2019-2020商用密码行业分析报告.pdf
2019-2020 商用密码行业分析报告 目 录 1 2 中国商用密码产业概况 中国商用密码市场分析 3 中国商用密码产业链分析 1 中国 商用密码 产业概况 我国真正意义上的商密行业只有二十多年的发展历史 , 其发展轨迹大致可分为以下三个阶段: 发展历程 起步阶段( 2005 年之前):主要应用于银行、证券、 海关等金融相关的领域 .金融行业的监管要求推动了 金融数据密码机等商密产品的研制及应用 。 初见规模( 2005-2010年):基于数字证书的 PKI技 术 (公钥密码基础设施 )取得大力发展,商用密码产 品和技术为网络上的身份认证、数据传输加密、电 子签名等提供技术支撑,推动了电子商务、电子政 务、各个行业信息化的发展,我国的商密产业初见 规模。 大力发展 ( 2011年以后 ) : 2011年 , 密码行业标 准化技术委员会正式成立 , 制定了 SM2/3/4/9、 ZUC等密码算法标准以及一系列密码协议 、 产品 等行业标准 , 逐渐建立了我国的商用密码标准体 系 。 近几年 , 国家出台了一系列法规政策 , 更是 大力促进了商密产业的发展 。 密码分类 主管部门 主要职责 中央网信办 着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题; 研究制定网络安全和信息化发展战略、宏观规划和重大政策;推动国家网络安全和信息化法治建设,不断增强信息 安全保障能力。 国家发展和改革委员会、 工业和信息化部 负责产业政策的研究制定、行业的管理与规划等 公安部 主管全国公共信息网络的安全监察工作、网络信息安全及等级保护的监督管理工作和网络信息安全产品的销售许可工作等。 国家密码管理局商用密码 管理办公室 主管全国商用密码管理工作 ,批准 生产的商用密码产品 品种等 国家保密局 管理和指导保密技术工作,负责办公自动化和计算机信息系统的保密管理,指导保密技术产品的研制和开发应用,多从事涉密信息系统集成的企业资质进行认定。 国家知识产权局 负责组织协调全国知识产权保护工作,推动知识产权保护工作体系建设。 中国信息产业商会 组织行业内企业开展各项活动和内部交流;发起分类安全标准的起草工作、研究抵制安全行业市场内的不正当竞争、组织跨行业的安全大会;引导会员认真执行国家的法规和政策、遵守行规、行约等。 主管部门 本行业有着特殊的信息安全要求,同时受到信息产业和安全主管部门的监管。相关主管部门及其职责如下 : 法律法规 目前,国内商用密码行业相关的主要法律法规如下: 时间 发文单位 文件名称 相关内容概要 1999年 10月 国务院 商用密码管理条例 是 我国商用密码领域 第一个行政法规 , 标志着我国商用密码的发展和管理从此走上了法治化的轨道 。 2003年 9月 中办国办 关于加强信息安全保障工作的意见 第一次明确了密码在信息安全保障工作中的基础性地位和关键作用 。 2004年 8月 ( 2019年修正) 全国人大常委会 中华人民共和国电子签名法 是电子认证服务业的根本法律 , 是我国第一次从法律上确定了可 靠的电子签名与手写签名或者盖章具有同等的法律效力 。 2005年 12月 国家密码管理局 商用密码产品生产管理规定 规定了商用密码产品由国密局指定的单位生产 。 2005年 12月 ( 2017年修正) 国家密码管理局 商用密码科研管理规定 规定了商用密码的科研承担对象以及科研成果的验收流程 。 2009年 10月 ( 2017年修正) 国家密码管理局 电子认证服务密码管理办法 规定电子认证服务提供者提供电子认证服务必须申请 电子认证 服务使用密码许可证 。 2010年 4月 全国人大常委会 中华人民共和国保守国家秘密法 规定了国家秘密的秘级 , 保密制度和相关法律责任 2016年 11月 全国人大常委会 中华人民共和国网络安全法 制定网络安全战略 , 明确网络空间治理目标 , 强化了网络运行安 全 , 同时也将催生不断扩大的网络安全市场空间 , 产业投入和建 设也将步入持续稳定的发展轨道 。 2019年 10月 全国人大常委会 中华人民共和国密码法 其中密码法第三章商用密码部分 , 规定了商用密码标准化制度 、 检测认证制度 、 市场准入管理制度 、 使用要求 、 进出口管理制度 、 电子政务电子认证服务管理制度以及商用密码事中事后监管制度 。 01 当前,商用密码的行业标准分为基础类标准、应用类标准、检测类标准和 管理类标准。 