三万字｜2021密码产业洞察报告(17)

2021年3月9日，GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》（以下简称“国标”）国家标准正式发布，实现了行业标准上升为国家标准，其中对密码软件要求进行明确，GM/T 0054-2018《信息系统密码应用基本要求》（以下简称“行标”）的指标“密码模块实现”改进为国标“密码产品”，并增加了“密码服务”。“密码产品”方面的基本要求相比行标有重要变化，信息系统等级保护第三级安全要求，从行标的“宜采用GM/T 0028三级及以上”，放宽为国标的“应达到GB/T 37092二级及以上”；对等级保护第二级安全要求，从行标的“宜采用GM/T 0028二级及以上”，放宽为国标的“应达到GB/T 37092一级及以上”。（注：GB/T 37092是GM/T 0028密码模块安全技术要求的国标版本），放宽了密码产品的入市标准，将进一步促进密码软件市场发展。
《商用密码应用与安全性评估》发布，我国商用密码服务能力逐渐提升，商用密码产业结构逐渐优化，利好软件形态密码产品发展。
2.1.2 密码发展应用“危机并存”
时代要求方面，在国家政策的大力引导下，商用密码的应用正在向工业互联网、车联网、智慧城市等领域融入。不同领域的应用诉求对密码产品和相关适配设备提出差异化要求，特别是新兴领域对密码功能和性能的要求更高，如面向云和大数据场景的同态加密技术、高性能密码技术，面向智慧城市等场景的轻量级加密技术。目前一些新业态的密码产品应用面临与本身的设备及系统的耦合程度不够、高性能需求与低效算法实现间难以协调以及应用软件密码集成门槛高等挑战，使得商用密码产品难以完美契合到基础设施和行业应用中。
国产化替代方面，目前我国仍然存在依赖国外密码产品、底层平台多使用国外密码协议的情况，核心基础芯片主导权掌握在国外管理者手中，密码应用随时面临“卡脖子”风险。商用密码在国产化替代方面还存在诸多不友好现象，产品技术和安全可靠应用契合度不佳，完全替代国外产品协议仍有难度。
密码检测评估方面，密码检测评估体系主要包括商用密码产品检测和商用密码应用安全性评估。我国目前已出台一系列密码产品技术和检测标准规范，商用密码产品检测工作基本实现有章可依、有据可循。但商用密码安全性评估仍处于初步阶段，制度建设尚有空缺、实践能力有待提升。同时，各应用领域信息化发展水平不一、不同垂直领域的密码应用评估体系建设也应当有所侧重。