国家安全教育日 以密评促密改密码行业迎来历史性机遇！

  《中华人民共和国密码法》明确密码定义：密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码技术是保障网络信息安全的核心技术，从功能上看，最重要的包含加密保护技术和安全认证技术。加密保护是指采用特定变换的方法，将原来可读的信息变成不能直接识别的符号序列。安全认证是指采用特定变换的方法，确认信息是否完整、是否被篡改、可不可靠以及行为是否真实。密码在互联网空间中对于身份鉴别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有无法替代的及其重要的作用，可实现信息的机密性、真实性、数据的完整性和行为的毋庸置疑性。

  《中华人民共和国密码法》中将密码划分为核心密码、普通密码和商用密码。核心密码、普通密码属于国家秘密，商用密码用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全，一般生活中接触更多的是商用密码。

  商用密码技术，是保障信息安全的核心技术：从功能上看，最重要的包含加密保护技术和安全认证技术；从内容上看，最重要的包含密码算法、密钥管理和密码协议。

  商用密码产品，即承载密码技术、实现密码功能的实体。按照形态划分：分为六类，即软件、芯片、模块、板卡、整机、系统；按照功能划分：分为七类，即密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。

  商用密码应用安全评估（简称“密评”）：是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性做评估。合规性：信息系统使用的密码算法、密码协议、密钥管理是不是满足法律和法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。正确性：系统中采用的标准密码算法、协议和密钥管理机制按照相应的密码国家和行业标准做正确的设计和实现，密码保障系统建设或改造过程中密码产品和服务 的部署和应用正确。有效性：密码安全防护机制设计合理，在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、抗抵赖性。

  密评的主要对象包括关基、等保三级及以上系统、国家政务系统，密评频率为每年至少一次。根据《商用密码管理条例（修订草案征求意见稿）》第六章第三十八条，非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统，其运营者应当使用商用密码进行保护，开展商用密码应用安全性评估，通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估。同时，根据《商用密码应用安全性评估管理办法（试行）》第一章第三条：“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位理应当健全密码保障体系，实施商用密码应用安全性评估”。重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制管理系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

  等保三级信息系统：在《信息安全等级保护管理办法》中，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，将网络信息系统的安全等级保护从低到高分为五级。等保三级信息系统指信息系统受到破坏后，会对社会秩序和公共利益导致非常严重损害，或者对国家安全造成损害的信息系统。

  关键信息基础设施：关基的概念首次提出和范围明确是在《网络安全法》中，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破环、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。

  基本要求：主要是根据国家标准GB/T39786-2021《信息安全技术信息系统密码应用基础要求》，此标准于2021年10月1日正式实施，旨在指导、规范信息系统密码应用的规划、建设、运行及测评，对于规范和引导信息系统合规、正确、有效应用密码，切实维护国家网络与信息安全具备极其重大意义。评估方法：目前主要参考的文件是2021年发布的GM/T0115-2021《信息系统密码应用测评要求》、GM/T0116-2021《信息系统密码应用测评过程指南》，中国密码学会密评联委会修订形成的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》。量化评估结果判定规则：根据《商用密码应用安全性评估量化评估规则》，若整体量化评估结果为100分，则判定被测信息系统符合GB/T39786-2021相应等级要求；结果低于100分、不低于阈值，且经风险评估发现没有高风险，则判定被测信息系统基本符合GB/T39786-2021相应等级要求；否则，判定被测信息系统不符合GB/T39786-2021相应等级要求。

  根据《信息系统密码应用测评要求》，进行测评的典型密码产品有智能IC卡/智能密码钥匙、密码机、VPN产品和安全认证网关、电子签章系统、动态口令系统、电子门禁系统、证书认证系统。密评通过相关技术方法对密码产品实施测评，检验产品是不是具备传输机密性、存储机密性、传输完整性、存储完整性、真实性、毋庸置疑性的密码功能。

  密评工作大致上可以分为两个阶段：一是信息系统规划阶段的密码应用方案评估，这一环节大多数都用在保证建设方案的安全性；二是信息系统建设完成后针对该系统开展现场测试。方案评估阶段：主要是针对新建或改造信息系统，密码应用改造方案一般由用户单位组织编写，用户单位编写密码应用建设方案/改造方案后，应委托专家对方案做评估或委托密评机构出具方案密评报告。系统评估阶段：主要是根据国标 GB/T39786-2021《信息安全技术信息系统密码应用基础要求》，从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面开展评估。

  根据密评项目的难度与要求不同，密评项目服务收费方差较大，密评服务收费中位数在16万左右。

  密评过程中不合格以及需进一步提升的环节，需要对其进行密码改造。密码改造项目建筑设计企业需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施，建立安全的密钥管理方案，采取比较有效的安全管理措施，进行系统保护。