05 应用类标准为上层具体的密码产品、服务应用提供支持。 03 检测类标准为基础类标准和应用类标准提供了合法性检测的功能,保障商 用密码使用的合法性; 02 基础类标准为其他三类标准提供了底层、共性支撑(如术语、算法、协议、 产品等); 04 管理类标准为其他三类标准提供了管理功能; 行业标准 密码标准体系框架 01 国家主席习近平 10月 26日签署了第 35号号主席令: 中华人民共和国密码法 已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于 2019年 10月 26日通过 , 现予公布 , 自 2020年 1月 1日起施行 。 03 密码安全性评估成为必须 本次 密码法 发布对于非涉密的企事业单位来说 , 最大的影响就是必须要主动进行 “ 密码安全性评估 ” 。 根据 密码法 要求 , 商用密码产品及服务使用方应按照国家密码管理局有关规定 , 对商用密码产品 、 密码服务 、 密码技术进 行安全性以及合规性认证 。 并对关键信息基础设施 , 应采用商用密码进行保护 , 并进行密码安全性评估 , 同时与关键信息基础设施安全检测评估 、 网络安 全等级测评制度密码相关要求相衔接 。 04 密码法 主要内容 密码法 共五章四十四条 , 重点规范了以下内容 : 第一章总则部分 ,规定了本法的立法目的 、 密码工作的基本原则 、 领导和管理体制 ,以及密码发展促进和保障措施 。 第二章核心密码 、 普通密码部分 ,规定了核心密码 、 普通密码使用要求 、 安全管理制度以及国家加强核心密码 、 普通密码工作的一 系列特殊保障制度和措施 。 第三章商用密码部分 ,规定了商用密码标准化制度 、 检测认证制度 、 市场准入管理制度 、 使用要求 、 进出口管理制度 、 电子政务电 子认证服务管理制度以及商用密码事中事后监管制度 。 第四章法律责任部分 ,规定了违反本法相关规定应当承担的相应的法律后果 。 第五章附则部分 ,规定了国家密码管理部门的规章制定权 ,解放军和武警部队密码立法事宜以及本法的施行日期 。 02密码的分类与管理 密码法将密码分类为核心密码 、 普通密码与商用密码 , 并明确要求对这三类密码实行分类管理 。 其中 “ 核心密码 ” 与 “ 普通密码 ” 被用来保护国家秘密信息 , 涉密单位应重点关注对于这两类密码的管理 。 对这两类密码 , 密码法 要求实行密码 “ 保密责任制 ” 和 “ 安全风险评估 ” 机制 。 而商用密码被用于保护不属于国家秘密的信息 , 公民 、 法人和其他组织可以依法使用商用密码保护网络与信息安全 。 一般来说 非涉密单位接触到的密码应用 , 都属于商用密码 , 应遵循国家密码局商用密码管理有关条例规定 。 密码法解读 网络攻击日益频繁 随着身份盗用 、 交易诈骗 、 资源滥用 、 网络钓鱼等安全事件频繁发生 , 政府 、 企业 、 个人对信息安全的关注程度日益增强 , 社会对信息安全的需求与日俱增 , 政府部门 、 重点行业在信息安全产品和服务上的投入也不断增加 , 促进了信息 安全行业的持续增长 。 合规要求趋严 2017-2019年 , 随着 网络安全法 、 央企考核办法 、 等保 2.0 、 数 据安全 、 产业规划 、 密码法 等的陆续出台 , 叠加 HW行动 、 信创等政 策因素 , 网安相关政策的影响力持续加强 , 合规需求仍是现阶段行业主题 。 信息技术不断发展革新 近年来 , 云计算 、 大数据 、 移动以及社交网络的快速发展给信息系统架构带来 了巨大变化 , 信息安全也随之迎来挑战 。 例如云计算技术 , 使得数据中心的基 础设施由原来的各业务系统独立建设模式转变为资源池建设模式 , 服务器 、 存 储 、 网络设备的部署方式相应改变 。 基础架构的变化要求信息安全建设能够适 应新的 IT基础架构 , 从而满足新的安全需求 , 这同时为信息安全建设带来了新 的发展空间 。 产品推广周期较长 由于信息安全行业的特殊性 , 行业内企业不但要具备相应信息安全企业资质 , 并且新技术 、 新产品需要经过公安部 、 密码管理局 、 国家信息安全认证中心等 众多部门审批合格后方可推向市场 , 一定程度上限制了行业技术革新以及产业 化推进 。 产业影响因素 01 周期性:客户主要分布于政府和国家重点 行业,收入来源中政府预算支出和重点行 业客户支出占比较高,受一定宏观经济影 响,是偏向于弱周期性的行业。 