1、数 观 天 下指 导 单 位：杭 州 市 商 用 密 码 应 用 协 会 数观天下是致力于服务中国商用密码领域的卓越品牌和专业性分析媒体，以赋能商用密码领域实现更高成就为使命，连接和服务各大企业、机构投资者、地方政府、个人用户等商密行业内社群，推动商密行业快速、稳健、可持续地向前发展。数观天下团队在安全领域深耕多年，对商用密码行业发展有深入研究，拥有来自东软、启明、信安世纪等商密领域专家团队、行业分析团队及资深媒体团队。初心不忘共成长初心不忘共成长 凝心聚力谱新篇凝心聚力谱新篇团队介绍落实商用密码领域关于技术、产品、市场及应用方面的交流活动，成为最懂甲方的商用密码行业咨询媒体。长远长远目标目标

2、数 观 天 下密评的概述密评的概述密评市场格局密评市场格局BUSINESS REPORT目录目录密评产品产业图密评产品产业图发展展望发展展望1342国家密码管理局及检测中心全国共48家评估准则GB/T39786-2021信息安全技术信息系统密码应用基本要求是针对信息系统密码应用的通用评估标准政务、金融、能源什么是密码应用安全性评估（密评）数 观 天 下商用密码应用安全性评估商用密码应用安全性评估(简称简称“密评密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。通过以评

3、促改、以评促用，逐步规范网络运营者的密码使对其密码应用的合规性、正确性和有效性进行评估。通过以评促改、以评促用，逐步规范网络运营者的密码使用和管理行为，最终确保密码使用的用和管理行为，最终确保密码使用的正确、合规、有效。正确、合规、有效。法律、行政法规和国家有关规定要求使用商用密码进行保护的，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。123明确要求应同步规划、同步建设、同步运行密码保障系统并定期进行评估；对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。各单位要

4、：三同步阶段做好工作，做好定期评估（一年一评）;57实施前已经完成审批，且正在建设的项目，补方案，补建设、验收前完成密评;57实施前完成验收的，（2020）今年内应完善方案、并组织开展密评。第四十七条【非涉密网络密码保护】应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。45第三十八条非涉密的，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同

5、步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。密码法密码法国家政务信息化项目建设管理办法国家政务信息化项目建设管理办法关于请进一步加强国家政务信息系关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函统密码应用与安全性评估工作的函网络安全等级保护条例（征求意见稿）网络安全等级保护条例（征求意见稿）商用密码管理条例（修订草案征求商用密码管理条例（修订草案征求意见稿）意见稿）为什么做密评？数 观 天 下全面推进密码工作全面推进密码工作各行业密码政策政务、金融、交通、能源、水利、医疗等重要领域对密码应用及商用密码应用安全性评估提出了明确政

6、务、金融、交通、能源、水利、医疗等重要领域对密码应用及商用密码应用安全性评估提出了明确的要求。特别是的要求。特别是2022年国务院发布年国务院发布“十四五十四五”数字经济发展规划，各行业进一步加强密码应用工数字经济发展规划，各行业进一步加强密码应用工作在行业的落地，切实防范重要信息系统安全风险，助力网络强国建设。作在行业的落地，切实防范重要信息系统安全风险，助力网络强国建设。“十 四 五”水 利 科 技 创 新 规 划开展水利关键信息基础设施网络安全防护体系研究,构建网络安全监控平台,研制安全可控的水利关键信息基础设施核心装备,并基于国产密码技术开展数据安全防护研究水利金融中 国 人 民 银

7、行 关 于 推 进 金 融 I C 卡 应 用 工作 的 意 见中国人民银行对银行机构使用的密码基础设施、金融 IC 卡、网上银行、移动支付、关键信息系统提出了密码应用要求，要求采用符合国家密码法律法规和标准要求的密码算法和密码产品，构建安全可控的密码保障体系。能源电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全保护测评、商用密码应用安全性评估等工作，未达到要求的应及时进行修改。电 力 行 业 网 络 安 全 管 理 办 法（修 订 征 求意 见 稿）政务“十 四 五”推 进 国 家 政 务 信 息 化 规 划加强数字政府网络安全体系顶层设计，推进国产密码应用，严格落实等级保

