商用密码专题调查报告：2024网民网络安全感满意度调查

2024网民网络安全感满意度调查 2024年12月 本报告数据来源于2024网民网络安全感满意度调查活动，任何组织和个人引用本报告中的数据和内容须注明来源和出处。 报告审核 陈武平密码科技国家工程研究中心专家委正高级工程师 指导专家组 陈武平密码科技国家工程研究中心专家委正高级工程师黄丽玲北京网络空间安全协会会长黎琳教育行业密码应用研究中心副主任王巍中国国家铁路集团有限公司正高级工程师马照亭自然资源行业密码应用研究中心研究员许长辉中国测绘科学研究院研究员杨文斌国家信息技术安全研究中心总师陈发强国家信息中心国信卫士网络空间安全研究院研究室主任 报告编制组 李毅维、徐松泉、那东旭、刘帅、侯建宁、封涛、程晓峰、胡安勇、李新、郭俸明、秦毅、蒋金蓉、谢吉华、狄莉娜、刘久伟、王瑞、刘筱琦、王海涛 协会支持单位 北京网络空间安全协会、四川密码行业协会、湖北商用密码协会、江苏商用密码产业协会、重庆商用密码行业协会、辽宁商用密码协会 媒体支持 信息安全与通信保密杂志、密码头条、商密君 前言 密码是国家重要战略资源，是国之重器，是党和国家一项特殊重要工作，是保证国家安全和根本利益的重要防线，直接关系国家政治安全、经济安全、国防安全和信息安全，在我国革命、建设、改革各个历史时期，都发挥了不可替代的重要作用。密码是信息化发展的安全基因，是保障网络与数据安全的核心技术，也是推动我国数字经济高质量发展、构建网络强国的基础支撑。 面对复杂的国际形势环境，密码技术作为国家自主可控的核心技术，将在维护国家安全、促进经济发展、保护人民群众利益中发挥越来越重要的作用。习近平总书记就网络安全和信息化工作作出一系列重大决策部署，商用密码在网络强国战略思想的指引下实现了跨越式发展。但是，随着人工智能、大数据、5G、量子计算等新技术的出现，商用密码发展需要更进一步贴合时代特征及时做出策略调整，以便更好的为人民服务，保障国家和公民的信息和财产安全。 为了深入了解广大网民和网络安全从业人员对密码发展现状的观点，为密码主管部门下一步工作部署提供智库支持，密码科技国家工程研究中心联合北京网络空间安全协会展开调研。这是密码领域相关问题首次加入网民网络安全感满意度调查，主要围绕网络安全法治社会、个人信息保护和数据安全、网络购物安全权益保护、行业治理与企业合规、行业发展与科技创新、新技术挑战与网络安全等方面深入分析密码工作面临的关键问题和未来的发展方向。报告基于2024 网民网络安全感满意度调查活动组委会提供的数据，密码科技国家工程研究中心负责组织团队进行撰写，报告力求真实客观的反映参与调查的广大网民和网络安全从业人员对密码政策、法规、技术、人才、生态等方面的评价和观点。 目录 一、主要发现......................................................1 （一）依法治理，密码法规认知度与密评工作息息相关...............1（二）生态打造，密码与相关产业协同融合密不可分.................3（三）人才培养，多层次培训与宣传至关重要.......................5 二、专题洞察......................................................8 （一）调查样本分析..............................................8（二）从业人员满意度调查统计分析..............................171.企业合规多措并举，密码法规认知待加强.....................172.行业指导细则成核心需求，网络安全合规参与度待提升.........193.技术升级需资金与制度支持，行业密码安全需求待满足.........224.密评工作满意度高，优化流程与提升技能成重点...............255.