17万字 | 2021密码应用技术白皮书（附下载）

1.1. 数字经济定位为主要经济形态

2022年1月12日，国务院印发的《“十四五”数字经济发展规划》中明确指出：数字经济是继农业经济、工业经济之后的主要经济形态，是以数据资源为关键要素，以现代信息网络为主要载体，以信息通信技术融合应用、全要素数字化转型为重要推动力，促进公平与效率更加统一的新经济形态。

数据作为一种新型生产要素较早被写入到国家顶层规划中，体现了互联网大数据时代的新特征。当前数字经济正在引领新经济发展，数字经济覆盖面广且渗透力强，与各行业融合发展，并在社会治理中如城市交通、老年服务、城市安全等方面发挥重要作用。而数据作为基础性资源和战略性资源，是数字经济高速发展的基石，也将成为“新基建”最重要的生产资料。数据要素的高效配置，是推动数字经济发展的关键一环。加快培育数据要素市场，推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护，使大数据成为推动经济高质量发展的新动能，对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。

1.2. 数据资源已成为关键生产要素

在数据时代，以大数据为代表的信息资源向生产要素形态演进，数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比，数据资源要素具有如下特征：一是数据体量巨大。且历史数据量不断累积增加，通过流转和共享对社会发展产生重要价值，基于数据创新的商业模式或应用不断演进。二是数据类型复杂。不仅包含各种复杂的结构化数据，而且图片、指纹、声纹等非结构化数据日益增多；三是数据处理快，时效性要求高。通过算法对数据的逻辑处理速度非常快，区别于传统数据挖掘，大数据处理技术遵循“一秒定律”，可以从各种类型的数据中快速获得高价值的信息。四是数据价值密度低。数据价值的高度与精确性、信噪比有关，在海量数据面前有价值的数据所占比例很小。在获取高价值数据的过程中，往往需要借助数据挖掘等方法深度分析海量数据，从中提取出对未来趋势与模式预测分析有价值的数据。

基于以上四个特性分析，数据在参与经济建设、社会治理、生活服务时，具有重要意义。一是数据作为一种生产性投入方式，可以大大提高生产效率，是新时期我国经济增长的重要源泉之一。二是推动数据发展和应用，可以鼓励产业创新发展，推动数据与科研创新的有机结合，推进基础研究和核心技术攻关，形成数据产业体系，完善数据产业链，使得大数据更好地服务国家发展战略。三是数据安全是数据应用的基础。保护个人隐私、企业商业秘密、国家秘密等。在加强安全管理的同时，又鼓励合规应用，促进创新和数字经济发展，实现公共利益最大化。从合规要求看，数据安全成为国家顶层设计，相关法律政策明确提出加强网络安全、数据安全和个人信息保护，数据安全产业迎来前所未有的历史发展机遇。最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升，在此需求推动下，数据安全市场未来五年将继续维持高增速发展。根据赛迪咨询数据测算，2021年我国数据安全市场规模为69.7亿元，预测在2023年我国数据安全市场规模将达到127亿元。从实战需求看，日趋严峻的网络安全威胁让企业面临业务风险，数字产业化迫切需要数据安全能力，而产业数字化转型带来数据安全新需求。当前，我国数据安全产业处于起步期，相比于西方发达国家，我国尚有很大增长潜力，这既是短板也是市场机会。随着实战化和新合规的要求逐步深入，数据安全将迎来广阔的市场空间。

1.3. 数据处理伴生着安全威胁风险

数据这种新型生产要素，是实现业务价值的主要载体，数据处理必然要求数据在应用系统中流动，而流动的数据必然伴随风险。可以说，数据安全威胁时刻伴随业务生产。结合到企业或机构的信息系统中，数据安全则来自于业务处理中的风险映射。从时间维度看，数据在流转的全生命周期中的各个环节都会有相应的安全需求。从空间维度看，数据在基础设施层、平台层以及应用层之间流转，不同层次会有不同颗粒度的防护需求。《数据安全法》提出“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等”，为数据生命周期的各环节提供了明确定义，数据在各环节均面临诸多泄露威胁与安全挑战。

1.1.1. 数据收集风险

在数据收集环节，风险威胁涵盖保密性威胁、完整性威胁等，以及超范围采集用户信息等。保密性威胁指攻击者通过建立隐蔽隧道，对信息流向、流量、通信频度和长度等参数的分析，窃取敏感的、有价值的信息；完整性威胁指数据伪造、刻意篡改、数据与元数据的错位、源数据存在破坏完整性的恶意代码。

(1)国内

某程集团因涉嫌违规采集个人信息被诉至法院

司法机关：浙江省绍兴市柯桥区人民法院

案例描述：2021年7月，浙江省绍兴市柯桥区人民法院开庭审理了胡某诉上海某程集团侵权纠纷案件。胡某以上海某程集团采集其个人非必要信息，进行“大数据杀熟”等为由诉至法院，要求某程集团APP为其增加不同意“服务协议”和“隐私政策”时仍可继续使用的选项。法院审理后认为，某程集团的“服务协议”和“隐私政策”以拒绝提供服务形成对用户的强制。其中，“服务协议”和“隐私政策”要求用户特别授权某程集团及其关联公司、业务合作伙伴共享用户的注册信息、交易、支付数据并允许某程集团及其关联公司、业务合作伙伴对其信息进行数据分析等内容属于非必要信息的采集和使用，无限加重了用户个人信息使用风险。据此，法院判决某程集团应为原告增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项，或者为原告修订“服务协议”和“隐私政策”，去除对用户非必要信息采集和使用的相关内容，修订版本须经法院审定同意。

国外

ZOOM因涉嫌非法泄漏个人数据而被起诉

法律依据：《加州消费者隐私法》

案例描述：根据2020年4月在加利福尼亚州圣何塞市联邦法院提起的诉讼，用户安装或打开Zoom应用程序时收集信息，并在没有适当通知的情况下将其共享给包括Facebook在内的第三方。Zoom的隐私权政策并未向用户说明其应用程序包含向Facebook和潜在的其他第三方披露信息的代码。投诉称，该公司的“程序设计和安全措施完全不足，并将继续导致未经授权而泄露其用户个人信息”。根据《加州消费者隐私法》规定，任何消费者如其在第1798.81.5节（d）条（1）款（A）项下所定义的未加密和未经处理的个人信息，由于企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息，从而遭受了未经授权的访问和泄露、盗窃或披露，则消费者可提起民事诉讼并请求。为每个消费者每次事件赔偿不少于一百美元（100美元）且不超过七百五十美元（750美元）的损害赔偿金或实际损害赔偿金，以数额较大者为准。

1.1.2. 数据存储风险

在数据存储环节，风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等，内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等；数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞，如：SQL注入、提权、缓冲区溢出；存储设备丢失等其他情况。

(1)国内

某东电商平台确认12G用户数据泄漏

案例描述：2016年2月，国内媒体一本财经报道称一个超过12G的数据包正在黑市流通，数据包信息包括用户名、密码、真实姓名、身份证号、电话号码、QQ号、邮箱等多类个人用户信息。这个数据包已在黑市上明码交易，价格在10万-70万不等，黑市买卖双方表示该数据包来源为某电商平台。某东电商平台表示，黑客利用了Struts 2的漏洞对某电商平台数据库进行了拖库。

(2)国外

Facebook证实4.19亿用户的电话信息被泄露

案例描述：2019年9月Facebook证实，存储了超4亿条与Facebook账户关联的电话号码数据库被曝光，每条记录都包含一个用户的Facebook ID和连接到他们账户的电话号码。同样，2018年3月“剑桥分析丑闻”首次被曝光——Facebook8700万用户数据泄露，一家名为剑桥分析的公司通过这些数据影响了美国选举。最终，美国联邦贸易委员会（FTC）宣布与Facebook就该事件达成一项50亿美元的和解协议。

1.1.3. 数据使用风险

在数据使用环节，风险威胁来自于外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等；内部因素包括内部人员、DBA违规操作窃取、滥用、泄露数据等，如：非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作；系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。

(1)国内

湖南某银行257万条公民银行个人信息被泄露

执法机构：绵阳市公安局网络安全保卫支队

法律依据：《刑法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

案例描述：湖南某银行支行行长，出售自己的查询账号给中间商，再由中间商将账号卖给有银行关系的“出单渠道”团伙，再由另外一家银行的员工进入内网系统，大肆窃取个人信息，泄漏的个人信息包括征信报告、账户明细、余额等。2016年10月，绵阳警方破获公安部挂牌督办的“5·26侵犯公民个人信息案”，抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元。根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法规定的“提供公民个人信息”；第四条规定，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法规定的“以其他方法非法获取公民个人信息”。根据《刑法》的相关规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

(2) 国外

伟易达被曝480万家长及儿童信息泄露来源

法律依据：《美国儿童网络隐私保护法COPPA》

案例描述：2015年，全球最大的婴幼儿及学前电子学习产品企业伟易达，被曝出其存在安全漏洞，致使数百万家长和儿童的数据曝光，包括家长注册账号使用的姓名、住址、邮件、密码等。2018年，美国联邦贸易委员会(FTC)宣布对伟易达(VTech)2015年因安全漏洞导致数百万家长及孩子的数据泄露事件进行处罚，宣布处以65万美元的罚款。《美国儿童网络隐私保护法COPPA》规定，运营者需建立并维护合理的措施以保护儿童个人信息的保密、安全和完整性。采取合作的措施保证仅向有能力保护儿童个人信息的保密、安全和完整性并为其提供保障的服务提供商和第三方披露儿童个人信息。

作为对照，我国《个人信息保护法》规定，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

1.1.4. 数据加工风险

在数据加工环节，泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。

(1)国内

某集团80万用户数据被删除

案例描述：2017年，因某为公司误操作导致某集团80万用户数据丢，此次故障影响面非常大，涉及到钦州、北海、防城港、桂林、梧州、贺州等地用户，属于重大通信事故。事故发生后，某集团已经发布声明承认故障影响，技术人员也已经展开紧急维修。有消息称因为此次事故，某为公司已经被某集团处以5亿罚款，同时某集团已经展开全国范围的系统大排查，主要针对某技术公司第三方代维隐患问题。

(2)国外

1）代码资源托管网站运维人员误删300G数据

案例描述：2017年，著名代码资源托管网站Gitlab.com的一位工程师在维护数据时不慎删除约300GB的数据。本次事故也影响到了约5000个项目，5000个评论和700个新用户账户。

1.1.5. 数据传输风险

在数据传输环节，数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括DDoS攻击、APT攻击、通信流量劫持、中间人攻击、DNS欺骗和IP欺骗、泛洪攻击威胁等；传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。

(1)国内

1）“某智华胜”涉嫌非法窃取用户信息30亿条

案号：（2019）浙0602刑初1143号

法律依据：《中华人民共和国刑法》第二百八十五条、第二十五条第一款、第二十七条、第六十七条第三款、第七十二条第一、三款；《中华人民共和国刑事诉讼法》第十五条、第二百零一条

司法机关：浙江省绍兴市越城区人民法院

案例描述：邢某于2013年5月在北京成立某智华胜。某智华胜通过邢某成立的其他关联公司与运营商签订精准广告营销协议，获取运营商服务器登录许可，并通过部署SD程序，从运营商服务器抓取采集网络用户的登录cookie数据，并将上述数据保存在运营商redis数据库中，利用研发的爬虫软件、加粉软件，远程访问redis数据库中的数据，非法登录网络用户的淘宝、某博等账号，进行强制加粉、订单爬取等行为，从中牟利。案发前，某智华胜发现淘宝网在调查订单被爬的情况，遂将服务器数据删除。经查，2018年4月17-18日期间，某智华胜爬取淘宝订单共计22万余条（浙江淘宝网络有限公司实际输出1万条），向指定加粉淘宝账号恶意加淘好友共计13.7万余个（浙江淘宝网络有限公司实际输出2万个）。最终判决被告人王某犯非法获取计算机信息系统数据罪，判处有期徒刑二年，缓刑二年六个月，并处罚金人民币六万元。

 (2) 国外

1）南非大规模数据泄露事件3160万份南非公民数据被泄漏

案例描述：2017年，南非史上规模最大的数据泄露事件——共有3160万份用户的个人资料被公之于众，连总统祖马和多位部长都未能幸免。泄漏信息包括身份号码、个人收入、年龄，甚至就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息。此次被黑客公布的数据来源于 Dracore Data Sciences 企业的 GoVault 平台，其公司客户包括南非最大的金融信贷机构——TransUnion。

1.1.6. 数据提供风险

在数据提供环节，风险威胁来自于政策因素、外部因素、内部因素等。政策因素主要指不合规地提供和共享；内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露；外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。

(1)国内

脱口秀演员交易流水遭泄露，某银行被罚450万元

执法机构：中国银行保险监督管理委员会

法律依据：《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则《中华人民共和国商业银行法》第七十三条

案例描述：2020年5月6日，脱口秀演员池子（本名王越池）通过新浪微博控诉某银行上海虹口支行在未经其授权的情况下，私自将其个人账户流水提供给上海笑果文化传媒有限公司。王越池认为，某银行的这一行为侵犯了其合法权益，要求某银行赔偿损失，并公开道歉。同时，王越池还表示，某银行方面对此作出的回应为“配合大客户的要求”。对于举报，某银行也曾在官方微博公开发布致歉信称，该行员工未严格按规定办理，向笑果文化提供收款记录；某银行已按制度规定对相关员工予以处分，并对支行行长予以撤职。2021年3月19日，银保监会消保局公布的罚单信息显示，某银行因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范等四项违法违规行为，被处罚款450万元。

1.1.7. 数据公开风险

在数据公开环节，泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估，或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。

