信息安全行業(yè)專題研究：密評(píng)和信創(chuàng)雙催化密碼產(chǎn)業(yè)開(kāi)啟從1到N

信息安全行業(yè)專題研究：密評(píng)和信創(chuàng)雙催化，密碼產(chǎn)業(yè)開(kāi)啟從1到N密碼貫穿數(shù)字經(jīng)濟(jì)，密碼法開(kāi)啟行業(yè)加速發(fā)展密碼法開(kāi)啟密碼市場(chǎng)新發(fā)展《密碼法》已正式實(shí)施，三類密碼各有應(yīng)用。密碼是國(guó)家的重要的戰(zhàn)略資源，是保障國(guó)家政治、經(jīng)濟(jì)、國(guó)防、能源、信息等各項(xiàng)安全的基礎(chǔ)元素，因此《密碼法》于2020年1月正式實(shí)施?！睹艽a法》將密碼分為三類，其中核心密碼、普通密碼都屬于國(guó)家秘密，都用于保護(hù)國(guó)家秘密信息，核密保護(hù)的最高密級(jí)是絕密級(jí)；商密不用于保護(hù)國(guó)家秘密，主要運(yùn)用在社會(huì)各個(gè)領(lǐng)域，包括商業(yè)、金融、能源等各行業(yè)。密碼法總攬密碼發(fā)展，開(kāi)啟系統(tǒng)性建設(shè)。國(guó)家秘密信息在有線、無(wú)線通信；存儲(chǔ)、處理等各環(huán)節(jié)中，均要求按規(guī)定使用普密和核密，且要求建立檢測(cè)、評(píng)估、監(jiān)督等機(jī)制。例如在軍工信息化發(fā)展中，帶來(lái)大量普密應(yīng)用場(chǎng)景。商密應(yīng)用更為廣泛，且法律規(guī)定了商密安全性評(píng)估，且要求建立監(jiān)管和抽查制度，有望推動(dòng)各個(gè)行業(yè)商密的應(yīng)用。如果密碼應(yīng)用未用，法律也規(guī)定了相關(guān)整改要求和處罰措施。我國(guó)商用密碼市場(chǎng)進(jìn)入快速發(fā)展階段我國(guó)密碼規(guī)范逐步成熟，產(chǎn)業(yè)進(jìn)入快速發(fā)展階段。我國(guó)商用密碼的發(fā)展起步起源于20世紀(jì)90年代開(kāi)啟的“金字”工程，隨著各行業(yè)信息化全面推進(jìn)，信息安全和密碼應(yīng)用需求逐步興起。從90年代開(kāi)始，我國(guó)商用密碼經(jīng)歷了起步形成、快速發(fā)展、立法規(guī)范三個(gè)發(fā)展階段。在2008-2018年期間，商用密碼率先在政府、金融等重要領(lǐng)域得到快速應(yīng)用和發(fā)展；尤其是我國(guó)自主設(shè)計(jì)的國(guó)密算法SM系列等推出，并成為國(guó)際標(biāo)準(zhǔn)，國(guó)密算法體系也進(jìn)一步成熟。當(dāng)前《密碼法》頒布后，伴隨著商密評(píng)估的要求、信創(chuàng)產(chǎn)業(yè)的發(fā)展，我國(guó)商密產(chǎn)業(yè)發(fā)展速度將再提升。未來(lái)需求將在ICT基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、數(shù)字經(jīng)濟(jì)等更廣泛領(lǐng)域滲透，商密市場(chǎng)規(guī)模將不斷擴(kuò)大。密碼本質(zhì)是特定變換算法密碼本質(zhì)是特定變換，并非口令。密碼是指采用特定變換的方法對(duì)信息進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)，我們?nèi)粘＝佑|的網(wǎng)站密碼、郵箱密碼等僅是“口令”，而并非真正的密碼。密碼通過(guò)特定算法，實(shí)現(xiàn)“明文”和“密文的”變換，隱藏真實(shí)信息并完成傳遞或者驗(yàn)證，是保障信息安全的根基。