1、20212021 密码产业洞察报密码产业洞察报告告 V1.0.V1.0.2 2 20212021 年年 7 7 月月 2626 日日 1 目目 录录 观观点点提提要要.5 5 1. 密码监管侧政策带来市场红利.5 2. 密码分层市场兼顾实战与合规.5 3. 密码供给结构正向高质量升级.5 4. 新数据安全紧密融合密码技术.5 一一、密密码码产产业业筑筑牢牢坚坚实实基基础础.6 6 （一）密码是信息化发展安全基因.6 （二）密码产业已构建出坚实基座.7 1. 法律标准体系逐步健全.7 2. 产业正处于高速发展期.26 3. 监管体系取得丰硕成果.28 4. 融合应用取得长足发展.29 （三）关键

2、领域密码技术应用发展.31 1. 金融领域. 32 2. 政务领域.34 3. 教医旅领域.36 4. 其他重要领域.39 二二、多多重重因因素素驱驱动动产产业业发发展展.4 41 1 （一）密码技术演进促进产业发展.41 1. 密码产品形态“软硬协同”.41 2 2. 密码发展应用“危机并存”. 44 （二）供给质量升级拉动产业发展.45 1. 高质量供给夯实基础支撑.46 2. 新场景应用赋能数字经济.48 （三）安全实战合规引领产业发展.49 1. 实战合规并举成发展动力.49 2. 密码市场迎时代发展契机.53 （四） 数据安全挑战助推产业发展. 54 1. 中国将成为全球最大数据圈.

3、54 2. 密码技术应用保障数据安全.56 三三、密密码码产产业业发发展展趋趋势势分分析析.6 60 0 （一） 市场蓬勃发展.60 1. 密码国产化替代正加速.60 2. 信创带来新的历史机遇.60 3. 市场呈现分层次多样化.61 4. 密码市场发展规模预测.62 （二）技术加速创新.63 1. 数据要素激励密码技术创新.63 2. 密码能力紧密融入业务应用.64 3. 全生态亟待密码实战化覆盖.64 4. 密码安全一体化成为主思路.65 （三）产品叠加演进.66 3 1. 密码交付向产品加服务演进.66 2. 产品软硬均衡支撑自主可控.66 3. 密码产品强化自身安全防护.67 4. 亟

4、待一体化的密码支撑体系.67 （四） 体系实战升级.67 1. 探索融入业务流转的密码防护.67 2. 打造融合密码的数据安全框架.70 3. 构建以密码为核心的防护体系. 73 4 前前言言 密码是国之重器，是信息化发展的安全基因，是保障网络与数 据安全的核心技术，也是推动我国数字经济高质量发展，构建网络 强国的基础支撑。近年来，国家高度重视商用密码工作，先后发布 相关政策法规、采取系列重大举措，以促进商用密码的推广普及、 深度融合。纵观当下，我国正处于数字经济高速发展期，密码产业 供给侧、 需求侧、 监管侧均有长足发展， 密码实战与合规需求强劲， 技术自主可控逐步实现，“放管服”改革进一步

5、深化。站在“十四 五”开局新起点，密码前沿技术与应用的引领企业，应抓住时代机 遇窗口，加速布局密码业务，深化技术创新研究，扎实推进我国商 用密码产业建设及发展。 注注 1 1：本文仅代表作者观点，水平认知有限，后续将陆续更新迭代，欢迎 业界同仁共同完善。 注注 2 2：本文部分内容或数据借鉴了商用密码发展报告（2012-2017） （国家密码管理局组织，负责编写）、商用密码知识与政策干部读本、 商用密码应用与安全性评估，2020-2021 中国商用密码产业发展报告 （赛迪研究所网络安全研究所发布）、数据安全白皮书（2021 年由国家 工信安全中心联合华为发布）等权威素材或书籍，以及从互联网公开

6、获取到 的相关政策权威材料。 5 观观点点提提要要 1 1. . 密密码码监监管管侧侧政政策策带带来来市市场场红红利利 在密码法及相关法规政策推动下，密码市场蓬勃发展，“放 管服”新政策推动密码企业的竞争发展更公平公正，以产品质量决定 竞争力，而非准入门槛。 2 2. . 密密码码分分层层市市场场兼兼顾顾实实战战与与合合规规 新密码市场呈现“实战防护、密评合规、信创合规”分层次叠加 的多样化需求。实战与合规双重驱动下，新密码市场正步入快速增长 阶段，预计 2023 年我国商用密码规模将超 900 亿。 3 3. . 密密码码供供给给结结构构正正向向高高质质量量升升级级 密码能用、密码好用、密码

