行业观察 · 方向研判
商密认证目录扩到32类
蛋糕大了,刀也多了
2026年6月 · 行业研判
三批目录扩到32类,6000多张证书,年均增速30%。数字漂亮,但背后的问题很少有人提——产品形态变了,商业模型变了,检测逻辑变了。还按22类的思路做检测,跟不上节奏。
今天不讲技术细节,讲方向判断。
⭐ 觉得有帮助?欢迎关注"密安护航",获取更多密码检测干货
❶ 目录演进:整机→模块→嵌入式
第三批3/4是密码模块——密码功能从"一台密码机"变成"一个嵌入模块"。扩容节奏也在加快,第四批大概率继续IoT/工控/协议方向,品类更多、间隔更短。
这个趋势的背后逻辑是:密码不再只在机房里跑,要嵌入到PLC、网关、车载终端——产品形态变了,检测对象的复杂度反而更高了。嵌入式环境下的密码检测维度(固件安全、芯片侧信道、协议层交互)可能比独立整机更复杂。
? 说句实在话
目录跑得比检测能力快是常态——第三批发的时候,不少机构连PLC密码模块都没见过。被动等目录再补,永远慢一拍。第四批大概率上IoT和车联网,现在啃场景逻辑,标准出来后直接对标,至少省半年。
❷ 机构改革:标准和检测合流
2025年4月:撤销检测中心,设立检测认证中心(标准研究院)。不是改名,是把标准制定和检测认证放在一个机构里。
直接影响两件事:一是标准迭代加速——原来标准3-5年更新一版,现在标准院既出标准又做检测,反馈链路短了,2-3年一版会成常态。厂商不能再按"标准稳定几年"来规划产品线了。二是旧证换发——去年7月1日起原检测中心颁发的认证证书已全部注销,换证完成。这轮换证实质是一次洗牌,认证基线质量水平已经抬高了。
⚡ 标准迭代加速 3-5年 → 2-3年 | ? 旧证已换发 去年7月完成一轮换证 |
? 圈内视角
实质是行业从"审批制思维"转向"标准驱动思维"。标准和检测合流后,迭代2-3年一版成常态,厂商的产品认证得跟着滚动更新。对检测机构,这意味着从"一次性大单"变成"持续服务关系"——标准更新后最快出方案的,吃下复购。
❸ 三个关键判断
? 判断一:商业模型没变——大单仍是基本盘
目录从22类扩到32类,模块品类越来越多,很多人预测"检测商业模型要从大单转向高频小单"。但我的观察是:短期内这个转变不会发生。
原因很现实:密码模块送检的厂商,大部分还是做整机那批人。模块只是整机拆出来的一个组件,送检决策、预算流程、周期预期都还是整机那一套逻辑。大单模式是基本盘,不会因为产品形态变小了就变成高频模式。
模块检测确实周期短一些,但"短"不等于"频"——厂商不会因为模块小就月月送检,认证周期和产品迭代节奏才是决定因素。
? 直说
"大单变高频"是被过度解读的趋势。模块品类增长≠检测频次增长——决策链条没变,预算和排期逻辑也没变。单价不能低,"模块比整机小就该便宜"的逻辑一旦成立就是恶性竞争,整机时代低价抢单的后遗症还没消化完。模块检测维度(固件完整性、芯片侧信道、协议交互)可能比整机更复杂,定价要反映实际成本,不是按体积打折。
? 判断二:IoT+工控是新增量,但检测逻辑不同
今年7月1日《网络安全标识管理办法》施行,IoT三星级明确要求密码安全措施。商密认证看密码能力达标,网络安全标识看IoT整体安全达标——两套体系叠加释放。
但检测逻辑完全不同:传统密码机检测看的是密码功能本身(算法正确性、密钥管理、接口合规),IoT检测看的是密码在复杂环境下能不能扛住(固件篡改、物理攻击、协议交互安全)。按密码机的套路测IoT,会漏掉一大半问题。
? 一点看法
可行路径是"一次检测、双证输出"——密码检测叠加IoT安全维度,同一套数据出两个结论。但前提很硬:两套标准的检测要点交叉映射就是一道门槛——哪些项可复用、哪些项必须独立出结论、怎么避免重复检测,不提前梳理清楚,"双证输出"就是空话。
? 判断三:第四批继续嵌入式,现在就得储备
趋势明确:整机→模块→嵌入式。第四批大概率进入智能终端、车联网密码模块。检测能力储备周期长(从标准研读到实操落地至少半年),目录跑得比检测快。
谁先储备了,第四批发布时就是第一批接单。储备不等于等标准,而是先吃透IoT/工控场景的密码检测逻辑——标准出来后直接对标落地,速度会比"从零开始"快一倍。
? 说句实在话
车联网比AI推理更大概率先进第四批——GB 38036.1已有强制安全要求,产业链成熟,厂商拿证刚需明确。AI推理方向虽然热,但标准空白太多,短期进目录不现实。优先储备车联网:车载终端密钥存储、V2X证书管理、OTA签名验证链这三个高频场景,标准出来直接对标。
写在最后
32类这个节点,不是"继续做大",是"怎么转型"。产品形态变了、机构体制变了、检测逻辑变了——三件事叠加,2026下半年是分水岭。
? IoT和工控的增量窗口已打开,能不能吃到取决于储备速度
⏰ 等第四批目录发了再动手,就晚了
商密检测方向想聊聊?
欢迎随时评论区留言!
IoT+工控检测协同 · 模块检测业务模型 · 第四批储备方向都踩过坑,可以讨论
⚠️ 本文内容仅供参考,不构成任何合规建议
数据来源:商用密码产品认证目录(三批)· 国家密码管理局2025年机构改革公告
网络安全标识管理办法 · 2026年7月施行
? 觉得有用,点个赞 ? 转发一下