密码监管平台建设有基础，CA证书流程优化与隐私保护待规范...286.新技术带来新挑战，商密应用场景待拓展.....................31 1.网络安全法规认知度高，密码法规影响力有待提升.............332.密码法普及获公众认可，专业性认知存提升空间...............363.密码知识培训需求迫切，公众密码安全意识待转化为行动.......374.《密码法》保护隐私获高支持率，法律普及教育需加力推进.....385.个人信息加密处理关注度高，账户安全成网购首要关切.........40 三、结论和建议...................................................42 （一）加大密码融合投入力度，提升商密安全专项管理能力..........42（二）应对密码技术发展挑战，强化合规管理与监督工作............44（三）推进密码知识社会化，切实做好多元化宣传工作...............48 一、主要发现 当前，数字经济已经成为我国经济实现高质量发展的重要方向，以数据为中心的安全重要性不断凸显，而密码作为数据安全的重要基石，在推进数字经济健康安全发展方面具有重要作用。在政策环境与市场需求的共同作用下，商用密码迎来高速增长机遇。2023年国内密码市场规模近986亿元，呈现39%同比增速[1]，2024年预计达到1380亿元。据统计，我国现有商用密码产品达到3000余款，品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条，已经形成了完整的商用密码产品体系。 2024年希望通过网民网络安全感满意度调查，深入了解密码应用发展存在的问题，全方位提升以人民为中心的密码服务质量。此举不仅有助于及时发现和解决密码技术应用中的薄弱环节，还将促进密码市场的健康发展，增强人民群众在网络空间中的安全感和满意度。 通过收集和分析广大网民的真实反馈，我们将更有针对性地提出意见建议，推进密码技术更好地服务于社会大众，构建更加安全、可信的网络环境。 （一）依法治理，密码法规认知度与密评工作息息相关 密码法规与网安法规，共同构筑网络安全法治保障。依法治理是网络安全的基石，通过不断完善的法律法规体系，为网络安全提供了坚实的法治保障，确保网络空间的安全、稳定和健康发展。在保障网 络安全的各种手段和技术中，密码是目前世界上公认的最有效、最可靠、最经济的关键核心技术。《密码法》的实施，将密码工作的各个重要环节和关键要素纳入法治轨道，与《国家安全法》《网络安全法》等共同构成国家安全法律制度体系，依法护卫国家安全。 相比网络安全法规，密码法规在知晓度方面有较大差距。调研发现，密码法规在网络安全相关法规中的知晓度，无论在专业安全从业人员，还是大众网民中，都处于较低水平。特别是在企事业单位安全合规专业人员群体中，密码法规知晓度与网络安全法规相比有较大差距。《密码法》与《网络安全法》相比，《商用密码管理条例》与《计算机信息系统安全保护条例》相比，在法规知晓度方面，均有3倍以上的差距。 密码法规认知不足，为等保和关基系统的密码应用带来挑战。密码技术是保障网络与数据安全的核心技术，等级保护和关键信息基础设施保护对于密码应用都有明确的要求，这些要求旨在确保信息系统的安全和数据的完整性、保密性及可用性。然而，调研结果显示，密码相关法规知晓度明显低于《计算机信息系统安全保护条例》，也低于《关键信息基础设施安全保护条例》，这种情况表明，在实际工作中，等保系统和关键信息基础设施运营者对于密码法规的理解和应用还远远不够，这不仅影响了等级保护和关键信息基础设施保护工作的有效开展，也对国家安全构成了潜在风险。 密码法规知晓度低，直接影响密评工作的开展与投入。密码法规低知晓度，会给密码应用和密评工作的开展带来直接影响。通过对 2024年1-9月密评和等保测评公开招标采购项目近万个数据样本的分析显示，等保三级系统等保测评项目数量是密评项目数量3倍以上。