Image
全國統一服務熱線
0351-4073466

以密評促密改,我國密碼行業迎來歷史性機遇

編輯:2023-04-25 15:51:59


一、密評:


密碼產業發展的關鍵一環


  (一)密碼:保障網絡空間安全的核心技術和基礎支撐
  《中華人民共和國密碼法》明確密碼定義:密碼是指采用特定變換的方法對信息等進行 加密保護、安全認證的技術、產品和服務。密碼技術是保障網絡信息安全的核心技術, 從功能上看,主要包括加密保護技術和安全認證技術。加密保護是指采用特定變換的方 法,將原來可讀的信息變成不能直接識別的符號序列。安全認證是指采用特定變換的方 法,確認信息是否完整、是否被篡改、是否可靠以及行為是否真實。密碼在網絡空間中 對于身份鑒別、安全隔離、信息加密、完整性保護和抗抵賴性等方面具有不可替代的重 要作用,可實現信息的機密性、真實性、數據的完整性和行為的不可否認性。
  《中華人民共和國密碼法》中將密碼劃分為核心密碼、普通密碼和商用密碼。核心密碼、 普通密碼屬于國家秘密,商用密碼用于保護不屬于國家秘密的信息,公民、法人和其他 組織可以依法使用商用密碼保護網絡與信息安全,一般生活中接觸更多的是商用密碼。
  74213
  商用密碼技術,是保障信息安全的核心技術:從功能上看,主要包括加密保護技術和安全認證技術;從內容上看,主要包括密碼算法、密鑰管理和密碼協議。
  商用密碼產品,即承載密碼技術、實現密碼功能的實體。按照形態劃分:分為六類,即軟件、芯片、模塊、板卡、整機、系統;按照功能劃分:分為七類,即密碼算法類、數據加解密類、認證鑒別類、證書管理 類、密鑰管理類、密碼防偽類和綜合類。
  (二)密評:密碼行業發展不可或缺的一環
  1、什么是密評?
  商用密碼應用安全評估(簡稱“密評”):是指對采用商用密碼技術、產品和服務集成 建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。合規性:信息系統使用的密碼算法、密碼協議、密鑰管理是否符合法律法規的規定 和密碼相關國家標準、行業標準的有關要求,使用的密碼產品和密碼服務是否經過 國家密碼管理部門核準或由具備資格的機構認證合格。正確性:系統中采用的標準密碼算法、協議和密鑰管理機制按照相應的密碼國家和 行業標準進行正確的設計和實現,密碼保障系統建設或改造過程中密碼產品和服務 的部署和應用正確。有效性:密碼安全防護機制設計合理,在系統運行過程中能夠發揮密碼效用,保障 信息的機密性、完整性、真實性、抗抵賴性。
  2、主要密評對象
  密評的主要對象包括關基、等保三級及以上系統、國家政務系統,密評頻率為每年至少一次。根據《商用密碼管理條例(修訂草案征求意見稿)》第六章第三十八條,非涉密 的關鍵信息基礎設施、等保三級及以上系統、國家政務等重要信息系統,其運營者應當 使用商用密碼進行保護,開展商用密碼應用安全性評估,通過商用密碼應用安全性評估 方可投入運行,運行后每年至少進行一次評估。同時,根據《商用密碼應用安全性評估 管理辦法(試行)》第一章第三條:“涉及國家安全和社會公共利益的重要領域網絡和 信息系統的建設、使用、管理單位應當健全密碼保障體系,實施商用密碼應用安全性評 估”。重要領域網絡和信息系統包括:基礎信息網絡、涉及國計民生和基礎信息資源的 重要信息系統、重要工業控制系統、面向社會服務的政務信息系統,以及關鍵信息基礎 設施、網絡安全等級保護第三級及以上信息系統。
  等保三級信息系統:在《信息安全等級保護管理辦法》中,根據信息系統在國家安全、 經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共 利益以及公民、法人和其他組織的合法權益的危害程度,將網絡信息系統的安全等級保 護從低到高分為五級。等保三級信息系統指信息系統受到破壞后,會對社會秩序和公共 利益造成嚴重損害,或者對國家安全造成損害的信息系統。