02 季节性:政府、金融、电信、能源等国家重点 行业通常采取预算管理制度和集中采购制度, 上半年审批上一年度预算和投资采购计划,下 半年进行项目招标采购,因此行业呈现季节性 特征,上半年销售订单较少,从年度中期开始 增多,第四季度达到产品销售和交付的高峰。 03 地域性:受区域经济情况,政策辐射效力、 重点行业单位数量、企业数量等因素影响, 华东、华北、华南区城市场份额占比较高。 04 行业性:受国家政策、自身需求等因素影 响,政府和国家重点行业客户一直是产业 发展的主要推动力量。 产 业 特 点 影响因素 密码产品检测机构 国家密码管理局商用密码检测 中心 鼎铉商用密码测评技术 ( 深圳 ) 有 限公司 ( 下称 “ 鼎铉公司 ” ) 成立 于 2017年 3月 , 是国家密码管理局 授权的全国性第三方商用密码检测 机构 , 也是中国密码学会密码测评 专委会及区块链专委会发起创建单 位 、 区块链密码创新联盟理事长单 位 、 广东省商用密码协会监事长单 位 、 深圳市商用密码行业协会会长 单位 。 2019年 , 公司获评为国家高 新技术企业; 2020年 , 被认定为 “ 广东省密码产品与系统测评工程技 术研究中心 ” 智巡密码 国家密码管理局全称为国家商用密 码管理办公室 , 国家密码管理局位 于北京市丰台区 。 组织贯彻落实党和国家关于密码工 作的方针 、 政策 ,研究提出解决密码 工作发展中重大问题的建议; 拟订 密码工作发展规划 , 起草密码工作 法规并负责密码法规的解释 , 组织 拟订密码相关标准; 依法履行密码 行政管理职能 , 管理密码科研 、 生 产 、 装备 (销售 ), 测评认证及使用 ,查处密码失泄密事件和违法违规研 制 、 使用密码行为 , 负责有关密码 的涉外事宜 。 豪符密码 鼎铉商用密码测评技术(深圳) 有限公司 智巡密码(上海)检测技术有 限公司 豪符密码检测技术 (成都 ) 有限责任公司 鼎铉密码密码管理局 智巡密码 (上海 )检测技术有限公 司 ( 以下简称 “ 智巡 ” ) 于 2018 年 8月在上海市松江区泗泾镇创 办 。 智巡承担上海市第三方商用 密码检测机构培育工作的建设 , 具备国家商用密码产品检测资质 和商用密码应用安全性评估试点 资质 , 是 G60商用密码产业和应 用示范基地的核心功能平台 , 也 是上海市商用密码行业协会和长 三角 G60科创走廊智慧安防产业 联盟的发起单位 。 国 有 控 股 企 业 , 国 家 密 码 管 理 局 授 权 建 设 的 第 三 方 商 用 密码检测 机构 , 2019年底被 列 入 四 川 省 委 省 政 府 信 息 技 术 应 用 创 新 产 业 重 大 项 目 。 豪 符 公 司 立 足 四 川 、 重 点 面 向 中 西 部 提 供 商 用 密 码 及 网 络 安 全 产 品 技 术 检 测 , 商用 密 码 及 网 络 空 间 应 用 安 全 检 测 , 研 制 生 产 先 进 的 密 码 检 测系统装备 , 提 供 相 应 技 术 服 务 及 培 训 服 务 , 以 此 进 一 步 推 进 密 码 科 技 创 新 产 业 园 的建设与发展 。 密码测评机构 第 一 批 国 家 密 码 管 理 局 商 用 密 码 检 测 中 心 中 国 科 学 院 数 据 与 通 信 保 护 研 究 教 育 中 心 江 苏 省 信 息 安 全 测 评 中 心 中 国 电 子 科 技 集 团15 所 河 南 中 科 安 永 科 技 有 限 公 司 国 家 信 息 技 术 安 全 研 究 中 心深 圳 市 网 安 计 算 机 安 全 检 测 技 术 有 限 公 司 智 巡 密 码 ( 上 海 ) 检 测 技 术 有 限 公 司 工 业 和 信 息 化 电 子 第 五 研 究 所 北 京 银 联 金 卡 科 技 有 限 公 司 中 国 金 融 电 子 化 公 司 公 安 部 第 三 研 究 所 北 京 信 息 安 全 测 评 中 心 长 沙 中 安 密 码 检 测 有 限 公 司 山 东 道 普 测 评 技 术 研 究 中 心国 电 南 京 自 动 化 股 份 有 限 公 司 安 徽 科 测 信 息 技 术 有 限 公 司 国 家 广 播 总 局 广 播 电 视 科 技 研 究 院 长 春 市 博 鸿 科 技 服 务 有 限 责 任 公 司 教 育 部 教 育 管 理 信 息 中 心 成 都 市 信 息 系 统 与 软 件 测 评 中 心 交 通 运 输 信 息 安 全 中 心 有 限 公 司 浙 江 东 安 检 测 技 术 有 限 公 司 北 京 市 电 子 产 品 质 量 检 测 中 心 (排名不分先后 ) 第 一 批 2 中国 商用密码市场情况 商密主要企业对比 商密主要企业对比 应用分类 商用密码产品按功能可以划分为七类:密码算法类、数据加解密类、认证鉴别类 、证书管理类、密钥管理类、密码防伪类和综合类。 