国密改造是什么？企业为什么要进行国密改造？

1. 国密改造的定义

国密改造是指信息系统运营者按照《密码法》和相关技术标准要求，将系统中使用的国际商用密码算法（RSA、SHA-1、AES等）替换为国密算法（SM2、SM3、SM4等），并配套建设合规密钥管理体系的系统性工程。国密改造不仅涉及算法层面的替换，更需对系统架构、硬件设备、通信协议进行全面适配，确保数据在传输、存储、计算等全生命周期的机密性、完整性和不可否认性。

2. 法律驱动

国密改造的法律驱动主要来自以下法律法规：

• 《中华人民共和国密码法》（2020年1月1日施行）第二十七条规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，必须使用商用密码。
• 《商用密码管理条例》（2023年修订）进一步明确密评制度。
• 《关键信息基础设施商用密码使用管理规定》（2025年8月1日施行）对关键信息基础设施运营者提出明确合规要求。

3. 不进行国密改造的风险

不进行国密改造将面临以下风险：

• 合规风险：未按规定使用商用密码，可处10万元以上100万元以下罚款；拒不改正或情节严重的，对直接负责的主管人员处1万元以上10万元以下罚款。
• 安全风险：国际算法（如RSA-1024、SHA-1）已被证明存在安全弱点，继续使用存在被攻击风险。
• 业务风险：等保三级及以上系统、关键信息基础设施未通过密评，系统不得投入运行。