商用密码行业

商用密码行业 一、 商用密码行业 （一）密码的基本概念 《中华人民共和国密码法》颁布，对密码给予更加明确的定义，密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码技术是保障网络信息安全的核心技术。从功能上看，主要包括加密保护技术和安全认证技术。加密保护是指采用特定变换的方法，将原来可读的信息变成不能直接识别的符号序列。安全认证是指采用特定变换的方法，确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。从内容上看，主要包括密码算法、密钥和密码协议。常用密码技术包括对称加密、公钥加密、哈希、数字签名等。密码技术是保障网络与信息安全最有效、最可靠、最经济的手段，密码是重要的网络空间战略资源，是保障网络空间安全的核心技术和基础支撑，是构建网络信任体系的重要基石。公钥密码体制推动现代密码学发生革命性的飞跃，公钥基础设施（PublicKeyInfrastructure）作为基础设施推动了密码技术的快速发展，随着密码技术在网络信息安全中的广泛应用，公钥基础设施的内容也在扩大，包括对称加密算法和非对称加密算法（公钥密码）的密码芯片、密码板卡、密码整机、密码系统等密码基础产品统称为密码基础设施，是信息系统的安全保障体系。 密码在网络空间中对于身份鉴别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用，可实现信息的机密性、真实性、数据的完整性和行为的不可否认性。 机密性，又称保密性，是指密码保证信息不被泄露给其他非授权实体的特性。信息是网络空间中最有价值的资产，信息泄露会对国家社会、行业、团体和个人带来巨大危害和影响。信息的机密性是网络与信息安全的重要属性之一。采用密码技术中的加密保护技术，可以实现信息的机密性。 完整性是指商用密码确保数据没有受到非授权篡改或破坏的特性。信息时代的数据规模大、应用领域多、使用价值高，密码中的多种算法技术，可以保证数据在传输、存储过程中不被篡改，实现数据的完整性保护。 真实性是指密码保证信息来源可靠、没有被伪造和篡改的特性。密码中的安全认证技术可以有效解决信息的真实性等问题，满足鉴别信息的合法性、确认真实的身份信息、防止信息冒充伪造等网络信息安全的基础性要求。随着信息化技术的广泛应用，密码可以维护社会经济生活各个方面的健康稳定运行。 不可否认性是指密码确保一个已经发生的操作行为无法否认的性质。随着电子商务、网络支付等新兴模式的广泛普及和应用，网络上已生效的电子合同、电子声明等如何防止抵赖是网络与信息安全的重要任务之一。基于公钥密码算法的数字签名技术可解决行为的不可否认性问题。 （二）商用密码基本概念 《中华人民共和国密码法》明确我国密码分为核心密码、普通密码和商用密码三大类。其中，核心密码、普通密码用于保护国家秘密信息。商用密码是指对不属于国家秘密内容的信息进行加密保护、安全认证所使用的密码技术、密码产品和密码服务。 商用密码产品，是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品，即承载密码技术、实现密码功能的实体。商用密码服务，是指基于密码专业技术、技能和设施，为用户提供集成、运营、监理等商用密码支持和保障的服务活动，即基于密码技术和产品，实现密码功能，提供密码保障的服务行为。 （三）我国商用密码行业资质要求 密码作为国家安全的重要行业，是保护网络安全的核心技术和基础支撑，产品的资质门槛相对较高。根据目前商用密码相关法律法规要求，商用密码的资质主要为产品资质，不再对企业和销售资质有要求。商用密码的产品资质主要为产品型号证书，目前对于商用密码产品认证施行自愿原则，对于依法列入网络关键设备和网络安全专用产品目录等重点行业和关键信息基础设施领域的密码产品，需要由具备资格的机构检测认证合格并取得产品型号证书后，方可销售或者提供。 