一、行业背景
当今世界,网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。
近年来,国内密码应用形势并不乐观。一是应用不广泛;二是应用不规范;三是密码应用不安全。
为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范。
2020年《密码法》正式实施,其对各类安全等级的密码均提出了明确的应用要求,密码产业进入有法可依的快速发展阶段。后续,随着2021年GB-39786《信息安全技术信息系统密码应用基本要求》的发布,推动了我国密评合规进入快速发展阶段,带动国密改造业务加速落地。并且,信创产业的加速发展,成为国产密码的又一重要助推。根据数据,我国商业密码市场2021年达到585亿元,且增速持续向上。结合当前数字经济是发展背景,密码在各类场景的应用将无处不在。
一、关于密评
Q1:什么是商用密码?
商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
Q2:什么是商用密码安全性评估?
商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
Q3:为什么要做密评?
开展密评,是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。
开展密评,是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。
以上文章转自
关于密评,这10个问题你一定要知道! - 知乎 (zhihu.com)
二、学习密评应该了解的知识点
三、密评行业现状、市场趋势、产业链及相关公司深度梳理
一、行业概述
1、密码
密码是保障信息安全的核心技术和基础支撑。密码的主要功能在于加密保护和安全认证,可实现信息的机密性、真实性、数据的完整性和行为的不可否认性,是保障网络安全的最有效、最可靠、最经济的手段。密码已经成为重要的网络空间战略资源,随着公钥基础设施(PKI)的快速发展,带动密码技术的广泛应用,形成了密码芯片、板卡、整机、系统等一系列密码基础设施,并进一步衍生新的应用场景。
2、密码组成
日常接触的网站密码、邮箱密码等仅是“口令”,而并非真正的密码。密码需要完成信息加密并解密的完整过程,一般包括明文(原始信息)、密文(加密后的信息)、加密算法、解密算法、密钥等五个部分。其中,密码算法(加密算法、解密算法)即密码进行加密、解密时遵循的数据变换规则;密钥配合密码算法使用,密钥长度决定了密钥空间的大小,密钥空间越大,暴力破解的难度越大。
3、密码分类
根据《中华人民共和国密码法》,我国将密码划分为核心密码、普通密码和商用密码。核心密码、普通密码属于国家秘密,商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,一般生活中接触更多的是商用密码。
商业密码按密码产品形态划分共有6类,最上层是密码软件类,是密码算法的实现;向下游依次集成则为硬件类产品:芯片类、模块类、板卡类、整机类、系统类。按密码产品功能划分共有7类,最根本是密码算法类,不同应用下衍生出数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。
4、商用密码是数字经济的安全基石
“十四五”以来,数字经济已经成为我国经济实现高质量发展的重要方向,以数据为中心的安全的重要性不断凸显,密码成为了数据全生命周期安全的核心。例如数字证书、数据加密、签名等密码技术贯穿于数据的采集、传输、存储、处理、交换、销毁全过程。密码可以完整实现网络空间信息防泄密、内容防篡改、身份防假冒、行为抗抵赖等功能,满足网络与信息系统对保密性、完整性、真实性和不可否认性等安全需求。
二、我国密码行业现状
1、我国密码规范逐步成熟,产业快速发展
我国商用密码的发展起步起源于20世纪90年代开启的“金字”工程,随着各行业信息化全面推进,信息安全和密码应用需求逐步兴起。从90年代开始,我国商用密码经历了起步形成、快速发展、立法规范三个发展阶段。在2008-2018年期间,商用密码率先在政府、金融等重要领域得到快速应用和发展;尤其是我国自主设计的国密算法SM系列等推出,并成为国际标准,国密算法体系也进一步成熟。《密码法》颁布后,伴随着商密评估的要求、信创产业的发展,我国商密产业发展速度将再提升。未来需求将在ICT基础设施、物联网、数字经济等更广泛领域渗透,商密市场规模将不断扩大。
