多维度，多视角看密评“圈”

商用密码标准大致涉及国家标准、行业标准、企业标准三个部分。从国家标准来看，《中华人民共和国密码法》、《国家政务信息化项目建设管理办法》、《商用密码应用安全性评估管理办法（试行）》等相关标准的出台，为密码评估提供了法律层面的要求，而GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》的发布为密码应用提供了相应的标准及要求。

在国家相关标准发布之后，教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门，均制定了本领域密码应用总体规划或工作方案，明确要求使用符合国家密码法律法规和标准规范的密码算法和密码产品，实现密码在本领域的全面应用。因此，开展密评工作是国家相关法律法规提出的明确要求，是网络安全运营者的法定责任和义务，主要以政策驱动为主。

从密码整个行业发展的角度来说，在既有政策、也有密码热度的阶段，无疑是厂商展现自己的时候，大部分厂商都会以密评为导向，为客户提供整体的密码安全体系，通过密码技术、密码产品和密码服务来推进密码应用的落地。

做为《密码法》的管理对象，密码评估和传统安全还不太一样，需要和业务完美的结合，因此，从技术层面要求安全厂商（密码厂商）在密码技术、密码产品及密码服务上进行技术革新，满足电力、公安、交通、税务、金融等领域密码应用需求,同时加快研制针对移动互联网、物联网、云计算、大数据等新兴领域的特定商用密码产品，我们认为，随着密评合规的发展，会有更多对应用场景出现，这是一个很好的发力点，厂商可以在相关产品上做出相应升级或者研发出更多功能、更易用的产品，安全厂商还是以技术驱动为主。

测评机构是商用密码行业的主要裁判，从政策、合规角度来推动密码行业发展，密码评估包括两部分内容：信息系统规划阶段对密码应用方案进行评审和建设完成后对信息系统开展的实际测评。

站在测评机构的角度，安全合规是测评机构追求的重点和着力点，合规驱动测评机构加深对相关国家标准、行业标准、企业标准的理解，为推动密码应用的落地提供专业的指导。

把握不同场景进行密码评估的复杂性，这对测评师的个人素质具有相当高的要求，建设一支优秀的测评师队伍也是测评机构的一项重要任务。

商用密码行业属于技术型产业，在技术、人才、客户资源等方面具有较高的壁垒，因此，咨询机构依靠行业驱动，以知识、技术、智囊、经验为决策服务，进行决策研究，以跨学科的研究为决策提供产品分析、理论框架、商业模式、产品体系、等综合性服务，对密码行业进行深度分析，成为密码行业发展趋势的风向标。

我们认为，咨询机构的经验和方案是一种软性产品，独立存在时很难衡量其价值，只有与客户企业的实践结合在一起时才会熠熠闪光。对于密码咨询机构而言，从产业咨询、技术咨询和方案咨询着手，是密码咨询机构快速融入密码行业的几个重要方向。

站在安全服务商角度来看，密评的发展定会带来项目利益，以项目驱动着安全服务商去完成整个密码应用的落地。

但作为集成商，一是把握商密相关政策的要求，项目要合规建设。二是掌握商密的技术，作为商密应用最关键的环节，集成商要负责将商密产品、服务等集成到业务应用系统中，要考虑对系统性能的影响。三是与商密安全性评估单位的沟通，从安全测评的角度出发进行商密改造和商密保障系统的建设。此外，安全服务商还需跟安全厂商进行对接，调用安全厂商的密码技术完成应用的融合改造。

网络安全最终服务的是甲方用户，因此，各类安全事件驱动甲方用户将目光投向网络安全，而密码技术又是网络安全的核心要求。那么，甲方用户最关心的是提供密码应用的场景和预算投入，为密码应用的落地提供试验田和资金支持。对于甲方客户来说，是以密码评估为推动点，最终目的是建设安全防御体系，因此，从测评机构了解国家标准及行业标准，从咨询机构获取解决方案及行业动态。最终由安全服务商、厂商从甲方用户承接项目后，汇集多方的意见建设密码安全防御体系，在此过程中考验的是各机构对甲方的技术能力和服务能力。