2026年5月,距离“重要IT系统50%完成商用密码应用改造”的政策节点还有不到18个月。这个时间点在行业里被反复提到。放到实际建设里看,它对应的不只是项目进度压力,也反映出商密建设正在进入一个新的阶段。
过去几年,商密建设大致走过了三个阶段。
第一阶段,大约从2020年《密码法》施行到2022年前后,行业的主要动作是合规采购。很多单位开始意识到,密码产品已经成为必须配置的合规要素。采购密码机、部署国密证书、引入VPN网关,更多是为了满足等保要求和主管部门检查。这个阶段关注的重点,主要是有没有配备密码能力。
第二阶段,随着密评制度逐步落地,行业进入密评验证阶段。密评标准的基本框架比较清楚,技术70分,管理30分,60分及格,同时不能存在高风险项。这个制度推动了不少单位从单纯买产品,转向做整体方案;从只看技术配置,转向同时关注密钥管理流程、运维记录、人员职责等管理内容。
这个变化是实质性的进步,也带来了一些新的问题。相当一部分单位把密评当成一次阶段性考试。准备阶段投入较多,通过之后就放松下来。密码产品上线了,密评报告归档了,项目也就结束了。至于密钥有没有按周期轮换,日志有没有定期审计,密码系统运行状态有没有持续监控,后续往往缺少固定机制。
从一线执行情况看,这并不是个别现象。密评每年至少开展一次,但在两次密评之间,很多单位的密码系统基本处于低频维护状态。密评更像周期性补课,尚未完全成为持续运营能力的检验。
这个问题在政策层面已经有了回应。2025年8月施行的《关键信息基础设施商用密码使用管理规定》明确要求,运营者须于每年1月31日前,向保护工作部门报告上一年度商用密码使用及密评开展情况。这意味着商用密码建设已经进入年度报告管理。2025年9月发布的《国家密码管理局商用密码行政检查事项清单》,也将相关条款纳入监督检查范围,覆盖第五条至第二十四条的主要内容。监管要求正在变细,检查也会更贴近日常使用情况。
技术层面的压力也在增加。
TLCP协议支持国密算法,但在前向安全方面存在明显缺陷。一旦证书私钥泄露,攻击者可能解密历史流量。随着证书有效期持续压缩,这类风险更容易暴露。基于TLS 1.3的国密标准正在修订,预计2027年至2028年间发布。届时,已经完成密改的大量系统仍可能面临再次升级。
更长期的压力来自量子计算。“先收集后解密”的攻击模式已经引起行业警惕。攻击者现在采集加密流量,等待未来量子计算机成熟后再尝试批量破解。国家商密标准研究院已于2025年2月启动新一代商用密码算法全球征集,国产后量子密码标准也在推进。换句话说,当前很多单位完成的密改,距离长期安全仍有继续演进的空间,后面还可能经历两到三次实质性升级。
问题逐渐清楚了。密评能够验证某个时间点的合规状态,对持续运营能力、密码体系的演进能力,评估空间仍然有限。现实中的密码威胁却是持续变化的。两者之间的落差,正是当前商密建设中比较突出的结构性问题。
这个问题正在推动商密建设进入第三阶段,实战化运营阶段。
在这一阶段,商密能力需要从配置完成走向持续可控。密码产品不能只是采购清单里的条目,还要进入日常运维。运行状态要有人看,异常情况要能告警,问题出现后要有响应流程。密钥管理也不能只停留在制度文件里,需要形成可审计的操作记录。密评也会逐渐和日常安全运营互相印证。密码体系规划还要考虑后续演进,尽量在业务不停摆的情况下完成算法和协议升级。
目前能够做到这一程度的单位,主要集中在关键基础设施头部机构和大型央企。这些单位有一个共同特点,建设初期就把密码能力当作基础设施来规划,而不是作为合规附件临时补上。对大多数单位来说,从密评合格走向实战化运营,还有一段需要认真规划的过程。
2026年会是这个转变的重要窗口。密改50%目标带来时间压力,年度报告制度带来持续监管,协议和算法升级周期也在临近。几条线索叠加在一起,单位面对的问题已经不只是怎样通过密评,还包括建好的密码体系能用多久,能应对什么级别的威胁,下一次升级成本会有多高。
这些问题没有统一答案,但建设路径会直接影响后续成本和安全效果。
中安云科多年深耕商密全栈能力,在密评密改、密码基础设施、密钥管理、密码服务和密码体系规划等方面积累了实践经验。面对商密建设从合规验证走向持续运营的新阶段,我们也将持续关注政策、标准和技术变化,为政企客户提供更稳妥的密码安全建设支持。