(1)国内

微信朋友圈中流传着某医院数千人名单

执法机构：胶州市公安局

法律依据：《中华人民共和国治安管理处罚法》第二十九条

案例描述：2020年4月13日，微信群里出现某医院出入人员名单信息，内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息，造成了不良社会影响。依据《中华人民共和国治安管理处罚法》第二十九条规定，有下列行为之一的，处5日以下拘留；情节较重的，处5日以上10日以下拘留：违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的。公安机关依法对叶某、姜某、张某给予行政拘留的处罚。

2.1. 数字经济呼唤创新密码应用

2.1.1. 密码技术是数字安全压舱石

企业信息化高速发展，伴随着数字化资产爆发式增长，数据作为最重要的生产要素，在企业应用系统内部高速流转、共享、协同，驱动业务效率提升，带来了巨大效益。与此同时，数据的高价值使之成为被觊觎的目标，数据安全威胁已经成为关乎企业命运的关键业务风险，这也对企业数据安全防护体系提出新需求。

近年来，企业纷纷加强网络安全建设，部署了防火墙、反病毒网关、漏洞扫描系统、入侵检测系统、数据防泄漏等传统的安全设备，但数据泄漏事件依然频发。企业外部黑客攻击、内部人员窃取数据非法销售的事情层出不穷，数据泄漏频发的背后，归根到底是针对敏感数据本身保护不够。

目前来看，企业信息系统普遍缺失内建数据安全能力，同时随着企业内部各类信息系统之间打通共享，成倍放大了数据安全管理复杂度，面临着更为严峻的安全挑战。数据在不同系统之间流转，导致数据的所有者、控制者和处理者难以有效控制，数据可能被非法访问和处理，造成数据保密性和完整性等方面的巨大安全威胁。

造成应用缺失安全能力的原因有多个方面：

1.应用软件开发商或者集成商重点关注的是针对业务方面问题的解决，而缺乏在软件安全设计方面的投入，软件研发在安全方面的人员在研发人员中占比极低，甚至没有进行架构安全方面的设计，使得应用软件内普遍存在安全功能不足。

2.应用软件针对多个行业都有具体的解决方案，而每个行业针对业务安全方面的需求也不尽相同，从而使应用软件需要针对不同行业或企业的安全需求进行分别定制，因此，软件开发商也不会在软件研发过程中加大对安全方面的投入。

3.不管是甲方还是应用集成商，能把应用开发能力和安全能力结合起来的人才非常匮乏，造成对应用的安全改造能力比较薄弱。

信息系统不可避免的存在安全缺陷，利用缺陷进行漏洞攻击或是网络安全永远的命题，攻防对抗视角的网络安全防护是过去主要的安全防护手段。当然，所有网络安全防护最终还是为了保护数据，防止“偷数据、改数据”，但是网络漏洞始终在所难免，所以需要从“防漏洞、补漏洞”的应对式防护，转化到“为数据访问重建安全规则”的主动式防护，也即“以数据为中心的安全”，这也是安全技术不断进化的必然产物。将密码技术等安全手段直接作用于数据，是最直接有效的主动防护措施，密码技术可以直接保障数据的机密性和完整性，同时也可以保障信息传递中的真实性和不可否认性。

密码技术在数据安全保护中起到“重构数据边界”的作用。如果缺失加密，数据在数据库或备份的过程中会有被盗取风险，此时的访问控制容易被绕过、形同虚设。数据安全保护方案可以在数据加密基础上，将“主体到应用内用户，客体到字段级”的访问控制、审计等技术相结合，打造防绕过的数据防护机制，并支持可独立部署的数据访问审计，每条日志支持主体追溯到应用业务用户，并为审计日志进行完整性保护，保障信息泄漏后可追溯源头，最终打造“以密码技术为核心，多种安全技术相互融合”的数据安全防护体系。

2.1.2. 实战合规是密码建设指南针

近年来，国家十分重视数据安全，并明确提出使用国产商用密码技术来保护重要敏感数据，这些法律法规包括：

表 1 企业需遵循的密码相关法律法规

同时，国家也陆续出台相关法律法规，要求定期开展密码应用与安全性评估、等保测评等。

在多重法律、法规、行业指导的叠加驱动下，企业数据安全保护体系的建设工作，迎来了更高的、全新的合规性要求。如何有效满足多重的合规要求，对国产密码保护系统建设的规划、设计、实施能力提出了更高挑战。

2.1.3. 密码创新是数字安全领头雁

目前，企业在应用商用密码技术以及相关密码产品的过程中，一方面，具有自身保护数据资产的需要，以及相关法律法规的合规要求，另一方面，存在着密码产品“不能用”、“不好用”以及“用不好”的情况，因此，企业处于了“两难”的境地，急需高质量密码产品的供给。

密码高质量创新需要解决以下三方面的问题：

1. 能用

IT技术快速发展，企业信息化水平也达到较高水平，数据在各种信息系统中高速流转。信息系统加入密码技术保护数据安全，需要不影响业务效率，保证数据的流转效率，从而为企业创造价值。然而，目前商用密码产品中算法的实现性能无法满足数据高速流转的场景需求，造成了企业不用密码，或者使用国外AES密码算法的情况（AES算法的实现性能远远优于目前商用密码算法SM4的实现性能）。因此，商用密码SM系列算法亟待实现性能优化。

图 1 企业信息化技术演进示意图

另外，企业信息化建设向移动化和云化方向发展，之前在桌面端可以使用的鉴别用户身份的硬件智能密码钥匙（USBKey），无法插入移动终端；之前可以插入服务器中的密码卡，或者直接使用的硬件服务器密码机，无法在云场景的虚拟机中使用。因此，商用密码产品能够全面覆盖服务器、云端、桌面端、移动端、物联网等多种场景，从而适应企业信息化技术的发展和建设的需要。

2. 好用

企业的数据都是在各种信息系统中生成、流转和存储，而且这些信息系统经过长期的信息化建设，已经形成了集成化、规模化的特点，在这些已经稳定运行的信息系统中加入密码能力，需要避免对原系统进行开发改造，避免“开发周期长、投入成本高、实施风险大”的局面产生。

供给的密码产品要易用，消除用户的使用门槛。企业的使用人员一般都缺乏密码学知识，更不知道如何安全、有效的使用密码技术，提供的密码产品要能够实现对密码接口的业务级封装，比如提炼出密码中间件产品，让一般程序员通过调用API接口的方式，就能实现密码功能。

3. 好管

密码产品的引入，也属于企业信息化建设的一部分，企业当前的安全管理制度难以匹配密钥、加密策略、实施运维、合规等管理要求，毕竟密码自身的管理要求要高于一般信息系统的管理要求，需要密码产品的供应方考虑将管理融入到产品功能中，提供“好管”的密码产品。

密码的目的是为了保护数据安全，而数据是企业业务运转的“血液”，密码作用于数据，也就与业务进行了结合，成为“密码及安全和业务流程扭结缠绕”的新状态，需要密码产品在供给时考虑降低系统规划、建设、运维的复杂度。

2.2. 密码产业进入黄金发展时代

据《2020-2021 中国商用密码产业发展报告》显示，2016年至2020年，我国商用密码产业总体规模持续增长，2020年我国商用密码产业规模突破466亿，同比增速超33%，详见下表所示。

表 2 2016-2020 年商用密码产业总体规模及同比增长率

 在内在市场需求和外部法律法规共同驱动下，密码产业已经进入到前所未有的黄金发展时代。

2.2.1. 顶层战略引导数字经济安全建设

2.2.1.1. 国家信息化发展战略纲要

2016年7月实施的《国家信息化发展战略纲要》提到当今世界信息技术创新日新月异，以数字化、网络化、智能化为特征的信息化浪潮蓬勃兴起。

1.推进信息化法治建设

有序推进信息化立法进程。强化网络基础设施保护，加快制定网络安全法、电信法、电子商务法，研究制定密码法。加强网络用户权利保护，研究制定个人信息保护法、未成年人网络保护条例。

2.加强网络生态治理

强化互联网管理。全面规范企业和个人信息采集、存储、使用等行为，防范信息滥用。加强个人数据保护，依法打击网络违法犯罪。

3.加快构建关键信息基础设施安全保障体系

维护网络空间安全，提升全天候全方位感知网络安全态势能力，做好等级保护、风险评估、漏洞发现等基础性工作，完善网络安全监测预警和网络安全重大事件应急处置机制。

4.实施网络安全人才工程

通过加强信息安全学科、专业建设和人才培养工作，开展全民网络安全教育，提升网络媒介素养，促进我国网络安全人才队伍建设，进一步增强全社会网络安全意识和防护技能。

2.2.1.2. 国家网络空间安全战略

2016年12月27日，国家互联网信息办公室发布了《国家网络空间安全战略》。贯彻落实习近平总书记网络强国战略思想，阐明了中国关于网络空间发展和安全的重要性。

《战略》指出，随着信息技术深入发展，网络安全形势日益严峻，必须坚决维护网络安全，最大限度利用网络空间发展潜力，更好惠及13亿多中国人民，造福全人类，坚定维护世界和平。

《战略》要求，要以总体国家安全观为指导，增强风险意识和危机意识，统筹发展安全两件大事，推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的战略目标。

《战略》明确，国家网络空间安全工作的战略任务是坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力等9个方面。

2.2.1.3. 十四五国家信息化规划

2021年3月11日，十三届全国人大四次会议通过《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》。在经济社会发展主要指标中，“安全保障”成为和经济发展、创新驱动、民生福祉和绿色生态并齐的国家五大发展核心指标之一，首次提高到关乎国家发展和国计民生的经济、创新、民生和绿色生态同等的核心地位，体现了国家对安全产业的高度重视。

2.2.1.4. 十四五推进国家政务信息化规划

2021年12月，国家发展改革委印发了《“十四五”推进国家政务信息化规划》。本规划是根据《中华人民共和国国民经济和社会发展第十四个五年规划和 2035年远景目标纲要》而制定，作为“十四五”期间统筹推进国家政务信息化工作，指导各地方有序开展政务信息化建设的重要依据。

2.2.1.5. 国家创新驱动发展战略纲要

2016年5月，《国家创新驱动发展战略纲要》由中共中央、国务院发布，自2016年5月实施。

为加快实施党的十八大提出的实施创新驱动发展战略，强调科技创新是提高社会生产力和综合国力的战略支撑，必须摆在国家发展全局的核心位置这一重大发展战略，制定本纲要。

2.2.1.6. 政府网站发展指引

2017年，《政府网站发展指引》发布，明确要求对重要数据、敏感数据进行分类管理，做好加密存储和传输。《政府网站发展指引》要求“使用符合国家密码管理政策和标准规范的密码算法和密码产品，逐步建立基于密码的网络信任、安全支撑和运行监管机制”。

2.2.2. 国家法律加速密码应用推广普及

2.2.2.1. 网络安全法

2017年6月1日实施的《网络安全法》，规定了网络运营者应该按照网络安全等级保护制度的要求履行安全保护义务。

2.2.2.2. 密码法

2020年1月1日施行的《密码法》填补了密码领域的法律空白，推动密码在网络安全与信息化发展中发挥更大作用。

2.2.2.3. 数据安全法

2021年9月1日施行的《数据安全法》，是为了规范数据处理活动，为维护国家、组织、个人的合法权益。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。并且提出要建立数据分类分级保护制度，数据安全应急处置机制，数据安全审查制度和数据安全管理制度等数据安全保护措施，组织开展数据安全教育培训，加强风险监测和风险评估。以及明确了违法数据安全管理需承担的责任。

2.2.2.4. 个人信息保护法

2021年11月1日施行的《个人信息保护法》明确了个人信息处理和跨境时提供个人信息的规则 ，以及明确了个人信息处理的范围，以及信息处理者的权利和义务。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

2.2.2.5. 关键信息基础设施安全保护条例（国令第745号）

2021年9月1日施行的《关键信息基础设施安全保护条例》，明确了关键信息基础设施的密码应用要求，保障关键信息基础设施安全，维护网络安全。

2.2.2.6. 网络安全等级保护条例（征求意见稿）

2018年6月27日，公安部发布了《网络安全等级保护条例（征求意见稿）》。其中设置了密码管理专章，明确了网络安全等级保护密码管理的主要思路、方式和手段，强调网络安全等级保护第三级及以上系统应使用密码进行保护，强化密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估等方面的职权.