  關鍵信息基礎設施:關基的概念首次提出和范圍明確是在《網絡安全法》中,是指公共 通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域, 以及其他一旦遭到破環、喪失功能或數據泄露,可能嚴重危害國家安全、國計民生、公 共利益的關鍵信息基礎設施。
  136588
  3、密評工作參考的主要標準
  基本要求:主要依據國家標準 GB/T 39786-2021《信息安全技術信息系統密碼應用基本 要求》,此標準于 2021 年 10 月 1 日正式實施,旨在指導、規范信息系統密碼應用的規 劃、建設、運行及測評,對于規范和引導信息系統合規、正確、有效應用密碼,切實維 護國家網絡與信息安全具有重要意義。評估方法:目前主要參考的文件是 2021 年發布的 GM/T 0115-2021《信息系統密碼應用 測評要求》、GM/T 0116-2021《信息系統密碼應用測評過程指南》,中國密碼學會密評 聯委會修訂形成的《信息系統密碼應用高風險判定指引》《商用密碼應用安全性評估量 化評估規則》。量化評估結果判定規則:根據《商用密碼應用安全性評估量化評估規則》,若整體量化 評估結果為 100 分,則判定被測信息系統符合 GB/T 39786-2021 相應等級要求;結果低 于 100 分、不低于閾值,且經風險評估發現沒有高風險,則判定被測信息系統基本符合 GB/T 39786-2021 相應等級要求;否則,判定被測信息系統不符合 GB/T 39786-2021 相 應等級要求。
  4、密評涉及的主要產品及測評技術
  根據《信息系統密碼應用測評要求》,進行測評的典型密碼產品有智能 IC 卡/智能密碼 鑰匙、密碼機、VPN 產品和安全認證網關、電子簽章系統、動態口令系統、電子門禁 系統、證書認證系統。密評通過相關技術手段對密碼產品實施測評,檢驗產品是否具備 傳輸機密性、存儲機密性、傳輸完整性、存儲完整性、真實性、不可否認性的密碼功能。
  5、以政務信息系統為例,看密評工作全流程
  密評工作主要分為兩個階段:一是信息系統規劃階段的密碼應用方案評估,這一環節主 要用于保證建設方案的安全性;二是信息系統建設完成后針對該系統開展現場測試。方 案評估階段:主要針對新建或改造信息系統,密碼應用改造方案一般由用戶單位組織編 寫,用戶單位編寫密碼應用建設方案/改造方案后,應委托專家對方案進行評估或委托 密評機構出具方案密評報告。系統評估階段:主要依據國標 GB/T39786-2021《信息安 全技術信息系統密碼應用基本要求》,從物理和環境、網絡和通信、設備和計算、應用 和數據、安全管理等方面開展評估。
  95321
  6、密評服務收費情況
  根據密評項目的難度與要求不同,密評項目服務收費方差較大,密評服務收費中位數在 16 萬左右。
  7、商用密碼應用改造環節
  密評過程中不合格以及需進一步提高的環節,需要對其進行密碼改造。密碼改造項目建 設單位需從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等四 個層面采用密碼技術措施,建立安全的密鑰管理方案,采取有效的安全管理措施,進行 系統保護。
  密碼改造產品主要包括服務器密碼機、安全網關、簽名驗簽服務器等。功能來看,服務 器密碼機能夠為各類業務系統提供數據加/解密、數字簽名/驗簽以及密鑰管理等高性能 密碼服務;安全網關能為用戶提供可信身份認證、訪問控制、傳輸加密等密碼安全服務;簽名驗簽服務器具有數字簽名、身份認證等功能,可為于電子商務、CA 認證、網上銀 行等服務器端提供密碼服務。一套系統最小化的密改方案除了上述產品外,客戶端還需 加上 key 和安全瀏覽器,金額總計為 60 萬元左右,考慮到客戶信息系統規模大小、功 能,一般改造花費為 100-200 萬元。
  從密碼產品及服務供應的產業鏈分析,密碼產業鏈上游包括安全芯片、印刷電路板、服 務器三大類;中游為以密碼技術為核心的產品,包括密碼機/密碼卡、數字證書、vpn、 令牌、電子簽章、量子加密六大類;下游主要是軟件、系統集成及應用領域。
  142646