常見(jiàn)密碼體系有：對(duì)稱秘鑰，即加密和解密使用相同秘鑰，特點(diǎn)是效率高，適合大量數(shù)據(jù)加密，但無(wú)法數(shù)字簽名；非對(duì)稱秘鑰，即加密和解密使用不同的秘鑰，每個(gè)用戶有一對(duì)公鑰和私鑰，特點(diǎn)是能實(shí)現(xiàn)數(shù)字簽名，適合機(jī)密數(shù)據(jù)，但速度慢。秘鑰核心是數(shù)學(xué)算法。即使在當(dāng)前計(jì)算機(jī)時(shí)代，大數(shù)因式分解也極其困難；常見(jiàn)的非對(duì)稱RSA算法就是利用大數(shù)分解不對(duì)稱性原理，即是2個(gè)大質(zhì)數(shù)相乘來(lái)實(shí)現(xiàn)。例如19801*20201=400000001很容易計(jì)算，但是反過(guò)來(lái)分解400000001就很難。我們可以把19801和20201一個(gè)作為私鑰、一個(gè)作為公鑰來(lái)實(shí)現(xiàn)非對(duì)稱加密。通過(guò)這些公鑰和私鑰的應(yīng)用，非對(duì)稱加密可以實(shí)現(xiàn)信息加密、身份認(rèn)證等多種應(yīng)用。密評(píng)是最大推動(dòng)力，商密市場(chǎng)從1到N我國(guó)商密應(yīng)用仍欠缺，密評(píng)逐步推動(dòng)密碼應(yīng)用國(guó)內(nèi)密碼應(yīng)用基礎(chǔ)薄弱。目前國(guó)內(nèi)密碼應(yīng)用主要存在不夠廣泛、規(guī)范、安全、契合等問(wèn)題。2018年商用密碼應(yīng)用安全性評(píng)估聯(lián)合委員會(huì)對(duì)一萬(wàn)多個(gè)等保三級(jí)系統(tǒng)進(jìn)行普查，結(jié)果顯示了三大問(wèn)題：第一、超過(guò)75%的系統(tǒng)沒(méi)有使用密碼；第二、普查中對(duì)118個(gè)重要系統(tǒng)進(jìn)行安全性測(cè)評(píng)，不符合規(guī)范的比例達(dá)到85%；第三、目前仍有大量系統(tǒng)在使用MD5、SHA1、RSA1024、DES等具有風(fēng)險(xiǎn)的密碼算法。密評(píng)持續(xù)試點(diǎn)推動(dòng)密碼應(yīng)用。為了發(fā)揮密碼在系統(tǒng)安全建設(shè)中的支撐作用，我國(guó)密碼管理局在2007年就提出了商用密碼應(yīng)用安全性評(píng)估。伴隨政策和標(biāo)準(zhǔn)要求不斷明晰，在10多年積累和近年來(lái)試點(diǎn)后，我國(guó)密評(píng)體系已不斷成熟，當(dāng)前密評(píng)正在進(jìn)入加速推廣期。政策持續(xù)推動(dòng)，密評(píng)進(jìn)展加速政策推動(dòng)密評(píng)發(fā)展。我國(guó)近年來(lái)推出一系列政策強(qiáng)調(diào)對(duì)密碼的應(yīng)用，尤其《密碼法》在2020年逐步實(shí)施，要求關(guān)鍵系統(tǒng)運(yùn)營(yíng)者開(kāi)展密碼應(yīng)用安全性評(píng)估。密碼重視程度與日俱增，如對(duì)黨政新系統(tǒng)建設(shè)要求同步規(guī)劃、建設(shè)和密評(píng)；且通過(guò)評(píng)估后方可上線。與早期等保測(cè)評(píng)類似，“密評(píng)”當(dāng)前也“應(yīng)運(yùn)而生”，商用密碼發(fā)展進(jìn)入快速通道。各個(gè)關(guān)鍵行業(yè)均加強(qiáng)密碼應(yīng)用落地。