報告出品/作者：華創(chuàng)證券、鄧怡,魏宗

以下為報告原文節(jié)選

------

一、密評：密碼產(chǎn)業(yè)發(fā)展的關(guān)鍵一環(huán)

（一）密碼：保障網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐

《中華人民共和國密碼法》明確密碼定義：密碼是指采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。密碼技術(shù)是保障網(wǎng)絡(luò)信息安全的核心技術(shù)，從功能上看，主要包括加密保護技術(shù)和安全認證技術(shù)。加密保護是指采用特定變換的方法，將原來可讀的信息變成不能直接識別的符號序列。安全認證是指采用特定變換的方法，確認信息是否完整、是否被篡改、是否可靠以及行為是否真實。密碼在網(wǎng)絡(luò)空間中對于身份鑒別、安全隔離、信息加密、完整性保護和抗抵賴性等方面具有不可替代的重要作用，可實現(xiàn)信息的機密性、真實性、數(shù)據(jù)的完整性和行為的不可否認性。

《中華人民共和國密碼法》中將密碼劃分為核心密碼、普通密碼和商用密碼。核心密碼、普通密碼屬于國家秘密，商用密碼用于保護不屬于國家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全，一般生活中接觸更多的

是商用密碼。

商用密碼技術(shù)，是保障信息安全的核心技術(shù)：

從功能上看，主要包括加密保護技術(shù)和安全認證技術(shù)；

從內(nèi)容上看，主要包括密碼算法、密鑰管理和密碼協(xié)議。

商用密碼產(chǎn)品，即承載密碼技術(shù)、實現(xiàn)密碼功能的實體。

按照形態(tài)劃分：分為六類，即軟件、芯片、模塊、板卡、整機、系統(tǒng)；

按照功能劃分：分為七類，即密碼算法類、數(shù)據(jù)加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。

（二）密評：密碼行業(yè)發(fā)展不可或缺的一環(huán)

1、什么是密評？

商用密碼應(yīng)用安全評估（簡稱“密評”）：是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進行評估。

合規(guī)性：信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求，使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過國家密碼管理部門核準(zhǔn)或由具備資格的機構(gòu)認證合格。

正確性：系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機制按照相應(yīng)的密碼國家和行業(yè)標(biāo)準(zhǔn)進行正確的設(shè)計和實現(xiàn)，密碼保障系統(tǒng)建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確。

有效性：密碼安全防護機制設(shè)計合理，在系統(tǒng)運行過程中能夠發(fā)揮密碼效用，保障信息的機密性、完整性、真實性、抗抵賴性。

2、主要密評對象

密評的主要對象包括關(guān)基、等保三級及以上系統(tǒng)、國家政務(wù)系統(tǒng)，密評頻率為每年至少一次。根據(jù)《商用密碼管理條例（修訂草案征求意見稿）》第六章第三十八條，非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級及以上系統(tǒng)、國家政務(wù)等重要信息系統(tǒng)，其運營者應(yīng)當(dāng)使用商用密碼進行保護，開展商用密碼應(yīng)用安全性評估，通過商用密碼應(yīng)用安全性評估方可投入運行，運行后每年至少進行一次評估。同時，根據(jù)《商用密碼應(yīng)用安全性評估管理辦法（試行）》第一章第三條：“涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位應(yīng)當(dāng)健全密碼保障體系，實施商用密碼應(yīng)用安全性評估”。重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上信息系統(tǒng)。

等保三級信息系統(tǒng)：在《信息安全等級保護管理辦法》中，根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，將網(wǎng)絡(luò)信息系統(tǒng)的安全等級保護從低到高分為五級。等保三級信息系統(tǒng)指信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重損害，或者對國家安全造成損害的信息系統(tǒng)。

關(guān)鍵信息基礎(chǔ)設(shè)施：關(guān)基的概念首次提出和范圍明確是在《網(wǎng)絡(luò)安全法》中，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破環(huán)、喪失功能或數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南（試行）》，對關(guān)鍵信息基礎(chǔ)設(shè)施做以下認定：

3、密評工作參考的主要標(biāo)準(zhǔn)