目前商用密码产品的应用场景主要为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子等重要行业和领域。下游客户在采购商用密码产品时基于相关密码应用技术标准对商用密码产品的合规性要求，一般会采购经具备资格的机构检测认证合格并取得产品型号证书的商用密码产品。 密码应用技术标准《信息安全技术信息系统密码应用基本要求》（标准号：GB/T39786-2021）、《信息系统密码应用基本要求》（标准号：GM/T0054-2018）等标准对密码产品的合规性有明确要求。《商用密码产品认证规则》中对于商用密码产品认证包括产品型式试验、初始工厂检查等环节。产品型式试验阶段需要严格遵循相关密码产品标准，需要对产品认证文档进行审查，需要经过检测工具检测合格。初始工厂检查环节按照GM/T0065《商用密码产品生产和保障能力建设规范》进行现场检查，对主要技术人员数量、产品知识产权、生产测试能力、质量保障能力、安全保障能力、服务保障能力等有较高的要求，需要满足相关标准，检测合格后才可发放证书。 （四）我国商用密码行业发展情况 我国商用密码发展起步较晚，历程始于近现代密码时代。整体来看，我国商用密码经历了起步形成、快速发展、规范三个发展阶段。 我国商用密码的发展起步起源于20世纪90年代开启的金字工程。正是随着一系列信息化工程的实施，国家对信息技术应用的要求不断提高，信息化成为一项全局性战略，在经济社会各个领域全面推进。在此背景下，信息安全保护的紧迫性日益凸显，商用密码的应用需求应运而生。商用密码技术、产品开始出现，在各个行业开始得到初步应用。与此同时，商用密码的技术标准体系在不断完善，自主创新能力不断增强，为商用密码产业的快速发展奠定了重要基础。 为满足网络空间密码多样化应用的实际需求，商用密码产业应用与创新发展已延伸到金融领域、国家基础设施、数字经济、数字治理等重要领域。商业密码产业引导政策陆续出台，市场需求不断增加，刺激商用密码产业快速发展。 2019年《密码法》颁布，商用密码发展进入了有法可依的新历史时期。《密码法》按照国家的发展与改革要求，大力促进商用密码产业健康发展，未来商用密码市场规模将不断扩大。 根据赛迪统计数据，近年来我国商用密码行业规模不断扩大，产业规模整体呈上升趋势。2020年在新冠疫情流行的客观环境下，我国商用密码产业仍取得高速发展，总体规模达到466亿元，较2019年增长33．14%，预计2023年商用密码行业规模有望达到937．5亿元。 （五）商用密码行业发展趋势 1、商用密码技术产品不断升级 近年来，我国商用密码产品自主创新能力持续增强，产业支撑能力不断提升，部分产品性能指标已达到国际先进水平。随着信息技术产业的持续发展和完善，密码产品也随之迭代丰富，现有商用密码产品达到3，000余款，其中2，200余款产品取得商用密码产品认证证书，品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条，形成了完整的商用密码产品体系。 2、密码技术持续进步 在国家密码发展基金等国家级科技项目的引导和支持下，我国在序列密码设计、分组密码算法设计与分析、密码杂凑算法分析、密码协议基础理论与分析、量子密钥分配等密码基础理论研究方面取得了一系列的创新科研成果。同时，由我国自主设计的椭圆曲线公钥密码算法SM2、杂凑算法SM3、分组密码算法SM4、序列密码算法ZUC、标识密码算法SM9等已经成为国际标准、国家标准或密码行业标准，标志着我国商用密码算法体系已经基本形成。 3、商用密码应用领域不断扩大 随着云计算、大数据、区块链、数字货币、物联网、车联网、人工智能等新技术、新模式的广泛应用，密码技术积极护航新基建安全发展，商用密码应用程度不断加深。在金融领域，累计应用国密算法的银行卡超过10亿张；在能源领域，部署支持商用密码的智能电表超5亿只；在惠民领域，已换发采用商用密码技术的二代身份证和港澳台居民居住证超过19亿张；在广播电视领域，基于商用密码技术的数字版权保护技术应用于移动智能终端2，700万台；在领域10个省（区、市）完成商用密码技术支撑的政府云试点建设覆盖服务用户超过5，000万。 