7、用好是提升密码高质量供给的关键， 密码产品形态正从“以产品为主”升级到“产品+服务”，产品构成 侧重向软件、或软硬混合形态发展。 4 4. . 新新数数据据安安全全紧紧密密融融合合密密码码技技术术 企业安全防护正从“应对式”向“主动式”转变，密码对数据本 身可以进行主动式加密等保护，是实现数据安全最直接有效的手段。 融合密码的主动式防护安全框架， 重视从业务风险映射视角列举数据 保护需求，将密码功能融入业务流程，以数据为中心，构建全方位的 数据安全治理体系，为信息化建设、企业业务架构设计提供数据安全 能力参考。 6 一一、密密码码产产业业筑筑牢牢坚坚实实基基础础 信息化和网络安全整体水平是衡量

8、一个国家综合国力和竞争 力的重要标志，密码作为保障网络安全最有效、最可靠、最经济 的关键核心技术，在维护国家安全、促进经济发展、保护人民群 众利益中发挥着越来越重要的作用，并在科技创新、产业发展、 应用推进、生态构建等方面取得系列成果。随着密码法出台， 以及商用密码技术的不断推陈出新，密码产业已形成坚实发展基 础，并步入创新协同、高质量发展的快车道。 （一一）密密码码是是信信息息化化发发展展安安全全基基因因 密码作为历史最悠久、最具传奇色彩的安全技术，从诞生以来 就自带安全产品属性，由攻防对抗推动发展。3000 年前，著名兵 书六韬记载了姜太公使用阴符、阴书等古典密码技术来保护军 事秘密通信。

9、甲午战争期间，中方高级电报密码被日方破译，在一 定程度上导致清军在战争的多方面陷入被动局面。 现代密码学演进，则与计算机技术、电子通信技术密切相关。 随着计算机的发明以及信息化时代的到来， 密码的加解密工作有了 更好工具和载体，密码技术迎来千载难逢的发展机遇。这一阶段， 密码理论百花齐放，密码算法的设计与分析互相促进，出现了大量 的加密算法及分析方法，比如：序列密码、分组密码、公钥密码、 HASH 函数等，技术与算法逐步成熟完善。 7 数字时代的来临，使得密码技术进入高速发展期。基于密码技 术的身份鉴别、访问控制、数据加密、可信计算、密文计算、数据 脱敏等措施，能实现信息系统安全防护架构的“真

10、实性、机密性、 完整性、不可否认性、限定性”等基本安全目标，有效解决信息系 统的信息安全问题，成为支撑构建信息系统安全防护体系的基石。 信息化是密码技术演进的土壤， 密码技术为信息化系统提供安 全支撑。两者的深度融合，能够加速密码技术安全价值的释放。而 随着信息技术演进升级， 密码产品本身和对外服务形态也会发生适 应性的转变。以云计算为例，虚拟机技术催生云交付形态的云密码 机、云密钥管理系统等，同时企业应用云化又对密码产品和服务能 力提出云兼容、弹性扩展、灵活管理等新需求，因此，“用云交付 密码”和“让密码服务于云”逐步被企业所接受，且发展空间非常 广阔。 （二二）密密码码产产业业已已构构建建

11、出出坚坚实实基基座座 近年来，我国密码产业立足自主，开拓创新，在法律法规、算 法标准、产业应用、监管体系等方面进展显著，夯实了自身发展基 础，也为后续的快速发展积攒动力。 1 1. . 法法律律标标准准体体系系逐逐步步健健全全 早在 1996 年 7 月，中央办公厅就印发关于发展商用密码和 加强对商用密码管理工作的通知 ， 体现了对商用密码工作的重视。 8 如今，从顶层设计到法律法规，行业标准到产业要求的密集颁布， 商用密码法律标准实现了自上而下的体系化发展， 市场进一步被激 活， 海量非涉密信息的加密保护和安全认证等具体应用获得了充分 发展的沃土。 1）顶层设计 中华人民共和国国家安全法第二

12、十五条提出，国家建设网 络与信息安全保障体系，提升网络与信息安全保护能力，加强网络 和信息技术的创新研究和开发应用，实现网络和信息核心技术、关 键基础设施和重要领域信息系统及数据的安全可控；加强网络管 理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布 违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全 和发展利益。 中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要 提出，加快数字化发展，培育壮大网络安 全等新兴数字产业；提高数字政府建设水平，建立健全数据要素市 场规则，加强网络安全保护，推动构建网络空间命运共同体；统筹 发展和安全，加强国家安全体系

