山西兆强信息科技有限公司

一(one)、密評：

密碼産業發展的(of)關鍵一(one)環

　　（一(one)）密碼：保障網絡空間安全的(of)核心技術和(and)基礎支撐

　　《中華人(people)民共和(and)國密碼法》明确密碼定義：密碼是(yes)指采用(use)特定變換的(of)方法對信息等進行加密保護、安全認證的(of)技術、産品和(and)服務。密碼技術是(yes)保障網絡信息安全的(of)核心技術，從功能上看，主要(want)包括加密保護技術和(and)安全認證技術。加密保護是(yes)指采用(use)特定變換的(of)方法，将原來(Come)可讀的(of)信息變成不(No)能直接識别的(of)符号序列。安全認證是(yes)指采用(use)特定變換的(of)方法，确認信息是(yes)否完整、是(yes)否被篡改、是(yes)否可靠以(by)及行爲(for)是(yes)否真實。密碼在(exist)網絡空間中對于(At)身份鑒别、安全隔離、信息加密、完整性保護和(and)抗抵賴性等方面具有不(No)可替代的(of)重要(want)作(do)用(use)，可實現信息的(of)機密性、真實性、數據的(of)完整性和(and)行爲(for)的(of)不(No)可否認性。

　　《中華人(people)民共和(and)國密碼法》中将密碼劃分爲(for)核心密碼、普通密碼和(and)商用(use)密碼。核心密碼、普通密碼屬于(At)國家秘密，商用(use)密碼用(use)于(At)保護不(No)屬于(At)國家秘密的(of)信息，公民、法人(people)和(and)其他(he) 組織可以(by)依法使用(use)商用(use)密碼保護網絡與信息安全，一(one)般生(born)活中接觸更多的(of)是(yes)商用(use)密碼。

　　商用(use)密碼技術，是(yes)保障信息安全的(of)核心技術：從功能上看，主要(want)包括加密保護技術和(and)安全認證技術；從内容上看，主要(want)包括密碼算法、密鑰管理和(and)密碼協議。

　　商用(use)密碼産品，即承載密碼技術、實現密碼功能的(of)實體。按照形态劃分：分爲(for)六類，即軟件、芯片、模塊、闆卡、整機、系統；按照功能劃分：分爲(for)七類，即密碼算法類、數據加解密類、認證鑒别類、證書管理類、密鑰管理類、密碼防僞類和(and)綜合類。

　　（二）密評：密碼行業發展不(No)可或缺的(of)一(one)環

　　1、什麽是(yes)密評？

　　商用(use)密碼應用(use)安全評估（簡稱“密評”）：是(yes)指對采用(use)商用(use)密碼技術、産品和(and)服務集成建設的(of)網絡和(and)信息系統密碼應用(use)的(of)合規性、正确性、有效性進行評估。合規性：信息系統使用(use)的(of)密碼算法、密碼協議、密鑰管理是(yes)否符合法律法規的(of)規定和(and)密碼相關國家标準、行業标準的(of)有關要(want)求，使用(use)的(of)密碼産品和(and)密碼服務是(yes)否經過國家密碼管理部門核準或由具備資格的(of)機構認證合格。正确性：系統中采用(use)的(of)标準密碼算法、協議和(and)密鑰管理機制按照相應的(of)密碼國家和(and) 行業标準進行正确的(of)設計和(and)實現，密碼保障系統建設或改造過程中密碼産品和(and)服務的(of)部署和(and)應用(use)正确。有效性：密碼安全防護機制設計合理，在(exist)系統運行過程中能夠發揮密碼效用(use)，保障信息的(of)機密性、完整性、真實性、抗抵賴性。