二、密碼行業迎來


數字化+合規+信創三重共振歷史機遇


  (一)密評行業處于推廣發展期,為密碼行業發展提供安全屏障
  根據煉石網絡整理結果,我國密評行業經歷了五個時期,當前正處于推廣發展期:
  制度奠基期(2007 年 11 月至 2016 年 8 月):2007 年 11 月 27 日,國家密碼管理局 印發《信息安全等級保護商用密碼管理辦法》,要求等保密評工作由國家密碼管理 局指定的測評機構承擔。2009 年 12 月 15 日,國家密碼管理局印發了管理辦法實施 意見,進一步明確了與密碼測評有關的要求。
  再次集結期(2016 年 9 月至 2017 年 4 月):國家密碼管理局起草《商用密碼應用 安全性評估管理辦法(試行)》。2017 年 4 月 22 日,正式印發《關于開展密碼應用 安全性評估試點工作的通知》,在七省五行業開展密評第一次試點工作。
  體系建設期(2017 年 5 月至 2017 年 9 月):國家密碼管理局成立了密評領導小組, 2017 年 9 月 27 日,國家密碼管理局印發《商用密碼應用安全性測評機構管理辦法 (試行)》、《商用密碼應用安全性測評機構能力評審實施細則(試行)》、《信息系 統密碼應用基本要求》和《信息系統密碼測評要求(試行)》,我國密評制度體系初 步建立。
  密評試點開展期(2017 年 10 月至 2021 年):2019 年開啟第二批密評試點工作。2020 年 7 月 29 日,國家密碼管理局發布《商用密碼應用安全性評估試點機構目 錄》,確定 24 家全國密評試點機構。2021 年 6 月 11 日,國家密碼管理局發布《商 用密碼應用安全性評估試點機構目錄》,密評試點機構擴大至 48 家。
  推廣發展期(2021 年至今):“十四五”時期數字化引領密評加速推廣發展,金 融、政務、教育、電信等行業將實現密評規模化布局。
  (二)密評法律體系逐步健全,為密碼行業發展奠定土壤
  近年來,我國密碼產業法律法規逐步健全,為后續的快速發展積攢動力。從防護對象來 看,《個人信息保護法(草案二次審議稿)》《數據安全法》對個人信息或企業數據安 全建設提出明確防護目標,是數據保護和數據利用的整體性法律框架。從技術手段來看, 《密碼法》明確了將密碼技術作為核心的安全技術路線,針對重要信息系統形成強合規 增量市場。
  (三)數據泄露事件多發,凸顯密評關鍵作用
  數據安全事件頻發,定期密評及時發現問題并進行密碼改造具有必要性。根據綠盟科技 統計,2021 全球數據大規模數據泄露的代表性事件,一共有 10 起。從泄露規模上看, 上億級別的數據記錄泄露有 8 起,最高泄露 7 億條;從泄露原因上看,互聯網暴露和配 置錯誤、黑客攻擊是造成大規模數據泄露的主要原因;根據 IBM 發布的《2021 數據泄 露成本報告》,企業數據泄露平均成本為 424 萬美元。定期開展密評,及時進行密碼改 造對公司數據安全保護具備必要性。
  105906
  (四)商用密碼——數字經濟的安全基石
  “十四五”以來,數字經濟已經成為我國經濟實現高質量發展的重要方向,以數據為 中心的安全的重要性不斷凸顯,而密碼作為數據安全的重要基石,在推進數字經濟健康、 安全發展方面具有重要作用。密碼可以完整實現網絡空間信息防泄密、內容防篡改、身 份防假冒、行為抗抵賴等功能,滿足網絡與信息系統對保密性、完整性、真實性和不可 否認性等安全需求。
  新基建是數字經濟發展的基石,密碼技術深度融合新基建,為多領域數字化轉型奠定基 礎。新基建,是指以 5G、人工智能、工業互聯網、物聯網為代表的新型基礎設施。新 型基礎設施以網絡和數據為核心,本質上是信息數字化的基礎設施,為數字經濟發展和 傳統業務數字化轉型奠定基礎,而傳統行業的數字化轉型進程必然繞不開信息安全問題, 密碼作為信息安全的扣環,構筑成數字經濟發展的“護城河”和“城墻”,使新基建具 有“主動免疫力”。
  根據樂宏彥的研究,密碼在新基建的幾個應用場景有:5G 通信領域:密碼應用推動 5G 通信與 IT 網絡安全融合。密碼技術能夠保障 5G 網絡的底層基礎設施的安全可信以及虛擬機與容器的可信;同時也能實現面向行業 的業務應用的數據和平臺訪問的持續認證。工業互聯網領域:密碼應用打破信息孤島,實現遠程安全協同。密碼技術的應用可 以滿足工業互聯網場景中設備與訪問用戶身份認證、傳輸認證和傳輸加密、存儲安 全等需求。在橫向隔離的工業網絡中,基于密碼技術支撐實現安全的遠程接入可以 打破信息孤島,實現業務的遠程協同,推動信息交換。云基礎設施領域:促進安全框架的整合。云技術與身份認證、加密等技術方式融合, 通過面向云的服務形式來提供云安全能力。
  96705
  (五)內需外壓力雙重驅動,信創產業帶來歷史性機遇
  信創產業發展為密碼行業壯大帶來歷史契機,密碼既是信創的重要組成部分,又為信創 產業擰緊“安全閥”。信創產業,即信息技術應用創新產業, 其目的在于實現信息技術 領域的自主可控,解決核心技術關鍵環節的“卡脖子”問題。信創產業鏈大體分為軟件 領域、硬件領域、實際應用和信息安全四大類,其中,信息安全貫穿整個信創產業,密 碼產品緊扣信息安全每一環。
  內需外壓雙重驅動,信創迎來歷史性發展機遇。一方面,國產化信息創新發展有利于我 國在信息安全方面進一步可靠安全;另一方面,在當前國家經濟“雙循環”的發展格局下,信創對于加快企業數字化轉型和推動經濟持續發展具有護航賦能的現實意義。
  信創產業“2+8+N”穩步推進,市場規模將進一步打開。自 2013 年開始,黨政從公文 系統開始替換,預計到 2023 年左右完成基本公文系統的信創改造,后續將開啟電子政 務系統的國產化替代。八大重點行業中,金融行業信創排在首位,推進速度最快,電信 緊隨其后,之后是能源、交通、航空航天,教育、醫療也在逐步進行政策推進和試點。最后,多個行業的信創預計 2023 年左右開始啟動。根據海比研究院數據顯示,2022 年 信創產業規模達 9220.2 億元,近五年復合增長率為 35.7%,預計 2025 年突破 2 萬億。
  信創產業發展離不開安全能力建設,密碼為信創產業安全保駕護航。密碼技術作為保障 安全的核心技術和基礎支撐,是維護信息安全有效、可靠的技術手段,是信創產業的 “護城墻”。“密碼護航信創”主要體現為:一方面,密碼能夠構建虛擬防護安全邊界, 為軟件產業打造密碼安全一體化的防護建設,另一方面,密碼重構軟件系統安全能力, 以密碼提供的安全技術和信任機制推動軟件產業安全升級。
  76421


