2025 年是国资委信创全替代时间表的中段攻坚年。距离 2027 全面替代节点只剩两年,央国企软件验收报告的颗粒度与覆盖维度发生了系统性变化。过去聚焦“功能可用 + 性能达标”的传统验收已经不够,信创适配、国产密码、数据安全、API 安全、SBOM、AI 验证、绿色低碳七个新维度正在成为新标配。本文逐一拆解 7 大变化,并按央企、国企、软件供应商三个视角给出对策。
一、政策大背景:2027 倒计时进入中段
国资委在“十四五”末期到 2027 年的核心信息化方向围绕两条主线展开:
- 主线一:信创全替代——CPU / OS / 数据库 / 中间件 / 办公软件 / 应用软件六大类全部完成国产化替代
- 主线二:数据安全与可控——重要数据识别、分类分级、出境合规、密码改造同步推进
2023-2024 是政策落地与试点扩面阶段,2025-2026 是攻坚阶段,2027 是验收年。这意味着 2025 年的所有央国企软件项目,几乎都需要在验收阶段交出一份“信创成绩单”。
二、7 大新变化逐项拆解
变化 1:信创适配测评成为标配维度
所有央国企软件验收报告必须增加“国产 CPU + OS + DB + 中间件适配章节”,对照矩阵覆盖:
| 组件类别 | 主流国产品牌 |
|---|---|
| CPU | 鲲鹏、飞腾、海光、龙芯、申威、兆芯 |
| 操作系统 | 麒麟(银河 / 中标)、统信 UOS、欧拉、龙蜥 |
| 数据库 | 达梦、人大金仓、OceanBase、GaussDB、TDSQL、Vastbase |
| 中间件 | 东方通 TongWeb、金蝶 Apusic、宝兰德 BES、普元 |
| 办公软件 | WPS、永中、福昕 |
测评机构需要在真实信创整机环境下完成功能验证、性能基线、兼容性回归三类测试,而非依赖厂商提供的兼容性声明。“声明级适配”已经不被采购方认可。
变化 2:国产密码合规检查从可选变强制
SM2 / SM3 / SM4 / SM9 等国密算法在央国企业务系统中的应用核查全面铺开,重点核查:
- 通信加密:HTTPS / TLS 通道是否启用国密套件(GMTLS)
- 存证签名:电子合同、审批留痕、操作日志的签名算法是否为 SM2
- 口令存储:用户密码哈希是否采用 SM3 + 加盐
- 对称加密:敏感字段(身份证、银行卡)落盘是否采用 SM4
- 密钥管理:是否对接国密 HSM 或商用密码服务
未通过商用密码应用安全性评估(密评)的系统,原则上不允许上线运行。
变化 3:数据安全审查升级
《数据安全法》《个人信息保护法》落地之后,央国企数据安全审查全面进入“三步走”:
- 重要数据识别:建立企业内重要数据目录,覆盖经营、客户、技术、运行数据
- 分类分级:依据《网络数据安全管理条例》及行业指南完成 1-4 级分级
- 数据出境合规:跨境业务需评估出境清单、签订标准合同或通过安全评估
测评机构需要在验收阶段对照分级清单核查访问控制、脱敏策略、审计日志、出境路径四个落点。
变化 4:API 安全测试纳入采购技术规范
越来越多的央国企在 RFP 与技术规范书中明确:API 接口必须通过 OWASP API Security Top 10 的对抗测试,并附加国密接口规范要求。重点测试项:
- 未授权访问 / 越权访问(BOLA、BFLA)
- 认证缺陷(弱 token、永久 token、可枚举 ID)
- 过度数据暴露(响应字段未做白名单过滤)
- 速率限制缺失 / 资源耗尽
- 注入类漏洞(SQL、命令、SSRF)
- 不安全的接口配置(CORS、HTTP 方法滥用)
同时,对接政务、金融的接口还需符合国密通道与接口签名规范的双重要求。
变化 5:开源组件 SBOM 物料清单成交付必选项
2024 年起部分央企已经要求交付软件时附带 SBOM(Software Bill of Materials),2025 年起这一要求向央国企整体延伸。SBOM 必须:
- 采用 CycloneDX 或 SPDX 两种主流格式之一
- 列明每个组件的名称、版本、许可证、上游来源
- 关联已知 CVE 漏洞清单,并给出缓解措施(修复 / 升级 / 隔离)
- 区分直接依赖与传递依赖
未提供 SBOM 或 SBOM 中存在未缓解的高危 CVE,验收阶段将直接被打回。