　　2、主要(want)密評對象

　　密評的(of)主要(want)對象包括關基、等保三級及以(by)上系統、國家政務系統，密評頻率爲(for)每年至少一(one)次。根據《商用(use)密碼管理條例（修訂草案征求意見稿）》第六章第三十八條，非涉密的(of)關鍵信息基礎設施、等保三級及以(by)上系統、國家政務等重要(want)信息系統，其運營者應當使用(use)商用(use)密碼進行保護，開展商用(use)密碼應用(use)安全性評估，通過商用(use)密碼應用(use)安全性評估方可投入運行，運行後每年至少進行一(one)次評估。同時(hour)，根據《商用(use)密碼應用(use)安全性評估管理辦法（試行）》第一(one)章第三條：“涉及國家安全和(and)社會公共利益的(of)重要(want)領域網絡和(and) 信息系統的(of)建設、使用(use)、管理單位應當健全密碼保障體系，實施商用(use)密碼應用(use)安全性評估”。重要(want)領域網絡和(and)信息系統包括：基礎信息網絡、涉及國計民生(born)和(and)基礎信息資源的(of) 重要(want)信息系統、重要(want)工業控制系統、面向社會服務的(of)政務信息系統，以(by)及關鍵信息基礎設施、網絡安全等級保護第三級及以(by)上信息系統。

　　等保三級信息系統：在(exist)《信息安全等級保護管理辦法》中，根據信息系統在(exist)國家安全、經濟建設、社會生(born)活中的(of)重要(want)程度，信息系統遭到(arrive)破壞後對國家安全、社會秩序、公共利益以(by)及公民、法人(people)和(and)其他(he)組織的(of)合法權益的(of)危害程度，将網絡信息系統的(of)安全等級保護從低到(arrive)高分爲(for)五級。等保三級信息系統指信息系統受到(arrive)破壞後，會對社會秩序和(and)公共利益造成嚴重損害，或者對國家安全造成損害的(of)信息系統。

　　關鍵信息基礎設施：關基的(of)概念首次提出(out)和(and)範圍明确是(yes)在(exist)《網絡安全法》中，是(yes)指公共通信和(and)信息服務、能源、交通、水利、金融、公共服務、電子政務等重要(want)行業和(and)領域，以(by)及其他(he)一(one)旦遭到(arrive)破環、喪失功能或數據洩露，可能嚴重危害國家安全、國計民生(born)、公共利益的(of)關鍵信息基礎設施。

　　3、密評工作(do)參考的(of)主要(want)标準

　　基本要(want)求：主要(want)依據國家标準 GB/T 39786-2021《信息安全技術信息系統密碼應用(use)基本要(want)求》，此标準于(At) 2021 年 10 月 1 日正式實施，旨在(exist)指導、規範信息系統密碼應用(use)的(of)規劃、建設、運行及測評，對于(At)規範和(and)引導信息系統合規、正确、有效應用(use)密碼，切實維護國家網絡與信息安全具有重要(want)意義。評估方法：目前主要(want)參考的(of)文件是(yes) 2021 年發布的(of) GM/T 0115-2021《信息系統密碼應用(use) 測評要(want)求》、GM/T 0116-2021《信息系統密碼應用(use)測評過程指南》，中國密碼學會密評聯委會修訂形成的(of)《信息系統密碼應用(use)高風險判定指引》《商用(use)密碼應用(use)安全性評估量化評估規則》。量化評估結果判定規則：根據《商用(use)密碼應用(use)安全性評估量化評估規則》，若整體量化評估結果爲(for) 100 分，則判定被測信息系統符合 GB/T 39786-2021 相應等級要(want)求；結果低于(At) 100 分、不(No)低于(At)阈值，且經風險評估發現沒有高風險，則判定被測信息系統基本符合 GB/T 39786-2021 相應等級要(want)求；否則，判定被測信息系統不(No)符合 GB/T 39786-2021 相應等級要(want)求。

　　4、密評涉及的(of)主要(want)産品及測評技術

　　根據《信息系統密碼應用(use)測評要(want)求》，進行測評的(of)典型密碼産品有智能 IC 卡/智能密碼鑰匙、密碼機、VPN 産品和(and)安全認證網關、電子簽章系統、動态口令系統、電子門禁系統、證書認證系統。密評通過相關技術手段對密碼産品實施測評，檢驗産品是(yes)否具備傳輸機密性、存儲機密性、傳輸完整性、存儲完整性、真實性、不(No)可否認性的(of)密碼功能。