采购项目数量3倍的差距，与《密码法》与《网络安全法》，以及《商用密码管理条例》与《计算机信息系统安全保护条例》法规知晓度3倍的差距息息相关。说明很多区域、行业重要网络与信息系统运营者，对密码法规和密评要求不了解或了解不足，对开展密评工作的必要性、重要性和强制性认识不足。在开展等保测评工作的同时，忽略或忽视密评工作的同步开展。造成重要网络和信息系统的密码应用密评立项和采购计划缺失，未安排密评预算或密评投入不足，影响商用密码市场整体健康发展。 （二）生态打造，密码与相关产业协同融合密不可分 密码应用融合缺少行业政策支持，各行各业缺少指导细则。调研发现，开展行业密码应用过程中遇到的首要问题是缺少行业政策支持。商用密码市场正处于快速发展期，迫切需要来自行业主管部门的顶层规划和设计，以确保密码应用能够紧跟市场需求，与行业发展趋势相适应。各行业重要网络与信息系统运营者往往采取一种被动的策略来应对密码应用和建设规划。具体来说，他们通常不会主动去探索和实施密码技术的应用，而是等到相关行业部门出台明确的政策要求之后，才开始着手进行密码建设的规划和实施。这种依赖性可能导致密码建设规划的滞后，使得信息系统在面对新兴的安全威胁时反应迟缓，从而增加了网络安全和数据安全风险。 IT主管领导对密码应用缺乏重视，影响商密码领域的预算投入。从调研结果来看，预算投入不足是制约密码应用的第二大因素。这主要是因为IT主管领导对密码应用缺乏足够的了解和重视，而负责密码应用的主管领导较多关注自身熟悉的密码专业领域，IT整体规划建设过程中参与度不够，造成行业IT系统建设规划过程中，密码应用方面的预算投入不足，影响了密码技术的应用和推广。这种情况不仅限制了密码技术在保障网络与数据安全方面的潜力发挥，也对提升整个行业的信息安全水平构成了障碍。 密码应用方案需丰富和完善，缺少行业密码应用典型案例指引。密码在各行业的应用正在逐步加强。在密码行业与相关行业的共同努力下，通过开展密评工作，在行业密码应用建设和密码应用方案落地方面取得积极进展。由于各行业信息化发展水平的不均衡，密码技术的应用也呈现出不平衡的状态。即便是在同一领域内，不同单位的密码应用情况也存在差异。在设计和实施密码应用方案的过程中，对信息系统实际情况和密码应用需求的考察评估的资源投入仍显不足，导致密码应用设计方案较为通用，未能与业务发展需求、数据安全要求、网络安全挑战以及特殊场景等实际情况进行有效适配。 构建密码应用生态，密码技术的新应用场景受关注。根据调研报告，密码技术的新应用场景受到了一定程度的关注。包括企业内部的数据加密与防泄漏、金融行业支付过程中的数据保护、数字支付过程中的交易数据和用户信息、政府机构的敏感信息保护、数字化学习中的身份认证问题、智能网联汽车的车路数据协同过程中的数据安全保 障、生成式AI的数据泄露问题等等。这些新场景的出现，为密码技术的发展提供了新的探索研究方向。 （三）人才培养，多层次培训与宣传至关重要 实现我国网络安全和网络强国的战略目标，密码人才培养是必备基础和先决条件。当前我国密码人才队伍建设依然存在诸多不足，尤其是在密码专业人才、职业人才、国际人才等多维度培养上，亟需加大力度。密码人才匮乏已成为制约密码合规、正确、有效应用的瓶颈。我国亟需加强密码学科与专业建设，培养合格的密码专业人才。通过多层次的培训与宣传，推动我国密码技术的发展与应用。 从基础理论到高端研究，密码专业人才各有侧重。密码学是一门综合性很强的学科，它既需要扎实的理论基础，又涉及到数学、计算机科学、信息安全等多个领域。因此，培养专业人才首先要在基础教育阶段就打好理论根基。一是初级人才学习基础理论与实践操作。对于初级密码人才而言，重点在于掌握密码学的基本原理，如加密算法、数字签名、认证协议等，并通过实践操作加深理解。学校可以通过开设专门的密码学课程，组织学生参与各类密码技术实验，培养他们的密码意识、动手能力和创新思维。二是中级人才