变化 6:AI 能力须经第三方测评
当央国企软件中嵌入大模型驱动的功能(智能客服、智能审单、智能问答、辅助决策),该 AI 能力必须经过独立的第三方测评,覆盖:
- 功能性与准确率
- 幻觉率与事实核验
- Prompt 注入与越狱抵抗
- 合规性(内容安全、AIGC 标识)
- 稳定性(长 session、高并发)
具体方法可参考 OWASP LLM Top 10 与 GB/T 25000.51-2016 的功能性 / 可靠性维度复用。AI 能力测评不能与传统软件测评合并打分,而应独立成章。
变化 7:绿色低碳指标进入选型评审
“双碳”目标驱动下,大型业务系统的能效指标开始纳入选型评审:
- 能效比:每千次业务请求消耗的电力与算力资源
- 单 TPS 功耗:业务峰值下的功耗与 TPS 比值
- 资源利用率:CPU / 内存 / 存储平均利用率
- 弹性伸缩效率:低峰自动缩容能力与节能效果
这一变化使得“同等功能下更省电的方案”在大型集中式系统招标中获得额外加分。
三、按三类主体的应对建议
给央企的 5 条建议
- 2025 年完成核心系统信创替代率 80%+ 的中期目标,为 2027 留出 20% 的边缘场景缓冲
- 在所有新项目 RFP 中前置写入 7 大维度要求,避免验收阶段返工
- 建立企业级 SBOM 仓库与 CVE 监测平台,统一管控供应链漏洞
- 对 AI 应用建立独立的“上线前评测 + 上线后监测”双流程
- 密评、等保、数据分类分级三项工作同步推进,避免分散投入
给地方国企的 4 条建议
- 参照央企节奏分阶段推进,优先覆盖办公、ERP、OA、邮件等通用系统的信创替代
- 在采购合同中明确 SBOM 与信创适配测评作为付款里程碑的前置条件
- 利用地方信创适配中心 / 测试床缩短验证周期
- API 安全与国密改造可借助现有等保整改一并完成,节省成本
给软件供应商的 6 条建议
- 主线产品在真实信创整机上完成功能、性能、稳定性三轮回归,形成可交付的兼容性测试报告
- 提前规划国密改造路线图,优先改造通信、签名、存证三大场景
- 在 CI/CD 流水线中集成 SBOM 自动生成与 CVE 扫描
- API 接口默认配置安全套件(鉴权、限流、签名、审计日志)
- 嵌入大模型能力的产品提前准备 AI 测评素材(题库、Ground Truth、回归集)
- 选择具备信创实环境与多类资质的第三方测评机构,形成长期合作
四、测评机构的选择标准
2025 年央国企在选择第三方测评机构时,主要看四个硬指标:
- CMA(中国计量认证)——出具的检测报告具有法律效力
- CNAS(中国合格评定国家认可委员会)——实验室能力被国际互认
- 具备信创实环境——能在主流国产 CPU / OS / DB / 中间件组合上完成真实回归
- 多领域方法论沉淀——覆盖功能、性能、安全、密码、AI、SBOM 等多类型测评经验
需要说明:等保测评要求另行具备相应的等级保护测评机构资质,与 CMA / CNAS 并不等价;密评则需要密码应用安全性评估资质,三类资质分属不同体系。
五、时间预算参考
不同规模的项目时间窗口差异较大,可作为初步预算依据:
| 项目类型 | 典型周期 | 关键工作 |
|---|---|---|
| 单系统验收(中小规模) | 1 个月 | 功能 + 性能 + SBOM |
| 含信创适配的中型系统 | 1.5-2 个月 | 新增信创回归、API 安全、密码核查 |
| 大型核心系统(含 AI 能力) | 2-3 个月 | 新增 AI 专项测评 + 红队对抗 |
结语
2025 年的央国企软件测评不再是“上线前的最后一道程序”,而是贯穿招标、研发、交付、运维全生命周期的合规链条。提前在 RFP 阶段写清 7 大维度要求,过程中持续投入信创适配与 SBOM 管理,验收阶段引入具备 CMA + CNAS + 信创实环境的第三方测评机构,是 2025-2027 三年攻坚期内最务实的路径。新亿诚长期在信创适配、密码合规、API 安全、AI 能力测评等领域积累方法论与工程经验,欢迎在项目规划阶段提前对接。
具体的软件测试报告用途与报价咨询可直接联系顾问,1 小时内回电沟通。新亿诚作为持有 CMA + CNAS + ilac-MRA 国际互认协议的第三方软件测评机构,可为您提供本文场景下的检测服务。