13、和能力建设。 十三届全国人大四次会议政府工作报告中提出，加快数字 化发展，打造数字经济新优势，协同推进数字产业化和产业数字化 转型，加快数字社会建设步伐，提高数字政府建设水平，营造良好 数字生态，建设数字中国。同时，强调加强网络安全、数据安全和 个人信息保护。 9 中共中央国务院关于构建更加完善的要素市场化配置体制 机制的意见第六部分“加快培育数据要素市场”第 22 条：加强 数据资源整合和安全保护。 推动完善适用于大数据环境下的数据分 类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据 的保护。 2）法律法规 密码“一法三规一条例” 表 1 密码一法三规一条例 密密码码政政策策法法规

14、规、条条例例标标准准 层层级级名名称称条条例例 一一法法密码法 二十七条：法律、行政法规和国家有关规 定要求使用商用密码进行保护的关键信 息基础设施，其运营者应当使用商用密码 进行保护。关键信息基础设施运营者，应 当自行或者委托商用密码检测机构开展 商用密码应用安全性评估。 三三规规 国务院办公厅关于印 发国家政务信息化项目 建设管理办法的通知 （国办发201957 号） 第四章第三十条：各部门应当严格遵守有 关保密等法律法规规定，构建全方位、多 层次、一致性的防护体系，按要求采用密 码技术，并定期开展密码应用安全性评 估，确保政务信息系统运行安全和政务信 息资源共享交换的数据安全。 10 贯

15、彻落实网络安全等 级保护制度和关键信息 基础设施安全保护制度 的指导意见 （公网安2 0201960 号） 第二部分第六点：落实密码安全防护要 求。网络运营者应贯彻落实密码法等 有关法律法规规定和密码应用相关标准 规范。第三级以上网络应正确、有效采用 密码技术进行保护，并使用符合相关要求 的密码产品和服务。 关键信息基础设施安 全保护条例（征求意见 稿） 第四章第二十三条第四点：采取数据分 类、重要数据备份和加密认证等措施。 一一条条例例 商用密码管理条例 （修订草案征求意见稿） 第六章第三十八条：非涉密的关键信息基 础设施、网络安全等级保护第三级以上网 络、国家政务信息系统等网络与信息系 统

16、，其运营者应当使用商用密码进行保 护，制定商用密码应用方案，配备必要的 资金和专业人员，同步规划、同步建设、 同步运行商用密码保障系统，自行或者委 托商用密码检测机构开展商用密码应用 安全性评估。 密密评评行行标标升升国国标标 GB/T 39786-2021信息 安全技术 信息系统密码 应用基本要求 “密码产品”方面的基本要求相比行标有 重要变化，信息系统等级保护第三级安全 要求，从行标的“宜采用 GM/T 0028 三级 及以上”，放宽为国标的“应达到 GB/T 3 11 7092 二级及以上”；对等级保护第二级安 全要求，从行标的“宜采用 GM/T 0028 二 级及以上”，放宽为国标的“

17、应达到 GB/ T 37092 一级及以上”。其次，“密码服 务”成为行业技术要求的必选项。（注： GM/T 0028 是 GB/T 37092 密码模块安全技 术要求的行标版本，行标升国标后的具体 变化见文末好文推荐） 各地区密码应用政策要求 北京市明确将密码应用建设过程中的新建项目所需经费列入 同级政府固定资产投资， 升级改造和运行维护经费列入同级财政预 算，并对密码应用情况进行事前审查。 吉林省制定出台 13 项密码应用“增量”管控措施，部署在项 目立项、项目论证、招标采购等环节，对项目建设实施管控，明确 采用密码进行保护的刚性约束。吉林省还出台 36 项密码供给能力 建设扶持政策，涵盖

18、金融、土地、税收、出口等方面，对密码产业、 产品和服务等供给侧给予优惠扶持。 江苏省财政厅、省密码管理局联合印发通知并颁布江苏省密 码产品采购管理目录，明确密码产品相关采购要求。 天津市委办公厅、市政府办公厅联合印发关于重要领域网络 与信息系统规范使用密码的通知。 12 贵州省委办公厅、省政府办公厅印发贵州省重要领域网络与 信息系统密码应用审核实施意见，要求使用财政性资金新建或改 造重要领域网络与信息系统， 应当报密码管理部进行常码使用合规 性审查， 密码部门出具的审核意见应作为财政部门审批资金的必备 材料。 河北省财政厅、密码管理局、公共资源交易监督办公室联合印 发 关于面向社会服务的政务信