2、密码硬件仍是主要产品形态,关键行业应用占比高
密码产品仍以硬件为主,新场景有望带动新应用。根据赛迪统计,我国商密市场中硬件占比74.5%,软件占比6.6%,服务占比18.9%;相比早期硬件占比超过95%以上的结构,软件和服务占比已有所提升,但当前仍以硬件为主。随着软硬件技术的创新,新场景的结合将推动软硬件均有新发展方向:软件领域,云密码资源池和国资云等产业结合;硬件领域,国密芯片和物联网终端等产业结合。
政府和金融是密码应用较早领域,其他关键基础设施行业有望跟进。理论上密码应用最终会覆盖信息化各个领域,由于早期政策推进节奏,政府安全和防伪税控等需求推动政府和金融领域应用占比较高。当前通信、电力、交通等关键行业应用占比在逐步提升,十四五均有对密码应用的相关规划,未来教育、医疗等行业国密应用也有望逐步提升。
三、密评推动商密发展
1、我国商密应用仍欠缺,密评逐步推动密码应用
国内密码应用基础薄弱。目前国内密码应用主要存在不够广泛、规范、安全、契合等问题。
密评持续试点推动密码应用。为了发挥密码在系统安全建设中的支撑作用,我国密码管理局在2007年就提出了商用密码应用安全性评估。商用密码应用安全评估(简称“密评”),是指在采用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估,同时明确相关主体的责任。伴随政策和标准要求不断明晰,在10多年积累和近年来试点后,我国密评体系已不断成熟,当前密评正在进入加速推广期。
(1)主要密评对象
密评覆盖范围广泛,每年要求测评。密评监管部门是国家密码管理局及检测中心,评估对象主要针对关键信息基础设施、网络安全保护第三级以上的系统和国家政务信息系统,要求每年至少测评一次;例如涉及国计民生的基础信息系统和网络、工业控制系统、党政机关系统等。因此密评也需要组织专家或委托测评机构进行,尤其是党政新系统的建设,要同步规划、同步建设、同步运行密码保障系统并定期进行评估;已建系统同样由测评机构评估。除了等保三级之外,有些密码应用场景,如门禁系统同样需要测评,因此密评覆盖系统体量超过等保三级。
等保三级信息系统:在《信息安全等级保护管理办法》中,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将网络信息系统的安全等级保护从低到高分为五级。等保三级信息系统指信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的信息系统。
(2)密评覆盖多个技术点,要求相应产品部署
密评中技术要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;共占70分。安全管理包括制度、人员、实施和应用四个维度,共占30分。同时,密钥管理也是其中一项,包括密钥生成、分发等。根据不同的系统要求级别,密评覆盖了国密门禁、VPN、密码机、USBkey、电子签章、证书等多项密码产品。
密评主要依据国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,若整体量化评估结果为100分,则判定被测信息系统符合GB/T39786-2021相应等级要求;结果低于100分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合GB/T39786-2021相应等级要求;否则,判定被测信息系统不符合GB/T39786-2021相应等级要求。
(3)密评工作全流程
在确定密评对象后,密评中的测评部分主要包括密码应用方案评估、测评准备、方案编制、现场测评、分析和报告编制五个环节。测评完成后,则生成测评报告并上报,企业方也会据此整改以达到合格分数,如加强密码设施建设等。
2、政策持续推动,密评进展加速
政策推动密评发展。我国近年来推出一系列政策强调对密码的应用,尤其《密码法》在2020年逐步实施,要求关键系统运营者开展密码应用安全性评估。密码重视程度与日俱增,如对党政新系统建设要求同步规划、建设和密评;且通过评估后方可上线。与早期等保测评类似,“密评”当前也“应运而生”,商用密码发展进入快速通道。