2.2.2.7. 网络数据安全管理条例（征求意见稿）

2021年11月14日，国家互联网信息办公室发布了《网络数据安全管理条例（征求意见稿）》。主要是为规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益。

2.2.2.8. 商用密码管理条例（修订草案征求意见稿）

2019年发布的《密码法》对商用密码管理制度进行了结构性重塑，为了落实党和国家要求，贯彻《密码法》精神，适应新时代商用密码事业发展需求，亟需对《商用密码管理条例》（简称《条例》，1999年发布）进行修订。

修订草案征求意见稿中明确提出，非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护。

2.2.2.9. 信息安全等级保护商用密码管理办法 (国密局发 [2007]11号)

2008年1月1日施行的《信息安全等级保护商用密码管理办法》，为规范信息安全等级保护中使用商用密码的行为。

2.2.2.10. 国家政务信息化项目建设管理办法（国办发〔 2019〕 57 号）

2020年2月1日施行的《国家政务信息化项目建设管理办法》，是为了规范国家政务信息化建设管理。对国家政务信息系统的规划、审批、建设、共享和监管做出规定，其中明确规定了多项密码应用有关要求。包括备案及备案文件要求，安全监管与评估要求，以及不符合规定的系统需承担的后果等。

2.2.2.11. 政务信息系统政府采购管理暂行办法（财库〔2017〕210号）

2017年12月26日施行的《政务信息系统政府采购管理暂行办法》，是为了推进政务信息系统政府采购工作能规范高效的开展，明确采购的需求范围、要求以及验收方案的内容。

2.2.2.12. 电子认证服务密码管理办法

2009年12月1日施行的《电子认证服务密码管理办法》，规定面向社会公众提供电子认证服务应当使用商用密码，并规范其使用商用密码行为。

2.2.3. 行业地区出台密码技术应用要求

根据《密码法》的规定，国家对密码实行分类管理，商用密码用于保护不属于国家秘密的信息。在我国，商用密码已经广泛应用于国民经济发展和社会生产生活的方方面面，涵盖金融、能源、政务、电信、教育、公安、住建、交通、水利、医疗等众多领域。

随着《密码法》的施行，商用密码产业迎来重大发展机遇。依据《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》，各行业也相继出台了行业密码应用要求。

2.2.3.1. 金融行业密码应用要求

1、金融行业的重要地位

习近平总书记指出，金融是国家重要的核心竞争力，是现代经济的核心。金融安全是国家安全的重要组成部分。金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产，在不同信息网络与系统之间流转。数据逐步转变为核心价值资产。随着互联网信息技术的广泛应用，极大地促进了金融业务的发展。

由于金融机构的特殊性质，其网络上传输的大部分数据为金融敏感信息（涉及用户个人属性、资金交易、合同等敏感信息)，对金融信息安全带来了极大的威胁与风险。所有业务数据都要传送到数据中心进行集中处理，因此金融业务数据的安全处理和安全传输将成为关系到整个金融数据大集中系统战略成败的关键。如果不采取有效安全措施，这些数据的安全将可能受到危害和攻击，带来不可弥补的经济损失和社会影响。

密码作为保障信息安全的核心技术，在身份认证、信息完整性和保密性、电子合同不可抵赖性等方面发挥着关键性的作用。有效防止了敏感信息泄露、财产损失或业务中断，对维护金融信息安全具有重要的意义。

2、金融行业的重要标准规范

• 《中央办公厅-厅字[2018]36号文 金融和重要领域密码应用与创新发展工作规划（2018-2022）》

• 《GB/T 36618-2018 信息安全技术金融信息服务安全规范》

• 《金融科技发展规划(2019-2021年)》

• 《GM/T0065-2019商用密码产品生产和保障能力建设规范》

• 《GM/T0066-2019商用密码产品生产和保障能力建设实施指南

• 《GM/T0067-2019基于数字证书的身份鉴别接口规范》

• 《GM/T0068-2019开放的第三方资源授权协议框架》

• 《GM/T0069-2019开放的身份鉴别框架》

• 《GM/T0070-2019电子保单密码应用技术要求》

• 《GM/T0071-2019电子文件密码应用指南》

• 《GM/T0072-2019远程移动支付密码应用技术要求》

• 《GM/T0073-2019手机银行信息系统密码应用技术要求》

• 《GM/T0074-2019网上银行密码应用技术要求》

• 《GM/T0075-2019银行信贷信息系统密码应用技术要求》

• 《GM/T0076-2019银行卡信息系统密码应用技术要求》

• 《GM/T0077-2019银行核心信息系统密码应用技术要求》

• 《JR/T 0071-2020金融行业网络安全等级保护实施指引》

• 《JR/T 0072-2020金融行业网络安全等级保护测评指南》

• 《JR/T 0171- 2020 个人金融信息保护技术规范》

• 《JR/T 0197-2020 金融数据安全 数据安全分级指南》

• 《JR/T 0218-2020 金融业数据能力建设指引》

• 《JR/T 0060-2021 证券期货业网络安全等级保护基本要求》

• 《JR/T 0067-2021 证券期货业网络安全等级保护测评要求》

• 《JR/T 0222-2021 金融信息系统加密服务的技术能力评价模型》

• 《JR /T 0223-2021 金融数据安全 数据生命周期安全规范》

• 《JR/T 0224-2021 保险行业网络建设基本规范》

• 《JR/T 0225-2021 保险移动应用信息安全基本要求》

3、金融行业信息系统安全现状

中国金融行业信息化建设目前已完成金融电子化、金融数据集中化、金融信息系统业务综合化三阶段的规划发展。随着金融业对信息化依赖程度越来越大，大数据、云计算等新技术在金融领域的广泛应用，金融服务更加多样化，金融行业网络结构和网络应用日趋复杂，金融业信息安全迎来更大挑战。

金融行业目前存在的安全风险的原因：

• 机构内部人员操作不当、内部安全监管不到位；

• 核心安全设备和技术（包括操作系统、数据库、芯片等）依赖于国外厂商；

• 境内外网络黑客攻击；

• 大数据平台实现数据集中的同时，安全风险也相对集中。

Verizon 2021数据泄露调查报告显示，今年金融服务领域 44% 的违规行为是由内部参与者造成的，占当年所有违规的13%。金融行业的稳定可持续发展，亟待完善内部管理机制和提高安全治理能力，规避各类安全风险。

随着《密码法》及金融行业各项标准规范的出台，商用密码技术在金融行业也逐步落地开花，虽然银行业商用密码应用较为成熟，但体系化建设仍需增强。证券、保险行业商用密码应用相对较少，且证券交易对时延、稳定性要求高，对商用密码技术和产品的性能提出了巨大挑战。如何更好地应用商用密码技术保障金融安全，成为目前行业面临的严峻考验。

4、金融行业密码应用要求

1) 商用密码应用总体要求

依据《数据安全法》等相关法律，及《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》和《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》两部标准规范，并结合《JR/T 0197-2020 金融数据安全 数据安全分级指南》、《JR /T 0223-2021 金融数据安全 数据生命周期安全规范》、《金融行业密码应用基本要求》等金融行业密码应用的重要标准规范。金融行业商用密码应用总体要求需满足如下规定：

（1）对系统数据实施分类分级管理

首先进行数据资产梳理，重要数据的识别，最后对数据进行分类分级。

根据安全性遭到破坏后的影响范围和影响程度，将金融数据安全级别由高到低划分为5级、4级、3级、2级、1级。

根据数据安全级别不同，有侧重地采取适当的安全防护措施，1级数据为公开数据，2级数据应优先考虑业务需求，4级数据应优先考虑安全需求，5级数据的保护按照国家及行业主管部门的有关要求执行。

根据《GM/T0077-2019银行核心信息系统密码应用技术要求》，目前银行业核心系统安全级别为3级、4级。

（2）横向安全保护，从数据的流转方向实施安全保护

建立完善的金融数据生命周期保护。包括数据的收集、存储、使用、加工、传输、提供、公开等过程。

采集数据应采用摘要、消息认证码、数字签名等密码技术确保采集过程数据的完整性。对数据采集设备或系统的真实性进行验证。3级及以上的数据传输和存储时，应采取商用密码技术、产品和服务来保障数据的机密性。数据在使用、加工、提供、公开时，要使用访问控制技术、去标识化技术、记录日志等进行安全增强。

（3）纵向安全保护，从技术和管理两个维度实施商用密码应用

分别从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求。并从管理制技、人员管理、建设运行和应急处置四个方向提出了第一级到第四级的密码应用管理要求。

2) 不同场景下商用密码应用要求

金融行业的商用密码应用场景包括传统的金融柜面系统，网上银行、证券交易、网上投保等各种网上系统，及金融机构间的横向信息系统。不同场景下商用密码要求如下：

（1）金融IC卡中的商用密码应用要求

金融IC卡是国际通用的基础支付方式，是整个支付产业的重要基础。用户通过ATM机、POS机等终端完成交易。为保证线下交易的安全性，采用芯片技术、商用密码算法和多种密码安全认证技术保障持卡人用卡安全，有力地推进了金融行业商用密码技术的应用进程。

线下交易过程中，商用密码应用要求包括：

• 通过数据加密、消息验证、认证技术等，保证卡片密钥的装载安全。

• 通过对用户进行身份标识和身份鉴别，保证用户身份的真实性。

• 通过加密技术和认证技术，保证金融IC卡数据、持卡人数据、交易信息和日志等在传输和存储过程中的保密性和完整性。

• 基于商用密码算法进行加密，保证PIN在网络传输和验证时不以明文形式出现，保证工作密钥在应用系统交易中不以明文形式出现。

（2）网上证券交易系统商用密码要求

网上证券交易系统一般提供交易下单、查询成交回报、资金划转、金融资讯、实时行情等一体化服务。与传统的交易渠道相比，网上证券交易系统能为更广泛的客户群体实时提供多样信息，使用户足不出户就能安全便捷地使用金融服务。

网上证券交易过程中，商用密码应用要求：

• 通过动态令牌或数字证书客户端工具实现用户和券商的身份认证，保证身份真实性、合法性；

• 客户端与交易系统之间建立基于商用密码算法的SSL加密传输通道，保证数据在互联网传输过程的保密性；

• 通过数字签名技术和散列函数保证交易信息不被窜改，保证了交易信息的完整性；

• 通过数字证书和数字签名技术保证了用户和券商的交易行为的不可否认性。

（3）电子保单中商用密码应用要求

随着互联网和信息技术的发展，互联网线上交易逐渐在保险行业普及，客户购买保险不再依赖传统的保险办理方式，电子保单已成为重要途径。商用密码算法在电子保单的应用，保障了电子保单业务的安全，是网上保险发展的重要基石。

依据《GM/T0070-2019电子保单密码应用技术要求》，电子保单管理过程商用密码应用要求：

• 通过身份认证技术，保证投保人与保险公司双方身份真实性。

• 基于数字签名和电子签章技术保证电子保单完整性和不可否认性，并为投保人提供电子保单真实性验证方式。

• 对电子保单办理过程中的相关信息（如身份证件、图像、签名）与电子保单结合进行数字签名和加密处理，并进行归档，保障电子保单具备法律效应，以便日后调阅或举证。

2.2.3.2. 电力行业密码应用要求

1、电力行业概述

电力属于国家能源资源之一，是国民经济的重要物质基础。电力行业信息化建设较早，涉及生产，运行，维护，销售等多个生产经营环节。但固定PC机前的操作局限使整个电力系统各自形成了信息孤岛，不便于沟通和资源共享。电力企业有向集团型发展的趋势。

电力行业属于国家关键基础设施，不仅关系到民众日常生活，同样对工控领域、甚至对国家安全都影响深远。因此，重点加强电力设施的安全建设及企业内部的安全防护显得尤为重要。

2、电力行业的重要标准规范

• 2005年5月1日起施行的《电力监管条例》

• 《信息安全等级保护管理办法》（公通字[2007]43号）

• 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》

• 《电力二次系统安全防护规定》（电监会5号令）

• 《电力行业网络与信息安全监督管理暂行规定》（电监信息[2007]50号）

• 国家电力监管委员会《关于开展电力行业信息系统安全等级保护顶级工作的通知》（电监信息[2007]34号）

• 2007年11月，出台《电力行业信息系统安全等级保护定级工作指导意见》（电监信息[2007]44号）

• 2014年7月2日，国家能源局发布《电力行业网络与信息安全管理办法》

• 2018年9月13日，国家能源局发布《关于加强电力行业网络安全工作的指导意见》对关键信息基础设施安全保护、加强电力企业数据安全保护等提出了更高要求。

• 《电力行业信息系统安全等级护基本要求》（征求意见稿）

3、电力行业信息系统安全现状

电力行业的快速发展，使人们对电力行业安全要求越来越高，现有电力系统网络安全防护方案，包括内外网隔离、分区隔离、网络专用等措施，很好地隔离了外网、管理信息区、生产控制区之间的非法访问。随着密码技术的推广，在能源领域，基于密码技术的电力调度安全防护体系在国家电网等企业实现全覆盖，使用密码模块生产的智能电表超5亿只，发放用户卡超1亿张。

但在管理信息区中，积累了大量的电力敏感数据，例如财务数据、营销数据、人资数据、市场信息、生产管理信息等，来自于不同应用系统的数据集中存储在数据库中。内部人员、第三方运维人员、数据库系统DBA、开发人员对数据库中的数据都需要频繁地访问，诸多的人群和过高的权限造成电力敏感数据集中泄露、篡改的风险。

4、电力行业密码应用要求

依据国家针对信息系统密码应用的法律法规及电力行业密码应用相关标准。对电力行业信息系统密码应用要求，主要包括几下几方面：

1）电力信息系统安全等级划分

根据《电力行业信息系统安全等级保护定级工作指导意见》等级保护相关管理文件，按照信息系统破坏后，对公民、法人、和其他组织的合法权益，对社会秩序和公共利益，对国家安全，三个不同客体造成的不同损害程度（一般、严重、特别严重），将电力行业信息系统安全保护等级分为五级。如下表：

表 3 定级要素与安全保护等级的关系

电力行业信息系统分为生成控制系统、生成管理系统、网站系统、管理信息系统、信息网络五大类。按照不同系统业务数据重要类别，将电力行业重要信息系统进行等级保护定级。

2）电力信息系统不同的安全等级保护

针对电力行业，除去满足《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》对通用信息系统的密码应用要求标准外，还需满足电力行业信息系统等级保护要求。除了选择合适的商用密码技术、产品及服务外，同时从云数据及互联网大数据角度出发，加密商用密码技术在电力行业中的应用，提高电力行业的密码服务体系。

根据《电力行业信息系统安全等级护基本要求》，依据系统抵抗不同程度的攻击、危害程度、恢复能力等，将信息系统安全保护能力分为五级。

从技术和管理两个维度，对电力行业不同安全保护等级信息系统进行安全建设和监督管理。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出保护；基本管理要求从制度、机构、人员、建设和运维等几个方面提出安全管理。

2.2.3.3. 政务行业密码应用要求

1、政务行业概述

随着信息社会的发展，电子政务成为实现政府信息化的重要方式。电子政务信息安全，关系到国家政治、军事等重要情报，一旦信息被泄密，就可能会影响国家的安全，带来不可弥补的损失。