8、护和分级保护制度。药 品 监 管 网 络 安 全 与 信 息 化 建 设“十 四五”规 划加强网络安全保障管理，完善网络安全保障体系，健全网络安全管理制度，开展信息系统安全等级保护备案与信息安全等级保护测评、密码应用安全性评估等工作。医疗交通交 通 领 域 科 技 创 新 中 长 期 发 展 规 划 纲 要（2 0 2 1 2 0 3 5 年）加快新一代信息技术及空天信息技术与交通运输融合创新应用，推动交通运输领域商用密码创新应用，加快发展交通运输新型基础设施。数 观 天 下教育部教育部公安部公安部财政部财政部交通运输部交通运输部水利部水利部国家卫健委国家卫健委国家市场监督管理总局国家市场监督

9、管理总局国家能源局国家能源局自然资源部自然资源部在科研网、教育管理、教育资源、电子校务、教育基在科研网、教育管理、教育资源、电子校务、教育基础数据、教育卡等信息系统中加强密码应用。础数据、教育卡等信息系统中加强密码应用。在三级及以上信息系统、国家级信息化项目、公安在三级及以上信息系统、国家级信息化项目、公安信息网基础设施、面向社会服务的政务信息系统中信息网基础设施、面向社会服务的政务信息系统中加强密码应用。加强密码应用。要求采购需求应当落实国家密码管理有关法律法规、要求采购需求应当落实国家密码管理有关法律法规、政策和标准规范的要求，同步规划、同步建设、同政策和标准规范的要求，同步规划、同步建设

10、、同步运行密码保障系统并定期进行评估。步运行密码保障系统并定期进行评估。在在ETC系统、交通一卡通系统、联网售票系统、出系统、交通一卡通系统、联网售票系统、出行服务系统、等重要信息系统加强密码应用。行服务系统、等重要信息系统加强密码应用。要求，在重要水利枢纽、重要水文水利系统中加要求，在重要水利枢纽、重要水文水利系统中加强密码应用。国务院三峡办要求，在三峡水利枢强密码应用。国务院三峡办要求，在三峡水利枢纽工业控制系统中加强密码应用。纽工业控制系统中加强密码应用。要求，建设卫生计生行业密码应用基础设施，在人要求，建设卫生计生行业密码应用基础设施，在人口健康信息平台、卫生计生行业重要信息系统中加口

11、健康信息平台、卫生计生行业重要信息系统中加强密码应用。强密码应用。在工商部门面向社会服务的信息系统中，加快推进在工商部门面向社会服务的信息系统中，加快推进基于密码的网络信任、安全管理和运行监管体系建基于密码的网络信任、安全管理和运行监管体系建设，规范密码应用。设，规范密码应用。在电力系统、核电厂、石油天然气、油气管道等重在电力系统、核电厂、石油天然气、油气管道等重要信息系统和重要工业控制系统中加强密码应用。要信息系统和重要工业控制系统中加强密码应用。在卫星导航基准站、面向社会服务的测绘地理信息在卫星导航基准站、面向社会服务的测绘地理信息政务系统中加强密码应用。政务系统中加强密码应用。各行业密码

12、政策教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门，均制定了本领域密码应用教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门，均制定了本领域密码应用总体规划或工作方案，明确要求使用符合国家密码法律法规和标准规范的密码算法和密码产品，实现总体规划或工作方案，明确要求使用符合国家密码法律法规和标准规范的密码算法和密码产品，实现密码在本领域的全面应用。密码在本领域的全面应用。数 观 天 下重要信息系统重要信息系统面向社会服务的政务信息系统面向社会服务的政务信息系统党政机关和使用财政性资金的事业单位和团党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息

13、系统。体组织使用的面向社会服务的信息系统。重要工业控制系统重要工业控制系统核设施、航空航天、先进制造、石油石化、核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。城市设施等重要工业控制系统。能源、教育、公安、测绘地理信息、社保、能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。础信息资源的重要信息系统。基础信息网络基础信息网络电信网、广播电视网、互联网。电信网、广播电视网、互联网。谁要做密评？数 观 天 下信息

14、安全技术信息系统密码应用基本要求信息安全技术信息系统密码应用基本要求GB/T 39786信息系统密码应用测评过程指南信息系统密码应用测评过程指南GM/T 0116-2021信息系统密码应用测评要求信息系统密码应用测评要求GM/T 0115-2021商用密码应用安全性评估量化评估规则商用密码应用安全性评估量化评估规则信息系统密码应用高风险判定指引信息系统密码应用高风险判定指引商用密码应用安全性评估报告模板商用密码应用安全性评估报告模板网络安全等级保护基本要求网络安全等级保护基本要求GB/T 22239网络安全等级保护安全设计技术要求网络安全等级保护安全设计技术要求网络安全等级保护测评过程指南网络