　　5、以(by)政務信息系統爲(for)例，看密評工作(do)全流程

　　密評工作(do)主要(want)分爲(for)兩個(indivual)階段：一(one)是(yes)信息系統規劃階段的(of)密碼應用(use)方案評估，這(this)一(one)環節主要(want)用(use)于(At)保證建設方案的(of)安全性；二是(yes)信息系統建設完成後針對該系統開展現場測試。方案評估階段：主要(want)針對新建或改造信息系統，密碼應用(use)改造方案一(one)般由用(use)戶單位組織編寫，用(use)戶單位編寫密碼應用(use)建設方案/改造方案後，應委托專家對方案進行評估或委托密評機構出(out)具方案密評報告。系統評估階段：主要(want)依據國标 GB/T39786-2021《信息安全技術信息系統密碼應用(use)基本要(want)求》，從物理和(and)環境、網絡和(and)通信、設備和(and)計算、應用(use) 和(and)數據、安全管理等方面開展評估。

　　6、密評服務收費情況

　　根據密評項目的(of)難度與要(want)求不(No)同，密評項目服務收費方差較大(big)，密評服務收費中位數在(exist) 16 萬左右。

　　7、商用(use)密碼應用(use)改造環節

　　密評過程中不(No)合格以(by)及需進一(one)步提高的(of)環節，需要(want)對其進行密碼改造。密碼改造項目建設單位需從物理和(and)環境安全、網絡和(and)通信安全、設備和(and)計算安全、應用(use)和(and)數據安全等四個(indivual)層面采用(use)密碼技術措施，建立安全的(of)密鑰管理方案，采取有效的(of)安全管理措施，進行系統保護。

　　密碼改造産品主要(want)包括服務器密碼機、安全網關、簽名驗簽服務器等。功能來(Come)看，服務器密碼機能夠爲(for)各類業務系統提供數據加/解密、數字簽名/驗簽以(by)及密鑰管理等高性能密碼服務；安全網關能爲(for)用(use)戶提供可信身份認證、訪問控制、傳輸加密等密碼安全服務；簽名驗簽服務器具有數字簽名、身份認證等功能，可爲(for)于(At)電子商務、CA 認證、網上銀行等服務器端提供密碼服務。一(one)套系統最小化的(of)密改方案除了(Got it)上述産品外，客戶端還需加上 key 和(and)安全浏覽器，金額總計爲(for) 60 萬元左右，考慮到(arrive)客戶信息系統規模大(big)小、功能，一(one)般改造花費爲(for) 100-200 萬元。

　　從密碼産品及服務供應的(of)産業鏈分析，密碼産業鏈上遊包括安全芯片、印刷電路闆、服務器三大(big)類；中遊爲(for)以(by)密碼技術爲(for)核心的(of)産品，包括密碼機/密碼卡、數字證書、vpn、令牌、電子簽章、量子加密六大(big)類；下遊主要(want)是(yes)軟件、系統集成及應用(use)領域。

二、密碼行業迎來(Come)

數字化+合規+信創三重共振曆史機遇

　　（一(one)）密評行業處于(At)推廣發展期，爲(for)密碼行業發展提供安全屏障

　　根據煉石網絡整理結果，我(I)國密評行業經曆了(Got it)五個(indivual)時(hour)期，當前正處于(At)推廣發展期：

　　制度奠基期（2007 年 11 月至 2016 年 8 月）：2007 年 11 月 27 日，國家密碼管理局印發《信息安全等級保護商用(use)密碼管理辦法》，要(want)求等保密評工作(do)由國家密碼管理局指定的(of)測評機構承擔。2009 年 12 月 15 日，國家密碼管理局印發了(Got it)管理辦法實施意見，進一(one)步明确了(Got it)與密碼測評有關的(of)要(want)求。

　　再次集結期（2016 年 9 月至 2017 年 4 月）：國家密碼管理局起草《商用(use)密碼應用(use) 安全性評估管理辦法(試行)》。2017 年 4 月 22 日，正式印發《關于(At)開展密碼應用(use) 安全性評估試點工作(do)的(of)通知》，在(exist)七省五行業開展密評第一(one)次試點工作(do)。