基本要求：主要依據(jù)國家標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，此標(biāo)準(zhǔn)于2021年10月1日正式實施，旨在指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運行及測評，對于規(guī)范和引導(dǎo)信息系統(tǒng)合規(guī)、正確、有效應(yīng)用密碼，切實維護國家網(wǎng)絡(luò)與信息安全具有重要意義。

評估方法：目前主要參考的文件是2021年發(fā)布的GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》、GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》，中國密碼學(xué)會密評聯(lián)委會修訂形成的《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》。

量化評估結(jié)果判定規(guī)則：根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則》，若整體量化評估結(jié)果為100 分，則判定被測信息系統(tǒng)符合GB/T 39786-2021 相應(yīng)等級要求；結(jié)果低于100 分、不低于閾值，且經(jīng)風(fēng)險評估發(fā)現(xiàn)沒有高風(fēng)險，則判定被測信息系統(tǒng)基本符合GB/T 39786-2021 相應(yīng)等級要求；否則，判定被測信息系統(tǒng)不符合GB/T 39786-2021 相應(yīng)等級要求。

4、密評涉及的主要產(chǎn)品及測評技術(shù)

根據(jù)《信息系統(tǒng)密碼應(yīng)用測評要求》，進行測評的典型密碼產(chǎn)品有智能IC卡/智能密碼鑰匙、密碼機、VPN 產(chǎn)品和安全認證網(wǎng)關(guān)、電子簽章系統(tǒng)、動態(tài)口令系統(tǒng)、電子門禁系統(tǒng)、證書認證系統(tǒng)。密評通過相關(guān)技術(shù)手段對密碼產(chǎn)品實施測評，檢驗產(chǎn)品是否具備傳輸機密性、存儲機密性、傳輸完整性、存儲完整性、真實性、不可否認性的密碼功能。

5、以政務(wù)信息系統(tǒng)為例，看密評工作全流程

密評工作主要分為兩個階段：一是信息系統(tǒng)規(guī)劃階段的密碼應(yīng)用方案評估，這一環(huán)節(jié)主要用于保證建設(shè)方案的安全性；二是信息系統(tǒng)建設(shè)完成后針對該系統(tǒng)開展現(xiàn)場測試。方案評估階段：主要針對新建或改造信息系統(tǒng)，密碼應(yīng)用改造方案一般由用戶單位組織編寫，用戶單位編寫密碼應(yīng)用建設(shè)方案/改造方案后，應(yīng)委托專家對方案進行評估或委托密評機構(gòu)出具方案密評報告。系統(tǒng)評估階段：主要依據(jù)國標(biāo)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)、安全管理等方面開展評估。

6、密評服務(wù)收費情況

根據(jù)密評項目的難度與要求不同，密評項目服務(wù)收費方差較大，密評服務(wù)收費中位數(shù)在16萬左右。

7、商用密碼應(yīng)用改造環(huán)節(jié)

密評過程中不合格以及需進一步提高的環(huán)節(jié)，需要對其進行密碼改造。密碼改造項目建設(shè)單位需從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等四個層面采用密碼技術(shù)措施，建立安全的密鑰管理方案，采取有效的安全管理措施，進行系統(tǒng)保護。

密碼改造產(chǎn)品主要包括服務(wù)器密碼機、安全網(wǎng)關(guān)、簽名驗簽服務(wù)器等。功能來看，服務(wù)器密碼機能夠為各類業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)加/解密、數(shù)字簽名/驗簽以及密鑰管理等高性能密碼服務(wù)；安全網(wǎng)關(guān)能為用戶提供可信身份認證、訪問控制、傳輸加密等密碼安全服務(wù)；簽名驗簽服務(wù)器具有數(shù)字簽名、身份認證等功能，可為于電子商務(wù)、CA認證、網(wǎng)上銀行等服務(wù)器端提供密碼服務(wù)。一套系統(tǒng)最小化的密改方案除了上述產(chǎn)品外，客戶端還需加上key和安全瀏覽器，金額總計為60萬元左右，考慮到客戶信息系統(tǒng)規(guī)模大小、功能，一般改造花費為100-200萬元。