19、息系统使用国产密码技术设备的通 知，要求相关信息系统在新建、改建、扩建时，与商用密码应用 同步规划、同步建设、同步运行、定期评估。 河南省制定 河南省金融和重要领域密码应用与创新发展实施 方案（20182022 年）。到 2022 年，全省应用密码技术保护网 络安全的意识普遍增强， 密码发展与我省承担的国家重大战略和新 技术新应用深度融合，供给体系和测评认证体系基本建立，密码保 障金融和重要领域网络安全的作用得到充分发挥， 有力支撑信息领 域核心技术突破，切实维护国家安全、促进经济社会发展、保护人 民群众利益。 湖北省人民政府办公厅印发 湖北省政务信息化项目建设管理 办法，要求项目建设单位应开

20、展网络与信息安全风险评估，严格 落实等级保护、分级保护和国家密码管理的要求，同步规划、同步 建设、同步运行密码保障系统并定期评估，切实保障政务信息化项 目安全稳定运行。 13 安徽省密码管理局、安徽省财政厅印发关于重要领域信息系 统密码应用工作的通知，要求凡申报使用财政性资金建设的重要 领域信息系统项目，必须提供密码应用方案。 江西省人民政府办公厅印发 江西省政务信息化项目建设管理 办法，要求各部门应当严格遵守有关保密等法律法规规定，构建 全方位、多层次、一致性的防护体系，按要求采用密码技术，并定 期开展密码应用安全性评估， 确保政务信息系统运行安全和政务信 息资源共享交换的数据安全。 3）行

21、业要求 2021 年 7 月 12 日，为深入贯彻党中央、国务院关于制造强国 和网络强国的战略决策部署，落实中华人民共和国国民经济和社 会发展第十四个五年规划和 2035 年远景目标纲要有关要求，加 快推动网络安全产业高质量发展，提升网络安全产业综合实力，工工 业业和和信信息息化化部部发发布布网网络络安安全全产产业业高高质质量量发发展展三三年年行行动动计计划划 （2 20 02 21 1- -2 20 02 23 3 年年）（征征求求意意见见稿稿），并并提提出出：“到到 2 20 02 23 3 年年，网网 络络安安全全产产业业规规模模超超过过 2 25 50 00 0 亿亿元元，年年复复合合

22、增增长长率率超超过过 1 15 5% %；一批网 络安全关键核心技术实现突破，达到先进水平；网络安全产品、服 务、解决方案单项冠军企业数量逐步壮大；电信等重点行业网络安 全投入占信息化投入比例达10%； 建成一批网络安全人才实训基地、 公共服务平台和实训靶场；产融对接更加精准高效，资本赋能作用 持续加大”的发展目标。 14 2021 年 5 月 1 日由国家互联网信息办公室、工业和信息化部、 公安部、市场监管总局发布常见类型移动互联网应用程序必要个 人信息范围规定，该规定在明确 App 基本功能服务和必要个人信 息范围的基础上， 明确要求 App 运营者不得因用户不同意收集非必 要个人信息，而

23、拒绝用户使用其基本功能服务。该规定的出台科学 地平衡了个人信息保护与促进 App 发展应用的关系， 保障了用户对 App 基本功能服务的使用权，以及对收集使用非必要个人信息的知 情权和决定权，有利于促进 App 的健康发展。 2021 年 4 月 26 日由国家互联网信息办公室、 工业和信息化部、 公安部、市场监管总局联合发布了移动互联网应用程序个人信息 保护管理暂行规定（征求意见稿），该规定界定了适用范围和监 管主体，明确了“知情同意”“最小必要”两项原则。这一新政释 放出全力捍卫公民隐私权的强烈信号，而 APP 也将面临精细监管。 2021 年 2 月 1 日发布的保险中介机构信息化工作监

24、管办法 由中国银行保险监督管理委员会正式发布， 对保险中介机构信息化 工作提出全面要求，提出实施后的一年整改自查期内，若不完成信 息化系统建设，将不得经营保险中介业务。办法将进一步提高 保险中介机构的信息化工作水平和经营管理水平， 构建新型保险中 介市场体系，促进保险业高质量发展。 2021 年 1 月 15 日发布的监管数据安全管理办法（试行） 由中国银行保险监督管理委员会正式发布， 旨在建立健全监管数据 15 安全协同管理体系，推动银保监会有关业务部门、各级派出机构、 受托机构等共同参与监管数据安全保护工作，加强培训教育，形成 共同维护监管数据安全的良好环境。 2020 年 6 月 12

