山西科信源信息科技有限公司

一、密评：

密码产业发展的关键一环

　　（一）密码：保障网络空间安全的核心技术和基础支撑

　　《中华人民共和国密码法》明确密码定义：密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码技术是保障网络信息安全的核心技术，从功能上看，主要包括加密保护技术和安全认证技术。加密保护是指采用特定变换的方法，将原来可读的信息变成不能直接识别的符号序列。安全认证是指采用特定变换的方法，确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。密码在网络空间中对于身份鉴别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用，可实现信息的机密性、真实性、数据的完整性和行为的不可否认性。

　　《中华人民共和国密码法》中将密码划分为核心密码、普通密码和商用密码。核心密码、普通密码属于国家秘密，商用密码用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全，一般生活中接触更多的是商用密码。

　　商用密码技术，是保障信息安全的核心技术：从功能上看，主要包括加密保护技术和安全认证技术；从内容上看，主要包括密码算法、密钥管理和密码协议。

　　商用密码产品，即承载密码技术、实现密码功能的实体。按照形态划分：分为六类，即软件、芯片、模块、板卡、整机、系统；按照功能划分：分为七类，即密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。

　　（二）密评：密码行业发展不可或缺的一环

　　1、什么是密评？

　　商用密码应用安全评估（简称“密评”）：是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。合规性：信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求，使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。正确性：系统中采用的标准密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现，密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。有效性：密码安全防护机制设计合理，在系统运行过程中能够发挥密码效用，保障信息的机密性、完整性、真实性、抗抵赖性。

　　2、主要密评对象

　　密评的主要对象包括关基、等保三级及以上系统、国家*务系统，密评频率为每年至少一次。根据《商用密码管理条例（修订草案征求意见稿）》第六章第三十八条，非涉密的关键信息基础设施、等保三级及以上系统、国家*务等重要信息系统，其运营者应当使用商用密码进行保护，开展商用密码应用安全性评估，通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估。同时，根据《商用密码应用安全性评估管理办法（试行）》第一章第三条：“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系，实施商用密码应用安全性评估”。重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的*务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

　　等保三级信息系统：在《信息安全等级保护管理办法》中，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，将网络信息系统的安全等级保护从低到高分为五级。等保三级信息系统指信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害的信息系统。

　　关键信息基础设施：关基的概念首次提出和范围明确是在《网络安全法》中，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子*务等重要行业和领域，以及其他一旦遭到破环、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。

　　3、密评工作参考的主要标准

　　基本要求：主要依据国家标准 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》，此标准于 2021 年 10 月 1 日正式实施，旨在指导、规范信息系统密码应用的规划、建设、运行及测评，对于规范和引导信息系统合规、正确、有效应用密码，切实维护国家网络与信息安全具有重要意义。评估方法：目前主要参考的文件是 2021 年发布的 GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》，中国密码学会密评联委会修订形成的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》。量化评估结果判定规则：根据《商用密码应用安全性评估量化评估规则》，若整体量化评估结果为 100 分，则判定被测信息系统符合 GB/T 39786-2021 相应等级要求；结果低于 100 分、不低于阈值，且经风险评估发现没有高风险，则判定被测信息系统基本符合 GB/T 39786-2021 相应等级要求；否则，判定被测信息系统不符合 GB/T 39786-2021 相应等级要求。

　　4、密评涉及的主要产品及测评技术

　　根据《信息系统密码应用测评要求》，进行测评的典型密码产品有智能 IC 卡/智能密码钥匙、密码机、VPN 产品和安全认证网关、电子签章系统、动态口令系统、电子门禁系统、证书认证系统。密评通过相关技术手段对密码产品实施测评，检验产品是否具备传输机密性、存储机密性、传输完整性、存储完整性、真实性、不可否认性的密码功能。