各个关键行业均加强密码应用落地。2022年国务院《“十四五”数字经济发展规划》加强了密码在各行业应用。政务、金融、交通、能源、水利、医疗等各领域主管部门,均提出了密码应用明确的要求,制定了总体规划和方案。
3、从等保到密评,密码产业持续催化
密评有望复制等保1.0时期的产业开拓阶段。2007年公安部发布《信息安全等级保护管理办法》,标志等保1.0启动;行业增速从08年开始明显提升,带动启明星辰、深信服等一批网络安全厂商逐步成长。2019年随着三个网络安全标准发布,网络安全进入等保2.0时代。当前关保和密评处于加速推动期,而密码应用渗透率低,当前发展阶段更类似于等保1.0时期,将推动密码产业加速拓展。
多项法律规定了不做密评的处罚。《密码法》要求未使用商密,或开展密评的,则责令改正,给予警告;拒不改正或导致危害安全后果的,处10-100万以下罚款,直接主管处1-10万罚款。《国家政务信息化项目建设管理办法》规定不符合密评要求或者存在安全隐患的政务信息系统,不安排运维经费,且单位不得新建、改建、扩建政务信息系统。各类信息系统通过密评已经成为刚需。
4、密评市场快速发展,行业应用有望加速
密评市场保持快速发展。第三方密评机构是密评市场主要参与者,其主要提供商密评估服务并收取服务费。随着政策落地进度加快,密评试点完成后逐步开始规模化,我国密评市场呈现快速增长趋势。根据《中国密评市场分析报告》,2020年密评市场仅为3154万元,2021年市场突破1个亿,2022年前7个月市场交易额约1.39亿元,全年有望突破2亿元。
密评有望在更多行业加速推广。根据数据显示,在2020-2022年整体密评市场中,政府、金融、医疗三大行业承载了当前主要的密评项目,且大部分甲方将密评、等保、咨询等合并到同一项目中。目前其他大多数行业密评开展仍然较少,未来有望加速推广。
5、密评催化下,密码建设市场广阔
密评服务单价较低,密码建设带动相关产品放量。根据中国政府采购网部分数据统计,密评类项目主要以测评服务为主,平均项目金额约84万,相对较低;但有些项目会包含多个系统,一些大体量项目也会包括一些改造和产品方案等。例如四川省财政信息中心密评项目,共计15个等保三级系统,总价85万。密码改造和建设类项目体量较大,平均约291万。这类项目更多是密评驱动下,甲方单位必须进行相关的密码应用建设,不仅是国密改造,还有大量新建。例如兰州市教育局信息系统密改项目,则采购数字证书、密码机、国密浏览器等产品。
密码市场将催生约500-600亿空间。保守估计,当前我国等保3级及以上信息系统约5-6万个,且密评系统数量超过等保三级。参考密评及相关产品的项目费用,若一条系统密码相关投资100万元,则整体市场也达到500-600亿元。密评催化下,市场有望加速释放。
四、信创加速行业渗透,国密改造成为标配
1、国密改造:以国产密码算法为核心,更新全业务体系
国密改造是基于国产密码算法的全业务更新,覆盖技术、产品、服务三大环节。伴随国产商用密码技术、标准、产品、服务的高速发展,以国产密码算法为核心的国密改造加速推进。根据要求,国密改造不仅需要完成单一信息系统改造,更需要完成覆盖技术、产品、服务全业务体系的生态改造。目前国产密码算法已贯通密码算法、密码设备支撑、密码服务、密码应用四个层级,实现了在密码芯片、密码板卡、密码模块、密码软件、密码征集、密码系统等方面的应用推广。
我国自主研发密码算法已获得国际认可。为实现密码技术的全面自主可控,我国持续加强国产密码建设。2006年,国密局公布了SM4分组密码算法,是我国第一次公布自主设计的商密算法。随后,我国全面自研并推出了对称加密、非对称加密、杂凑等算法了,形成了SM1、SM2、SM9、ZUC等一些列国密算法,且SM2、ZUC等算法顺利成为ISO/IEC国际标准。目前SM1和SM7算法并未公开,需要通过芯片接口调用;其他算法均已公开。国密算法相对于国际算法具备一定的优势,已能满足各类场景的需求。
国密改造对存量项目进行替代。密码算法已经成为国家战略资源,根据《商用密码管理条例》要求,任何单位不得使用自研或者境外生产的密码产品。2010年开始,国密机构已经开始推动性能更好的SM2算法对RSA算法的替代,存量项目的国密改造、新项目国密建设势在必行。
2、信创推动国密改造