我国政府信息化建设经历了从政务信息电子化、计算机化、网络化的渐变过程。目前电子政务大数据是政务信息发展的新阶段，这一阶段的特点是开放、共享、动态、实时、智能。同时也迎来了技术、管理和安全等方面的新挑战。

2、政务行业的重要标准规范

• 《政务信息资源共享管理暂行办法》（国发〔2016〕51号）

• 《政务信息系统整合共享实施方案》（国办发〔2017〕39号）

• 《密码标准应用指南》(密标会 2018版本)

• 《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)

• 《政务信息系统密码应用与安全性评估工作指南》（2020 版）

• 《“互联网+政务服务”技术体系建设指南》

• 《政府网站发展指引》

3、政务行业信息系统安全现状

电子政务系统一般包括：电子政务网络平台、政府门户网站、办公自动化系统等。相比于传统信息系统，政务大数据或政务云系统在安全方面面临新的挑战。一方面，政务云系统中主机边界、网络边界模糊，风险不但来自南北流量（外部用户与内部服务器间的流量），同时也来自东西流量（内部服务器间的流量）；另一方面，云系统承载多个单位的业务系统，各单位的业务系统需要密码技术来支撑自身的业务服务。因此，政务云系统需要将密码作为一种服务，为这些系统提供支撑。

4、政务行业密码应用要求

根据《政务信息系统密码应用与安全性评估工作指南》(2020版)，政务行业信息系统密码应用要求主要包括以下三个方面：

1）政务信息系统中的密码保障系统应做到 “三同步一评估”

项目建设单位应落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估”。政务信息系统的密码应用与安全性评估贯穿于系统的规划、建设和运行阶段，其实施过程如下图所示。

图 2 政务信息系统密码应用与安全性评估实施过程示意图

2）政务信息系统密码应用措施

项目建设单位需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施，建立安全的密钥管理方案，并采取有效的安全管理措施，对政务信息系统进行保护。

政务信息系统需使用经检测认证合格的商用密码产品或服务，使用的商用密码算法、技术应遵循密码相关国家标准和行业标准，项目建设单位选择具有电子政务电子认证服务资质的机构。

3.政务信息系统密码应用与安全性评估

根据《政务信息系统密码应用与安全性评估工作指南》，针对政务行业信息系统的不同建设阶段，对建设、使用及集成单位、密评机构等提出了不同的要求。

项目规划阶段，建设单位根据系统网络安全保护等级，编制政务信息系统密码应用方案。项目建设阶段，系统集成单位应严格按照通过密评的密码应用方案开展工程实施、建设密码保障系统。项目建设完成后，密评机构对系统密码应用情况开展密评。

2.2.3.4. 电信行业密码应用要求

1、电信行业概述

电信和互联网行业是全球数字化进程的先驱，在现代社会中占有重要地位。《中国互联网络发展状况统计报告》显示，截至2020 年12月，我国网民规模达9.89 亿，互联网普及率达70.4%。电信行业的发展大大加速了信息的流动，缩短空间距离，提高社会经济的运行效率，从而创造巨大的社会效益。电信行业具有服务性、网络性、技术密集型等特点。

伴随数字经济的持续发展，电信行业信息化程度不断加深，系统的复杂度与开放度随之提升。对拥有海量用户敏感信息的电信企业而言，保护用户的数据安全至关重要。根据工信部日前发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》，2023年，网络安全产业规模将超过2500亿元，年复合增长率超过15%，电信等重点行业网络安全投入占信息化投入比例要达10%。

2、电信行业的重要标准规范

• 《电信和互联网用户个人信息保护规定》

• 《电信和互联网行业数据安全治理白皮书（2020年）》

• 《电信和互联网行业提升网络数据安全保护能力专项行动方案》（工信厅网安﹝2019﹞42号）

• 《电信和互联网行业网络数据安全标准体系建设指南》

• 《YD/T 3802-2020电信网和互联网数据安全通用要求》

3、电信行业信息系统安全现状

随着中国电信行业信息化的发展，数据的产生和存储均在应用系统中发生，企业的业务已经离不开应用系统的支撑。已经建设的应用系统，大多都是网络侧的安全防护。普遍缺失数据安全保护的能力，需要补充和增强，这就面临着数据安全改造的挑战。

中国电信行业的信息化建设已经取得了较大成绩，已建设完成的应用系统众多，并且已经实现了系统集成、业务打通，已经改变了以前“各自为政、信息孤岛”的模式。在应用密码保护数据安全方面，也需要以全局化思维构建数据安全密码防护，建设可扩展、服务化的密码应用体系。

4、电信行业密码应用要求

结合《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》及《电信和互联网行业网络数据安全标准体系建设指南》等电信和互联网行业相关标准，针对电信行业密码应用要求，主要包括：

1）行业数据安全治理

对数据资产梳理，行业数据分类分级保护，维护数据安全与促进数据开发利用。

2）行业数据安全等级保护

从数据采集、传输、存储、处理、交换、销毁等数据全生命周期流转过程，及物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面，采用密码技术措施对数据进行立体维度的安全技术保护。

从数据安全规范、评估、监控预警与处置、应急响应与灾难备份、安全能力认证等视角进行安全管理增强。

3）行业网络数据安全监管

通过集中开展数据安全专项治理和监督检查，督促基础电信企业强化网络数据安全全流程管理，及时整改消除重大数据泄露、滥用等安全隐患。基本建立行业网络数据安全保障和标准体系。加强行业网络数据安全应急管理，开展网络数据安全风险评估。

2.2.3.5. 教育行业密码应用要求

1、教育行业概述

教育事业是民族振兴和社会进步的基石，2010 年以来我国大力开展教育信息化建设，为贯彻落实党的十九大精神，推进“互联网+教育”发展，加快教育现代化和教育强国建设。2018年教育部制定了《教育信息化2.0行动计划》。目前我国教育行业信息化工程取得良好成效。2020 年初新冠疫情对传统教育模式带来冲击，互联网在线教育再次发挥重要作用。

到2022年基本实现“三全两高一大”的发展目标。覆盖全体适龄学生、数字校园建设覆盖全体学校，信息化应用水平和师生信息素养普遍提高，建成“互联网+教育”大平台，推动从教育专用资源向教育大资源转变，努力构建“互联网+”条件下的人才培养新模式、发展基于互联网的教育服务新模式、探索信息时代教育治理新模式。

2、教育行业的重要标准规范

• 《国家中长期教育改革和发展规划纲要（2010—2020年）》

• 《教育信息化十年发展规划（2011-2020年）》

• 《国家教育事业发展“十三五”规划》

• 《教育信息化“十三五”规划》

• 《关于加强教育行业网络与信息安全工作的指导意见》（教技〔2014〕4号）

• 《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南（试行）〉的通知》（教技厅函〔2014〕74号）

• 《关于推进“互联网＋教育”发展的指导意见（征求意见稿）》

• 《关于引导规范教育移动互联网应用有序健康发展的意见》

• 《教育信息化2.0行动计划（2018年）》

• 《教育行业密码应用与创新发展实施方案》（2019）

• 《2020年教育信息化和网络安全工作要点》

• 《教育行业网络安全白皮书（2020年）》

3、教育行业信息系统安全现状

教育行业信息系统包括校园管理信息化平台、数字校园等平台、网上办事大厅平台等。信息系统中用户多、数量大，承载的数据与信息也极其庞大，包含师生个人隐私数据，学校教学科研核心数据等。

教育信息安全所涉及的领域非常广泛，有网络、终端、交换设备等信息化硬件设备，有教学管理系统、学习资源系统等信息化软件系统，还有安全服务、安全管理和安全监控等信息化管理平台。

近年来，各大高校信息化建设不断发展和完善，通过云计算技术构建覆盖全国互联互通的“教育资源公共服务平台”。随着信息技术在教育行业的广泛应用和深度融合，网络信息安全风险随之而来，亟需提升教育行业的网络与信息安全意识及整体安全防护水平。《教育信息化2.0行动计划》强调建立网络安全和信息化统筹协调的领导体制，做到网络安全和信息化统一谋划、统筹推进。完善网络安全监督考核机制。以《网络安全法》等为纲，全面提高教育系统网络安全防护能力。

教育信息化“十三五”期间，高校基本已完成校园信息化建设，已建立了学生、人事、财务、科研等重要信息系统，支撑了校内各类型教育教学管理业务的开展。部分学校建立信息门户网站、移动校园平台等，为校内教职工、学生的生活、工作提供了便捷的信息化服务。但高校的密码应用服务薄弱，一直没有形成统一的建设标准规范，《教育行业密码应用与创新发展实施方案》为高校的密码应用与改造提供了建设思路。

4、教育行业密码应用要求

为推进“互联网+教育”发展，落实教育领域网络安全和信息化的战略部署。教育部2020年3月份印发《2020年教育信息化和网络安全工作要点》。其中第15章指出，加强教育系统密码应用与管理，落实《教育行业密码与应用创新发展实施方案》，推进密码基础设施和支撑体系建设，推动教育重要业务信息系统开展密码应用安全性评估，完善教育数字认证（CA）基础支撑体系建设，推动国家教育管理信息系统密码普遍应用，提升系统安全和数据安全。第32章指出，加强网络安全防护和保障能力。落实教育系统关键信息基础设施安全防护，组织开展应急演练。建立覆盖数据全生命周期的安全管理机制。

根据教育部办公厅于2019年10月份印发的《教育行业密码应用与创新发展实施方案》，包括构建教育行业密码支撑体系、推进教育行业密码普及应用、推进教育密码工作落实和创新发展等。通过对《教育行业密码应用与创新发展实施方案》分析，在教育行业密码应用建设过程中，可提供：

1) 完成共享服务平台本地化服务系统建设

面向业务系统提供标准化、统一化的密码服务接口，减少集成复杂度，方便本地应用系统的密码服务调用。

2) 完成教育密码在校园管理信息化、数字校园应用建设

基于教育部教育行业密码基础设施和支撑平台的基础数字证书服务、电子证照、可信身份等服务对接，建设一套可以为个学校各类信息系统提供安全、可信的密码应用平台，密码应用具体包括：

• 实现各类校园信息化业务关键节点的可信时间的留存和业务关键节点的时间签署留存，将业务产生或者操作的时间进行固化，并留存到业务数据库或者相关凭证文档中；

• 实现各类校园信息化业务操作行为的数据完整性、数据机密性、数据防篡改和行为防抵赖；

• 实现移动校园改造；

• 实现各类校园信息化业务产生的凭据的合法可信，具备防篡改、防伪、可验证性。

3) 完成教育密码认证应用系统建设

各高校根据自身情况，完成教育密码应用基础支撑与共享服务平台的高校本地化服务子系统建设，包括：教育数字认证子系统、教育可信身份认证服务子系统、将可信密码服务平台作为校级服务平台。

4) 完成校园密码应用改造

各高校根据自身情况，完成学生、教职工基于密码技术的可信电子身份证件；OA等业务系统无纸化应用建设，并集成移动签名网关系统，完成个人电子签名。

2.2.3.6. 公安行业密码应用要求

1、公安行业概述

公安隶属政法部门，公安系统的网络信息系统，主要为相关公安系统工作人员，提供对内管理及对外办公服务，均涉及人们群众的切身利益和国家安全问题。

其各类信息系统众多，且存储着大量的重要数据和个人敏感信息，包括公民身份档案信息、旅馆管理信息、警员信息，罪犯犯罪记录等重要敏感数据，容易成为网络攻击者觊觎的目标，敏感数据一旦遭到泄露，不仅会使个人利益受损，也会影响到政法部门公众形象，甚至关系到国家安全。

密码技术是保护数据最经济有效的手段，国家也十分重视国产密码技术的发展，明确规定了涉及国计民生的各行各业要应用密码保护网络信息安全。

2、公安行业的重要标准规范

• 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）

• 《信息安全等级保护管理办法》（公通字[2007]43号）

• 《商用密码管理条例》

• 《信息安全等级保护商用密码技术要求》

• 《指纹信息采集系统技术规范 2008》

• 《指纹信息采集系统数据规范 2008》

• 《公共安全视频图像信息系统管理条例》

• 《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》

3、公安行业信息系统安全现状

随着公安行业信息化的发展，由于信息系统普遍缺失数据安全保护的能力，数据在信息系统中不停流转时容易面临安全威胁：

• 大量的数据集中存储面临着被拖库的风险；

• 数据在交互、共享、流转中，由于政法及辅助人员在等都会接触到敏感信息，容易造成数据泄露。

因此，必须采用密码等新技术实现对信息系统数据全生命周期的安全保护，同时建立健全的网络管理制度，提升公安网络系统的管理水平。

4、公安行业密码应用要求

《信息安全等级保护管理办法》提出对信息系统安全保护分五个等级实行安全保护、监督、管理。

依据《信息安全等级保护商用密码技术要求》和《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》，从管理和技术两个方面来规范和促进信息安全等级保护制度的全面落实。分别对一级至四级信息系统安全保护的从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出基本技术要求。依靠密码技术的支撑来实现身份的真实性、行为的抗抵赖、内容的机密性和完整性。

2.2.3.7. 住建行业密码应用要求

1、住建行业系统概述

2016年国家重点推进“互联网+政务服务”、政府资源信息共享和政务信息公开，强调政府工作由管理向服务转型，不断提高政府效能。有效落实“让数据多跑路，让群众少跑腿”的主动服务思想，最大限度的方便广大房地产相关企业和公众办理房地产交易各项业务。

各地市住建局为加强对房地产市场的监管，借助先进的信息化技术，建立全市统一的智慧房产平台，加强对房地产市场实时监测、分析预警功能，同时预留与其他部门系统间的数据交换接口，满足市级政府资源共享和大数据应用的要求。提高全市房地产行业的管理效率和社会服务水平。

