商用密码定义及发展现状如何？

国内密码产业链不断完善，国产密码厂商逐年增加。

根据《商用密码管理条例》中的定义，商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。目前我国自主研发的商用密码算法主要包括：SM1、SM2、SM3、SM4、SM7、SM9 和 ZUC 算法，其中，SM1 和SM7算法不公开，它们的组合可以为各种需要密码技术作为支撑的行业应用提供坚实可靠的基础。 商用密码具有广泛的应用前景，主要面向不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等数据进行加密保护。例如企业敏感信息的传输与存储加密、防止非法第三方获取数据、安全认证与数字签名等。

国内密码产业链不断完善，国产密码厂商逐年增加，2020 年《商用密码产品认证目录》颁布后，全国拥有认证商密产品的企业共 551 家。随着近几年的发展，密码产业在法律法规、标准体系、监管考核、产业应用等方面进展显著，为商用密码更加广泛的应用奠定坚实的基础。

法律法规指引： 随着《网络安全法》《密码法》《关键信息基础设施安全保护条例》《个人信息保护法》等一系列法律法规的颁布和实施，我国各领域对商用密码技术和产品的需求将明显增加，应用需求将持续推动技术进步，商用密码产业将迎来长期且持续的发展机遇。国家在政策法规层面逐步完善现行商用密码管理制度，促进商用密码应用改造，进一步规范商用密码的使用和管理，保障商用密码使用有法可依，引导商用密码产业健康有序发展。2023 年 4 月 27 日，国务院总理李强签署第760 号国务院令，公布修订后的《商用密码管理条例》，自2023 年7 月1日起施行，这就意味着商用密码应用安全性评估正式由“推荐性”转为“强制性”。

标准体系保障 ：我国高度重视商用密码国际标准化工作，大力推进以我国自主设计研制的 SM 系列算法为代表的中国商用密码标准纳入国际标准，积极参与国际标准化活动，加强国际交流合作。2011 年9月，我国设计的祖冲之（ZUC）算法纳入国际第三代合作伙伴计划组织（3GPP）的 4G 移动通信标准，用于移动通信系统空中传输信道的信息加密和完整性保护，这是我国密码算法首次成为国际标准，ZUC算法也是5G 网络中的空口机密性与完整性保护的算法之一，目前，我国正推动 256 比特版本的 ZUC 算法进入 5G 通信安全标准。除此之外，从2015 年 5 月起，我国又陆续向 ISO 提出了将SM2、SM3、SM4和SM9 算法纳入国际标准提案。2017 年，SM2 和SM9算法正式成为 ISO/IEC 国际标准；2018 年，SM3 算法正式成为ISO/IEC国际标准；2020 年 4 月，ZUC 算法正式成为ISO/IEC 国际标准；2021年 3 月，SM9 标识加密算法正式成为ISO/IEC 国际标准；2021年 6 月 25 日， SM4 分组密码算法正式成为ISO/IEC国际标准；2021 年 10 月 ， SM9 密 钥 交 换协议作为国际标准ISO/IEC11770-3:2021《信息技术密钥管理第3 部分:使用非对称技术的机制》的一部分,由国际标准化组织ISO/IEC 正式发布。这些标志着我国商用密码算法具有国际领先的技术理论基础，已经具备了可以广泛应用商用密码的条件。