　　5、以*务信息系统为例，看密评工作全流程

　　密评工作主要分为两个阶段：一是信息系统规划阶段的密码应用方案评估，这一环节主要用于保证建设方案的安全性；二是信息系统建设完成后针对该系统开展现场测试。方案评估阶段：主要针对新建或改造信息系统，密码应用改造方案一般由用户单位组织编写，用户单位编写密码应用建设方案/改造方案后，应委托专家对方案进行评估或委托密评机构出具方案密评报告。系统评估阶段：主要依据国标 GB/T39786-2021《信息安全技术信息系统密码应用基本要求》，从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面开展评估。

　　6、密评服务收费情况

　　根据密评项目的难度与要求不同，密评项目服务收费方差较大，密评服务收费中位数在 16 万左右。

　　7、商用密码应用改造环节

　　密评过程中不合格以及需进一步提高的环节，需要对其进行密码改造。密码改造项目建设单位需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施，建立安全的密钥管理方案，采取有效的安全管理措施，进行系统保护。

　　密码改造产品主要包括服务器密码机、安全网关、签名验签服务器等。功能来看，服务器密码机能够为各类业务系统提供数据加/解密、数字签名/验签以及密钥管理等高性能密码服务；安全网关能为用户提供可信身份认证、访问控制、传输加密等密码安全服务；签名验签服务器具有数字签名、身份认证等功能，可为于电子商务、CA 认证、网上银行等服务器端提供密码服务。一套系统最小化的密改方案除了上述产品外，客户端还需加上 key 和安全浏览器，金额总计为 60 万元左右，考虑到客户信息系统规模大小、功能，一般改造花费为 100-200 万元。

　　从密码产品及服务供应的产业链分析，密码产业链上游包括安全芯片、印刷电路板、服务器三大类；中游为以密码技术为核心的产品，包括密码机/密码卡、数字证书、vpn、令牌、电子签章、量子加密六大类；下游主要是软件、系统集成及应用领域。

二、密码行业迎来

数字化+合规+信创三重共振历史机遇

　　（一）密评行业处于推广发展期，为密码行业发展提供安全屏障

　　根据炼石网络整理结果，我国密评行业经历了五个时期，当前正处于推广发展期：

　　制度奠基期（2007 年 11 月至 2016 年 8 月）：2007 年 11 月 27 日，国家密码管理局印发《信息安全等级保护商用密码管理办法》，要求等保密评工作由国家密码管理局指定的测评机构承担。2009 年 12 月 15 日，国家密码管理局印发了管理办法实施意见，进一步明确了与密码测评有关的要求。

　　再次集结期（2016 年 9 月至 2017 年 4 月）：国家密码管理局起草《商用密码应用安全性评估管理办法(试行)》。2017 年 4 月 22 日，正式印发《关于开展密码应用安全性评估试点工作的通知》，在七省五行业开展密评第一次试点工作。

　　体系建设期（2017 年 5 月至 2017 年 9 月）：国家密码管理局成立了密评领导小组， 2017 年 9 月 27 日，国家密码管理局印发《商用密码应用安全性测评机构管理办法 (试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》、《信息系统密码应用基本要求》和《信息系统密码测评要求(试行)》，我国密评制度体系初步建立。

　　密评试点开展期（2017 年 10 月至 2021 年）：2019 年开启第二批密评试点工作。2020 年 7 月 29 日，国家密码管理局发布《商用密码应用安全性评估试点机构目录》，确定 24 家全国密评试点机构。2021 年 6 月 11 日，国家密码管理局发布《商用密码应用安全性评估试点机构目录》，密评试点机构扩大至 48 家。

　　推广发展期（2021 年至今）：“十四五”时期数字化引领密评加速推广发展，金融、*务、教育、电信等行业将实现密评规模化布局。

　　（二）密评法律体系逐步健全，为密码行业发展奠定土壤

　　近年来，我国密码产业法律法规逐步健全，为后续的快速发展积攒动力。从防护对象来看，《个人信息保护法（草案二次审议稿）》《数据安全法》对个人信息或企业数据安全建设提出明确防护目标，是数据保护和数据利用的整体性法律框架。从技术手段来看，《密码法》明确了将密码技术作为核心的安全技术路线，针对重要信息系统形成强合规增量市场。