1、密码算法类产品 密码算法类产品主要是指提供基础密码运算功能的产品,如密码芯片等。 算法芯片 算法芯片以实现密码算法逻辑为主,一般不涉及密钥或敏感信息的安全存储,如 椭圆曲线密码算法芯片、数字物理噪声源芯片。 安全芯片 安全芯片在算法芯片的基础上,增加了密钥和敏感信息存储等安全功能,相当于 一个“保险柜”,最重要的算法数据都存储在芯片中,加密和解密的运算是在芯 片内部完成的。 2、数据加解密类产品主要是指提供数据加解密功能的产品 ,如服务器密码机、 VPN设备、加密硬盘等。 3、认证鉴别类产品主要是指提供身份鉴别等功能的产品, 如认证网关、动态口令系统、签名验签服务器等。 密码卡分析 1、 全面国产 。 全面国产是指包括硬件研发 、 芯片研发制造 、 软件编程 、 制造 、 销售等等 全都是国产自主可控 。 一是信息安全行业趋势如此 , 二是出于现实的保密需要 。 2、 高性能 。 只有更高的性能才能做到更好的适用性 。 因为各个行业的硬件都在更新换代 、 尤其是信息技术行业 , 硬件更新较快 , 其他硬件的性能提升必然要求密码卡的性能也随 之提升 , 另外有些应用对性能需求远大于现在密码卡所能达到的水平 , 进而无法适用现在 的密码卡 。 所以密码卡只有性能获得成倍上升才可能得到更广泛的应用 。 3、 小型化 。 现在很多设备的设计和制造越来越注重移动 、 便捷 、 便携 。 这也意味着密码 卡也要更加的小巧才行 。 而硬件的小型化还意味着散热 、 功率 、 结构等全面改变 。 4、 智能化 。 未来的硬件设备都将会有一定的智能化需求 , 密码卡也不例外 。 这意味着更 复杂的软件设计研发和更多的指令集和信息库 。 只有更加智能 , 才能满足更多的需求 。 作为国内首款三级密码模块,可以为您提供符合等级保护三级、等级保 护四级的密码安全支撑能力。具备 SR-IOV虚拟化功能,为云中加密场景提供更多选择。 采用自主知识产权的嵌入式文件系统,提供目录及文件等管理服务,支持 多卡并行多进程、多线程调用。 密码卡采用了国产的低功耗高性能的主处理器,对称、非对称运算均由专用 加速芯片实现,对称运算性能达到或超过国内外同行业主流水平。 主要厂商 1、 密码设备应用接口规范 (GM/T0018-2012) 2、 SM2椭圆曲线公钥密码算法 (GM/T0003-2012) 3、 SM3密码杂凑算法 (GM/T0004-2012) 4、 SM4分组密码算法 (GM/T0002-2012) 5、 SM9标识密码算法 (GM/T0044-2016) 6、 随机性检测规范 (GM/T0005-2012) 7、 PCI密码卡技术规范 8、 密码应用标识规范 (GM/T 0006-2012) 9、 SM2密码算法使用规范 (GM/T 0009-2012) PCI-E高速密码卡是数盾科技利用多芯片并行技术独立自研的基础高速密 码设备, 40G高性能网络加密吞吐, GDOI组密钥管理技术。 提供多种开发接口,简单、方便的与应用系统集成;支持密码机集群,适 应云计算的大趋势;提供安全、方便、易用的维护监控系统,大大降低设备的维护成本 密码芯片、随机数发生器、电源等主要器件采用多路硬件冗余设计,保障系 统的稳定性和连续性 可以提供多种国产密码算法( SM1、 SM2、 SM3、 SM4),并能够保证密钥和密 码算法安全性,具有很高的安全性和实用价值。符合 GM/T 0018-2012 密码设备应用接口规范 ,可以安全、灵活、方便的集成到各类安全应用系统中。 主要厂商服务器密码机产品分析 1、 多加密卡使用 :在密码机中插入 2-3个加密卡,可以多个卡之间协同高效并行工作,提高 密码机的加解密的服务速度。 2、 多网卡使用 :可以考虑在服务器密码机中插入 2块或 3块网卡,实现系统冗余和负载均衡 。 