　　體系建設期（2017 年 5 月至 2017 年 9 月）：國家密碼管理局成立了(Got it)密評領導小組， 2017 年 9 月 27 日，國家密碼管理局印發《商用(use)密碼應用(use)安全性測評機構管理辦法 (試行)》、《商用(use)密碼應用(use)安全性測評機構能力評審實施細則(試行)》、《信息系統密碼應用(use)基本要(want)求》和(and)《信息系統密碼測評要(want)求(試行)》，我(I)國密評制度體系初步建立。

　　密評試點開展期（2017 年 10 月至 2021 年）：2019 年開啓第二批密評試點工作(do)。2020 年 7 月 29 日，國家密碼管理局發布《商用(use)密碼應用(use)安全性評估試點機構目錄》，确定 24 家全國密評試點機構。2021 年 6 月 11 日，國家密碼管理局發布《商用(use)密碼應用(use)安全性評估試點機構目錄》，密評試點機構擴大(big)至 48 家。

　　推廣發展期（2021 年至今）：“十四五”時(hour)期數字化引領密評加速推廣發展，金融、政務、教育、電信等行業将實現密評規模化布局。

　　（二）密評法律體系逐步健全，爲(for)密碼行業發展奠定土壤

　　近年來(Come)，我(I)國密碼産業法律法規逐步健全，爲(for)後續的(of)快速發展積攢動力。從防護對象來(Come) 看，《個(indivual)人(people)信息保護法（草案二次審議稿）》《數據安全法》對個(indivual)人(people)信息或企業數據安全建設提出(out)明确防護目标，是(yes)數據保護和(and)數據利用(use)的(of)整體性法律框架。從技術手段來(Come)看，《密碼法》明确了(Got it)将密碼技術作(do)爲(for)核心的(of)安全技術路線，針對重要(want)信息系統形成強合規增量市場。

　　（三）數據洩露事件多發，凸顯密評關鍵作(do)用(use)

　　數據安全事件頻發，定期密評及時(hour)發現問題并進行密碼改造具有必要(want)性。根據綠盟科技統計，2021 全球數據大(big)規模數據洩露的(of)代表性事件，一(one)共有 10 起。從洩露規模上看，上億級别的(of)數據記錄洩露有 8 起，最高洩露 7 億條；從洩露原因上看，互聯網暴露和(and)配置錯誤、黑客攻擊是(yes)造成大(big)規模數據洩露的(of)主要(want)原因；根據 IBM 發布的(of)《2021 數據洩露成本報告》，企業數據洩露平均成本爲(for) 424 萬美元。定期開展密評，及時(hour)進行密碼改造對公司數據安全保護具備必要(want)性。

　　（四）商用(use)密碼——數字經濟的(of)安全基石

　　“十四五”以(by)來(Come)，數字經濟已經成爲(for)我(I)國經濟實現高質量發展的(of)重要(want)方向，以(by)數據爲(for) 中心的(of)安全的(of)重要(want)性不(No)斷凸顯，而密碼作(do)爲(for)數據安全的(of)重要(want)基石，在(exist)推進數字經濟健康、安全發展方面具有重要(want)作(do)用(use)。密碼可以(by)完整實現網絡空間信息防洩密、内容防篡改、身份防假冒、行爲(for)抗抵賴等功能，滿足網絡與信息系統對保密性、完整性、真實性和(and)不(No)可否認性等安全需求。

　　新基建是(yes)數字經濟發展的(of)基石，密碼技術深度融合新基建，爲(for)多領域數字化轉型奠定基礎。新基建，是(yes)指以(by) 5G、人(people)工智能、工業互聯網、物聯網爲(for)代表的(of)新型基礎設施。新型基礎設施以(by)網絡和(and)數據爲(for)核心，本質上是(yes)信息數字化的(of)基礎設施，爲(for)數字經濟發展和(and) 傳統業務數字化轉型奠定基礎，而傳統行業的(of)數字化轉型進程必然繞不(No)開信息安全問題，密碼作(do)爲(for)信息安全的(of)扣環，構築成數字經濟發展的(of)“護城河”和(and)“城牆”，使新基建具有“主動免疫力”。