25、日发布的民用航空旅客服务信息系统信息安 全保护规范 规定了民用航空旅客服务信息系统需要满足的相关信 息安全技术要求和管理要求，适用于民航旅客服务信息系统的规 划、设计、开发、运行及维护等各个阶段。 2020 年 3 月 5 日发布的关于深化医疗保障制度改革的意见 由中共中央、 国务院印发， 提出统一医疗保障业务标准和技术标准， 建立全国统一、高效、兼容、便捷、安全的医疗保障信息系统，实 现全国医疗保障信息互联互通，加强数据有序共享。规范数据管理 和应用权限，依法保护参保人员基本信息和数据安全。 2020 年 2 月 1 日施行的国家政务信息化项目建设管理办法 由国务院办公厅印发，对国家政务信息

26、系统的规划、审批、建设、 共享和监管作出规定，提出建立统一、集约化信息基础设施和安全 保障大平台，对共性应用与分散系统提供集中统一基础设施支撑， 将更加有利于提高政务信息系统的安全保障能力， 提高系统建设的 集约水平，避免重复建设。 2020 年 2 月 13 日发布的个人金融信息保护技术规范由中 国人民银行正式发布，将个人金融信息按敏感程度、泄露后造成的 危害程度，从高到低分为 C3、C2、C1 三个类别；同时，规定了个 16 人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各 环节的安全防护要求，从安全技术和安全管理两个方面，对个人金 融信息保护提出了规范性要求。 2020 年 2

27、 月 26 日发布的2020 年教育信息化和网络安全工作 要点由教育部办公厅印发，对 2020 年教育信息化和网络安全重 点工作进行了安排部署。工作要点提出，落实教育行业密码 与应用创新发展实施方案，推进密码基础设施和支撑体系建设， 有序推动教育重要业务信息系统开展密码应用安全性评估， 完善教 育数字认证（CA）基础支撑体系建设，推动国家教育管理信息系统 密码普遍应用，提升系统安全和数据安全。 4）标准规范 在国际标准化方面，自 2015 年 5 月起，我国陆续向 ISO 提出 了将 SM2、SM3、SM4 和 SM9 算法纳入国际标准提案。2017 年，SM2 和 SM9 数字签名算法正式成

28、为 ISO/IEC 国际标准；2018 年，SM3 算 法正式成为 ISO/IEC 国际标准；2020 年 4 月，ZUC 算法正式成为 ISO/IEC 国际标准； 2021 年 3 月， SM9 标识加密算法正式成为 ISO/IEC 国际标准。2021 年 6 月 25 日，我国 SM4 分组密码算法由国际标准 化组织 ISO/IEC 正式发布，成为 ISO/IEC 国际标准。 在商用密码标准体系建设方面，截至 2021 年 3 月 15 日，累计 发布密码国家标准 39 项，密码行业标准 115 项。 17 表 2：密码相关的 39 项国家标准： 国国标标号号标标准准名名称称（中中文文）采

29、采用用国国际际标标准准形形式式采采用用国国际际标标准准号号发发布布时时间间实实施施时时间间 GB/T 15852.12020 信息技术 安全技术 消息鉴 别码 第 1 部分：采用分组密 码的机制 修改采用 ISO/IEC 9797-1:2011 2020/12/142021/7/1 GB/T 386252020 信息安全技术 密码模块安 全检测要求 未采用2020/4/282020/11/1 GB/T 38635.12020 信息安全技术 SM9 标识密码 算法 第 1 部分：总则 未采用2020/4/282020/11/1 GB/T 38635.22020 信息安全技术 SM9 标识密码 算

30、法 第 2 部分：算法 未采用2020/4/282020/11/1 18 GB/T 386362020 信息安全技术 传输层密码 协议（TLCP） 未采用2020/4/282020/11/1 GB/T 38647.22020 信息技术 安全技术 匿名数 字签名 第 2 部分：采用群组 公钥的机制 修改采用 ISO/IEC 20008-2:2013 2020/4/282020/11/1 GB/T 385402020 信息安全技术 安全电子签 章密码技术规范 未采用2020/3/62020/10/1 GB/T 385412020 信息安全技术 电子文件密 码应用指南 未采用2020/3/62020

31、/10/1 GB/T 385562020 信息安全技术 动态口令密 码应用技术规范 未采用2020/3/62020/10/1 GB/T 17901.12020 信息技术 安全技术 密钥管 理 第 1 部分:框架 修改采用 ISO/IEC 11770-1:2010 2020/3/62020/10/1 19 GB/T 37033.12018 信息安全技术 射频识别系 统密码应用技术要求 第1 部 分:密码安全保护框架及安全 级别 未采用2018/12/282019/7/1 GB/T 37033.22018 信息安全技术 射频识别系 统密码应用技术要求 第2部 分:电子标签与读写器及其通 信密码应用