3、 完善的安全管理机制 :为了使服务器密码机更加稳定、安全的运行,必须提供完善的日 志和审计功能,用来记录有关性能、入侵和攻击等异常情况,并且能够分析和报警 4、 实现新的加解密算法 :现今所支持的密码学算法都是为人所共知的,而随着计算机性能 的提高,其中的许多算法的破译已变得相当容易,为了保证用户的安全应用系统的安全性, 应不断对密码机支持的算法进行升级和更新。 1、 GM/T 0030-2014 服务器密码机技术规范 2、 GM/T0059-2018 服务器密码机检测规范 3、符合 商用密码产品随机数检测要求 SJJ1524服务器密码机是中安网脉(北京)技术股份有限公司自主研制的一款应 用层密码设备,为业务应用系统提供数据加解密、签名验证、杂凑等密码运算服务 信安世纪密钥管理系统使用不同的管理方式、遵照不同的技术规范、支持 不同的密钥类型和算法来满足安全市场日益多样化的需求,信安世纪密钥管理系统将全面服 务于客户需要加密的任何场合,对数据、视频、信息等所有需要保护的内容完成密钥分发、 加解密等全生命周期管理。 江南科友将密钥管理中的要素抽象为模板, 为客户提供一个密钥管理设计和 实施的平台,使客户可以根据自身业务密钥管理的需求灵 活设计符合业务系统需要的密钥管 理方案。 密钥管理系统由对称密钥和非对称密钥管理模块组成,同时采用配置化 管理,满足用户多应用、多业务密钥管理需求。 主要厂商密钥管理系统产品分析 1、 云计算环境 :云服务中的数据归云用户所有 ,但是数据物理驻留的存储资源受 云 供应商的控制 。另外 KMS一般也运行在云供应商提供的计算资源上 。这样,能否从 那些加密操作上寻求到必要的安全保证是云环境下的密钥管理用户不得不面对的问题 。 2、 密钥数量大 :通过公开网络将大量敏感信息(密钥信息)从客户手中传递到云服务 提供商的过程中会存在诸多安全风险,例如:窃听、钓鱼,因此要设计分布式密钥分 发机制, 3、 代理重加密技术 :使用代理重加密技术,未加密的对称密钥绝不会暴露在服务端。 即使被攻破,黑客也只能得到重新加密的密钥,并且对文件的访问任然受到保护。 1、 GM/T 0034-2014 基于 SM2密码算法的证书认 证系统密码及其相关安全技术规范 2、 GM/T 0005随机性检测规范 3、 GM/T 0028密码模块安全技术要求 4、 GM/T 0051 密码设备管理 对称密钥管理技 术规范 身份认证系统分析 主要厂商 1、 统一密码服务平台 :实现统一的密码设备资源管理、弹性调度,以及密钥管理、密 码计算能力的服务化,为上层业务应用提供安全高效的密码服务支撑。 2、 云 PKI:适应移动互联、云计算环境的下一代 PKI/CA 服务产品,可以应对大规模 多样化的移动端、云平台带来的安全挑战。 3、 零信任 :包括云身份服务系统、零信任网关、安全策略管理中心。和传统安全产品 的区别在于采用云服务架构设计,通过实现先认证后访问、持续信任评估、动态访问 控制等功能,帮助企业在新 IT 环境下构建零信任安全体系。 4、 区块链技术: 拟研发自主可控的面向联盟链的区块链技术平台,以打造区块链密码 支撑环境、区块链应用开发和实施体系。 1、 GM/T 0021 动态口令密码应用技术规范 2、 GM/T 0028密码模块安全技术要求 3、 GM/T 0027 智能密码钥匙技术规范 公司 PKI 产品的市场竞争优势明显,并获得了业内的高度认可,已成为信 息安全行业中 PKI 领域的优势企业之一 专注于数字安全的两个核心领域:安全和认证。将安全软件嵌入设备和物体 中,跨不同网络保护和加密数据 吉大正元在 PKI电子证书认证系统领域处于领先地位。 IDC数据报告也连续多 年确认了吉大正元在国内信息安全应用领域软件市场占有率第一的地位。 统一认证管理系统以用户身份管理为核心,加强管理 B/S、 C/S、移动 APP等结 构的多应用的安全访问机制,集身份管理、身份认证、授权管理、应用资源访问控制及其安全审 计于一体,构建多信息资源的应用整合、集约管理和安全防护的安全基础服务平台。 物联网安全产品分析 主要厂商 1、 物联网感控设备 :攻击者可利用鉴别机制弱点恶意部署同型号或克隆一个相似设备, 接入系统进行攻击。 2、 安全网关 :由于物联网终端可能采集处理大量敏感数据,若安全网关对上述数据转发 未作加密,则易发生数据窃取等问题。 