三、在內需外驅的三重共振下,


密碼行業迎來快速增長


  (一)商密覆蓋行業廣泛,產業結構持續優化
  商密應用領域基本實現全覆蓋,初步實現了商用密碼產品與行業場景特點的融合應用。其中,商用密碼在金融領域應用占比 24.05%,在政務領域應用占比 19.31%,在通信領 域占比 15.38%,在電力領域占比 12.31%,在交通領域占比 9.47%,在稅務、醫療、電 子商務等其他領域占比共計 19.48%。商業密碼產業結構持續優化。國內現有商用密碼產品 3000 余款,品類涵蓋了密碼芯片、 密碼板卡、密碼模塊、密碼機、密碼系統等全產業鏈條。2021 年,我國商用密碼產業硬 件產品占比為 74.5%,軟件產品占比為 6.6%,服務市場占比為 18.9%。我國商用密碼產 品依然以硬件為主導,與國外軟硬產品均衡、產品通用性較強等特征形成對比。相較 2016 年硬件產品市場規模占 95%以上的狀態,我國商用密碼產業結構正在逐步優化。
  (二)以密評促密改,存量市場空間廣闊,密碼相關行業持續受益
  全球來看,根據 QYresearch 測算,2019 年全球商用密碼市場規模達 250.42 億美元,預 計 2026 年將達到 864.06 億美元,年復合增長率為 18.79%。我國商用密碼行業市場規 模同樣實現快速增長。2016 年到 2021 年,我國商用密碼產業總體規模保持高增長率, 年復合增長率 31%,2021 年商用密碼產業規模達到 585 億元,預計 2023 年商用密碼行 業規模有望達到 937.5 億元。
  我國密評市場交易量及交易額均呈快速上升趨勢。2020-2021 年密評市場交易量分別為 133 筆、200 筆,對應交易金額 3154 萬元、9000 萬元,2022 年密評 1-7 月份市場交易量 為 242 筆,對應交易額大概約 1.4 億,預計 2022 年全年交易額在 2 億以上,同比增漲超 100%。
  42874?
  我國密評、密改存量市場空間較大,當前滲透率較低,未來增長邏輯明確,有望持續加 速放量。根據 2018 年商用密碼應用安全性評估聯合委員會對一萬余個等保三級及以上 的信息系統普查的結果顯示,未使用密碼的系統超過 75%,在對第一批 118 個重要領域 的信息系統進行安全性測評時,不符合規范的比例達到 85%,甚至已被證明不安全的 加密算法(如 RSA1024、MD5)仍在大量使用。因此,我們保守假接受密評的信息系 統中需進行密改的比例為 85%。根據賽博研究院,2019 年等保三級系統大概 5 萬個, 等保四級系統約 1000 個,關基、等保三級及以上信息系統和國家政務系統既有交叉又 有補充,因此,保守假設當前關基、等保三級及以上系統和國家政務系統達 6 萬個,以 16 萬的密評單價和 150 萬的密改單價推算,密評存量市場空間高達 96 億元/年,密碼改 造存量市場空間達 765 億元。
  密評實施領域來看,密評在政務、金融、醫療領域增速較快,預計未來向能源、公安領 域的滲透有望提速。根據數觀天下,2020-2022 年密評交易量增速較快的領域主要集中 在政務、金融、醫療等三大行業,我們預計,能源、公安將會是密評進一步滲透的領域。

                                                                                                                                                                               文章來源:報告研究所

Image
Image
版權所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務中心5層
? ? ? ? ? ?(南區)太原市小店區南中環街529 號清控創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團