　　根據樂宏彥的(of)研究，密碼在(exist)新基建的(of)幾個(indivual)應用(use)場景有：5G 通信領域：密碼應用(use)推動 5G 通信與 IT 網絡安全融合。密碼技術能夠保障 5G 網絡的(of)底層基礎設施的(of)安全可信以(by)及虛拟機與容器的(of)可信；同時(hour)也能實現面向行業的(of)業務應用(use)的(of)數據和(and)平台訪問的(of)持續認證。工業互聯網領域：密碼應用(use)打破信息孤島，實現遠程安全協同。密碼技術的(of)應用(use)可以(by)滿足工業互聯網場景中設備與訪問用(use)戶身份認證、傳輸認證和(and)傳輸加密、存儲安全等需求。在(exist)橫向隔離的(of)工業網絡中，基于(At)密碼技術支撐實現安全的(of)遠程接入可以(by) 打破信息孤島，實現業務的(of)遠程協同，推動信息交換。雲基礎設施領域：促進安全框架的(of)整合。雲技術與身份認證、加密等技術方式融合，通過面向雲的(of)服務形式來(Come)提供雲安全能力。

　　（五）内需外壓力雙重驅動，信創産業帶來(Come)曆史性機遇

　　信創産業發展爲(for)密碼行業壯大(big)帶來(Come)曆史契機，密碼既是(yes)信創的(of)重要(want)組成部分，又爲(for)信創産業擰緊“安全閥”。信創産業，即信息技術應用(use)創新産業, 其目的(of)在(exist)于(At)實現信息技術領域的(of)自主可控，解決核心技術關鍵環節的(of)“卡脖子”問題。信創産業鏈大(big)體分爲(for)軟件領域、硬件領域、實際應用(use)和(and)信息安全四大(big)類，其中，信息安全貫穿整個(indivual)信創産業，密碼産品緊扣信息安全每一(one)環。

　　内需外壓雙重驅動，信創迎來(Come)曆史性發展機遇。一(one)方面，國産化信息創新發展有利于(At)我(I) 國在(exist)信息安全方面進一(one)步可靠安全；另一(one)方面，在(exist)當前國家經濟“雙循環”的(of)發展格局下，信創對于(At)加快企業數字化轉型和(and)推動經濟持續發展具有護航賦能的(of)現實意義。

　　信創産業“2+8+N”穩步推進，市場規模将進一(one)步打開。自 2013 年開始，黨政從公文系統開始替換，預計到(arrive) 2023 年左右完成基本公文系統的(of)信創改造，後續将開啓電子政務系統的(of)國産化替代。八大(big)重點行業中，金融行業信創排在(exist)首位，推進速度最快，電信緊随其後，之後是(yes)能源、交通、航空航天，教育、醫療也在(exist)逐步進行政策推進和(and)試點。最後，多個(indivual)行業的(of)信創預計 2023 年左右開始啓動。根據海比研究院數據顯示，2022 年信創産業規模達 9220.2 億元，近五年複合增長率爲(for) 35.7%，預計 2025 年突破 2 萬億。

　　信創産業發展離不(No)開安全能力建設，密碼爲(for)信創産業安全保駕護航。密碼技術作(do)爲(for)保障安全的(of)核心技術和(and)基礎支撐，是(yes)維護信息安全有效、可靠的(of)技術手段，是(yes)信創産業的(of) “護城牆”。“密碼護航信創”主要(want)體現爲(for)：一(one)方面，密碼能夠構建虛拟防護安全邊界，爲(for)軟件産業打造密碼安全一(one)體化的(of)防護建設，另一(one)方面，密碼重構軟件系統安全能力，以(by)密碼提供的(of)安全技術和(and)信任機制推動軟件産業安全升級。