15、安全等级保护测评过程指南网络安全等级保护测评要求网络安全等级保护测评要求网络安全等级保护测试评估技术指南网络安全等级保护测试评估技术指南网络安全等级保护定级指南网络安全等级保护定级指南GB/T 22240网络网络安全等级保护测评高风险判定指引安全等级保护测评高风险判定指引网络安全等级保护等级测评报告模板网络安全等级保护等级测评报告模板密评和等保的关系密码应用安全性测评密码应用安全性测评网络安全等级保护网络安全等级保护数 观 天 下项目启动项目启动测评对象确定测评对象确定信息收集分析信息收集分析工具和表单准备工具和表单准备测评指标确定测评指标确定测评检查点确定测评检查点确定测评方案编制测评方案编

16、制测评内容确定测评内容确定测评指导书开发测评指导书开发现场测评准备现场测评准备现场测评和结果记录现场测评和结果记录结果确认和资料归还结果确认和资料归还单项测评结果判定单项测评结果判定单元测评结果判定单元测评结果判定整体测评整体测评风险分析风险分析密码测评结论形成密码测评结论形成密码测评报告编制密码测评报告编制测测评评准准备备方方案案编编制制现现场场测测评评分分析析与与报报告告编编制制修修订订密码测评过程主要密码测评过程主要分为分为4个阶段：个阶段：测评准备；测评准备；方案编制；方案编制；现场测评；现场测评；报告编制；报告编制；密评测评过程密评测评过程数 观 天 下密码技术密码技术应用要求应用要

17、求管理要求技术要求应用和数据安全设备和计算安全网络和通信安全物理和环境安全应急处置建设运行人员管理管理制度密评技术标准数 观 天 下根据根据GB T 39786-2021 信息安全技术信息安全技术 信息系统密码应用基本要求信息系统密码应用基本要求适用范围：指导、规范和评估信息系统密码应用的规划、建设、运行及测评。适用范围：指导、规范和评估信息系统密码应用的规划、建设、运行及测评。技术层面：物理和环境安全、网络和通信安全、设备与计算安全、应用和数据安全。技术层面：物理和环境安全、网络和通信安全、设备与计算安全、应用和数据安全。技术要求：管理制度、人员管理、建设运行、应急处置技术要求：管理制度、人

18、员管理、建设运行、应急处置密评技术架构数 观 天 下序号序号测评项测评项测评单元测评单元权重权重分值分值备注备注约约束束部署产品部署产品1物理和环境安全（10分）身份鉴别14.1667高风险宜国密门禁2电子门禁记录数据存储完整性0.72.9167宜3视频记录数据存储完整性0.72.9167宜与服务器密码机对接或部署国密视频监控4网络和通信安全（15分）身份鉴别13.9474高风险应SSL VPN或IPSec VPN5通信数据完整性0.72.7632宜SSL VPN或IPSec VPN 6通信过程中重要数据的机密性13.9474高风险应SSL VPN或IPSec VPN7网络边界访问控制信息的完

19、整性0.72.7632宜8安全接入认证0.41.5789可SSL VPN或IPSec VPN9设备和计算安全（15分）身份鉴别13.1250高风险应国密USBkey，双因素登录10远程管理通道安全13.1250高风险应SSL VPN或IPSec VPN11系统资源访问控制信息标记完整性0.72.1875宜数字签名系统开发对接（需要开发）12重要信息资源安全标记完整性0.72.1875宜不适用（不得分）13日志记录完整性0.72.1875宜日志审计与服务器密码机对接开发14重要可执行程序完整性、重要可执行程序来源真实性0.72.1875宜USBKey或签名系统（需要开发）15应用和数据安全（30

20、分）身份鉴别14.0541高风险应USBkey、手机盾，或签名验签服务器16访问控制信息完整性0.72.8378宜与服务器密码机或签名验签系统对接开发17重要信息资源安全标记完整性0.72.8378宜不适用（不得分）18重要数据传输机密性14.0541高风险应部署SSL VPN或国密浏览器+签名服务器19重要数据存储机密性14.0541高风险应与服务器密码机对接开发，或通过数据库加密系统20重要数据传输完整性14.0541宜部署SSL VPN或签名服务器21重要数据存储机密性14.0541高风险宜与服务器密码机对接开发，或通过数据库加密系统22不可否认性14.0541高风险宜部署电子签章系统、