從密碼產(chǎn)品及服務(wù)供應(yīng)的產(chǎn)業(yè)鏈分析，密碼產(chǎn)業(yè)鏈上游包括安全芯片、印刷電路板、服務(wù)器三大類；中游為以密碼技術(shù)為核心的產(chǎn)品，包括密碼機/密碼卡、數(shù)字證書、vpn、令牌、電子簽章、量子加密六大類；下游主要是軟件、系統(tǒng)集成及應(yīng)用領(lǐng)域。

二、密碼行業(yè)迎來數(shù)字化+合規(guī)+信創(chuàng)三重共振歷史機遇

（一）密評行業(yè)處于推廣發(fā)展期，為密碼行業(yè)發(fā)展提供安全屏障

根據(jù)煉石網(wǎng)絡(luò)整理結(jié)果，我國密評行業(yè)經(jīng)歷了五個時期，當(dāng)前正處于推廣發(fā)展期：

制度奠基期（2007年11月至2016年8月）：2007年11月27日，國家密碼管理局印發(fā)《信息安全等級保護商用密碼管理辦法》，要求等保密評工作由國家密碼管理局指定的測評機構(gòu)承擔(dān)。2009年12月15日，國家密碼管理局印發(fā)了管理辦法實施意見，進一步明確了與密碼測評有關(guān)的要求。

再次集結(jié)期（2016年9月至2017年4月）：國家密碼管理局起草《商用密碼應(yīng)用安全性評估管理辦法(試行)》。2017年4月22日，正式印發(fā)《關(guān)于開展密碼應(yīng)用安全性評估試點工作的通知》，在七省五行業(yè)開展密評第一次試點工作。

體系建設(shè)期（2017年5月至2017年9月）：國家密碼管理局成立了密評領(lǐng)導(dǎo)小組，2017年9月27日，國家密碼管理局印發(fā)《商用密碼應(yīng)用安全性測評機構(gòu)管理辦法(試行)》、《商用密碼應(yīng)用安全性測評機構(gòu)能力評審實施細則(試行)》、《信息系統(tǒng)密碼應(yīng)用基本要求》和《信息系統(tǒng)密碼測評要求(試行)》，我國密評制度體系初步建立。

密評試點開展期（2017年10月至2021年）：2019年開啟第二批密評試點工作。2020年7月29日，國家密碼管理局發(fā)布《商用密碼應(yīng)用安全性評估試點機構(gòu)目錄》，確定24家全國密評試點機構(gòu)。2021年6月11日，國家密碼管理局發(fā)布《商用密碼應(yīng)用安全性評估試點機構(gòu)目錄》，密評試點機構(gòu)擴大至48家。

推廣發(fā)展期（2021年至今）：“十四五”時期數(shù)字化引領(lǐng)密評加速推廣發(fā)展，金融、政務(wù)、教育、電信等行業(yè)將實現(xiàn)密評規(guī)?；季?。

-----------報告摘錄結(jié)束 更多內(nèi)容請閱讀報告原文-----------

報告合集專題一覽 X 由【虎鯨報告】定期整理更新

科技 / 電子 / 半導(dǎo)體 /

人工智能 | Ai產(chǎn)業(yè) | Ai芯片 | 智能家居 | 智能音箱 | 智能語音 | 智能家電 | 智能照明 | 智能馬桶 | 智能終端 | 智能門鎖 | 智能手機 | 可穿戴設(shè)備 |半導(dǎo)體 | 芯片產(chǎn)業(yè) | 第三代半導(dǎo)體 | 藍牙 | 晶圓 | 功率半導(dǎo)體 | 5G | GA射頻 | IGBT | SIC GA | SIC GAN | 分立器件 | 化合物 | 晶圓 | 封裝封測 | 顯示器 | LED | OLED | LED封裝 | LED芯片 | LED照明 | 柔性折疊屏 | 電子元器件 | 光電子 | 消費電子 | 電子FPC | 電路板 | 集成電路 | 元宇宙 | 區(qū)塊鏈 | NFT數(shù)字藏品 | 虛擬貨幣 | 比特幣 | 數(shù)字貨幣 | 資產(chǎn)管理 | 保險行業(yè) | 保險科技 | 財產(chǎn)保險 |

（特別說明：本文來源于公開資料，摘錄內(nèi)容僅供參考，不構(gòu)成任何投資建議，如需使用請參閱報告原文。）

精選報告來源：虎鯨報告