2022年國(guó)務(wù)院《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》加強(qiáng)了密碼在各行業(yè)應(yīng)用。政務(wù)、金融、交通、能源、水利、醫(yī)療等各領(lǐng)域主管部門(mén)，均提出了密碼應(yīng)用明確的要求，制定了總體規(guī)劃和方案。密評(píng)覆蓋系統(tǒng)廣泛，體量超過(guò)等保三級(jí)密評(píng)覆蓋范圍廣泛，每年要求測(cè)評(píng)。密評(píng)監(jiān)管部門(mén)是國(guó)家密碼管理局及檢測(cè)中心，評(píng)估對(duì)象主要針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全保護(hù)第三級(jí)以上的系統(tǒng)和國(guó)家政務(wù)信息系統(tǒng)，要求每年至少測(cè)評(píng)一次；例如涉及國(guó)計(jì)民生的基礎(chǔ)信息系統(tǒng)和網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、黨政機(jī)關(guān)系統(tǒng)等。因此密評(píng)也需要組織專家或委托測(cè)評(píng)機(jī)構(gòu)進(jìn)行，尤其是黨政新系統(tǒng)的建設(shè)，要同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估；已建系統(tǒng)同樣由測(cè)評(píng)機(jī)構(gòu)評(píng)估。除了等保三級(jí)之外，有些密碼應(yīng)用場(chǎng)景，如門(mén)禁系統(tǒng)同樣需要測(cè)評(píng)，因此密評(píng)覆蓋系統(tǒng)體量超過(guò)等保三級(jí)。信創(chuàng)加速行業(yè)滲透，國(guó)密改造成為標(biāo)配國(guó)密算法日益成熟，替代國(guó)際算法勢(shì)在必行我國(guó)自主研發(fā)密碼算法已獲得國(guó)際認(rèn)可。上世紀(jì)90年代后期，商密市場(chǎng)逐步開(kāi)啟，我國(guó)也在加大對(duì)密碼技術(shù)的自研和應(yīng)用。2006年，國(guó)密局公布了SM4分組密碼算法，是我國(guó)第一次公布自主設(shè)計(jì)的商密算法。隨后，我國(guó)全面自研并推出了對(duì)稱加密、非對(duì)稱加密、雜湊等算法了，形成了SM1、SM2、SM9、ZUC等一些列國(guó)密算法，且SM2、ZUC等算法順利成為ISO/IEC國(guó)際標(biāo)準(zhǔn)。目前SM1和SM7算法并未公開(kāi)，需要通過(guò)芯片接口調(diào)用；其他算法均已公開(kāi)。國(guó)密算法相對(duì)于國(guó)際算法具備一定的優(yōu)勢(shì)，已能滿足各類場(chǎng)景的需求。國(guó)密改造對(duì)存量項(xiàng)目進(jìn)行替代。密碼算法已經(jīng)成為國(guó)家戰(zhàn)略資源，根據(jù)《商用密碼管理?xiàng)l例》要求，任何單位不得使用自研或者境外生產(chǎn)的密碼產(chǎn)品。2010年開(kāi)始，國(guó)密機(jī)構(gòu)已經(jīng)開(kāi)始推動(dòng)性能更好的SM2算法對(duì)RSA算法的替代，存量項(xiàng)目的國(guó)密改造、新項(xiàng)目國(guó)密建設(shè)勢(shì)在必行。信創(chuàng)推動(dòng)國(guó)密應(yīng)用VPN、PKI體系改造密碼是信創(chuàng)產(chǎn)業(yè)的基礎(chǔ)支撐。任何網(wǎng)絡(luò)信息系統(tǒng)建設(shè)都離不開(kāi)底層密碼應(yīng)用，如鏈路層的MACSec加密、網(wǎng)絡(luò)層IPSec加密、傳輸層SSL/TLS加密、應(yīng)用層中身份認(rèn)證、電子簽名等。