2、住建行业的重要标准规范

• 《CJJT115-2007-房地产市场信息系统技术规范》

• 《建筑及居住小区门禁系统应用方案》

• 住房城乡建设部《2011-2015年建筑业信息化发展纲要》(建质〔2011〕67号)

• 《2016-2020年建筑业信息化发展纲要》

• 《促进建筑业务可持续健康发展的意见》（2017）

• 《基于国产密码算法的城市物联网密钥管理系统规划方案》

• 《基于窄带物联网（NB-IoT）的道路照明智能控制系统技术规范》

• 《建筑智能化系统运行维护技术规范》

• 《住房和城乡建设部等部门关于加快发展数字家庭 提高居住品质的指导意见》（建标[2021]28号）

• 《中华人民共和国住房和城乡建设部文告》2021年第4、5期

3、住建行业信息系统安全现状

随着物联网和大数据技术与住建行业的深度融合，不断催生了智慧社区、智能汽车、智能家居等领域的发展。2018年，住房和城乡建设部信息中心组织开展了基于国密算法的城市物联网密钥管理系统的升级工作。推动了城市物联网安全体系应用到智能门锁、民用三表管理等领域的发展。

为了保障住建行业信息化安全建设和发展，在城市基础设施信息系统、面向社会服务的政务信息系统、行业性业务系统和办公系统中应加强密码应用。

4、住建行业密码应用要求

住建行业信息系统的规划、建设实施和验收除应符合本行业相关规范外， 尚应符合国家现行有关标准的规定。要求使用符合国家密码法律法规和标准规范的密码算法和密码产品，实现密码在本领域的全面应用。

根据《中华人民共和国住房和城乡建设部文告》，在完善数字家庭系统建设中强化网络和数字安全保障。数字家庭系统应同步规划、同步建设、同步使用网络安全技术。采取密码技术等必要措施，保障数字家庭系统安全稳定运行，防止信息泄露、损毁、丢失，确保收集、产生数据和个人信息安全。遵守密码应用规定，形成安全可控完整的产业生态系统。

在智慧社区建设方面，根据《基于国产密码算法的城市物联网密钥管理系统规划方案》，在家居、建筑、门锁、门禁、三表等多场景应用加装行业级国密安全模块，实现智能终端间互联互通。保障设备与平台、平台与平台间的身份认证和加密传输，保障数据安全。

2.2.3.8. 交通行业密码应用要求

1、交通行业概述

交通运输行业作为国民经济的基础产业，大力推动信息化建设对于促进交通运输又好又快发展具有重要的意义。交通运输行业信息化涉及综合运输、公路交通、水路交通、民用航空、邮政服务及城市客运管理等各个方面。

随着交通信息化、便捷化的不断推进，精准感知、精确分析、精心服务的交通功能体系和网络安全体系将被打造。建设交通运输领域新型基础设施过程中，ETC、城市交通一卡通、电子证照等系统将与商用密码技术不断融合，商用密码应用在交通运输领域正在迎来前所未有的发展机遇。

2、交通行业的重要标准规范

• 欧盟EDPB《车联网个人数据保护指南》

• 《汽车数据安全管理若干规定（试行）》

• 交通运输部《关于进一步开展交通运输行业信息安全等级保护工作的通知》 （厅科技字[2012]120号）

• 《GB T 37378-2019 交通运输 信息安全规范》

• 《交通运输行业信息系统安全等级保护基本要求》（征求意见稿）

3、交通行业信息系统安全现状

回顾交通运输行业“十三五”信息化发展建设历程，公路水路交通基础设施运行管理系统建设使得通行效率明显提高；行业公共信息服务平台建设使得信息服务水平明显提升；交通安全监管和应急系统建设使得保障能力明显提高；信息化发展条件建设使得发展环境明显改善。

但信息化的安全保障建设方面暴露了一定的不足：

• 已有系统的安全机制由于技术不断进步变得不再安全；

• 各业务系统的信息安全建设相互独立，只能“一卡单能”，导致重复建设，缺乏行业统一规划。

• 物联网等新技术也对行业信息安全带来了新挑战，主要是用于信息数据的获取的感知节点的安全问题。

4、交通行业密码应用要求

根据《交通运输行业信息系统安全等级保护基本要求》，交通行业三级系统密码应用需满足以下要求：

1）构建统一身份认证体系

应采用密码技术对信息系统配套的各种户外感知节点、 数据采集终端、 室外无线接入设备进行接入认证，确保非法节点不能接入。

登陆系统的用户，采用鉴别技术进行身份标识和鉴别、访问控制等功能。 使用口令时，口令在存储和传输时加密保护。

2）网络通信安全

通过互联网、信息专网、无线短程通信网、GPRS网和卫星网等网络通信时， 应采用密码技术或可靠的身份认证技术保证通信过程中数据的完整性。应对通信过程中的整个报文、会话过程或关键报文进行加密。、实现通信过程中的完整性和保密性保护。

3）数据传输和存储安全

通过互联网、信息专网、无线短程通信网、GPRS 网和卫星网等网络传递数据，应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。

与客运票务、资金收取与使用、调查与统计和行政与执法相关的业务数据信息，在存储时应加密。

4）密码安全管理

应建立密码使用管理制度， 使用符合国家密码管理规定的密码技术和产品。

5）设备安全技术要求

载运装备单元等设备应具有唯一性标识，进行自身身份标识。与其他系统、终端或智能IC卡进行传输和通信时，应确保数据的保密性、完整性和可用性。

2.2.3.9. 水利行业密码应用要求

1、水利行业概述

水利是国民经济和社会发展的基础设施和基础产业。近年来可持续发展水利思路指明了以水利信息化带动水利现代化发展。水利信息网络的建设可为各种水利应用系统提供统一的数据传输平台。

水利十大重点业务系统包括国家防汛抗旱指挥系统、水利电子政务信息系统、水资源管理决策支持系统、水土保持检测与管理信息系统、水质监测与评价信息系统、全国水利工程管理信息系统、全国农村水利水电及电气化管理信息系统、水利信息公众服务系统、全国水利规划设计管理信息系统和数字化图书馆。

2、水利行业的重要标准规范

• 《全国水利信息化发展"十二五"规划》

• 《第一次全国水利普查数据处理实施方案》

• 《水利网络安全管理办法（试行）》

• 《水利网络安全事件应急预案》

• 《SL/T 799—2020水利数据目录服务规范》

• 《SL/T 797—2020水利空间数据交换协议》

• 《SL/T 801—2020水利一张图空间信息服务规范》

• 《水利信息化资源整合共享顶层设计》

• 《水利信息化资源整合实施方案》

• 《数据存储类 | 水利工程建设与管理数据库表结构及标识符SL700-2015》

• 《数据存储类 | 水利空间要素数据字典SL729-2016》

• 《运行维护类 | 水利信息网网络管理规程SL444-2009》

• 《运行维护类 | 水利数据中心管理规程SL604-2012》

• 《建设管理类 | 水利信息网建设指南SL434-2008》

• 《水利信息资源共享管理办法（试行）》

• 《水利关键信息基础设施认定规则》

• 《"十四五"水利网信建设实施方案》

• 《2019年全国水利网信发展报告》

• 《水利关键信息基础设施网络安全建设指导意见》

• 《水利部密码应用与创新发展实施方案（2018-2022年）》

• 《2020年水利网信工作要点》(办信息〔2020〕22号)

3、水利行业信息系统安全现状

随着数字化、网络化的快速发展，数字水利及水资源管理体系等信息化水利建设过程中，网络安全和数据安全问题也逐渐增多，水利信息体系所称承受的安全风险也随之增加。需要采用先进的密码等安全技术，加强对水利信息化安全体系的建设、运维和管理工作。

4、水利行业密码应用要求

2020年2月14日，国家水利部印发《2020年水利网信工作要点》(办信息〔2020〕22号)，明确了2020年水利网信工作的26项重点工作。重点做好水利信息系统等保达标、应用系统安全防护、关键信息基础设施保护等工作。

针对水利行业信息系统商用密码的应用提出：组织宣贯《密码法》，开展水利行业密码应用专题调研，出台推进商用密码应用具体措施。落实《水利部密码应用与创新发展实施方案》，持续推进三峡水利枢纽、南水北调工程等重要水利基础设施和国家水资源管理系统等重要信息系统的密码应用。开展水利行业重要信息系统等保定级、备案和测评工作。完成水利部机关政务内网分级保护风险评估工作。

2.2.3.10. 医疗行业密码应用要求

1、医疗行业概述

近年来，医疗行业信息化得到全面快速发展，互联网、大数据、云计算等新兴技术与传统医疗不断深化融合，促进了医疗服务水平提升。在今年新型冠状病毒肺炎疫情防控期间，许多医院、基层医疗卫生机构、专业公共卫生机构等通过互联网提供在线问诊、智能问药、药品快递到家等服务，减少了接触传染的风险，增强了就医的便捷性，提高了优质医疗资源的利用效率。与此同时，医疗行业面临的网络安全风险也逐渐增多。虽各方高度重视，但我国医疗行业网络安全仍处于工作起步较晚、整体风险较高、防护水平相对落后的局面，网络安全形势不容乐观。

2、医疗行业的重要标准规范

• 《GB∕T 39725-2020 信息安全技术 健康医疗数据安全指南》

• 《医疗行业网络安全白皮书（2020年）》

• 《移动互联网医疗安全风控白皮书（2020年）》

• 《关于印发全国医院信息化建设标准与规范（试行）的通知》

• 《关于印发全国基层医疗卫生机构信息化建设标准与规范（试行）的通知》

3、医疗行业信息系统安全现状

医疗行业网络安全是我国网络安全的重要组成部分，受到国家高度重视。随着医疗行业信息网络技术的深入应用和“互联网+医疗健康”的不断推进，党中央、国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规，逐步完善医疗行业网络安全体系。

4、医疗行业密码应用要求

根据2018年4月，国家卫生健康委发布的，针对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。《关于印发全国医院信息化建设标准与规范（试行）的通知》

根据2019年4月，国家卫生健康委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范（试行）的通知》，明确了基层医疗卫生机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、安全运维等 10 个方面。

2.2.3.11. 各地区密码应用政策要求

各地区各部门按照《密码法》要求，不断加大密码应用推进力度。基础信息网络、重要信息系统、重要工业控制系统和政务信息系统等重要领域密码应用持续深化，密码技术积极护航5G、云计算、物联网等新基建安全发展，为网络空间安全秩序提供了高质量的密码技术和服务。同时各地区也推出了密码应用相关政策，列举如下：

• 2004年7月30日，《湖南省信息化条例》作为全国第一部信息化的地方性法规，在湖南省正式实施。

• 《珠海市市级政务信息化项目商用密码应用工作指引》，以此开展商用密码应用安全性评估工作。

• 2016年11月2日，江苏省商用密码产业协会会员大会在无锡召开，会议就重要领域密码应用工作相关情况进行了介绍。

• 2017 年，国家密码管理局要求对广东、四川、云南等7 个省市推进政务云密码应用示范，期望形成密码应用的范例。对以政务云为基础的智慧城市实施全面的网络和数据安全保护。

• 2019年7月18日，深圳举办“基于国密算法的物联网密钥管理系统在智能门锁应用技术交流会”。提升智能门锁行业信息安全，推动国密算法在智能门锁行业的应用。

• 2019年10月23日，北京市密码管理局组织编写《北京商用密码发展报告》，为推动北京商用密码事业发展，全面系统梳理北京商用密码产业情况。

• 2021年3月17日，海南省国家密码管理局等6部门联合发布《关于进一步明确省政务信息化项目密码应用有关要求的通知》。

2.3. 密码技术筑牢数字安全屏障

针对需求侧产生的供给高质量密码产品的需求，同时，信息技术、监管侧也发生了强烈变化，这些推动了密码产品供给侧的演进与升级，而信创又给国产密码发展带来了新契机。密码产品供给侧应当抓住这个窗口期，做强做优商用密码产业，夯实筑牢网络安全基石，保驾护航数字经济发展。

2.3.1. 密码技术进步促进应用融合

一是密码和业务应用融合。传统密码产品开发改造应用的密码集成模式门槛高、周期长、风险大，用户面临“难用、难管”，很难将密码能力深入融合到信息系统，而业务应用改造也正是密码防护和密评整改的难点，与金融、交通、医疗等行业应用场景紧密结合的密码需求也会更加细化。业内提出基于“面向切面安全”的密码中间件模式，将安全与业务在技术上解耦、但又在能力上融合交织，提供轻量级改造应用的密码应用实施模式，有效防护企业应用与数据，让密码“好用、好管”。

二是一体化的密码平台集约建设。企业业务需求持续变化决定了企业应用系统复杂多样，而在密码全方位应用要求背景下，针对每个应用分别实施密码防护会面临技术、管理等挑战，因此，亟待结合企业数字化现状和具体问题，遵循统一标准体系，建设统一密码平台，实施统一安全防护，落实统一运维监管，打造一体化的密码支撑体系。

2.3.2. 信息技术升级促进产品演进

一是新一代信息技术加速促使密码产品演进。例如云模式交付拉动密码产品向“云原生”发展，从传统密码产品以硬件为主，转向侧重软件形态的软硬均衡，而新发布的密评国标GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》也规范了密码软件合规要求，属于政策对密码软件形态的引导鼓励。类似的，大数据对加解密性能提出更高要求，物联网对密码产品形态要求更灵活等。

二是信创带来历史机遇，国产密码本身就是信创产业的核心部分，密码又能为蓬勃发展的信创产业保驾护航，所以，适配优化信创平台、在信创安全体系中全面应用密码等新需求对密码产品形态会产生深刻影响。