三、在(exist)内需外驅的(of)三重共振下，

密碼行業迎來(Come)快速增長

　　（一(one)）商密覆蓋行業廣泛，産業結構持續優化

　　商密應用(use)領域基本實現全覆蓋，初步實現了(Got it)商用(use)密碼産品與行業場景特點的(of)融合應用(use)。其中，商用(use)密碼在(exist)金融領域應用(use)占比 24.05%，在(exist)政務領域應用(use)占比 19.31%，在(exist)通信領域占比 15.38%，在(exist)電力領域占比 12.31%，在(exist)交通領域占比 9.47%，在(exist)稅務、醫療、電子商務等其他(he)領域占比共計 19.48%。商業密碼産業結構持續優化。國内現有商用(use)密碼産品 3000 餘款，品類涵蓋了(Got it)密碼芯片、密碼闆卡、密碼模塊、密碼機、密碼系統等全産業鏈條。2021 年，我(I)國商用(use)密碼産業硬件産品占比爲(for) 74.5%，軟件産品占比爲(for) 6.6%，服務市場占比爲(for) 18.9%。我(I)國商用(use)密碼産品依然以(by)硬件爲(for)主導，與國外軟硬産品均衡、産品通用(use)性較強等特征形成對比。相較 2016 年硬件産品市場規模占 95%以(by)上的(of)狀态，我(I)國商用(use)密碼産業結構正在(exist)逐步優化。

　　（二）以(by)密評促密改，存量市場空間廣闊，密碼相關行業持續受益

　　全球來(Come)看，根據 QYresearch 測算，2019 年全球商用(use)密碼市場規模達 250.42 億美元，預計 2026 年将達到(arrive) 864.06 億美元，年複合增長率爲(for) 18.79%。我(I)國商用(use)密碼行業市場規模同樣實現快速增長。2016 年到(arrive) 2021 年，我(I)國商用(use)密碼産業總體規模保持高增長率，年複合增長率 31%，2021 年商用(use)密碼産業規模達到(arrive) 585 億元，預計 2023 年商用(use)密碼行業規模有望達到(arrive) 937.5 億元。

　　我(I)國密評市場交易量及交易額均呈快速上升趨勢。2020-2021 年密評市場交易量分别爲(for) 133 筆、200 筆，對應交易金額 3154 萬元、9000 萬元，2022 年密評 1-7 月份市場交易量爲(for) 242 筆，對應交易額大(big)概約 1.4 億，預計 2022 年全年交易額在(exist) 2 億以(by)上，同比增漲超 100%。

　　我(I)國密評、密改存量市場空間較大(big)，當前滲透率較低，未來(Come)增長邏輯明确，有望持續加速放量。根據 2018 年商用(use)密碼應用(use)安全性評估聯合委員會對一(one)萬餘個(indivual)等保三級及以(by)上的(of)信息系統普查的(of)結果顯示，未使用(use)密碼的(of)系統超過 75%，在(exist)對第一(one)批 118 個(indivual)重要(want)領域的(of)信息系統進行安全性測評時(hour)，不(No)符合規範的(of)比例達到(arrive) 85%，甚至已被證明不(No)安全的(of) 加密算法（如 RSA1024、MD5）仍在(exist)大(big)量使用(use)。因此，我(I)們(them)保守假接受密評的(of)信息系統中需進行密改的(of)比例爲(for) 85%。根據賽博研究院，2019 年等保三級系統大(big)概 5 萬個(indivual)，等保四級系統約 1000 個(indivual)，關基、等保三級及以(by)上信息系統和(and)國家政務系統既有交叉又有補充，因此，保守假設當前關基、等保三級及以(by)上系統和(and)國家政務系統達 6 萬個(indivual)，以(by) 16 萬的(of)密評單價和(and) 150 萬的(of)密改單價推算，密評存量市場空間高達 96 億元/年，密碼改造存量市場空間達 765 億元。

　　密評實施領域來(Come)看，密評在(exist)政務、金融、醫療領域增速較快，預計未來(Come)向能源、公安領域的(of)滲透有望提速。根據數觀天下，2020-2022 年密評交易量增速較快的(of)領域主要(want)集中在(exist)政務、金融、醫療等三大(big)行業，我(I)們(them)預計，能源、公安将會是(yes)密評進一(one)步滲透的(of)領域。

文章來(Come)源：報告研究所

以(by)密評促密改，我(I)國密碼行業迎來(Come)曆史性機遇