21、时间戳服务器、签名验签服务器实现23安全管理（30分）可以得分25.0000预估分数24最终预估得分三级系统建设套餐数 观 天 下密评产品目录数 观 天 下密评产品目录数 观 天 下密评机构数 观 天 下商用密码应用安全性评估试点机构目录商用密码应用安全性评估试点机构目录（共（共 48 家，以行政区划为序）家，以行政区划为序）密评机构分布数 观 天 下数据显示，全国数据显示，全国48家密评机构主要分布在在北京、杭州、成都等地。家密评机构主要分布在在北京、杭州、成都等地。密评市场规模20203879.92 93.92 47.95 290 422.6 112.9 175.9 443.6 562.5

22、 570.6 316.02021 297.7 116.2 667.0 318.0 1376 1163 001100 13832022 130741702 3718一月二月三月四月五月六月七月八月九月十月十一月十二月-0003000400050006000700080002020-2022密评市场交易额(单位:万)211.84760.55732.571449.291081.112857.0329673283800400050006000700080009000第一季度第二季度第

23、三季度第四季度2020-2022密评市场交易额(单位:万)202020212022数 观 天 下数据显示，从密码法、数据显示，从密码法、GB T 39786-2021 信息安全技术信息安全技术 信息系统密码应用基本要求信息系统密码应用基本要求相关政策发布相关政策发布后，中国密评市场成快速上升趋势，后，中国密评市场成快速上升趋势，2020年密评市场大概约年密评市场大概约3154万，万，2021年密评市场大概约年密评市场大概约9000万，万，2022年密评年密评1-7月份市场大概约月份市场大概约1.4亿，预计到年底约亿，预计到年底约2亿以上，同期增长亿以上，同期增长2倍以上。倍以上。密评市场分布广

24、东AFBDEC浙江湖北湖南宁夏云南主 要主 要省 份省 份数 观 天 下数观结合市场交易数据、成交金额、政策关注度等整理出商密市场热度十大省份，可以看出广东、浙江数观结合市场交易数据、成交金额、政策关注度等整理出商密市场热度十大省份，可以看出广东、浙江、湖北等湖北等无论从需求和市场热度上都比较靠前，其次是无论从需求和市场热度上都比较靠前，其次是云南、湖南云南、湖南等区域等区域，城市主要分布在广州、珠海、，城市主要分布在广州、珠海、镇江等。镇江等。密评行业分布72775204060801

25、00120140160一月二月三月四月五月六月七月八月九月十月十一月十二月-2022年密评市场交易数量（单位年密评市场交易数量（单位:个）个）2020年2021年2022年数据显示，在数据显示，在2020-2022年整体密评市场中，主要集中在政务、金融、医疗等三大行业，同时，大年整体密评市场中，主要集中在政务、金融、医疗等三大行业，同时，大部分客户都会选择把密评和等保检测或咨询合并到一个项目中，我们认为，在未来，可能下一步将部分客户都会选择把密评和等保检测或咨询合并到一个项目中，我们认为，在未来，可能下一步将进入能源、公安等。进入能源、公安等。数 观 天 下03010

26、402密评发展展望密评发展展望商密整体市场发展方面，可能还需一段时间，预计未来3-5年用户单位和供应商才能正确认识到密码对网络安全的作用行业客户发展行业客户发展大部分用户单位还不明白密评工作的内容，仍处在为了通过密评而进行密评建设或密评改造的思想意识阶段。我们认为，密码厂商应对客户的真实需求、业务流程和应用场景及特征有深入的了解，辅导用户密码的重要性，才能为用户提供最优的解决方案。人才建设人才建设商密整体招聘上看，密码行业人才稀缺，需求量巨大，正处于供不应求的状态，要加快形成有利于人才成长的培养机制。密码市场布局密码市场布局在国家密码应用政策和数字经济安全需求的双重驱动下，促进了整体市场的发展，密评建设框架体系逐步形成，从市场数据来看，当前商密市场需求旺盛，密评+建设改造项目遍地开花，除了传统密码厂商，业界众多的网络安全企业也已经进入这个赛道发展展望数 观 天 下