密码是信创产业的基础支撑。信创产业,即信息技术应用创新产业,其目的在于实现信息技术领域的自主可控,解决核心技术关键环节的“卡脖子”问题。信创产业链大体分为软件领域、硬件领域、实际应用和信息安全四大类。密码作为网络安全的核心技术支撑,有望成为贯穿信创全生态的重要安全基础。能够认为,密码技术或将重构安全防护边界,推动信创安全体系实现从以网络安全为中心向以数据安全为中心深化转型。
随着信创推广,密码从芯片、板卡、整机均需要支持国密体系,并完成替换和改造。以VPN、PKI为代表的密码应用同样需要改造。当前规范要求下,如VPN需要加装硬件密码卡。在应用广泛的数字证书体系中,国密PKI/CA系统已完成建设,国密SM2根证书已创建并投入使用,实现对RSA架构下PKI体系的替代。国密SM2根证书下支持签发国密SSL证书、国密代码签名证书、国密客户端证书,可覆盖信创体系下各类国密证书应用,如信创网站SSL证书、信创OS的签名证书、信创应用的文档加密、身份认证等。目前国密SM2根证书已经与国内多家CA机构达成合作,已在全国十几个省市的政务网站广泛应用。
3、行业信创加速发展,推动国密快速渗透
信创市场进入行业推进期,容量和节奏将进一步提升。截止2022年,信创产业在党政领域已经初见规模,应用和生态逐步落地;行业信创加速是市场发展必然方向,且空间更为广阔。八大重点行业中(金融、电信、石油、电力、交通、航空航天、教育、医疗),金融行业推进速度最快,电信紧随其后,之后是能源、交通、航空航天、教育、医疗也在逐步进行政策推进和试点。根据测算,2022年信创产业规模达到9220.2亿元,预计2025年突破2万亿,近5年复合增速达到35.7%。其中2022年由IT基础设施和基础软件构成的核心市场达到2392.8亿元,占比约26%。
密码是信创建设中不可或缺的重要一环。国密生态的全面替代已在多个行业信创建设中铺开,如金融、电力、医疗等个行业的国密改造。在2019年底国务院发布的《国家政务信息化项目建设管理办法》中,明确了密码和项目建设的“三同步一评估”原则。在未来党政、行业信创的快速推进中,各类系统从无到有的密码建设、以及已有建设但需要的国密改造,密码发展有望在信创产业基础上进一步加速。
4、国密驱动下全IT产业升级改造
国密算法成为全IT产业的底层支撑,充分受益信创发展。国密算法是核心,也是产业链最上游,其包含公开和非公开算法,会嵌入在各种软硬件产品中。中游主要为整机及终端领域;下游主要是软件、系统集成及应用领域;最终客户包含政府、金融、能源、医疗等各个行业。随着密码应用渗透率提升,产品商、软件商、服务商、集成商均会受益。在当前IT国产化背景下,国密应用从芯片、操作系统、PC和服务器、网络通信、应用软件等多个领域均要进行升级改造,是信创不可或缺的环节。尤其是关键信息基础设施行业持续加大安全投入,未来整个IT产业国密应用渗透将大幅提升,拉动国密产业需求快速增长。
五、产业链分析
上中下游密码厂商均受益于当前密评、信创等产业发展。根据商用密码行业分析报告的产业链划分,其将密码卡和密码机产品也划分为中游;但从密码产品和厂商角度来,也能把密码芯片、密码卡、密码机作为行业上游。中游则是PKI、VPN、令牌、电子签章等各种产品形态,中游离不开上游密码基础产品应用。例如PKI方案中的签名验签服务器也是密码机的一种;VPN网关需要装载PCI-E密码卡;令牌USBKey中需要内置密码芯片。密码管理平台是新兴的系统级产品,覆盖基础密码、密码应用和管理。产业链下游即为及应用领域。
除了标准产品之外,密码局体系下的密评加大推广后,密评机构也达到了48家。密评机构提供咨询、测评、建设等服务,每年的持续测评成为密码应用的有力拉动者。
1、上游
上游产品提供基础密码能力。密码芯片、密码板卡、密码整机均提供类似的功能,例如密钥生成、数字签名、签名验证、数据加解密等,区别主要是应用在不同的场景。该市场即硬件安全模块HSM,是下游应用的组成部分。
欧洲厂商占据全球市场,国内密码上游厂商陆续上市。头部密码硬件公司以欧洲厂商为主,且并购较多,业务拓展和覆盖领域更多。根据数据,2021年全球HSM市场收入约11.21亿美金,预计2028年达到21.90亿美金,复合增速10.9%;其中Thales、Utimaco等欧洲厂商占据主要份额。国内厂商电科网安体量最大,是密码和网安全产业链公司,其12.3亿收入包含非密码的网安部分。纯密码上游厂商三未信安于2022年上市,渔翁信息也提交招股说明书。
