(jiā)密碼管理局發(fā／fà)布《商用(yòng)密碼應用(yòng)安全性評估試點機構目錄》，确定 24 家(jiā)全國密評試點機構。2021 年(nián) 6 月 11 日，國家(jiā)密碼管理局發(fā／fà)布《商用(yòng)密碼應用(yòng)安全性評估試點機構目錄》，密評試點機構擴大至 48 家(jiā)。

　　推廣發(fā／fà)展期（2021 年(nián)至今）：“十(shí)四五”時期數字化引領密評加速推廣發(fā／fà)展，金融、政務、教育、電信等行(háng / xíng)業将實現密評規模化布局。

　　（二）密評法律體系逐步健全，爲密碼行(háng / xíng)業發(fā／fà)展奠定土壤

　　近年(nián)來，我國密碼産業法律法規逐步健全，爲後(hòu)續的快速發(fā／fà)展積攢動力。從防護對(duì)象來看，《個人信息保護法（草案二次審議稿）》《數據安全法》對(duì)個人信息或企業數據安全建設提出明确防護目标，是數據保護和數據利用(yòng)的整體性法律框架。從技術手段來看，《密碼法》明确了将密碼技術作爲核心的安全技術路線，針對(duì)重要(yào / yāo)信息系統形成強合規增量市場。

　　（三）數據洩露事(shì)件多發(fā／fà)，凸顯密評關鍵作用(yòng)

　　數據安全事(shì)件頻發(fā／fà)，定期密評及時發(fā／fà)現問題并進行(háng / xíng)密碼改造具有必要(yào / yāo)性。根據綠盟科技統計，2021 全球數據大規模數據洩露的代表性事(shì)件，一共有 10 起。從洩露規模上看，上億級别的數據記錄洩露有 8 起，最高洩露 7 億條；從洩露原因上看，互聯網暴露和配置錯誤、黑客攻擊是造成大規模數據洩露的主要(yào / yāo)原因；根據 IBM 發(fā／fà)布的《2021 數據洩露成本報告》，企業數據洩露平均成本爲 424 萬美元。定期開展密評，及時進行(háng / xíng)密碼改造對(duì)公司數據安全保護具備必要(yào / yāo)性。

　　（四）商用(yòng)密碼——數字經濟的安全基石

　　“十(shí)四五”以來，數字經濟已經成爲我國經濟實現高質量發(fā／fà)展的重要(yào / yāo)方向，以數據爲中心的安全的重要(yào / yāo)性不斷凸顯，而(ér)密碼作爲數據安全的重要(yào / yāo)基石，在推進數字經濟健康、安全發(fā／fà)展方面具有重要(yào / yāo)作用(yòng)。密碼可(kě)以完整實現網絡空間信息防洩密、内容防篡改、身份防假冒、行(háng / xíng)爲抗抵賴等功能(néng)，滿足網絡與信息系統對(duì)保密性、完整性、真實性和不可(kě) 否認性等安全需求。

　　新基建是數字經濟發(fā／fà)展的基石，密碼技術深度融合新基建，爲多領域數字化轉型奠定基礎。新基建，是指以 5G、人工智能(néng)、工業互聯網、物聯網爲代表的新型基礎設施。新型基礎設施以網絡和數據爲核心，本質上是信息數字化的基礎設施，爲數字經濟發(fā／fà)展和傳統業務數字化轉型奠定基礎，而(ér)傳統行(háng / xíng)業的數字化轉型進程必然繞不開信息安全問題，密碼作爲信息安全的扣環，構築成數字經濟發(fā／fà)展的“護城河”和“城牆”，使新基建具有“主動免疫力”。