三是兼容新的国际技术标准。当前，国密算法已逐步进入国际标准，展望未来，从上游的网络协议及规范，到中游的网络协议栈实现、软件开发工具链，硬件密码模块，再到下游的基础软件和应用软件，国密将逐步融入这些标准。随着中国科技企业进入海外市场，中国密码技术也将“走出去”。

2.3.3. 攻防演练对抗促进实战发展

一是密码安全一体化。数据加密只是把明文安全问题转移到密钥安全问题，但是如果没有结合业务的密钥访问控制，防护价值非常有限。过去，由于市场准入等因素，密码和安全技术在建设落地时相对分离，但是，随着密码“放管服”落实以及监管侧改革，“以密码技术为核心、多种安全技术相互融合”将成为主流思路，并统筹实施等保与密评。通过加密技术，为流转的数据重新定义了虚拟防护边界，在边界上施加访问控制、审计等技术，实现“防绕过的访问控制”以及“高置信度审计”，进一步集成企业IAM身份认证管理，打造同时满足传统场景和零信任场景的有效数据保护。

二是加强密码产品自身安全保护。这是威胁对抗常态化带来的必然要求，密码厂商会更加重视密码产品研发和生产等全生命周期中的安全，同时，监管机构也提高了密码产品的安全性检测认证要求，用“安全的密码产品”有效保护企业数字化安全。

三是多重需求拉动密码服务蓬勃发展。过去，合规主导的密码市场侧重产品本身，而当下企业更注重有效防护，要将安全产品转化为有效防护能力，需要提供服务，尤其是结合安全运维，所以，密码交付形态正在从“以产品为主”演进为“产品与服务相结合”。

2.3.4. 数据要素市场促进密码创新

数据作为新的生产要素，对全面释放数字红利、占领数字经济全球竞争制高点具有战略意义。与此同时，数据生产要素具备自身特性，例如难以从技术上分割使用权和所有权，而通过创新的密码技术和方案可实现多个企业或机构间的数据共享互联，具有广阔发展空间。

一是“软硬兼备”的密码产品形态将成未来的主流。从目前国际密码产品的发展情况来看，国内密码产品的走向也将会朝着“软硬结合，以软为主”的方向发展，从机卡Key等强调安全合规性，到“识别和防护”的实战化安全产品将百花齐放，内嵌式密码产品或将成为市场主流。

二是隐私增强计算技术，例如联邦学习、安全多方计算、机密计算、差分隐私、同态加密等，实现“数据可用不可见”。

三是基于密码的新兴信息技术，例如区块链，就是加密技术、分布式网络、智能合约等多种技术集成的新型数据库软件，通过数据透明、不易篡改、可追溯，有望解决数据生产要素化的信任和安全问题。

四是结合传统密码技术和多种安全保密技术，使数据在共享时实现“最少可用原则”和“最小权限原则”，让数据在业务系统中实现共享与安全兼得。

2.4. 业务视角归纳密码应用模式

图 3 密码产业组成示意图

如上图所示，商用密码产业由密码算法（研究机构）、密码产品（密码厂商）、含密安全产品（安全厂商）以及密码应用产品（各种使用密码功能的业务应用系统开发商）组成。从密码算法到最终的密码应用，各个环节都将密码技术进行“叠加封装”，最终形成丰富的密码产品。

采用密码产品的目的就是将密码技术在各种应用场景中发挥密码的作用，达到安全防护的目标。而在密码应用的实战过程中，不同的使用场景中类似的密码应用模式会反复出现，本白皮书将这些反复出现的密码应用模式进行了提炼总结，针对每种模式进行了威胁分析、模式说明以及典型应用的示例说明，使密码技术使用者能够在密码应用中快速定位要采用的密码解决方案。

表 4 20种密码应用实战模式汇总

如上表中所述，在身份鉴别及密钥管理、数据传输、数据存储以及数据使用的阶段，提炼总结出20种密码应用模式，密码技术主要用于身份鉴别、传输安全、存储安全、使用安全等场景，本章节将进行详细说明。

（一）身份鉴别及密钥管理

2.4.1. PKI信任体系

2.4.1.1. 模式说明

2.4.1.1.1. 威胁分析

图 4 信任体系威胁示意图

Alice与Bob预先交换公钥，但Mallory仿冒Alice也可以与Bob交换公钥，而Bob并不能辨认出Mallory是仿冒的。也就是说，网络用户之间无法识别对方的身份，容易被攻击者仿冒，这种线下预先交换公钥的方式，具有很大局限性。在缺少权威证书颁发机构的情况下，身份容易被攻击者仿冒。

2.4.1.1.2. 防护模型

图 5 信任体系PKI防护模型示意图

标准的PKI组成要素包括：

1. 用户——使用PKI服务的人；

2. 认证机构——颁发证书的人；

3. 仓库（Repository）——存储证书的数据库。

如图中所示，Alice和Bob是PKI服务的使用者，Alice是公钥注册者，Bob是公钥使用者：

【Alice要做】

生成密钥对、在认证机构注册公钥、向认证机构申请证书、根据需要申请作废已注册的公钥、解密接收到的密文、对消息进行数字签名

【Bob要做】

将消息加密后发送给接收者

验证数字签名，Trent是认证机构，对证书进行管理，要做的操作：生成密钥对、在注册公钥时对本人身份进行认证、生成并颁发证书、作废证书

仓库（Repository）是保存证书的数据库，PKI用户在需要的时候可以从中获取证书，Bob获取Alice的证书就可以从仓库中下载。

在政策的指引下，目前PKI的供应商均能够提供基于国密SM2、SM3、SM4算法实现的产品，用户可以选择该类产品满足合规要求。

2.4.1.2. 典型应用示例

PKI信任体系的典型应用是基于PKI的身份认证系统。

图 6 用户申请证书过程示意图

在身份认证系统中，用户需要先申请证书。过程为：

（1）用户向注册中心（RA）提交证书申请；

（2）注册中心对用户身份进行审核；

（3）注册中心将审核后的用户证书申请请求提交认证机构（CA）；

（4）认证机构签署证书并且颁发用户证书，并将证书存储到企业LDAP目录服务器中，并存入证书数据库中，以供用户查询；

（5）用户会得到存储了个人证书的USBKey，同时存储的还有用户的私钥。

图 7 用户申请证书过程示意图

用户使用USBKey进行身份认证登录应用系统的过程如下：

（1）用户在客户端插入USBKey，输入用户名和PIN码；

（2）对服务端随机生成的验证码进行签名，并将验证码、签名数据、用户名一起提交服务端认证；

（3）服务端接收到数据后，通过用户名定位到用户证书；

（4）服务端使用用户证书对签名数据进行验签，如果验证通过，则证明是合法用户，通过了身份认证；

（5）用户可成功登录应用系统。

2.4.2. IBC信任体系

2.4.2.1. 模式说明

2.4.2.1.1. 威胁分析

威胁同PKI信任体系，需要防范身份仿冒问题。

2.4.2.1.2. 防护模型

虽然PKI是一种构建网络信任体系和提供公钥信息安全服务的主流解决方案，拥有技术成熟、适用于大规模部署等诸多优点，但也存在困扰其发展的问题：PKI用户之间需要交换数字证书，为了减少数字证书的管理开销，IBC信任体系被提出。

图 8 信任体系IBC防护模型示意图

在IBC信任体系中，可以将用户的公开信息，如Email地址、姓名、手机号码等直接作为公钥，从而避免了PKI中与证书相关的复杂操作，用户私钥有私钥中心（Private Key Generator，PKG）根据公钥集中产生并分发，管理与维护相对简单。

在IBC信任体系中，Alice和Bob各自可向PKG申请私钥并妥善保管，Alice和Bob可以将对方的公开信息，如Email地址等作为对方的公钥，无需再向“仓库”申请。双方可以直接使用“挑战——应答机制”确认对方的身份，认证过程为：

（1）Alice与Bob建立连接；

（2）Alice向Bob发送请求，并发送Email地址（Alice公钥）；

（3）Bob生成随机数作为挑战报文返回给Alice进行挑战；

（4）Alice使用自身私钥对挑战报文进行签名，返回给Bob；

（5）Bob使用PKG的主公钥和Alice的公钥（Email）进行签名验证；

（6）验签通过，则可确认Alice身份，可以进行通信；

（7）验签不通过，则Alice身份未通过确认，立即终止连接。

IBC需要构建安全通道为用户传递私钥，因而使用环境受到一定限制，此外，存在着集中产生私钥带来的密钥托管问题，由于用户自己无法产生私钥，难以实现不可否认性业务。

2.4.2.2. 典型应用示例

IBC信任体系的典型应用是基于IBC的安全邮件。

图 9 基于IBC的安全邮件示意图

Alice通过IBC安全邮件方式向Bob发送邮件的过程为：

（1）Bob先从密钥生成中心PKG中，认证并申请bob@com对应的私钥；

（2）Alice直接使用Bob的邮件地址bob@com，作为Bob的公钥对邮件内容进行加密；

（3）Alice将密文邮件发出；

（4）Bob接收到密文邮件；

（5）Bob使用私钥对密文邮件进行解密，得到明文内容。

3.1. 基础算力类

3.1.2. 密码套件

3.1.2.1. 产品概述

密码套件（密码SDK）能够帮助用户安全、高效的引入密码能力，提高其安全水平，应用系统通过开发改造的方式，与封装了加密业务逻辑的密码SDK进行集成。

3.1.2.2. 标准规范

《GM／T 0003-2012 SM2椭圆曲线公钥密码算法》

《GM／T 0009-2012 SM2密码算法使用规范》

《GM／T 0010-2012 SM2密码算法加密签名消息语法规范》

《GM／T 0004-2012 SM3密码杂凑算法》

《GM／T 0002-2012 SM4分组密码算法》

《GM／T 0044-2016 SM9标识密码算法》

《GM／T 0024-2014 SSL VPN技术规范》

《GM／T 0028-2014 密码模块安全技术要求》

《GM／T 0039-2015 密码模块安全检测要求》

3.1.2.3. 应用要点

密码SDK包含提供加密能力的密码算法库和提供建立安全连接能力的TLS协议库，在支持国际通用密码算法及标准TLS协议之外，还提供国产商用密码算法（SM2、SM3、SM4、SM9等SM系列算法）以及基于SM系列算法套件的TLS协议。基于密码算法及TLS协议库的支持，应用软件可以获得完整、持续的数据全生命周期安全保护。

密码套件的应用优势：

(1) 适用范围广

应用系统的开发商可以自行解决数据加解密的绝大多数问题，对数据库系统本身或第三方的数据安全厂商没有依赖。

(2) 灵活性高

应用服务端加密，是针对于应用服务器的加密方式，因为应用服务端加密可与业务逻辑紧密结合，在应用系统开发过程中，灵活地对相关业务中的敏感数据进行加密处理，且使用的加密函数、加密密钥等均可根据业务逻辑需求进行灵活选择。

密码套件的应用挑战：

(1) 需要对应用系统开发改造

应用系统加密的实现需要应用系统开发投入较大的研发成本，时间周期较长，后期实施和维护成本较高，也面临大量代码改造带来的潜在业务风险。

(2) 对应用开发人员要求高

对业务开发人员来说，正确合规使用密码技术具有一定门槛。比如在实际应用中，会出现应用开发人员密钥使用不合规或安全风险等情况。

(3) 需要高性能国密SDK

目前国密算法在主流服务器和终端上软件实现还存在性能瓶颈问题，通过集成国密SDK使应用系统具备数据加密能力的同时，应充分保障应用系统性能，力争对业务影响降低最小，这就需要高性能国密SDK为应用系统提供高速的数据加解密服务。

3.1.2.4. 创新趋势

数据安全发展趋势，密码套件要重视软件产品面临的安全风险，大力推动密码技术与操作系统、数据库等基础软件以及云计算、区块链等新兴技术的融合应用，构建关键软件产品安全保障体系。面对大量的存量应用系统，通过开发改造应用重构安全的成本极高，而增量应用很快又成为存量，要解决此类问题，需要探索一种将安全能力与应用高效结合的创新技术手段。面向关键软件的密码安全，尤其在数据安全方面，可以在数据流转环节探索“面向切面的数据安全技术”，让安全能力既与业务流程深度融合，又在技术上解耦。密码套件除了在操作系统兼容性、新技术融合度、密码高性能，更需要增加密码套件基于中间件的使用便利性，使得密码更好用。

3.2.应用场景类

 3.2.2. CASB数据加密平台

3.2.2.1. 产品概述

CASB数据加密平台是一款集数据加解密、访问控制、动态脱敏、策略管理和密钥管理等功能于一体的数据安全产品。

CASB数据加密平台主要由数据加密插件、数据安全管理平台和密钥管理系统组成。其中数据加密插件部署在应用系统的服务端，逻辑上处在应用系统和数据库之间，应用系统写入数据和读取数据时都会流经数据加密插件，写入数据时数据加密插件对数据加密，使数据以密文的形式在数据库内存储，读取数据时，数据加密插件对密文数据进行解密，将解密后的明文传送至应用系统前端，整个加解密过程对应用系统的用户端是透明的；数据安全管理平台负责为数据加密插件提供管理、加解密和脱敏策略配置等可视化管理服务；密钥管理系统负责提供密钥支持和密钥管理服务。