32、技术要求 未采用2018/12/282019/7/1 GB/T 37033.32018 信息安全技术 射频识别系 统密码应用技术要求 第3部 分:密钥管理技术要求 未采用2018/12/282019/7/1 GB/T 370922018 信息安全技术 密码模块安 全要求 未采用2018/12/282019/7/1 20 GB/T 366242018 信息技术 安全技术 可鉴别 的加密机制 修改采用 ISO/IEC 19772:2009 2018/9/172019/4/1 GB/T 34953.22018 信息技术 安全技术 匿名实 体鉴别 第 2 部分：基于群组 公钥签名的机制 等同采用 IS

33、O/IEC 20009-2:2013 2018/9/172019/4/1 GB/T 250562018 信息安全技术 证书认证系 统密码及其相关安全技术规 范 未采用2018/6/72019/1/1 GB/T 363222018 信息安全技术 密码设备应 用接口规范 未采用2018/6/72019/1/1 GB/T 205182018 信息安全技术 公钥基础设 施 数字证书格式 未采用2018/6/72019/1/1 21 GB/T 352752017 信息安全技术 SM2 密码算法 加密签名消息语法规范 未采用2017/12/292018/7/1 GB/T 352762017 信息安全技术

34、SM2 密码算法 使用规范 未采用2017/12/292018/7/1 GB/T 352912017 信息安全技术 智能密码钥 匙应用接口规范 未采用2017/12/292018/7/1 GB/T 15843.22017 信息技术 安全技术 实体鉴 别 第 2 部分：采用对称加密 算法的机制 等同采用 ISO/IEC 9798-2:2008 2017/12/292018/7/1 GB/T 352852017 信息安全技术 公钥基础设 施 基于数字证书的可靠电 子签名生成及验证技术要求 未采用2017/12/292018/7/1 22 GB/T 32918.52017 信息安全技术 SM2 椭圆

35、曲线 公钥密码算法 第 5 部分：参 数定义 未采用2017/5/122017/12/1 GB/T 335602017 信息安全技术 密码应用标 识规范 未采用2017/5/122017/12/1 GB/T 33133.12016 信息安全技术 祖冲之序列 密码算法 第 1 部分：算法描 述 未采用2016/10/132017/5/1 GB/T 329052016 信息安全技术 SM3 密码杂凑 算法 未采用2016/8/292017/3/1 GB/T 329072016 信息安全技术 SM4 分组密码 算法 未采用2016/8/292017/3/1 23 GB/T 32918.12016 信

36、息安全技术 SM2 椭圆曲线 公钥密码算法 第 1 部分：总 则 未采用2016/8/292017/3/1 GB/T 32918.22016 信息安全技术 SM2 椭圆曲线 公钥密码算法 第 2 部分：数 字签名算法 未采用2016/8/292017/3/1 GB/T 32918.32016 信息安全技术 SM2 椭圆曲线 公钥密码算法 第 3 部分：密 钥交换协议 未采用2016/8/292017/3/1 GB/T 32918.42016 信息安全技术 SM2 椭圆曲线 公钥密码算法 第 4 部分：公 钥加密算法 未采用2016/8/292017/3/1 24 GB/T 322132015

37、信息安全技术 公钥基础设 施 远程口令鉴别与密钥建 立规范 未采用2015/12/102016/8/1 GB/T 315032015 信息安全技术 电子文档加 密与签名消息语法 未采用2015/5/152016/1/1 GB/T 298292013 信息安全技术 可信计算密 码支撑平台功能与接口规范 未采用无2013/11/122014/2/1 GB/T 179642008 信息安全技术 分组密码算 法的工作模式 未采用无2008/6/262008/11/1 GB/T 15843.42008 信息技术 安全技术 实体鉴 别 第 4 部分: 采用密码校验 函数的机制 等同采用 ISO/IEC 9

38、798-4:1999 2008/6/192008/11/1 25 GB/T 18238.22002 信息技术 安全技术 散列函 数 第2部分:采用n位块密码 的散列函数 等同采用 ISO/IEC 10118-2:2000 2002/7/182002/12/1 26 2 2. . 产产业业正正处处于于高高速速发发展展期期 当前，商用密码市场主要参与者可分为政府、需求方、国内供 给方和全球化供给方。政府负责发展规划、法规制定、市场准入、 推动产业补贴等统筹性工作； 需求方主要是具有合规和实战防护需 求的党政机关、央企国企、金融及重要领域行业等；供给方主要是 可提供商用密码技术、产品和解决方案的供应