(1)密码芯片
密码芯片是商密产品的核心元件,技术壁垒较高。密码芯片作为密码产业链的上游,是密码算法最高效、最安全的实现方式,包括算法芯片、安全芯片两大类。1)算法芯片:以实现密码算法逻辑为主,一般不涉及密钥或敏感信息的安全存储,包括椭圆曲线密码算法芯片、数字物理噪声源芯片等;2)安全芯片:在算法芯片的基础上,增加了密钥和敏感信息存储等安全功能,加密和解密的运算均可以在芯片内部完成,多为密码板卡的主控芯片。
芯片厂商占主导地位,密码厂商加速产业布局。目前,国产密码芯片参与者主要包括紫光国微、复旦微电、国芯科技、国民技术等芯片厂商,同时卫士通(三零嘉微电子)、飞天诚信(北京宏思)、三未信安等密码厂商也实现了密码芯片的产业布局。从营收体量上来看,紫光国微、复旦微电、国民技术、卫士通的安全芯片规模较大。
(2)密码板卡
密码板卡由硬件芯片和软件程序共同组成,兼具终端和部件两种业务形态。密码板卡作为软硬一体的基础密码产品,由硬件芯片和软件程序两部分组成:1)硬件芯片:包括算法芯片、安全芯片、FPGA芯片、PCB电路板等;2)软件程序:包括Linux、Windows等操作系统的驱动程序、API接口程序以及密码卡管理程序等。同时根据业务场景的不同,密码板卡可分为面向用户的终端型板卡(智能密码钥匙、SDKey/USBKey等)、面向整机集成的部件型板卡(PCI-E密码卡等),其中终端板卡的技术难度、性能指标与安全要求都相对较低。
基础密码厂商重点布局高技术壁垒的部件型板卡。目前,国产密码板卡参与者主要包括三未信安、渔翁信息、卫士通、飞天诚信、国芯科技等厂商,业务重点多为面向整机集成应用的部件型板卡。以PCI-E密码卡(密码整机、IPSec VPN、SSL VPN、安全服务器等安全设备的密码核心部件)为例,三未信安、渔翁信息、卫士通的产品认证数量分别为11、5、4种,处于行业领先地位。飞天诚信、国芯科技(芯片厂商)等企业的密码板卡业务主要集中在技术难度较低的终端型密码模块产品。
(3)密码机
密码机市场当前仍较小。根据业务场景不同,密码整机可分为服务器密码机、金融数据密码机、行业应用密码机三类:1)服务器密码机:适用各类应用系统,提供高速、多任务并行的密码运算;2)金融数据密码机:适用金融、泛金融类业务安全需求,提供密码运算与密钥管理功能;3)行业应用密码机:根据行业特定安全需求提供定制化密码功能,包括签名验签服务器、数据库加密机、存储加密机、电子签章服务器等多种产品形态。
密码整机是产业链各环节厂商业务重合的焦点区域。目前,国产密码整机参与者涵盖产业链全环节,既有三未信安、渔翁信息、兴唐通信等上、中游优势企业,又有江南天安、吉大正元、信安世纪等中、下游优势企业,同时还有深信服、奇安信等网络安全企业。
2、中游
PKI是密码最主要应用之一。数字证书是PKI体系核心,CA是重要角色。PKI是公钥基础设施,基于非对称密码算法原理,以数字证书为核心的安全认证体系。PKI系统主要有五部分组成:认证机构(CA)、数字证书库、秘钥备份及恢复系统、证书作废系统、应用接口。从逻辑上,PKI可分成三方,CA是独立可信第三方,主要是签发证书,工信部许可了55家CA机构;证书持有者和依赖方则依据证书进行可信交互,且均需要CA的验证。
PKI基础设施涵盖多种产品,是密码最广泛应用之一。PKI基础设施产品主要包括电子证书认证系统、移动终端制证系统、目录服务器、智能密码钥匙和服务器密码机等;其运行逻辑也是基于证书的认证。PKI能够实现密钥和证书的产生、管理、存储、分发和撤销等功能,为应用提供认证、加密、数字签名等安全支撑。PKI目前主要应用在网上银行、电子政务等领域,物联网、车联网是未来广泛市场空间。
PKI头部厂商均已上市。根据IDC中国IT安全软件市场跟踪报告,身份和数字信任软件市场保持稳定增长,2021年预期身份和数字信任市场约38.3亿元;其中五家上市公司占据领先市场份额。IDC对该领域的定义包括了身份管理/单点登录、数字证书、身份治理等多个细分;其中亚信安全在该领域的核心业务是统一身份认证(IAM),数字认证、吉大正元、格尔软件、信安世纪核心业务是PKI领域。