　　根據樂宏彥的研究，密碼在新基建的幾個應用(yòng)場景有：5G 通信領域：密碼應用(yòng)推動 5G 通信與 IT 網絡安全融合。密碼技術能(néng)夠保障 5G 網絡的底層基礎設施的安全可(kě)信以及虛拟機與容器的可(kě)信；同時也能(néng)實現面向行(háng / xíng)業的業務應用(yòng)的數據和平台訪問的持續認證。工業互聯網領域：密碼應用(yòng)打破信息孤島，實現遠程安全協同。密碼技術的應用(yòng)可(kě) 以滿足工業互聯網場景中設備與訪問用(yòng)戶身份認證、傳輸認證和傳輸加密、存儲安全等需求。在橫向隔離的工業網絡中，基于(yú)密碼技術支撐實現安全的遠程接入可(kě)以打破信息孤島，實現業務的遠程協同，推動信息交換。雲基礎設施領域：促進安全框架的整合。雲技術與身份認證、加密等技術方式融合，通過(guò)面向雲的服務形式來提供雲安全能(néng)力。

　　（五）内需外壓力雙重驅動，信創産業帶來曆史性機遇

　　信創産業發(fā／fà)展爲密碼行(háng / xíng)業壯大帶來曆史契機，密碼既是信創的重要(yào / yāo)組成部分，又爲信創産業擰緊“安全閥”。信創産業，即信息技術應用(yòng)創新産業, 其(qí)目的在于(yú)實現信息技術領域的自(zì)主可(kě)控，解決核心技術關鍵環節的“卡脖子”問題。信創産業鏈大體分爲軟件領域、硬件領域、實際應用(yòng)和信息安全四大類，其(qí)中，信息安全貫穿整個信創産業，密碼産品緊扣信息安全每一環。

　　内需外壓雙重驅動，信創迎來曆史性發(fā／fà)展機遇。一方面，國産化信息創新發(fā／fà)展有利于(yú)我國在信息安全方面進一步可(kě)靠安全；另一方面，在當前國家(jiā)經濟“雙循環”的發(fā／fà)展格局下(xià)，信創對(duì)于(yú)加快企業數字化轉型和推動經濟持續發(fā／fà)展具有護航賦能(néng)的現實意義。

　　信創産業“2+8+N”穩步推進，市場規模将進一步打開。自(zì) 2013 年(nián)開始，黨政從公文系統開始替換，預計到 2023 年(nián)左右完成基本公文系統的信創改造，後(hòu)續将開啓電子政務系統的國産化替代。八大重點行(háng / xíng)業中，金融行(háng / xíng)業信創排在首位，推進速度最快，電信緊随其(qí)後(hòu)，之後(hòu)是能(néng)源、交通、航空航天(tiān)，教育、醫療也在逐步進行(háng / xíng)政策推進和試點。最後(hòu)，多個行(háng / xíng)業的信創預計 2023 年(nián)左右開始啓動。根據海比研究院數據顯示，2022 年(nián) 信創産業規模達 9220.2 億元，近五年(nián)複合增長率爲 35.7%，預計 2025 年(nián)突破 2 萬億。

　　信創産業發(fā／fà)展離不開安全能(néng)力建設，密碼爲信創産業安全保駕護航。密碼技術作爲保障安全的核心技術和基礎支撐，是維護信息安全有效、可(kě)靠的技術手段，是信創産業的 “護城牆”。“密碼護航信創”主要(yào / yāo)體現爲：一方面，密碼能(néng)夠構建虛拟防護安全邊界，爲軟件産業打造密碼安全一體化的防護建設，另一方面，密碼重構軟件系統安全能(néng)力，以密碼提供的安全技術和信任機制推動軟件産業安全升級。