3、 无线安全 :物联网中节点数量庞大且数据传输采用无线射频信号进行传输,存在攻击 者可通过发射干扰信号造成通信中断,或信号传输过程中劫持、窃听、篡改数据等风险 4、 数据交换 :传输层面临异构网络跨网认证等安全问题,此外,物联网上传输的数据包 未加密和签名,易发生被窃听、篡改、伪造以及发送者抵赖等问题 5、 业务平台 :由于接入设备类型繁多、能力参差不齐,存在身份仿冒、非授权访问等安 全风险。 现拥有国内领先的基于生物识别的智能身份识别、统一密码服务、物联网安全管 理,信息安全集成等四大产品线 天融信基于物联网国密安全标识系统 (TID)的安全解决方案可以提供物联网可信 密码标识技术从而保障物联网设备身份唯一性。 公司保持较高的核心技术研发能力和研发创新力度,物联网安全、云安全领域 率先投入研发,推出视频安全网关、签名服务器、智能应用网关、行为管理系统等产品 1、 GM/T 0002-2012 SM4分组密码算法 2、 GM/T 0003-2012 SM2椭圆曲线公钥密码算法 3、 GM/T 0004-2012 SM3密码杂凑算法 4、 GM/T 0005-2012 随机性检测规范 5、 GM/T 0009-2012 SM2密码算法使用规范 6、 GM/T 0028-2014 密码模块安全技术要求 7、 GM/T 0039-2015 密码模块安全检测要求 海泰方圆拥有物联网终端密码模块系列、移动智能终端密码模块(软)、智能密码 钥匙、物联网云密码服务平台等各类产品,能够提供物联网融合场景商用密码应用体系化解决方案 商用密码媒体公众号 主要媒体 解读密码法律法规、普及密码行业知识、提供密码改造咨询服务 ,致力于成为“密码改造创新服务中心” 纵观密码安全行业全局,第一时间更新国内外密码安全大事件。 关注所有密码人关心的一切,分析国内外密码安全行业发展动向 。 密码基础知识、最新密码技术、密码解决方案、密码应用场景解析 、商用密码产品检测、商用密码应用安全性评估的相关标准解读、 案例分析与注意事项等相关知识与资讯共享平台。 商密君是全国密码行业头部公众号,旨在宣传推广密码法, 普及商用密码知识,解读密码政策,分享商用密码行业的最新动 态,为密码产业产学研用做好宣传服务,连接密码全行业精英, 推动密码技术在数字经济各行业的应用和创新。 国家密码管理局公众服务号,是发布政务信息、提供在线服务、宣传密码政策法 规、普及密码知识、促进密码应用的重要渠道。 由中华人民共和国信息产业部主管,中国电子科技集团第三十研究所主办,中国信息 安全测评认证中心、国家保密技术研究所和中国计算机学会信息保密专业委员会协办 。是经国家新闻出版署批准出版的我国第一家、面向信息安全与通信保密行业、大型 综合指导性技术月刊。 中国信息安全杂志,介绍国内外最新网络安全动态,深度解读网络安全事件。 产品主要领域 金融领域 使用金融 IC卡、动态令牌、智能密码钥 匙等实现对客户身份、服务器等进行认 证; 使用密码技术,实现对系统存储的用户 口令、用户隐私信息、重要交易数据等 的加密保护 电子政务领域 利用密码技术增加安全防护,确保网络数 据的安全传输。 基于 PKI技术的电子认证,对网络上传输 的数据进行加密、解密。 采用 SM9算法和数字签名实现身份认证 和邮件内容加密。 电力领域 发电环节,基于商用密码的电子认证 体系,实现调控指令的可靠执行。 输电环节,采用数据加密、身份鉴别 方法,包装输电环节安全。 变电环节,通过部署纵向加密装置, 保证业务传输数据安全及身份认证 。 信息网络领域 密码安全协议包括:优先局域网安全 TLSec技术、无线局域网安全 WAPI 技术、 IP安全可信 TISec技术、射频 识别 RFID空中接口安全 TRAIS技术 等。 3 中国商用密码产业 链分析 产业链分析 产业链内各企业也可能同时处于不同的位置。如成都卫士通,既处于行业最上游,可以为下游企业提供密码机、加密卡等产品, 又是电子认证产品生产商,位于行业中游,可以提供电子认证系统及服务。产业链上游主要为密码设备供应商,处于电子元器件、 IT 设备及软件开发工具等软硬件生产制造行业。供应的产品如加密机、密码卡、 USB KEY 等。受我国密码政策的影响,对行业上游企业 实施市场准入制度,上游企业均为内资企业,数量众多,而且随着国产自主可替代计划的推进,电子元器件、集成电路、安全芯片趋 于国产化,对国外提供商的依赖有所降低。总体来看,上游原材料供给稳定,产品价格和质量较稳定,上游行业的波动对公司所处行 业的影响较小。 下游为对信息安全具有较高要求的应用行业,主要为政府、军队、军工、央企、科研院所、金融、能源等行业,以及云计算、物 联网等领域的各级用户。