4、商用密码国产化进程加速 随着密码法的实施以及国家对国产化的支持，底层芯片、卡、装置性能要求将不断提高，引导产业技术和产品出现了较大幅度的性能升级。国家密码局发布了完全自主设计的SM系列算法的相关标准与规范，标志着我国密码算法标准体系已初步成型，全面采用国产密码算法的条件和时机日趋成熟。 从产业基础上看，国产密码算法的推广已经具备一定基础，除了软件层的算法，更重要的是硬件层的密码芯片和通用芯片的自主可控，预计随着国产芯片性能提升和生态成熟，国产密码算法的逐步推广和标准的逐步完善，密码行业有望迎来国产化的机遇。 二、 未来发展趋势 （一）整网体系化安全成为行业发展的重要方向 随着信息技术及其应用范围的不断发展，信息安全问题也越来越复杂，对信息安全威胁的检测和防护已很难由单个安全设备来完成。因此，由单个安全设备独立进行防护、安全设备独立于网络之外单独建设等传统模式已无法满足新的安全防护需求，将交换机、无线产品等网络设备与安全设备整合协同进行安全防护的整网体系化安全成为网络安全发展的必然趋势。 （二）网络安全架构向零信任发展以适应持续演进的动态安全需求 随着云计算、大数据、微服务、移动网络等技术的发展，传统基于网络边界的防护模型在新的网络态势中不再适用，基于零信任模式的需求将逐步增加。零信任安全概念就是提倡通过基于身份和应用的细粒度授权、持续动态威胁分析和管控来提升整体业务安全性。 根据Gartner预测，到2022年，80%提供给互联网生态伙伴的应用将使用零信任，2023年将有60%的VPN被零信任取代，同时40%的企业将在远程接入以外的场景使用零信任。目前，国内企业逐步加大对零信任框架的研究和布局，并开展系列探索和实践。 三、 市场规模 随着国内信息安全政策法规持续完善优化，网络安全市场规范性逐步提升，政府及企业客户在产品和服务上的投入稳步增长，国内网络安全市场规模不断扩大。随着数字经济的发展，网络安全作为必要保障，其投入将持续增加。数据显示，中国网络安全市场从2016年的269．5亿元增长至2020年的531．9亿元，预计在2022年底将达到704．3亿元。 四、 网络安全行业现状分析 （一）全球市场 从全球网络安全行业市场来看，全球网安市场保持稳定增长。根据信通院发布的《中国网络安全产业白皮书（2022年）》，2020年全球网络安全市场的规模约1367亿美元，北美市场占比约47%。从行业结构来看，全球信息安全产业中，硬件相关的网络安全设备、基础设施保护、身份访问管理及综合风险管理四项的占比为40．1%。 （二）中国市场 从我国网络安全市场规模来看，2020年我国网络安全市场规模为532亿元，约占全球市场规模6%左右。2021年我国网络安全市场规模达到6501亿元，同比增长18．15%；从增速来看，我国网络安全行业2017-2021年复合增速约18%，而全球网络安全市场规模的增速仅在10%左右，我国增速较高且潜力巨大。 网络安全厂商主要通过提供设备、软件、服务来为下游客户提供保护，如网络安全硬件领域的防火墙/VPN，软件领域的安全性与漏洞管理以及服务领域的云监测服务、现场运维服务。对比软件产品，硬件产品的优势在于可将功能编入芯片并集成至单台设备。作为合规性产品，硬件产品配置容易且不占用下游用户的终端性能，仍是市场的主流选择。据统计，2016-2018年硬件在我国网安产业中占主导地位，占比约50%左右；2021年我国安全硬件占比仍高居49%，为最大细分市场。 从安全硬件产品细分市场来看，硬件市场主要由基于UTM平台的防火墙（NGFW），统一威胁管理（UTM）、VPN、入侵检测与防御（IDP），内容管理（SCM、也称上网行为管理）等组成。根据IDC数据，以上几类传统产品的格局近三年保持较为稳定，UTM防火墙、UTM与内容管理三类传统产品占比总和约80%。 五、 中国细分领域 在目前关键信息基础设施保护、个人数据保护及数据出境要求下，自主可控已经成