39、商。 纵观商用密码技术和市场演变，可归类和推演出三个关键时 期、一个转折点： 美美国国科科技技引引领领的的全全球球化化期期：2000 年至 2015 年，是美国科技 引领的、自由竞争的全球化期。在本阶段，美国密码技术占有绝 对技术和市场领先地位。以数字证书为例，基于 RSA 等国外算法 的 PKI 产品，占据国内网站的绝大部分市场占有率，此时自主可 控等政策处于酝酿阶段。 内内循循环环转转折折点点： 2015 年前后，密码技术和市场迎来内循环 转折点。在此之前，S SM M2 2、S SM M3 3、S SM M4 4 等等国国密密算算法法陆陆续续公公开开，2012 年 3 月， 国家密码管理

40、局批准了六项密码行业标准： GM/T0001-2012 祖冲之序列密码算法 ， GM/T0002-2012 SM4 分组密码算法 (原 SMS4 分组密码算法)，GM/T0003-2012SM2 椭圆曲线公钥密码算 法，GM/T0004-2012SM3 密码杂凑算法，GM/T0005-2012随 机性检测规范，GM/T0006-2012密码应用标识规范。紧接着， 2012 年 12 月，国家密码管理局又批准了 GM/T0009-2012SM2 密 27 码算法使用规范等 14 项密码行业标准。此外，2013 年开始，随 着斯诺登陆续曝光美国“棱镜计划”和不断披露的“后门”事件， 我国 “十三五

41、” 规划中战略性提出自主可控等要求， 随着后续 2017 年中美贸易摩擦开始并持续升级，信息技术领域暴露出“卡脖子” 风险。从此，完善技术和产业供应链、改变受制于人的局面成为 体系化坚定共识。 商商用用密密码码高高速速发发展展期期：2015 年至预估 2030 年，是商用密码 高速发展期。在本阶段，密码技术需要持续提升产业竞争力。在 金融和重要领域密码应用与创新发展工作规划 （2018-2022 年） 、 密码法、“三规一条例”等相关政策法规引导下，密码需求 侧和国内供给侧充分发展，辅以政策补贴扶持，密码产业技术创 新加速推进，商用密码应用推广不断加速。 商商用用密密码码成成熟熟期期：演进到商

42、用密码成熟期后，密码技术和产 业有望达到国际领先水平，密码技术将从技术、产品、应用等方 面形成较强综合竞争力，为数字经济提供基础性安全支撑，为中 国乃至全球的信息技术及供应链安全提供保障。 当下，密码产业正处商用密码高速发展期，诸多行业及用户 都对信息安全提出较高要求，比如政府、军工、央企、科研院所、 金融、能源等行业，以及云计算、物联网等领域的各级用户。这 些行业的总体信息化进程仍处快速发展阶段，刺激密码产品、集 成及服务需求持续增长，激发市场潜力。 28 3 3. . 监监管管体体系系取取得得丰丰硕硕成成果果 从初创到规范管理， 再到成为我国安全保障体系中的关键部分 的发展演变，在检测认证

43、体系、安全评估机制、进出口管理等监管 体系建设方面，也均取得丰硕成果。 初初步步建建立立商商用用密密码码检检测测认认证证体体系系。国家密码管理局、市场监管 总局共同发布关于调整商用密码产品管理方式的公告 关于开 展商用密码检测认证工作的实施意见商用密码产品认证目录 （第 一批）商用密码产品认证规则等，取消“商用密码产品品种 和型号审批”，由市场监管总局会同国家密码管理局建立国家统一 推行的商用密码认证制度， 采取支持措施鼓励商用密码产品获得认 证。截至 2020 年 7 月，商用密码产品型号证书换发认证证书工作 已顺利完成。 密密码码应应用用安安全全性性评评估估机机制制不不断断完完善善。2 2

44、0 02 21 1 年年 6 6 月月 1 16 6 日日，国家 密码管理局第 42 号公告，发布最新的商用密码应用安全性评估 试点机构目录，明确了 48 家商用密码应用安全性评估试点机构。 在商用密码应用与安全性评估中则全面介绍了密码的概念、作 用、技术和功能，密码应用与安全性评估相关政策法规，以及商用 密码产品的基本形态、遵循标准和应用要点，并以 8 种典型应用场 景为案例，阐释密码应用方案和安全性评估的实施要求和关键点。 商商用用密密码码进进出出口口管管理理进进一一步步规规范范。根据密码法规定，商务部、 国家密码管理局依法对涉及国家安全、社会公共利益且具有加密 保护功能的商用密码实施进口