三、在内需外驅的三重共振下(xià)，

密碼行(háng / xíng)業迎來快速增長

　　（一）商密覆蓋行(háng / xíng)業廣泛，産業結構持續優化

　　商密應用(yòng)領域基本實現全覆蓋，初步實現了商用(yòng)密碼産品與行(háng / xíng)業場景特點的融合應用(yòng)。其(qí)中，商用(yòng)密碼在金融領域應用(yòng)占比 24.05%，在政務領域應用(yòng)占比 19.31%，在通信領域占比 15.38%，在電力領域占比 12.31%，在交通領域占比 9.47%，在稅務、醫療、電子商務等其(qí)他領域占比共計 19.48%。商業密碼産業結構持續優化。國内現有商用(yòng)密碼産品 3000 餘款，品類涵蓋了密碼芯片、密碼闆卡、密碼模塊、密碼機、密碼系統等全産業鏈條。2021 年(nián)，我國商用(yòng)密碼産業硬件産品占比爲 74.5%，軟件産品占比爲 6.6%，服務市場占比爲 18.9%。我國商用(yòng)密碼産品依然以硬件爲主導，與國外軟硬産品均衡、産品通用(yòng)性較強等特征形成對(duì)比。相較 2016 年(nián)硬件産品市場規模占 95%以上的狀态，我國商用(yòng)密碼産業結構正在逐步優化。

　　（二）以密評促密改，存量市場空間廣闊，密碼相關行(háng / xíng)業持續受益

　　全球來看，根據 QYresearch 測算，2019 年(nián)全球商用(yòng)密碼市場規模達 250.42 億美元，預計 2026 年(nián)将達到 864.06 億美元，年(nián)複合增長率爲 18.79%。我國商用(yòng)密碼行(háng / xíng)業市場規模同樣實現快速增長。2016 年(nián)到 2021 年(nián)，我國商用(yòng)密碼産業總體規模保持高增長率，年(nián)複合增長率 31%，2021 年(nián)商用(yòng)密碼産業規模達到 585 億元，預計 2023 年(nián)商用(yòng)密碼行(háng / xíng) 業規模有望達到 937.5 億元。

　　我國密評市場交易量及交易額均呈快速上升趨勢。2020-2021 年(nián)密評市場交易量分别爲 133 筆、200 筆，對(duì)應交易金額 3154 萬元、9000 萬元，2022 年(nián)密評 1-7 月份市場交易量爲 242 筆，對(duì)應交易額大概約 1.4 億，預計 2022 年(nián)全年(nián)交易額在 2 億以上，同比增漲超 100%。

　　我國密評、密改存量市場空間較大，當前滲透率較低，未來增長邏輯明确，有望持續加速放量。根據 2018 年(nián)商用(yòng)密碼應用(yòng)安全性評估聯合委員會(huì)對(duì)一萬餘個等保三級及以上的信息系統普查的結果顯示，未使用(yòng)密碼的系統超過(guò) 75%，在對(duì)第一批 118 個重要(yào / yāo)領域的信息系統進行(háng / xíng)安全性測評時，不符合規範的比例達到 85%，甚至已被證明不安全的加密算法（如(rú) RSA1024、MD5）仍在大量使用(yòng)。因此，我們保守假接受密評的信息系統中需進行(háng / xíng)密改的比例爲 85%。根據賽博研究院，2019 年(nián)等保三級系統大概 5 萬個，等保四級系統約 1000 個，關基、等保三級及以上信息系統和國家(jiā)政務系統既有交叉又有補充，因此，保守假設當前關基、等保三級及以上系統和國家(jiā)政務系統達 6 萬個，以 16 萬的密評單價和 150 萬的密改單價推算，密評存量市場空間高達 96 億元/年(nián)，密碼改造存量市場空間達 765 億元。

　　密評實施領域來看，密評在政務、金融、醫療領域增速較快，預計未來向能(néng)源、公安領域的滲透有望提速。根據數觀天(tiān)下(xià)，2020-2022 年(nián)密評交易量增速較快的領域主要(yào / yāo)集中在政務、金融、醫療等三大行(háng / xíng)業，我們預計，能(néng)源、公安将會(huì)是密評進一步滲透的領域。

文章來源：報告研究所(suǒ)

以密評促密改，我國密碼行(háng / xíng)業迎來曆史性機遇