下游行业总体的信息化进程仍处于快速发展阶段,信息化发展促进了信息安全及密码产品、集成及服务需求 持续增长。 产业链分析 密码商品 主要形态 客户分布 对本案所在的商用密码产业链,其上中下游,依次为: 上游 密码 /安全芯片、印刷电路板、服务器等 IT设备及 软件开发工具,代表公司包括浪潮信息(毛利率 11.88%)、 深南电路(毛利率 26.53%)、生益科技(毛利率 26.65%)。 中游 以密码技术为核心的产品、服务提供商,产品包括 智能 IC卡、智能密码钥匙( USB Key)、密码机、电子签章、 数字证书认证系统等。代表公司包括卫士通(毛利率 32.54%)、飞天诚信( 38.37%)、中孚信息( 69.87%)、格 尔软件( 58.56%)、数字认证( 60.27%)。 综合网安厂商,部分产品涉及密码技术,如启明星辰 ( 65.79%)、奇安信( 56.72%)、深信服( 72.19%),以及 硬盘等数字产品巨头 Western Digital、 Samsung Electronics。(对启明星辰、深信服、奇安信,我们在科 技版报告库中,都做过研究,此处不详述) 下游 客户主要是机关、军工、银行、证券,以及大型企 业集团。 产业链分析 数据来源:塔坚研究 产业链分析 我们选取产品以密码技术为核心业务的几家龙头,做对比:卫士通 VS飞天诚信 VS格尔软件 VS吉大正元 VS数字认证进行对比,梳理商用密码 领域的核心逻辑。从 2020年上半年收入体量来看:卫士通( 4.33亿) 飞天诚信( 3.52亿) 数字认证( 2亿) 吉大正元( 1.86亿) 中孚信息 ( 1.76亿) 格尔软件( 1.12亿)。 卫士通 37.06%来自单机和系统产品(各类商用密码产品), 62.94%来自安全集成与服务(以密码产品为基础的集成业务)。 格尔软件 48.79%来自 PKI安全应用产品(安全认证网关、电子签 章系统等), 18.04%来自 PKI基础设施产品(数字认证系统、密钥管 理系统等), 33.18%来自通用安全产品。 飞天诚信 39.55%来自 USB Key, 16.79%来自动态令牌, 14.86%来 自智能终端(云音箱、扫码盒子等)。 数字认证 37.37%来自电子认证服务, 32.87%来自网络安全服务, 21.62%来自网络安全产品, 8.14%来自网络安全集成。 吉大正元 23.96%来自信息安全服务(包括认证服务和咨询服 务)、 46.6%来自电子认证产品、 29.44%来自安全集成。 中孚信息 48.03%来自保密防护产品、 8.99%来自保密检查产品、 28.47%来自信息安全服务(涉密信息系统集成),商用密码产品 ( USB Key等)仅占比 3.76%。 数据来源:塔坚研究 从收入结构来看: 2020年三季报数据(单位:人民币 /亿、 %) 我们以 2020年三季报数据为基础,分别对比一下几家的增长情况 上市公司经营状况 |卫士通 1. 基本介绍: 公司成立于 1998年 , 是国内知名密码产品 、 网络安全产品 、 互联网安全运营 、 行业安全解决方案综合提供商 , 首批商密产品研发 、 生产 、 销售资质单位 , 首批涉密信息系 统集成甲级资质单位 , 国内专业从事网络信息安全的上市公司 , 专注网络信息安全 , 致力打 造从芯片到系统的全生命周期安全解决方案 , 为党政军用户 、 企业级用户和消费者提供专业 自主的网络信息安全解决方案 、 产品和服务 。 公司自成立以来一直致力于信息安全领域的技 术研究及产品开发 , 公司从密码技术应用持续拓展 , 已形成密码产品 、 信息安全产品 、 安全 信息系统三大信息安全产品体系 , 同时 , 基于 ISSE体系框架 , 为党政 、 央企 、 能源 、 金融等 用户提供以 “ 安全咨询 、 风险评估 、 运维与应急响应 ” 为主要内容的信息系统全生命周期的 安全集成与运营服务 。 2. 主营业务: a. 安全集成与服务;包括密码产品 、 网络安全 、 数据安全 、 端点安全 、 云安全 、 移动安全 等; b. 单机及系统产品:主要为客户解决安全相关的解决方案 。 3. 主要客户: 政府 、 公检法 、 金融 、 电子政务 、 能源等 。 4. 财务情况: 2019年营业收入 21.04亿元 , 同比增长 8.95%, 净利润 1.56亿元 , 同比增长 29.58%。 