　　（三）数据泄露事件多发，凸显密评关键作用

　　数据安全事件频发，定期密评及时发现问题并进行密码改造具有必要性。根据绿盟科技统计，2021 全球数据大规模数据泄露的代表性事件，一共有 10 起。从泄露规模上看，上亿级别的数据记录泄露有 8 起，最高泄露 7 亿条；从泄露原因上看，互联网暴露和配置错误、黑客攻击是造成大规模数据泄露的主要原因；根据 IBM 发布的《2021 数据泄露成本报告》，企业数据泄露平均成本为 424 万美元。定期开展密评，及时进行密码改造对公司数据安全保护具备必要性。

　　（四）商用密码——数字经济的安全基石

　　“十四五”以来，数字经济已经成为我国经济实现高质量发展的重要方向，以数据为中心的安全的重要性不断凸显，而密码作为数据安全的重要基石，在推进数字经济健康、安全发展方面具有重要作用。密码可以完整实现网络空间信息防泄密、内容防篡改、身份防假冒、行为抗抵赖等功能，满足网络与信息系统对保密性、完整性、真实性和不可否认性等安全需求。

　　新基建是数字经济发展的基石，密码技术深度融合新基建，为多领域数字化转型奠定基础。新基建，是指以 5G、人工智能、工业互联网、物联网为代表的新型基础设施。新型基础设施以网络和数据为核心，本质上是信息数字化的基础设施，为数字经济发展和传统业务数字化转型奠定基础，而传统行业的数字化转型进程必然绕不开信息安全问题，密码作为信息安全的扣环，构筑成数字经济发展的“护城河”和“城墙”，使新基建具有“主动免疫力”。

　　根据乐宏彦的研究，密码在新基建的几个应用场景有：5G 通信领域：密码应用推动 5G 通信与 IT 网络安全融合。密码技术能够保障 5G 网络的底层基础设施的安全可信以及虚拟机与容器的可信；同时也能实现面向行业的业务应用的数据和平台访问的持续认证。工业互联网领域：密码应用打破信息孤岛，实现远程安全协同。密码技术的应用可以满足工业互联网场景中设备与访问用户身份认证、传输认证和传输加密、存储安全等需求。在横向隔离的工业网络中，基于密码技术支撑实现安全的远程接入可以打破信息孤岛，实现业务的远程协同，推动信息交换。云基础设施领域：促进安全框架的整合。云技术与身份认证、加密等技术方式融合，通过面向云的服务形式来提供云安全能力。

　　（五）内需外压力双重驱动，信创产业带来历史性机遇

　　信创产业发展为密码行业壮大带来历史契机，密码既是信创的重要组成部分，又为信创产业拧紧“安全阀”。信创产业，即信息技术应用创新产业, 其目的在于实现信息技术领域的自主可控，解决核心技术关键环节的“卡脖子”问题。信创产业链大体分为软件领域、硬件领域、实际应用和信息安全四大类，其中，信息安全贯穿整个信创产业，密码产品紧扣信息安全每一环。

　　内需外压双重驱动，信创迎来历史性发展机遇。一方面，国产化信息创新发展有利于我国在信息安全方面进一步可靠安全；另一方面，在当前国家经济“双循环”的发展格局下，信创对于加快企业数字化转型和推动经济持续发展具有护航赋能的现实意义。

　　信创产业“2+8+N”稳步推进，市场规模将进一步打开。自 2013 年开始，**从公文系统开始替换，预计到 2023 年左右完成基本公文系统的信创改造，后续将开启电子* 务系统的国产化替代。八大重点行业中，金融行业信创排在首位，推进速度最快，电信紧随其后，之后是能源、交通、航空航天，教育、医疗也在逐步进行*策推进和试点。最后，多个行业的信创预计 2023 年左右开始启动。根据海比研究院数据显示，2022 年信创产业规模达 9220.2 亿元，近五年复合增长率为 35.7%，预计 2025 年突破 2 万亿。