  密码改造产品最重要的包含服务器密码机、安全网关、签名验签服务器等。功能来看，服务器密码机能够为各类业务系统提供数据加/解密、数字签名/验签以及密钥管理等高性能密码服务；安全网关能为用户更好的提供可信身份认证、访问控制、传输加密等密码安全服务；签名验签服务器具有数字签名、身份认证等功能，可为于电子商务、CA 认证、网上银行等服务器端提供密码服务。一套系统最小化的密改方案除了上述产品外，客户端还需加上key和安全浏览器，金额总计为 60万元左右，考虑到客户信息系统规模大小、功能，一般改造花费为100-200万元。

  从密码产品及服务供应的产业链分析，密码产业链上游包括安全芯片、印刷电路板、服务器三大类；中游为以密码技术为核心的产品，包括密码机/密码卡、数字证书、vpn、令牌、电子签章、量子加密六大类；下游主要是软件、系统集成及应用领域。

  根据炼石网络整理结果，我国密评行业经历了五个时期，当前正处于推广发展期：

  制度奠基期（2007年11月至2016年8月）：2007年11月27 日，国家密码管理局印发《信息安全等级保护商用密码管理办法》，要求等保密评工作由国家密码管理局指定的测评机构承担。2009年 12月15日，国家密码管理局印发了管理办法实施意见，进一步明确了与密码测评有关的要求。

  再次集结期（2016年9月至2017年4月）：国家密码管理局起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日，正式印发《关于开展密码应用安全性评估试点工作的通知》，在七省五行业开展密评第一次试点工作。

  体系建设期（2017年5月至2017年9月）：国家密码管理局成立了密评领导小组，2017年9月27日，国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》、《信息系统密码应用基础要求》和《信息系统密码测评要求(试行)》，我国密评制度体系初步建立。

  密评试点开展期（2017年10月至2021年）：2019年开启第二批密评试点工作。2020年7月29日，国家密码管理局发布《商用密码应用安全性评估试点机构目录》，确定24家全国密评试点机构。2021年6月11日，国家密码管理局发布《商用密码应用安全性评估试点机构目录》，密评试点机构扩大至48家。

  推广发展期（2021年至今）：“十四五”时期数字化引领密评加速推广发展，金融、政务、教育、电信等行业将实现密评规模化布局。

  近年来，我国密码产业法律和法规逐步健全，为后续的加快速度进行发展积攒动力。从防护对象来看，《个人隐私信息保护法（草案二次审议稿）》《数据安全法》对个人隐私信息或企业数据安全建设提出明确防护目标，是数据保护和数据利用的整体性法律框架。从技术方法来看，《密码法》明确了将密码技术作为核心的安全技术路线，针对重要信息系统形成强合规增量市场。

  数据安全事件频发，定期密评及时有效地发现问题并进行密码改造具有必要性。根据绿盟科技统计，2021全球数据大规模数据泄露的代表性事件，一共有10起。从泄露规模上看，上亿级别的数据记录泄露有8起，最高泄露7亿条；从泄露原因上看，互联网暴露和配置错误、黑客攻击是造成大规模数据泄露的根本原因；根据IBM发布的《2021数据泄露成本报告》，企业数据泄露平均成本为424万美元。定期开展密评，及时进行密码改造对公司数据安全保护具备必要性。

  “十四五”以来，数字化的经济慢慢的变成了我国经济实现高质量发展的重要方向，以数据为中心的安全的重要性不断凸显，而密码作为数据安全的重要基石，在推进数字化的经济健康、安全发展方面具备极其重大作用。密码可以完整实现互联网空间信息防泄密、内容防篡改、身份防假冒、行为抗抵赖等功能，满足网络与信息系统对保密性、完整性、真实性和毋庸置疑性等安全需求。

  新基建是数字化的经济发展的基石，密码技术深层次地融合新基建，为多领域数字化转型奠定基础。新基建，是指以5G、人工智能、工业互联网、物联网为代表的新型基础设施。新型基础设施以网络和数据为核心，本质上是信息数字化的基础设施，为数字化的经济发展和传统业务数字化转型奠定基础，而传统行业的数字化转型进程必然绕不开信息安全问题，密码作为信息安全的扣环，构筑成数字化的经济发展的“护城河”和“城墙”，使新基建具有“主动免疫力”。

  根据乐宏彦的研究，密码在新基建的几个应用场景有：5G通信领域：密码应用推动5G通信与IT网络安全融合。密码技术能够保障 5G网络的底层基础设施的安全可信以及虚拟机与容器的可信；同时也能实现面向行业的业务应用的数据和平台访问的持续认证。工业互联网领域：密码应用打破信息孤岛，实现远程安全协同。密码技术的应用能够完全满足工业互联网场景中设备与访问用户身份认证、传输认证和传输加密、存储安全等需求。在横向隔离的工业网络中，基于密码技术支撑实现安全的远程接入可以打破信息孤岛，实现业务的远程协同，推动信息交换。云基础设施领域：促进安全框架的整合。云技术与身份认证、加密等技术方式融合，通过面向云的服务形式来提供云安全能力。