密码应用厂商多数有集成业务,且毛利率较高。一般中游密码应用类厂商直销占比高,在和客户深度绑定下,也会提供集成和咨询等服务。以PKI为代表的密码应用类厂商由于和客户直接服务,在帮助客户完成PKI解决方案中,也会提供大量集成业务,其中吉大正元、格尔软件、数字认证均有该业务。相比于网络安全厂商集成业务约10%以下的毛利率,密码应用厂商集成业务20%-30%的毛利率保持较高水平。密码应用厂商整体收入规模大于纯上游厂商。
3、下游
我国商用密码产品应用领域主要分布在金融、政务、通信、电力、交通、教育、医疗、电子商务等领域,应用领域日益丰富。2021年商用密码在金融领域应用占比24.05%,在政务领域应用占比19.31%,在通信领域占比15.38%,在电力领域占比12.31%,在交通领域占比9.47%,在税务、医疗、电子商务等其他领域占比共计19.48%。
(1)金融行业
1)商密应用推进较早
金融领域国密应用推进领先。2014年《金融领域密码应用指导意见》要求各金融机构5年内完成在网上银行、移动支付、网上证券等重点领域国密的应用。2018年《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》进一步要求金融、政务等重点行业国密应用。2020年,人行在此基础上颁发《金融领域信息系统国产密码改造基线要求》和《金融领域国产密码改造评价指标体系》,细化金融业国密改造要求。随着《密码法》、信创、密评等产业指引落地,国密改造在各金融机构核心系统中有望持续深化。
商密在银行和证券业已经开展广泛应用。根据中国人民银行国密应用要求,银行需在网银系统对安全工具、安全基础设施进行国产密码算法的应用改造,包括国密证书、USBKey、动态令牌等。对于证券行业,其早期一直沿用国际通用密码算法体系及相关标准,交易系统国密改造的内容主要集中在身份认证、安全传输、数据签名,交易接入网关作为应用系统的入口,是国密改造的重点和切入点。
2)安全投入要求提升,信创和密码是重点
证券业安全投入加大,信创和国密进入核心系统改造。2023年1月,中证协向券商下发了《网络和信息安全三年提升计划(2023-2025)》,鼓励有条件的券商未来三年信息科技平均投入金额不少于平均净利润的8%或平均营业收入的6%,其中网络和信息安全投入不低于信息科技投入的7%;同时对信息科技员工人数、网络安全员工人数均做出要求。信创将是下一阶段金融业安全建设的重点,伴随信创进入深水区,国密应用也将从PC端逐步渗透到核心系统。根据相关要求,2022年12月底券商要完成系统改造、安全性评估测试及收尾工作。
行业应用厂商同样受益国密改造。国密应用会带来券商业务系统改造,金融IT厂商也将承担国密改造业务。例如恒生电子联合安恒信息,融合IT系统建设和国密算法,为机构客户提供一站式国密解决方案,陆续在证券、基金等金融机构试点运行。财富趋势于2016年就启动国密研发,在其行业交易体系产品中,形成了具备认证条件的独立密码产品;组织了近70家券商参与商密评估工作,且全部通过测评。
(2)电力行业
1)商密是新型电力系统的安全支撑
新型电力系统是发展趋势,叠加信创是安全建设重点。随着新能源建设成为我国核心战略之一,我国电力系统将呈现“双高”特性:高比例新能源、高比例电力电子设备接入。新型电力系统建设中,“源网荷储”生态将催生大量新技术、系统的应用。而电力也是8大信创重点行业之一,如南网已经在推动全栈自主可控工作。十四五期间,两网规划共投入近3万亿元,以信创为基石,面向新型电力系统的信息化建设是重要方向。
商密支撑新型电力系统安全体系。新型电力系统下,如营销业务的互联网化、业务系统与外界的交互、新IT技术的引入、智能终端的普及会带来更多的信息安全问题。商密从密码算法、芯片级、设备级和系统级支撑电力基础设施安全,保障能源安全。国家电网已建成了覆盖26个省/自治区/直辖市的密码基础设施,通过统一密码服务平台对人资合同、电E宝、营销2.0等各种业务应用提供密码服务。
2)电力安全投入提升,密码终端市场广阔
电力安全投入持续提升,密码已是刚性要求。2022年12月,国家能源局印发《电力行业网络安全管理办法》,要求网络安全投入不低于信息化总投入的5%;规划设计网络时,需要保证安全措施同步规划、同步建设、同步使用,上线前需要第三方测试;按照规定进行等保、关保、商用密码评估等测评。结合电力信创的加快推进,安全和密码建设是电力系统必备一环。