具备安全产品、解决方案、安全运维一体化密码服务能力 上市公司经营状况 |数字认证 1. 基本介绍: 北京数字认证股份有限公司 ( 简称:数字认证 ) 是领先的网络安全 解决方案提供商 , 坚持 “ 共建可信任的数字世界 ” 的企业愿景 、 以 “ 提供高品质的 网络安全服务 , 帮助用户构建安全可信的网络空间 ” 作为公司使命 , 始终致力于保 障用户信息基础设施安全可靠运行 、 保护用户信息化业务安全可信开展 、 保卫用户 数字资产 。 公司面向全国客户提供电子认证服务 、 安全集成 、 安全咨询与运维服务 , 并在政务 、 金融 、 医疗卫生 、 教育 、 交通等领域建立领先优势 。 2. 主营业务 : a.电子认证服务:主要包括数字证书和电子签名两类服务 。 b.安全集成业务:为客户提供适合其信息系统特点的网络安全保障解决方案 。 C.安全咨询及运维服务:风险评估 、 合规性咨询 、 代码审计 、 脆弱性检查 、 渗透测 试 、 安全巡检等 3. 主要客户: 覆盖政府机构 、 金融 、 医疗卫生 、 教育 、 交通 、 大型企业 等 。 4. 财务情况: 2019年营业收入 7.94亿元 , 同比增长 18.90%, 净利润 9852.6万元 , 同比增长 13.96%。 成立北京数字证书认证 中心(数字认证前身) 被北京市科委等四个部 门评定为“国家级高新 技术企业 ” 国内首家通过 ISO9001 质量管理体系认证的电 子认证服务机构 获得电子认证服务 使用密码许可证 获得工业和信息化部 (原信息产业部) 电子认证服务许可证 开通北京市政务数字 证书在线服务平台, 成为国内首家实现在 线服务模式的电子认 证服务机构 公司“立足北京,服 务全国”的市场战略 取得突破性进展 入选国家发展和改革 委员会颁布的首批国 家信息化试点单位 承担“十一五”国家 科技支撑计划“可信 电子凭证技术研发与 应用示范”课题 “ UAMS统一认证管理 系统”荣获“北京市科 学技术奖三等奖” 国内首批“电子政务电 子认证服务机构” 正式更名“北京数字认 证股份有限公司”(简 称“数字认证”) 数字认证“一种能与手 写签名建立可靠对应的 数字签名方法”发明专 利获得授权 顺利通过 ISO27001信 息安全管理体系认证 成立子公司“北京版信 通技术有限公司”,创 新知识产权保护与服务 新模式,为移动互联网 版权治理构建重要的基 础设施 承担“十三五”国家重 点研发计划“网络空间 安全”重点专项“亿级 规模网络身份管理与服 务系统技术”课题 公司在深交所创业板上 市(股票代码: 300579),成为电子 认证行业首家上市企业 “省级架构城市住房 公积金综合管理云平 台关键技术研究与应 用”荣获“重庆市科 技进步奖三等奖” 参与国庆 70周年网络 安全安全保障工作 格尔软件上市公司经营状况 |格尔软件 1. 基本介绍: 公司成立于 1998 年 3 月 , 公司于 2017 年 4 月在上交所挂牌 , 公司自 成立起就专注于以 PKI 为核心的商用密码产品等信息安全产品与系统的研发 、 生产和销 售 , 为用户提供基于 PKI的信息安全系列产品 、 安全服务和信息安全整体解决方案 。 公司 先后被评为国家高新技术企业 、 国家火炬计划重点高新技术企业 。 公司是信息安全行业中 PKI产品市场的先行者和优势企业 , 凭借业已形成的综合竞争优势 , 公司研发 、 生产 、 销 售的 PKI基础设施与 PKI安全应用产品在前述市场具有领先优势 。 2. 主营业务: a. PKI 基础设施产品; b. PKI 安全应用产品; c. 通用安全产品 3. 主要客户: 国家部委 、 地方政府部门 、 公安 、 军工 、 金融机构 、 CA公司 、 大中型企事 业单位 。 4. 财务情况: 2019年营业收入 3.71亿元 , 同比增长 20.08%, 净利润 7007.52万元 , 同比增 长 -2.40%。 上市公司经营状况 |中孚信息 1. 基本介绍: 中孚信息成立于 2002 年 , 重点围绕安全保密 、 密码应用 、 公共安全 等业务领域 , 形成了全系列的安全产品和面向分级保护 、 等级保护等党政内网的产品 和行业应用解决方案 。 公司成立初期 , 凭借隔离卡 、 检查工具 、 清除工具等多个产品 确立了市场先发优势 , 在保密领域积累了大量客户; 2005 年 , 公司在国内率先推出 具有深度数据恢复技术的安全保密