隨著信創(chuàng)推廣，密碼從芯片、板卡、整機(jī)均需要支持國(guó)密體系，并完成替換和改造。以VPN、PKI為代表的密碼應(yīng)用同樣需要改造。當(dāng)前規(guī)范要求下，如VPN需要加裝硬件密碼卡。在應(yīng)用廣泛的數(shù)字證書(shū)體系中，國(guó)密PKI/CA系統(tǒng)已完成建設(shè)，國(guó)密SM2根證書(shū)已創(chuàng)建并投入使用，實(shí)現(xiàn)對(duì)RSA架構(gòu)下PKI體系的替代。國(guó)密SM2根證書(shū)下支持簽發(fā)國(guó)密SSL證書(shū)、國(guó)密代碼簽名證書(shū)、國(guó)密客戶端證書(shū)，可覆蓋信創(chuàng)體系下各類國(guó)密證書(shū)應(yīng)用，如信創(chuàng)網(wǎng)站SSL證書(shū)、信創(chuàng)OS的簽名證書(shū)、信創(chuàng)應(yīng)用的文檔加密、身份認(rèn)證等。目前國(guó)密SM2根證書(shū)已經(jīng)與國(guó)內(nèi)多家CA機(jī)構(gòu)達(dá)成合作，已在全國(guó)十幾個(gè)省市的政務(wù)網(wǎng)站廣泛應(yīng)用。行業(yè)信創(chuàng)加速發(fā)展，推動(dòng)國(guó)密應(yīng)用快速滲透信創(chuàng)市場(chǎng)進(jìn)入行業(yè)推進(jìn)期，容量和節(jié)奏將進(jìn)一步提升。截止2022年，信創(chuàng)產(chǎn)業(yè)在黨政領(lǐng)域已經(jīng)初見(jiàn)規(guī)模，應(yīng)用和生態(tài)逐步落地；行業(yè)信創(chuàng)加速是市場(chǎng)發(fā)展必然方向，且空間更為廣闊。八大重點(diǎn)行業(yè)中，金融行業(yè)推進(jìn)速度最快，電信緊隨其后，之后是能源、交通、航空航天、教育、醫(yī)療也在逐步進(jìn)行政策推進(jìn)和試點(diǎn)。根據(jù)海比研究院測(cè)算，2022年信創(chuàng)產(chǎn)業(yè)規(guī)模達(dá)到9220.2億元，預(yù)計(jì)2025年突破2萬(wàn)億，近5年復(fù)合增速達(dá)到35.7%。其中2022年由IT基礎(chǔ)設(shè)施和基礎(chǔ)軟件構(gòu)成的核心市場(chǎng)達(dá)到2392.8億元，占比約26%。密碼是信創(chuàng)建設(shè)中不可或缺的重要一環(huán)。國(guó)密生態(tài)的全面替代已在多個(gè)行業(yè)信創(chuàng)建設(shè)中鋪開(kāi)，如金融、電力、醫(yī)療等個(gè)行業(yè)的國(guó)密改造。在2019年底國(guó)務(wù)院發(fā)布的《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》中，明確了密碼和項(xiàng)目建設(shè)的“三同步一評(píng)估”原則。在未來(lái)黨政、行業(yè)信創(chuàng)的快速推進(jìn)中，各類系統(tǒng)從無(wú)到有的密碼建設(shè)、以及已有建設(shè)但需要的國(guó)密改造，密碼發(fā)展有望在信創(chuàng)產(chǎn)業(yè)基礎(chǔ)上進(jìn)一步加速。密碼全產(chǎn)業(yè)鏈?zhǔn)芤?，各密碼公司迎新成長(zhǎng)周期密碼全產(chǎn)業(yè)鏈?zhǔn)芤娓髡咄苿?dòng)上中下游密碼廠商均受益于當(dāng)前密評(píng)、信創(chuàng)等產(chǎn)業(yè)發(fā)展。