行业监管要求 ：随着顶层法律法规的逐步健全，标准体系的不断完善，密码应用更加广泛，各行业对密码应用更加强调合规、正确、有效，随之而来的密码相关的监管要求工作也在不断推进。在重要领域和网络空间推进密码应用，是贯彻落实网络强国战略和密码法，切实防范重要信息系统安全风险的一项重要举措。2019年年底，国务院办公厅印发了《国家政务信息化项目建设管理办法》，明确要求政务信息化项目应同步规划、同步建设、同步运行密码保障系统并定期进行评估，对于不符合密码应用和网络安全，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统；2021 年8 月交通运输部发布的《交通运输领域新型基础设施建设行动方案》中强调推进商用密码技术应用；2022 年 12 月电力行业明确密码应用要求，颁布《电力行业网络安全等级保护管理办法》，其中单列一章（第四章：网络安全等级保护的密码管理）明确密码管理要求；2023 年3 月交通运输部，国家铁路局，中国民用航空局，国家邮政局，中国国家铁路集团有限公司联合印发《加快建设交通强国五年行动计划(2023-2027年)》其中第 18 条开展网络和数据安全能力提升行动，明确要求组织实施网络安全实网攻防演练，加强商用密码应用推广。

在通信领域，工业和信息化部高度重视商用密码应用推进工作，2021 年 3 月 11 日成立工业和信息化部商用密码应用产业促进联盟成立。联盟贯彻落实《密码法》有关要求，推动工业和信息化领域商用密码应用和创新发展，进而做大做强商用密码产业，推动商用密码产业健康、高质量发展。当前，商用密码在科技创新、产业发展和应用推广等方面的落实工作已经初见成效。关键信息基础设施安全是网络安全防护的重中之重，加快推进密码在通信领域关键信息基础设施中的应用，构建更加完善的关基安全体系势在必行。2020 年 4 月，国家密码管理局组织编写出版《商用密码应用与安全性评估》，监管部门在每年的考核中对商用密码应用也作了明确要求，对关键基础设施、等保三级以上的信息系统要求开展商用密码应用安全性评估。2021 年 9 月1 日起施行《关键信息基础设施安全保护条例》，2022 年 11 月7 日，全国信安标委公众号发布了《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）（简称“《关基安全保护要求》”），该标准于2023年 5 月 1 日正式实施，作为关键信息基础设施安全保护标准体系的构建基础，明确了密码技术的应用要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。

产业发展助力 ：近年来，商用密码产业链体系逐步完善，我国商用密码产品自主创新能力持续增强，产业支撑能力不断提升，部分产品性能指标已达到国际先进水平。随着信息技术产业的持续发展和完善，密码产品也随之迭代丰富，现有商用密码产品达到 3,000 余款，其中2,200余款产品取得商用密码产品认证证书，品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条，形成了完整的商用密码产品体系。随着商用密码“放管服”改革的深入推进，预计商用密码从业单位和产品数量将得以进一步增长。从密码技术的产业链成熟度看，上、中、下游的密码技术发展势头强劲。密码产业链上游包括安全芯片、印刷电路板、服务器三大类，基本形成了能够覆盖目前所需的密码相关的技术、产品和服务，技术成熟度越来越高；中游主要是以密码技术为核心的产品，包括密码机/密码卡、数字证书、VPN、令牌、电子签章、量子加密六大类；下游主要是软件、系统集成及应用领域。密码整个产业链具有完整的体系，能够为各行各业提供密码相关的技术、服务和产品。此外，随着我国网络安全政策法规的逐步推进、产业生态日益完善和安全需求的深化演进，我国网络安全产业发展进入快车道。据 IDC 统计，我国 IT 安全产业规模2023 年预计达136.26亿美元（约 941.16 亿元），同比增长 18.07%，到2026年，IT安全市场投资规模将达到 319 亿美元，其中安全软件的市场占比将超过安全硬件，软件占比在 2026 年将达到41%。

密码作为网络信任体系的重要基石，涵盖数据加密、身份认证、消息认证三大场景，伴随我国网安建设由“合规驱动”向“事件驱动”转型，密码技术重要性更加凸显，据赛迪研究院预测，2023年我国商用密码市场规模有望达 985.85 亿元，同比增长39.32%。伴随着商用密码应用安全性评估的要求、信创产业的发展，我国商密产业发展速度将持续提升，未来需求将在ICT 基础设施、物联网、数字经济等更广泛领域渗透，商密市场规模将不断扩大。