密码电力应用广泛,物联网终端是广阔新市场。当前电力系统密码应用典型模型有6大类:流程类、移动终端类、采集控制类、传感设备类、边界隔离类、大数据类;根据不同的场景,提供身份认证、数据加密、数字签名、电子签章、密码模块等不同组合能力。截止2022年2月,密码服务平台已接入国网约120套重要业务系统,包括电力采集、交易等,提供服务约7.3亿次。新型电力系统背景下,电表、充电桩等海量物联网终端成为新的密码市场;仅智能电表全国已安装5.3亿支,直接经济效益1000亿元,将带动密码芯片等上下游的应用。
(3)新基建
新基建是数字经济发展的基石,密码技术深度融合新基建,为多领域数字化转型奠定基础。新基建,是指以5G、人工智能、工业互联网、物联网为代表的新型基础设施。新型基础设施以网络和数据为核心,本质上是信息数字化的基础设施,为数字经济发展和传统业务数字化转型奠定基础,密码作为信息安全的扣环,构筑成数字经济发展的“护城河”和“城墙”,使新基建具有“主动免疫力”。
密码在新基建的几个应用场景如:车联网领域,工信部《关于开展车联网身份认证和安全信任试点工作的通知》即是推动商密应用,保障蜂窝车联网(CV2X)通信安全;其中车与云、车、路、设备、网络的安全通信,涉及到数字证书、数字签名、安全芯片等密码产品。在工业互联网领域,工信部《工业互联网创新发展行动计划(2021-2023年)》要求深化商密应用,推动供需两侧有效对接,加强工业密码安全性评估等;在工业互联网平台中,设备层、边缘层、企业层、产业层需要密码芯片、PKI体系、VPN等不同产品的应用。
六、相关公司
1、电科网安(卫士通)
电科网安是中国电科在网络信息安全领域的唯一上市公司。公司成立于1998年,始终专注于网络信息安全领域,为党政、军队、大型央企等客户提供专业的网络信息安全产品和服务,在加密认证类产品市场长期保持领先,在高安全信息系统集成市场占据重要地位。20多年的发展,公司构建了覆盖芯片、模块、平台、整机、系统、整体解决方案与安全服务的产品体系,业务横跨网络安全、主机安全、数据安全、应用安全等多个场景,凭借多年的技术积累和产业实践,持续参与支撑国家顶层规划、国家标准和重大行业标准的制定,承担了国家核高基专项、国家863和S863专项、科技部5G专项等重大科研创新项目。自成立以来,公司累计服务用户超过10000家,并在北京奥运会、上海世博会、杭州G20峰会、9.3阅兵等多个国家重大活动信息安全保障工作中发挥了重要作用。
2、信安世纪
深耕网络安全20余年,前瞻布局“新安全”。信安世纪成立于2001年8月,是科技创新型的信息安全产品和解决方案提供商。公司以密码技术为基础支撑,致力于解决网络环境中的身份安全、通信安全和数据安全等基础性安全问题,在信息技术互联网化、移动化和云化等的发展趋势下,经过近二十年的自主研发和持续创新,信安世纪形成了身份安全、通信安全、数据安全、移动安全、云安全和平台安全六大产品系列。在金融领域,公司的产品和解决方案保障了网上银行、数字货币、跨境支付、证券登记结算、电子保单等重要金融业务系统的安全;在政府领域,公司的产品和解决方案已经应用于交通、人社、烟草、海关、税务、政法等数十个行业;在企业领域,有超过七成的中国百强企业是公司服务的客户。
3、吉大正元
吉大正元成立于1999年,是国内知名的信息安全产品、服务及解决方案提供商。公司以密码技术为核心,开展信息安全产品的研发、生产和销售及服务,面向政府、军队、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证及可信数据保障等多层次、全方位的综合性安全解决方案,为其信息系统提供关键的安全支撑与保障。公司通过持续技术研发,积累了数字证书、数字加密、数字签名、身份认证、访问控制等关键技术,实现了电子认证领域的多项突破,为云计算、大数据、物联网、移动互联、智能计算等领域提供安全技术支撑与保障。
4、格尔软件
格尔软件是中国较早研制和推出公钥基础设施(PKI)产品的厂商,公司成立于1998年3月,自成立以来一直专注于信息安全行业PKI领域,主要从事以公钥基础设施PKI为核心的商用密码软件产品的研发、生产和销售及服务业务,为用户提供基于PKI的信息安全系列产品、安全服务和信息安全整体解决方案,拥有大批政务、金融、军工等领域核心客户。除此之外,公司完成了云计算、大数据环境下大规模复杂场景的安全体系建设,并为工业互联网、物联网、车联网等新型应用保驾护航,全力打造成为国内全栈全域的信息安全服务提供商。公司主要产品包括PKI基础设施产品、PKI安全应用产品和通用安全产品。其中,PKI基础设施产品与PKI安全应用产品的国内同类市场占有率已连续多年保持较高水平。