3.2.2.2. 标准规范

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》

《GB/T 37092-2018 信息安全技术 密码模块安全要求》

《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》

《GM／T 0002-2012 SM4分组密码算法》

《GM／T 0003-2012 SM2椭圆曲线公钥密码算法》

《GM／T 0004-2012 SM3密码杂凑算法》

《GM／T 0009-2012 SM2密码算法使用规范》

《GM／T 0010-2012 SM2密码算法加密签名消息语法规范》

《GM／T 0024-2014 SSL VPN技术规范》

《GM／T 0028-2014 密码模块安全技术要求》

《GM／T 0039-2015 密码模块安全检测要求》

3.2.2.3. 应用要点

(1) 结构化数据加密保护

针对数据库中存储的结构化数据，业务数据安全防护平台可以实现重要敏感字段的加密保护，具体功能如下：

1) 用户可以根据企业分类分级的结果或者实际需求，选择对重要敏感字段进行加密。即使数据库文件被非法复制或者存储文件丢失，也不会导致真实敏感数据的泄露；

2) 能对结构化数据实现精确到字段级的精细化防护，对于没有授权的用户绕过数据加密插件，即使窃取硬盘或拷贝数据也无法解密读取，可有效做到“防拔盘、防拖库”；

3) 支持国密SM4算法，可对不同字段采用不同加密算法不同密钥进行加密；

4) 对手机号、身份证号、Email等有固定格式的字段能实现保留格式的加密；

5) 根据应用系统用户身份权限等进行细粒度访问控制，支持“主体到应用内用户，客体数据库字段级”，实现对应用系统用户侧的数据脱敏和访问控制。

(2) 非结构化数据加密保护

针对文件类的非结构化数据，可实现落盘加密，读盘解密。通过数据安全管理平台可以进行加解密策略配置和细粒度的访问控制，支持对指定的文件夹进行加密，此时该文件夹（及其子文件夹）的文件在保存时被加密；支持通过白名单机制控制应用系统访问非结构化数据，即经过授权的应用，可以正常访问数据，获取的是明文；未经授权的应用或者直接拷贝文件数据，只能获取密文数据。

(3) 访问控制（动态脱敏）

支持在数据解密节点上，对敏感数据通过设置遮掩等方式实现动态脱敏，可实时将脱敏后的结果展示在应用前端。

动态脱敏是在生产环境中应用读取敏感数据的过程中实现，先经过插件解密，接着由插件根据脱敏策略进行脱敏，再将脱敏后的结果返回应用前端，性能上不影响正常业务，用户无延迟感知。

动态脱敏的基本原理是通过脱敏算法将敏感数据进行遮蔽、变形，将敏感级别降低后对外展示。插件中包含脱敏引擎，引擎中内置了常用的脱敏算法，并且支持根据用户需求定制脱敏算法。解密后的敏感数据由脱敏引擎根据已经设置的脱敏算法进行计算处理，得到脱敏后的结果返回应用前端展示。

 图 83 数据动态脱敏

3.2.2.4. 创新趋势

CASB数据加密平台未来创新集中在四个方面：一是底层加密技术的更新换代，主要体现在加密算法性能提升、更安全的密钥机制、新的加密算法、新的加密技术应用等；二是平台业务模式的演化，包括平台本身的功能性能升级、插件端功能性能升级等；三是应用场景的创新，确保适配越来越多的应用场景，比如云环境、虚拟化等领域；四是部署实施的优化，平台将朝着更加自动化、智能化方向演进。

（*** 3.1~3.2章节的部分细节内容省略，详见白皮书原文）

4.1. 数据安全本质是对数据重建访问规则 

企业数字化转型伴随着数字化资产爆发式增长，数据作为最重要的生产要素，在企业应用系统内部高速流转、共享、协同，驱动业务效率提升，带来了巨大效益。与此同时，数据的高价值使之成为被觊觎的目标，数据安全威胁已经成为关乎企业命运的关键业务风险，这也对企业安全防护体系提出新需求。

近年来，国家高度重视数据安全。我国2017年生效的《网络安全法》对个人信息等数据保护提出明确要求；2018年正式实施《信息安全技术个人信息安全规范》，并于2020年修订及实施新版；2019年10月颁布、2020年1月1日正式实施的《密码法》明确要求应用密码技术实现数据保护；2021年9月1日正式实施《数据安全法》；2021年11月1日正式实施《个人信息保护法》。

从安全技术理念看，美国国家安全局NSA（National Security Agency）下属的IAD（Information Assurance Directorate），是美国国防与政府防御体系的主要建设机构，早在2013年就提出“安全必须从以网络为中心，转向聚焦以数据为中心”；而美国国防部在2019年2月发布的《国防部云战略》白皮书，也明确提出“美国国防部的安全防护建设重点，在从边界防御，转向保护数据和服务”。

图 88 网络/主机和数据分别是两个正交的维度

参考上图，当前数字化转型围绕业务应用展开，应用由网络/主机/中间件/数据库等承载运行，而数据在各层次支撑组件中被共享流转。由此可见，网络/主机和数据是两个正交的维度，这也给数据安全防护带来挑战，由于0-day漏洞不可避免、以及n-day漏洞修复不及时所带来的攻击利用，网络/主机所依赖的基于“防漏洞”方式的保护数据，从防护效果来讲是不确定的防护手段。而数据加密、去标识化等技术手段施加了对数据的访问规则，重建、延伸并增强了对数据本身的安全机制，能够提供更为确定的防护效果。

图 89 网络与数据并重的新安全建设体系

内部威胁和外部入侵是数据泄露两大原因。企业过去保护数据，是在网络侧采用各层次“防漏洞”的方式，但来自业务人员的内部威胁始终存在，同时安全漏洞目前看也无法避免，难以彻底解决网络入侵。所以对数据本身直接进行加密和访问控制，是实现数据防护最有效的手段。安全技术本身也正在从“以网络为中心的安全”，向“聚焦以数据为中心的安全”演进。

“以网络为中心的安全”是保证数据安全的前提和基石，而“以数据为中心的安全”以数据为抓手实施安全保护，能够更有效增强对数据本身的防护能力，二者高度关联、相互依赖、叠加演进。从产业背景看，过去20年是IT时代，侧重于主机/网络/应用等方面的安全建设。而今天进入DT时代（Data Technology），数据的重要性和主导性被提升到新高度，与之对应的，企业安全建设理念也将提升为“网络与数据并重的新安全建设体系”。

着眼当下，数据安全所面临的问题不是做的过多导致冗余，而是出血口太多、防护能力达不到。事实上，应用系统、安全产品、基础设施都潜藏着漏洞，或者存在考虑不周的安全设计缺陷。好的安全理念应该是以网络与数据并重为新建设方向，面向失效的安全机制，通过有联动协同的纵深安全机制，构建有效防线。

特别的，从针对数据本身进行主动式防护出发，将包含密码技术在内的数据安全技术组合赋能给具体行业安全问题，比发掘一个适用于所有行业的通用问题，更符合用户的实际需求。

 （*** 4.2~4.3章节内容省略，详见白皮书原文）

5.1. 密码应用典型性问题分析

国家正在大力推进密码工作，普及密码技术的应用，但是我国的商用密码应用仍有极大的发展空间。密码产品、技术和服务只有得到合规、正确、有效应用，才能发挥安全支撑作用。在实际应用中，由于用户（信息系统应用开发商）有可能不用、乱用、错用密码技术，导致应用系统的安全性得不到有效保障。

5.1.1. 密码应用不广泛

由于行业无强制性密码应用要求，制约了密码应用的发展，导致很多需要使

用密码进行保护的场景，并未使用密码。信息系统应用开发商对密码在安全防护中的重要地位缺乏认识，为节省成本而忽视密码技术。由于缺乏密码算法、协议等技术支撑，信息系统中数据的保密性、真实性、完整性和不可否认性得不到保障。

同时，不同行业的信息系统对密码产品、技术及服务的性能要求、应用场景、手段和管理方法等都不尽相同，因此不同行业应根据其行业特点尽快出台对应的商用密码应用指导性文件。目前商用密码推广还处于起步阶段，针对密码应用、管理等相关规定，各行业无明确强制性的密码应用安全要求，可能会面临管理、技术、成本等各方面的问题，制约了商用密码的应用发展。

5.1.2. 密码应用不规范

在密码标准化建设工作中，我国虽然已发布SM系列国密算法，但密码应用方面的标准体系还不够完善。同时信息系统应用开发商缺乏对密码重要作用的认识，不严格执行密码标准，不规范调用密码技术，导致系统无法对接，甚至出现安全漏洞。

随着移动互联网、物联网、云计算等新业态的快速发展，密码应用标准的缺失将成为阻碍行业发展、数据互联互通的障碍。现行密码标准与关键信息基础设施、重点行业的密码应用要求难以契合，商用密码标准化推进难度大，导致了商用密码未能规范应用。

5.1.3. 密码应用不安全

由于开发人员缺乏对密码算法、技术标准的正确理解，在密码应用的过程中，

经常会出现密码错误应用的情况发生。如果信息系统应用开发商对密码应用缺乏技能和经验，不清楚合规性要求，不了解密码算法的类型、协议参与方的角色要求、关键参数的类型和规模等基本知识，错误调用密码技术，就会不可避免地产生安全漏洞。常见的案例包括系统中使用了已被破解的密码算法（如MD5、SHA-1等），密码支撑资源被错误调用等。

密码技术不用、乱用、错用都将导致系统安全问题，因此，合规、正确、有效使用密码技术是信息系统应用开发商必须熟练掌握的基本能力。同时准确结合用户安全需求，从而在信息系统密码安全应用的建设过程中做到“正确规范”。

5.2. 密评为密码合规提供基线

5.2.1. 密评发展历程

密评最早是在2007年提出，经过十几年的积累，密评制度体系不断完善成熟，其发展历程大致可以分为以下5个阶段[38]。

5.2.1.1. 阶段一：奠定期

制度奠定期从2007年11月至2016年8月。2007年11月27日，国家密码管理局印发11号文件《信息安全等级保护商用密码管理办法》，要求信息安全等级保护商用密码测评工作由国家密码局指定的测评机构承担。2009年12月15日，国家密码管理局印发管理办法实施意见，进一步明确了密码测评有关要求。

5.2.1.2. 阶段二：集结期

再次集结期从2016年9月至2017年4月。国家密码管理局成立起草小组，研究起草《商用密码应用安全性评估管理办法（试行）》。2017年4月22日，正式印发《关于开展密码应用安全性评估试点工作的通知》（国密局（2017）138号文），在七省五行业开展密评试点。

5.2.1.3. 阶段三：建设期

体系建设期从2017年5月至2017年9月。国家密码管理局成立密评领导小组，研究确定了密评总体架构，并组织有关单位起草14项制度文件。2017年9月27日，国家密码管理局印发《商用密码应用安全性测评机构管理办法（试行）》《商用密码应用安全性测评机构能力评审实施细则（试行）》《信息系统密码应用基本要求》（后以密码行业标准GM/T 0054形式发布）和《信息系统密码测评要求（试行）》，密评制度体系初步建立。

5.2.1.4. 阶段四：试点期

密评试点开展期从2017年10月至今。试点开展过程同时也是机构培育过程，包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定。2019年上半年对第一批密评试点做了评审总结，对参与试点的27家机构进行能力再评审，择优选出16家扩大试点，对另外11家机构给予6个月能力提升整改期。2019年10月，开始启动第二批密评试点工作。

5.2.1.5. 阶段五：推广期

随着《密码法》于2020年1月1日起正式实施，密评也逐渐进入推广期。从前期的试点、政策驱动到组织机构开始主动开展密评工作，特别的，中国密码学会密评联委会于2020年12月发布了密评指引文件，并于2021年12月进行了更新；密评遵循的标准《GM/T 0054-2018 信息系统密码应用基本要求》（2018年2月8日发布并实施），也升级为国家标准《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》(2021年3月9日发布，2021年10月1日实施)，标志着密评体系已经基本确立，密评有了量化评估、高风险判定的指引等测评的依据标准，开始进入快速推广和发展的阶段。

5.2.2. 密评开展依据

“密评”的全称是“商用密码应用安全性评估”，指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估[]。

那为什么要做密评呢？一方面，开展密评工作是国家法律法规的强制要求，是网络安全运营者的法定责任和义务；另一方面，开展密评是商用密码应用正确、合规、有效的重要保证，是检验网络和信息系统安全性的重要手段。

5.2.2.1. 密评是法律法规强制要求

开展密评，是国家相关法律法规提出的明确要求，同时也是赋予网络安全运营者的法定责任和义务。

1.《中华人民共和国密码法》

第二十七条：法律、行政法规和国家有关规定要求使用密码进行保护的关键信息基础设施，其运营者应当使用密码进行保护，自行或者委托密码检测机构开展密码应用安全性评估。

2.《商用密码应用安全性评估管理办法(试行)》

第十条：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。

3.《网络安全等级保护条例（征求意见稿）》

第四十七条：第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。

4.《国家政务信息化项目建设管理办法》

第十五条：项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

第二十五条：项目建设单位提交验收申请报告时应当附上密码应用安全性评估报告等材料。

因此，开展密评是广大网络安全运营者落实法律法规要求，履行网络安全义务的一项重要责任。

5.2.2.2. 密评是网络和信息系统安全的重要保证

1.密评是商用密码应用的重要推动力

商用密码应用的正确、合规、有效，是网络和信息系统安全的关键所在，而密评工作的开展可以促进商用密码应用做到合规、正确和有效，是商用密码应用正确、合规、有效的重要推动力。

2.密评是应对网络与数据安全形势的需要

通过密评可以及时发现在密码应用过程中存在的问题，为网络和信息安全提供科学的评价方法，逐步规范密码的使用和管理，从根本上改变密码应用不广泛、不规范、不安全的现状，确保密码在网络和信息系统中得到有效应用，切实构建起坚实可靠的网络安全密码保障。

3.密评是系统安全维护的必然要求

密码应用是否合规、正确、有效，涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此，需委托专业机构、专业人员，采用专业工具和专业手段，对系统整体的密码应用安全进行专项测试和综合评估，形成科学准确的评估结果，以便及时掌握密码安全现状，采取必要的技术和管理措施。