根據(jù)商用密碼行業(yè)分析報(bào)告的產(chǎn)業(yè)鏈劃分，其將密碼卡和密碼機(jī)產(chǎn)品也劃分為中游；但從密碼產(chǎn)品和廠商角度來(lái)，也能把密碼芯片、密碼卡、密碼機(jī)作為行業(yè)上游。中游密碼應(yīng)用最主要的是PKI和數(shù)字證書(shū)、VPN及各類網(wǎng)關(guān)、令牌等產(chǎn)品，離不開(kāi)上游密碼基礎(chǔ)產(chǎn)品應(yīng)用。例如PKI方案中的簽名驗(yàn)簽服務(wù)器也是密碼機(jī)的一種；VPN網(wǎng)關(guān)需要裝載PCI-E密碼卡；令牌USBKey中需要內(nèi)置密碼芯片。密碼管理平臺(tái)是新興的系統(tǒng)級(jí)產(chǎn)品，覆蓋基礎(chǔ)密碼、密碼應(yīng)用和管理。集成和服務(wù)也具有較高毛利率，密評(píng)機(jī)構(gòu)扮演產(chǎn)業(yè)助推器角色。一般中游密碼應(yīng)用類廠商直銷占比高，在和客戶深度綁定下，也會(huì)提供集成和咨詢等服務(wù)；目前密碼類廠商集成業(yè)務(wù)毛利率約為20-30%之間，高于網(wǎng)絡(luò)安全類集成業(yè)務(wù)。密評(píng)機(jī)構(gòu)在產(chǎn)業(yè)鏈中扮演重要角色，其測(cè)評(píng)業(yè)務(wù)的開(kāi)展將推動(dòng)甲方客戶的密碼建設(shè)，帶動(dòng)產(chǎn)業(yè)鏈上下游共同發(fā)展。密碼上游：提供基礎(chǔ)密碼能力，頭部廠商陸續(xù)上市上游產(chǎn)品提供基礎(chǔ)密碼能力。密碼芯片、密碼卡、密碼機(jī)均提供類似的功能，例如密鑰生成、數(shù)字簽名、簽名驗(yàn)證、數(shù)據(jù)加解密等，區(qū)別主要是應(yīng)用在不同的場(chǎng)景。該市場(chǎng)即硬件安全模塊Hardwaresecuritymodule(HSM)，是下游密碼應(yīng)用的組成部分。歐洲廠商占據(jù)全球市場(chǎng)，國(guó)內(nèi)密碼上游廠商陸續(xù)上市。再綜合考慮了社會(huì)、政治、經(jīng)濟(jì)和目前市場(chǎng)動(dòng)態(tài)等多種因素后，MarketResearchIntellect對(duì)HSM市場(chǎng)進(jìn)行評(píng)審，選出了2020年前九大硬件密碼模塊公司，國(guó)內(nèi)廠商電科網(wǎng)安、江南天安、三未信安上榜。頭部密碼硬件公司以歐洲廠商為主，且并購(gòu)較多，業(yè)務(wù)拓展和覆蓋領(lǐng)域更多。根據(jù)GlobalInfoResearch數(shù)據(jù)，2021年全球HSM市場(chǎng)收入約11.21億美金，預(yù)計(jì)2028年達(dá)到21.90億美金，復(fù)合增速10.9%；其中Thales、Utimaco等歐洲廠商占據(jù)主要份額。國(guó)內(nèi)廠商電科網(wǎng)安體量最大，是密碼和網(wǎng)安全產(chǎn)業(yè)鏈公司，其12.3億收入包含非密碼的網(wǎng)安部分。純密碼上游廠商三未信安于2022年上市，漁翁信息也提交招股說(shuō)明書(shū)。密碼上游：密碼機(jī)市場(chǎng)穩(wěn)定增長(zhǎng)，但體量依然較小密碼機(jī)市場(chǎng)當(dāng)前仍較小。密碼機(jī)包括服務(wù)器密碼機(jī)、金融密碼機(jī)、簽名驗(yàn)簽服務(wù)器（主要用于PKI方案中）。根據(jù)共研網(wǎng)數(shù)據(jù)統(tǒng)計(jì)，2021年服務(wù)器密碼機(jī)市場(chǎng)約6.79億元，2022年預(yù)計(jì)