5、数字认证
数字认证是首批获得电子认证服务许可资质的大型国有控股企业。公司成立于2001年2月,于2016年在深交所上市,被誉为“中国电子认证第一股”。经过近20年的发展,公司以密码技术为核心,形成了网络信任服务、数字资产保护、网络安全服务的业务格局,主营业务包括电子认证服务、安全集成和安全咨询及运维服务,应用覆盖政务、医疗、金融、教育、交通、电信等多个行业,为近千万企业用户和数亿个人用户提供网络安全服务。
6、三未信安
三未信安专注于密码关键技术的创新突破和核心产品的研发、销售及服务,为网络信息安全领域提供全面的商用密码产品和解决方案。公司成立于2008年8月,总部位于北京在山东设立有研发中心,并在上海、南京、广州、深圳、成都、重庆、武汉、西安、长沙等地成立子公司或分公司。公司的主要产品包括密码芯片、密码板卡、密码整机和密码系统。密码芯片和密码板卡是密码系统的基础部件,公司的密码板卡在国内有着较高的市场占有率,被众多的信息安全设备厂商集成在产品中。公司的产品全面支持国产密码算法,性能优越、安全易用、品类齐全,可方便地适配于各类密码应用场景。公司产品广泛应用于金融、证券、能源、电信、交通、电子商务等行业,以及海关、公安、税务、水利、质量监督、医疗保障等政府部门。
七、市场趋势
1、国产密码改造加速,密码成为信创安全共识
国密改造节奏与信创推进节奏相符,先党政后重点行业。信创为国产密码建设的重要切口,国密改造业务在2022年批量启动与重点行业信创推进节奏基本一致。能够认为,国产密码在信创安全中的基石地位已成为各行业共识,同时参考密评合规文件的升级趋势,信创合规有望在未来加速体现,国密改造将与党政及各行业信创同频推进。
密码建设需要实现全生态适配,市场空间约582亿。国密改造业务伴随信息系统升级同步进行,涉及信息系统从硬件到上层应用的全生态适配,根据招投标情况来看,小的应用级系统改造费用在100万元左右,大的省市级业务系统改造费用在200-300万元,少量平台级系统改造费用在千万级。据测算全国约有3万个三级等保信息系统,现有等保三级系统国密改造预计于2027年全部完成,以平均改造单价200万元(以2022年部分项目中标均价为参考)测算,2022-2027年合计市场空间约582亿元。
2、密评市场初具规模,随渗透率提升有望贡献长效增长
趋势显著向好,市场规模有望高增。伴随《密码法》、《信息系统密码应用基本要求》出台,密评市场呈现高速增长态势,考虑到新建系统“三同步一评估”的必要性以及已建系统的密评与密改同步进行,参与密评的等保三级系统个数有望持续高增,随密码建设复杂性提升,业务单价有望同步提升。据估计新完成国密改造的信息系统,需要参与次年的密码应用安全性评估,以此为基准,测算得到2022-2027年密码应用安全性评估合计市场空间约为109亿元。
3、新基建密码建设加速,数据要素深化内生需求
数字经济带动新安全场景加速涌现,项目规模多为千万级。数字中国建设全面推进,带动以数据为驱动的数字经济高速发展,考虑到数据要素在新场景下的重要性,能够认为车联网、工业互联网、云安全等新基建在合规需求的基础上具备较强的内生建设动力,密码项目建设的复杂性与技术难度也处于较高水平,平均中标价格多在500万元以上,规模较大的项目价格在1,000万元以上。未来3-5年商用密码有望在工业互联网、物联网、车联网等领域加速应用,新建项目数约为2,000-3,000个,市场空间200-300亿。
八、参考研报
国信证券-计算机行业信息安全深度剖析5:密评和信创双催化,密码产业开启从1到N
华创证券-计算机行业深度研究报告:以密评促密改,密码行业迎来历史性机遇
华泰证券-计算机行业专题研究:合规+信创驱动国产密码加速成长
华泰证券-计算机行业专题研究:商密,产业链拆分与竞争格局分析
万联证券-计算机行业投资策略报告:安全和发展并重,数字经济扬帆起航
国信证券-计算机行业12月暨2023年投资策略:以信创和安全为基,数据要素驱动数字经济大发展