综上所述可以看出，密码体系是网络与数据安全环境的基础，而密码评测是建立健全密码安全体系最重要的考量，是网络安全和信息系统安全建设的重要组成部分，因此开展密评工作具有非常重要的意义。

5.2.3. 密评适用对象

《密码法》第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

《商用密码应用安全性评估管理办法（试行）》第三条、第二十条：涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：

基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、关键信息基础设施、网络安全等级保护第三级及以上信息系统。

自2021年9月1日起施行的《关键信息基础设施安全保护条例》中明确了关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

司法部、网信办、工业和信息化部、公安部负责人在就《关键信息基础设施安全保护条例》有关问题回答了记者提问时，对于关键信息基础设施如何认定的问题?是这样回答的：《条例》从我国国情出发，借鉴国外通行做法，明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。

《关键信息基础设施确定指南（试行）》中明确的关键信息基础设施认定标准有：

1.网站类

（符合以下条件之一的，可以认定为关键信息基础设施）

（1）门户网站

（2）重点新闻网站

（3）日均访问想超过100万人次的网站

（4）一旦发生网络安全事故，可能造成以下影响之一的：

影响超过100万人工作、生活；影响单个地市级行政区域30%以上人口与的工作、生活；造成超过100万个人信息泄露；造成大量机构、企业敏感信息泄露；造成大量地理、人口、资源等国家基础数据泄露；验证损害政府形象、社会秩序或危害国家安全。

（5）其他应该认定为关键信息基础设施。

2.平台类

（符合以下条件之一的，可以认定关键信息基础设施）

（1）注册用户超过1000万或活跃用户（每日至少登录一下）数超过100万；

（2）日均成交订单额或交易额超过1000万元；

（3）一旦发生网络安全事故，可能造成以下影响之一的：

造成1000万元以上的直接经济损失；直接影响超过1000万人工作、生活；造成超过100万人个人信息泄露；造成大量机构、企业敏感信息泄露；造成大量地理、人口、资源等国家基础数据泄露；严重损害社会和经济秩序或危害国家安全。

（4）其他应该认定为关键信息基础设施；

3.生产业务类

（符合以下条件之一的，可以认定关键信息基础设施）

（1）地市级以上政府机关面向公众服务的业务系统或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统；

（2）规模超过1500个标准机架的数据中心；

（3）一旦发生网络安全事故，可能造成以下影响之一的：

影响单个地市级行政区30%以上人口的工作、生活；影响10万人用水、用电、用气、用油、取暖或交通出行等；导致5人以上死亡或50人以上重伤；直接造成5000万元以上经济损失；造成100万人个人信息泄露；造成大量机构、企业敏感信息泄露；造成大量地理、人口、资源等国家基础数据泄露；严重损害社会和经济秩序或危害国家安全。

（4）其他应该认定为关键信息基础设施。

同时《信息安全等级保护商用密码管理办法》中也明确规定：“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统，应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外，在新版《网络安全等级保护条例》（征求意见稿）明确要求在规划、建设、运行阶段开展密码应用安全性评估。

5.2.4. 密评政策法规

为规范密评工作，国家密码管理局制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件，对测评机构、网络与信息系统责任单位、管理部门提出要求，对评估程序、评估办法、监督管理等进行明确，对测评机构审查认定工作提出要求。

5.2.4.1. 《商用密码应用安全性评估管理办法（试行）》

1.出台背景和目标

为发挥密码在维护安全与促进发展综合平衡中的重要支撑作用，我国法律法规和政策性文件都对密码应用提出明确要求。在此背景下，国家密码管理局制发《商用密码应用安全性评估管理办法（试行）》（以下简称《办法》），目标是明确国家和省（部）密码管理部门在密码应用安全性评估中的指导、监督和检查职责；明确重要信息系统的建设、使用、管理单位在评估工作中的主体责任；依法培育测评机构，规范评估行为，以评促改、以评促用，形成规范有序的密码应用安全性评估审查机制，并与网络安全等级保护等已有制度做好衔接。

2.主要内容

《办法》聚焦于建立密评审查机制、规范密评工作，规定了测评机构、网络与信息系统责任单位、管理部门的权利义务，明确了评估程序、评估方法、监督管理等内容。

《办法》共四章二十二条。

（1）第一章是总则。明确了制定《办法》的目的和立法依据，对密码和密码应用安全性评估进行定义，明确适用范围和管理机构职能。

（2）第二章介绍了评估程序。规定了责任单位和测评机构职责，提出独立、客观、公正的评估原则，对重要信息系统如何实施密码应用安全性评估做出规定。  

（3）第三章介绍了监督管理。规定密码管理部门要不定期开展评估专项检查和抽查工作，对测评机构进行监督检查，明确其他主管部门应将密评情况作为网络与信息系统安全检查的重要内容。

（4）第四章是附则。分别对《办法》实施前已投入使用的重要信息系统、未设立密码管理机构的有关部门，以及不在《办法》所列范围内的其他网络与信息系统如何开展密评做出规定。

3.密评工作与网络安全等级保护工作的关系

《办法》的制定充分考虑了与网络安全等级保护（简称“等保”）的结合和相互衔接。《办法》根据《网络安全法》《商用密码管理条例》及国家关于网络安全等级保护和重要领域密码应用的有关要求制定，对网络安全等级保护第三级及以上信息系统提出密码应用安全性评估要求。

5.2.4.2. 《商用密码应用安全性测评机构管理办法（试行）》

1.适用范围

根据《商用密码应用安全性评估管理办法（试行）》确定的在试点期间的主要原则，为规范培育商用密码应用安全性测评机构，《商用密码应用安全性测评机构管理办法（试行）》提出了试点期间对测评机构的管理原则，适用在中华人民共和国境内对商用密码应用安全性测评机构的监督管理，也适用于对测评机构、测评人员及其测评活动的管理与规范。

2.测评机构遴选的基本原则

测评机构遴选应按照“依法合规、公正公开、客观独立”的原则有序开展。

3.测评机构的监管主体

国家密码管理局根据各省部密码管理部门的推荐，负责测评机构的受理、能力评审和监督检查等。

4.测评机构的基本条件

申请测评机构应具备以下条件：在中华人民共和国境内注册，由国家投资、法人投资或公民投资成立的企事业单位；要求产权关系明晰，注册资金500万元以上；成立年限在2年以上，从事信息系统安全相关工作1年以上，无违法记录；要求具备与从事系统测评相适应的独立、集中、可控的工作环境，测评工作场地应不小于200平方米；具备必要的检测设施、设备，使用的设施设备应满足实施密评工作的要求；具备完善的人员结构，包括专业技术人员和管理人员，通过“密码应用安全性评估人员考核”的人员数量不少于10人；具有完备的安全保密管理、项目管理、质量管理、人员管理、培训教育、客户管理和投诉处理等规章制度。

5.申请测评机构应提交的材料

申请测评机构应提交的材料主要包括：①《商用密码应用安全性测评机构申请表》。②从事与商用密码相关工作情况的说明。③开展测评工作所需的软硬件及其他服务保障设施配备情况。④管理制度建设情况（需要提供相关制度的文本文件）。⑤申请单位及其测评人员基本情况（需要提供人员的基本信息）。⑥申请单位认为有必要提交的其他材料。

6.测评机构的申请流程

国家密码管理局设立申请材料初审工作组，对申请材料进行初审，出具初审结论。初审结果按程序报批后，告知申请单位。通过初审的申请单位，应在60个工作日内参加培训、考核和能力评审。测评人员培训、考核工作由国家密码管理局委托的机构承担，申请单位应当确保本单位测评人员全程参加。考核通过后，测评人员方可参加密码应用安全性评估工作。

7.测评机构的责任和义务

测评机构的设施环境以及人员是保证测评质量的重要基础。测评机构的地址或测评实验室的位置发生变化，则需要对新设施和环境进行额外的考核，以核实其是否仍能够满足本办法的要求。

8.测评机构的监督检查

监督检查是保证测评机构能力持续性的重要途径，也是在测评初期保证测评队伍质量、建立测评体系信誉的主要途径。密码管理部门会着重对以下过程进行监督检查：测评人员的完整性、测评能力是否保持、质量管理体系运行的合规性、测评过程是否由有资质的测评人员执行及测评报告的准确性和公正性等。测评项目实施过程中，测评机构应接受国家密码管理局的监督管理。测评机构应当在年底编制密评工作报告，并报送国家密码管理局。国家密码管理局、测评机构所属省部密码管理局对测评机构负有监督检查职责，根据需要开展测评机构检查工作。

9.测评机构的法律责任

测评机构有下列情形之一的，国家密码管理局应责令其限期整改；情节严重的，予以通报或做出其他严肃处理。①未按照有关标准规范开展测评或未按规定出具测评报告的。②严重妨碍被测评信息系统正常运行，危害被测评信息系统安全的。③未妥善保管、非授权占有或使用密码应用安全性评估相关资料及数据文件的。④分包或转包测评项目，以及有其他扰乱测评市场秩序行为的。⑤限定被测评单位购买、使用指定信息安全和密码相关产品的。⑥测评人员未通过培训考核，但从事密码应用安全性评估工作的。⑦未按本办法规定提交材料、报告情况或弄虚作假的。⑧其他违反密码应用安全性评估工作有关规定的行为。

测评机构有下列情形之一的，国家密码管理局应取消其商用密码应用安全性测评机构试点资格。①因单位股权、人员等情况发生变动，不符合商用密码应用安全性测评机构基本条件的。②故意泄露被测评单位工作秘密、重要信息系统数据信息的。③故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假未如实出具测评报告的。④自愿退出测评机构目录的。测评人员有下列行为之一的，责令测评机构督促其限期改正；情节严重的，责令测评机构暂停其参与测评工作；情形特别严重的，从密码应用安全性测评人员名单中移除，并对其所在测评机构进行通报。①未经允许擅自使用或泄露、出售密码应用安全性评估工作中收集的数据信息、资料或测评报告的。②测评行为失误或不当，影响重要领域网络与信息系统安全或造成运营使用单位利益损失的。③其他违反密码应用安全性评估工作有关规定的行为。测评机构及其测评人员违反本办法的相关规定，给被测评信息系统运营使用单位造成严重危害和损失的，由相关部门依照有关法律法规予以处理。任何单位和个人如发现测评机构、测评人员有违法、违规行为的，可向国家密码管理局举报、投诉。

5.2.4.3. 《商用密码应用安全性测评机构能力评审实施细则（试行）》

《商用密码应用安全性测评机构能力评审实施细则（试行）》通过对申请机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、风险防范能力等进行公平、公正、独立、客观的能力评审，为规范测评机构的建设和管理、提高测评机构能力提供支撑。

1.实施细则的主要内容

实施细则阐述了商用密码应用安全性测评机构能力评审工作中相关机构的工作职责、评审工作的具体流程、评审结果的量化及认定等。

2.基本原则

申请单位能力评审遵循公平、公正、独立、客观的原则。

3.适用范围

适用于对申请单位的能力评审。

4.工作职责

国家密码管理局组织对申请单位的测评能力进行评审。能力评审实行专家组负责制。国家密码管理局在能力评审中的具体职责包括：①负责能力评审工作的组织管理，审核申请资料的完整性与规范性。②建立并维护能力评审专家库。③设立评审专家组，在能力评审专家库随机抽取评审专家，指定专家组组长，由专家组负责对申请单位的能力进行评估、判定。④负责与申请单位的沟通协调，组织并监督现场评审。⑤负责出具能力评审结论。

5.评审程序

国家密码管理局组成评审专家组，组织专家评审。评审分为材料核查、现场评审、综合评议三个阶段。

（1）材料核查。专家组对照评审内容和要求对申请单位提交的材料进行查阅，重点对《商用密码应用安全性测评机构申请表》和《商用密码应用安全性测评机构能力评估申请表》进行审阅。对需要现场核实的内容予以记录，以备现场评审时核查。

（2）现场评审。专家组前往申请单位，采取查看、问询、模拟测试、问卷考试等形式，对照《商用密码应用安全性测评机构能力要求》对测评机构的基本情况、人员结构、测评实验室条件、仪器设备条件、测评实施能力、质量管理能力和风险控制能力七个方面进行评审。专家组根据现场评审情况，对照《商用密码应用安全性测评机构能力评审专家评分表》逐项量化评价。

（3）综合评议。专家组组长主持召开会议，综合材料审查和现场评审情况进行研讨和评议，汇总专家评分情况，填写《商用密码应用安全性测评机构能力评审汇总表》，提交国家密码管理局。在第二批测评机构试点培育中，将增加实际测评能力仿真评价的环节，确保申请机构有实战经验，而且能力特别突出。

6.工作要求

测评机构能力评审工作过程中，专家组应遵循如下要求：遵守法律法规和技术规范要求，坚持客观、独立、科学、公正的原则，专家对量化评价负责；按时参加评审活动，认真履行职责，廉洁自律，不得借评审谋取私利；遵守相关保密规定，对评审中接触到的有关情况负有保密责任；有下列情形之一的，专家应当主动向国家密码管理局申请回避，如未主动申请回避，一经发现，取消其专家资格。

①专家担任申请单位技术顾问等职务的。②专家所在单位与申请单位存在利益关系的。③专家与申请单位存在利益关系的其他情况。

7.《商用密码应用安全性测评机构能力要求》

《商用密码应用安全性测评机构能力评审实施细则（试行）》的附件《商用密码应用安全性测评机构能力要求》，对测评机构能力提出了具体要求。主要包括基本情况、人员结构、测评实验室条件、仪器设备条件、测评实施能力、质量管理能力和风险控制能力等方面的要求。

（*** 5.2.5~5.4.7章节内容省略，详见白皮书原文）

（*** 6.1~6.2章节内容省略，详见白皮书原文）