　　信创产业发展离不开安全能力建设，密码为信创产业安全保驾护航。密码技术作为保障安全的核心技术和基础支撑，是维护信息安全有效、可靠的技术手段，是信创产业的 “护城墙”。“密码护航信创”主要体现为：一方面，密码能够构建虚拟防护安全边界，为软件产业打造密码安全一体化的防护建设，另一方面，密码重构软件系统安全能力，以密码提供的安全技术和信任机制推动软件产业安全升级。

三、在内需外驱的三重共振下，

密码行业迎来快速增长

　　（一）商密覆盖行业广泛，产业结构持续优化

　　商密应用领域基本实现全覆盖，初步实现了商用密码产品与行业场景特点的融合应用。其中，商用密码在金融领域应用占比 24.05%，在*务领域应用占比 19.31%，在通信领域占比 15.38%，在电力领域占比 12.31%，在交通领域占比 9.47%，在税务、医疗、电子商务等其他领域占比共计 19.48%。商业密码产业结构持续优化。国内现有商用密码产品 3000 余款，品类涵盖了密码芯片、密码板卡、密码模块、密码机、密码系统等全产业链条。2021 年，我国商用密码产业硬件产品占比为 74.5%，软件产品占比为 6.6%，服务市场占比为 18.9%。我国商用密码产品依然以硬件为主导，与国外软硬产品均衡、产品通用性较强等特征形成对比。相较 2016 年硬件产品市场规模占 95%以上的状态，我国商用密码产业结构正在逐步优化。

　　（二）以密评促密改，存量市场空间广阔，密码相关行业持续受益

　　全球来看，根据 QYresearch 测算，2019 年全球商用密码市场规模达 250.42 亿美元，预计 2026 年将达到 864.06 亿美元，年复合增长率为 18.79%。我国商用密码行业市场规模同样实现快速增长。2016 年到 2021 年，我国商用密码产业总体规模保持高增长率，年复合增长率 31%，2021 年商用密码产业规模达到 585 亿元，预计 2023 年商用密码行业规模有望达到 937.5 亿元。

　　我国密评市场交易量及交易额均呈快速上升趋势。2020-2021 年密评市场交易量分别为 133 笔、200 笔，对应交易金额 3154 万元、9000 万元，2022 年密评 1-7 月份市场交易量为 242 笔，对应交易额大概约 1.4 亿，预计 2022 年全年交易额在 2 亿以上，同比增涨超 100%。

　　我国密评、密改存量市场空间较大，当前渗透率较低，未来增长逻辑明确，有望持续加速放量。根据 2018 年商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统普查的结果显示，未使用密码的系统超过 75%，在对第一批 118 个重要领域的信息系统进行安全性测评时，不符合规范的比例达到 85%，甚至已被证明不安全的加密算法（如 RSA1024、MD5）仍在大量使用。因此，我们保守假接受密评的信息系统中需进行密改的比例为 85%。根据赛博研究院，2019 年等保三级系统大概 5 万个，等保四级系统约 1000 个，关基、等保三级及以上信息系统和国家*务系统既有交叉又有补充，因此，保守假设当前关基、等保三级及以上系统和国家*务系统达 6 万个，以 16 万的密评单价和 150 万的密改单价推算，密评存量市场空间高达 96 亿元/年，密码改造存量市场空间达 765 亿元。

　　密评实施领域来看，密评在*务、金融、医疗领域增速较快，预计未来向能源、公安领域的渗透有望提速。根据数观天下，2020-2022 年密评交易量增速较快的领域主要集中在*务、金融、医疗等三大行业，我们预计，能源、公安将会是密评进一步渗透的领域。

文章来源：报告研究所

以密评促密改，我国密码行业迎来历史性机遇