  信创产业高质量发展为密码行业壮大带来历史契机，密码既是信创的重要组成部分，又为信创产业拧紧“安全阀”。信创产业，即信息技术应用创新产业,其目的是实现信息技术领域的自主可控，解决核心技术关键环节的“卡脖子”问题。信创产业链大体分为软件领域、硬件领域、实际应用和信息安全四大类，其中，信息安全贯穿整个信创产业，密码产品紧扣信息安全每一环。

  内需外压双重驱动，信创迎来历史性发展机遇。一方面，国产化信息创新发展有利于我国在信息安全方面进一步可靠安全；另一方面，在当前国家经济“双循环”的发展格局下，信创对于加快企业数字化转型和推动经济持续发展具有护航赋能的现实意义。

  信创产业“2+8+N”稳步推进，市场规模将进一步打开。自2013 年开始，党政从公文系统开始替换，预计到2023年左右完成基本公文系统的信创改造，后续将开启电子政务系统的国产化替代。八大重点行业中，金融行业信创排在首位，推进速度最快，电信紧随其后，之后是能源、交通、航空航天，教育、医疗也在逐步进行政策推进和试点。最后，多个行业的信创预计2023年左右开始启动。根据海比研究院多个方面数据显示，2022年信创产业规模达9220.2亿元，近五年复合增长率为35.7%，预计2025年突破2万亿。

  信创产业高质量发展离不开安全能力建设，密码为信创产业安全保驾护航。密码技术作为保障安全的核心技术和基础支撑，是维护信息安全有效、可靠的技术方法，是信创产业的“护城墙”。“密码护航信创”大多数表现为：一方面，密码可构建虚拟防护安全边界，为软件产业打造密码安全一体化的防护建设，另一方面，密码重构软件系统安全能力，以密码提供的安全技术和信任机制推动软件产业安全升级。

  商密应用领域基本实现全覆盖，初步实现了商用密码产品与行业场景特点的融合应用。其中，商用密码在金融领域应用占比 24.05%，在政务领域应用占比19.31%，在通信领域占比 15.38%，在电力领域占比12.31%，在交通领域占比9.47%，在税务、医疗、电子商务等其他领域占比共计19.48%。商业密码产业体系持续优化。国内现有商用密码产品3000余款，品类涵盖了密码芯片、密码板卡、密码模块、密码机、密码系统等全产业链条。2021年，我国商用密码产业硬件产品占比为74.5%，软件产品占比为6.6%，服务市场占比为18.9%。我国商用密码产品依然以硬件为主导，与国外软硬产品均衡、产品通用性较强等特征形成对比。相较 2016年硬件商品市场规模占95%以上的状态，我国商用密码产业体系正在慢慢地优化。

  全球来看，根据QYresearch测算，2019年全球商用密码市场规模达250.42亿美元，预计2026年将达到864.06亿美元，年复合增长率为18.79%。我国商用密码行业市场规模同样实现迅速增加。2016年到2021年，我国商用密码产业总体规模保持高增长率，年复合增长率31%，2021年商用密码产业规模达到585亿元，预计 2023年商用密码行业规模有望达到937.5亿元。

  我国密评市场交易量及交易额均呈快速上涨的趋势。2020-2021 年密评市场交易量分别为133笔、200笔，对应交易金额3154万元、9000万元，2022年密评1-7月份市场交易量为242笔，对应交易额大概约1.4亿，预计2022年全年交易额在2亿以上，同比增涨超 100%。

  我国密评、密改存量市场空间较大，当前渗透率较低，未来增长逻辑明确，有望持续加速放量。根据2018年商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统普查的结果为，未使用密码的系统超过75%，在对第一批118个重要领域的信息系统来进行安全性测评时，不符合规范的比例达到85%，甚至已被证明不安全的加密算法（如RSA1024、MD5）仍在大量使用。因此，我们保守假接受密评的信息系统中需进行密改的比例为85%。根据赛博研究院，2019年等保三级系统大概5万个，等保四级系统约1000个，关基、等保三级及以上信息系统和国家政务系统既有交叉又有补充，因此，保守假设当前关基、等保三级及以上系统和国家政务系统达6万个，以16万的密评单价和150万的密改单价推算，密评存量市场空间高达96亿元/年，密码改造存量市场空间达765亿元。

  密评实施领域来看，密评在政务、金融、医疗领域增速较快，预计未来向能源、公安领域的渗透有望提速。根据数观天下，2020-2022年密评交易量增速较快的领域大多分布在在政务、金融、医疗等三大行业，我们预计，能源、公安将会是密评进一步渗透的领域。