45、许可，对涉及国家安全、社会公共 29 利益或者中国承担国际义务的商用密码实施出口管制。国家密码 管理局、商务部、海关总署共同发布第 38 号公告，对商用密码进 口许可清单和出口管制清单公布前后的操作进行了说明，商用密 码进口许可清单和出口管制清单由商务部会同国家密码管理局和 海关总署制定并公布。 总体来看，密密码码监监管管市市场场可可以以概概括括为为“一一收收一一放放”。“一收” 是指通过国务院办公厅关于印发国家政务信息化项目建设管理 办法的通知（国办发201957 号）、贯彻落实网络安全等 级保护制度和关键信息基础设施安全保护制度的指导意见（公 网安20201960 号），对政务、网络安全等

46、级保护（简称“等 保”）、关键信息基础设施安全保护（简称“关保”）等头部市 场“收”紧监管力度，拉动合规需求规模，提升合规供给质量； “一放”是指对商业市场落实“放管服”，“放”宽市场准入， 充分唤醒密码需求。差异化的市场监管营造了更加公平开放的密 码商业环境，有效激活国内密码市场潜力，并鼓励商用密码产业 “走出去”，构建国内大循环为主体、国内国际双循环相互促进 的新格局。 4 4. . 融融合合应应用用取取得得长长足足发发展展 2020-2021 中国商用密码产业发展报告显示，2 20 01 16 6 年年到到 2 20 02 20 0 年年，我我国国商商用用密密码码产产业业总总体体规规模模

47、保保持持高高增增长长率率，2 20 02 20 0 年年商商用用 密密码码产产业业规规模模突突破破 4 46 66 6 亿亿元元，年年复复合合增增长长率率超超 3 33 3% %。 30 表 3：2016-2020 年商用密码产业总体规模及增长率 数据来源：2020-2021 中国商用密码产业发展报告 随着信息技术产业的持续发展和完善， 密码产品也随之迭代丰 富，已经有 2200 余款产品取得商用密码产品认证证书，品类涵盖 了密码芯片、密码板卡、密码机、密码系统、密码模块等全产业链 条，形成了完整的商用密码产品供给体系。据国家商用密码检测中 心报告披露，截止到 2021 年 4 月 1 日，我

48、国发放的密码产品认证 证书已达 2447 张。我国商用密码产品自主创新能力持续增强，产 品支撑能力不断提升，部分产品性能指标已达到国际先进水平。 如今，密码应用深度融合到了社会生产生活的方方面面，从涉 及政府安全的保密通信，到涉及国民经济的金融交易、防伪税控， 再到涉及公民权益的电子支付、网上办事等，密码技术渗透到各领 域信息系统的业务环节，构建了密码保障体系，从而发挥出信息安 全基础支撑作用， 并初步实现了商用密码产品与行业场景特点的融 合应用。 目前，国内有超过 80 家金融保险机构在电子保单、电子投保 等业务方面，基于商用密码技术实现了国密数字证书的全面应用。 基于密码模块生产的智能电表

49、超 5 亿只，用户卡发放超 1 亿张；采 31 用密码技术的二代身份证和港澳台居民居住证共累计发行超过 19 亿张；机动车检验标志电子凭证覆盖超过 1.5 亿辆；第三代社会保 障卡覆盖超过 4800 万户； 近 2700 万台移动智能终端基于密码技术 实现了数字版权保护；10 个省（区、市）已完成基于密码技术的 政务云试点建设，覆盖服务用户超过 5000 万，累计签发数字证书 超过数亿；密码技术在交通、能源等基础设施的密码支撑体系已初 具规模。（注：数据引用于国家密码管理局发文） 在应用需求的带动下， 一批具有较大产业规模和市场竞争力的 商用密码领军企业崭露头角，正影响并引领商用密码产业强势发

50、 展。目前，我国已有 1200 余家商用密码企业，对比 2017 年的 740 家，商用密码企业数量呈现持续增长的趋势，主要分布在北京、广 东、浙江、上海、江苏等区域，主要客户集中于政府机构、金融、 交通、大型企事业、电信运营商等行业和领域。国内商用密码行业 已上市企业包括卫士通、数字认证、飞天诚信、格尔软件、吉大正 元、信安世纪等，营业收入高达 3-20 亿元以上。同时，行业也涌 现出一批新锐密码创业企业，以技术创新为驱动，不断提升产品研 发、专利成果、服务能力及管理水平，践行责任与担当，为政府、 金融、教育、医疗、文旅、央企、制造业、电信及互联网等行业， 提供高价值的基于密码技术的数据安全