【商用密碼】未來密碼產業發展如何護航網絡安全？

黨的二十大提出，我國要加快建設製造強國、網絡強國、數字中國。國家層面積極推動數字經濟發展，促進密碼與數字經濟、數字政府、數字社會的融合應用。不斷築牢密碼安全防線，保障國家經濟發展，成為時代賦予密碼從業人員的新使命。

密碼產業的發展現狀和趨勢

01政策驅動向政策+市場多層轉變

在2019年之前密碼產業主要以政策驅動為主，隨着《密碼法》《數據安全法》《個人隱私保護法》在陸續發佈，我國安全法律制度體系已基本形成；同時基於近年產業對用戶的持續普及，用密碼技術保障信息系統安全逐步成為共識。

2019年等保2.0政策的發佈，增大了等保的保護範圍，提高了測評及格線，引領等級保護市場高速增長，存量信息系統的改造，疊加新建信息系統的建設，均逐步接受密碼應用安全性評估，產業發展從政策驅動走向需求釋放，逐步形成了「應用-反饋-迭代調優-再應用」正向循環。

產業的快速發展，也使得諸多網安企業進入，對原中小型企業為主體的密碼產業形成了一定衝擊，但真正具備上下游全產業鏈開發能力的商密企業仍較為稀缺，多數密碼企業僅有2-3款產品，不具備系統服務能力和全線解決能力。

02信創成牽引產業發展重要引擎

密碼算法和產品的自主可控一直都是我國信息安全的重中之重。在信創戰略的持續牽引下，我國密碼算法、技術應用已逐步擺脫對外部的依賴，實現了自主可控。

目前信創產業頂層規劃及產業環境已經趨於成熟，正在進入高速發展期，密碼作為網絡信息安全的核心技術和基礎支撐，在信創體系中的地位也是舉足輕重的。

在算法方面，我國自主設計的SM系列算法，已經覆蓋了從對稱密碼算法、公鑰密碼算法、雜湊算法、標識密碼算法等密碼技術體系，在有關部門的推動下，密碼標準、協議規範已逐步成熟和完善。

在技術應用方面，我國在密碼芯片、密碼模塊以及密碼板卡等產業鏈上游，已基本實現自主可控，完成了從基本可用到基本好用的跨越，但在應用技術領域的投入仍顯不足，還需加強牽引作用。

03商密產業應用領域和市場規模不斷擴大

在工業互聯網、雲計算、大數據、區塊鏈、人工智能等新技術、新業態的融合下，密碼的存在形式、產品形態、服務方式發生着快速變化，同時伴隨着數據安全需求的泛在化，密碼應用泛在化趨勢明顯。與此對應，商用密碼行業規模也在持續增長，產業規模整體呈上升趨勢。

近兩年在新冠疫情的客觀環境下，我國商用密碼產業仍取得了高速發展，產業在政策環境與市場需求的共同作用下，保持了高速增長，2021年更是達到了585億元，預計2025年商用密碼行業規模有望達到937.5億元，從行業分佈來看，黨政、金融、電信仍是三大市場，並且保持25%左右的增速。

04產品快速升級，服務內生性要求提升

隨着產業支撐要求的不斷提升，我們商用密碼產品自主創新能力持續加強，部分產品性能已達到國際先進水平，截至目前，我國商密產品已有3000餘款，其中2200餘款產品取得了產品認證，覆蓋了芯片、板卡、模塊、軟件、系統、整機全產業鏈。

此外隨着5G、物聯網等新技術為代表的新興技術基礎設施建設，重新定義了數字化的生產、生活場景。新基建呈現出的設備多樣化、通信IP化、數據開放化、算力平台化、運行智能化、生產要素數字化、生產主體泛在化、生產關係透明化、對抗複雜化等一系列特點，都要求密碼服務實現模塊化、層次化、差異化、動態化、多元化的發展，進而要求密碼產品由「外掛式」密碼服務向「內生性」密碼服務轉型。

05商密產業受到資本市場關注

國內商用密碼產業在經歷漫長蟄伏期後，已然迎來發展的機遇期。隨着科創板、京交所的落地，密碼企業或將迎來一波上市潮。

資本的湧入使行業投融資活動逐步活躍，據不完全統計，在2019-2022年間，先後有十餘家商密企業進行了IPO。此外國資也在近年紛紛入場，其在促進產業下遊客戶資源的獲取的同時，也使得市場競爭格局進一步向頭部廠商集中。

密碼產業的發展建議

01理論和應用並舉

密碼產業的應用技術是漸變型技術，而密碼的理論技術是突變性技術。突變性技術具備時代的隨機性，比如我國算法方向的突破，可以不需要太多技術積累短期實現趕超，而漸變型技術則需要建立在原有技術積累上才能實現創新突破，如密碼硬件產品的發展，需要上下游供需兩側的長期積澱。

借用華為任正非的觀點：應用理論的研究也是研究。因此，在保證對密碼產業基礎研究、基礎教育上高強度投入的同時，在應用領域高風險、高成本的實驗性項目中，國家也可以作為主導，匹配相應政策、技術、環境、資金，而非單純依靠市場和高校主導。

02加強密碼人才的培養

我國密碼人才需求旺盛，呈現快速增長的態勢。2020年3月1日，「密碼科學與技術」專業被列入普通高等學校本科專業目錄；2021年，人社部發佈「密碼技術應用員」新職業，這些舉措為培養密碼專業人才起到了重要促進作用。但根據媒體公開報道顯示，現階段我國密碼人才需求人數約為30萬，實際缺口達20萬，隨着5G、新基建、東數西算等數據工程的建設提速，到2025年我國密碼人需求將達110萬左右。

密碼管理部門和商用密碼企業對密碼從業人員狀況的調研結果表明：未來3-5年內商用密碼人才需求平均增長率為30%-60%。

因此，在做好密碼人才培養的頂層設計的同時，應加強推進校企合作培育，加強多層次、多場景的密碼應用人才培養，推動產業的建設發展，這也是中國密碼事業的百年大計。

03重視應用的體系性合規

目前，很多密碼應用方案是基於單點合規設計的，最常見的是在應用層加密認證，對網絡層、鏈路層等基本沒有關注。即使在應用層，通常也只關注傳輸加密，少數對數據存儲過程提供加密，但離實際密評要求的全庫加密相去甚遠，對應用的體系性合規關注不足，注重單點合規，忽視體系合規。

在實際應用中，要真正實現密碼應用合規，不僅是單點產品的增設，更需結合應用場景及應用的特殊性，進行系統化方案的構建，讓密碼不僅能用，更要真用和好用。

04行業標準缺乏應用層面的標準

在目前頒佈的國家密碼相關標準中，絕大部分都是關於單個產品的實現標準，對應用有關的方案類標準比較缺乏，密評中很多判斷都是基於單點的產品標準，即便有GB/T39786-2021《信息安全技術 信息系統密碼應用基本要求》作為指導、規範信息系統密碼應用，但對應用的體系化合規規範性仍顯不足。

建議出台行業應用類標準以規範密碼應用過程中的整體架構和應用方向，對相關部門和密評機構形成指導意見，構建更完整的密碼應用方案和測評方案，降低在商密應用過程中的漏洞和短板。

來源：中國信息安全（節選）

作者：郭剛