4月14日国务院常务会议审议通过了《商用密码管理条例(修订草案)》。会议指出,要全面贯彻总体国家安全观,进一步规范商用密码应用和管理,督促平台企业依法履行用户密码保护责任,确保个人隐私、商业秘密和政府敏感数据的安全。要更好顺应数字经济快速发展趋势,建立健全商用密码科技创新促进机制,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。
近年来,商用密码应用愈发广泛,在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。根据赛迪研究院网络安全研究院统计,我国商用密码市场总体规模2023 年有望达 937.5 亿元,同比增长 35.5%。招商证券研报指出,随着数据安全重要性的提升,我国密码产业市场规模逐渐扩大,近几年平均增速高于全球增速(2021年全球商用密码产业规模为375.7 亿美元,年增速22.18%)。
中国商用密码的发展历程
我国商密发展可分为三个阶段:
- 起步探索阶段:商密自 90 年代开始逐渐进入法制化,但仍处于对商密的使用与推广的探索阶段。
- 快速发展阶段:2005-2018 年国内商密监管及标准快速发展,成立了国内主要的密码管理机构,形成了 SM1、SM2、SM3、SM4、SM7、SM9、ZUC 等国密算法体系,实现了对国际标准的对标替代。然而,国内商用密码仍没有准确的规范与法律,使用商密的行业较少,并且行业内使用情况较为杂乱,密码产品未通过认证、国际国内算法混用情况频出,产品安全性较低。
- 立法规范阶段:2020 年 1 月《中华人民共和国密码法》落地,标志着密码行业具备了最高等级的法律支撑,2021 年密码行业国家标准诞生,包含了量化评估、高风险判定的指引等测评的依据标准,密评体系基本确立,加速了商密在关基行业的合规布局,行业逐渐进入高质量发展阶段。
商用密码的主要应用场景
密码是数字经济、数据要素化的核心技术和底层支撑,市场空间广告。数据安全之外,物联网、云安全等新安全场景除了在合规需求的基础上,还具备较强的内生性需求。
1、数据安全场景:密码算法促进数据全生命周期安全
数据安全为数据要素化基石。数据要素化的前提是数据的使用权和所有权可以分离:
- 数据拥有者:面临数据复制成本低、维权成本高等问题,数据容易被复制、篡改及泄露,造成资产损失。
- 数据使用者:面临数据协调困难,二次加工难,数据真实性难保证等问题,数据孤岛情况普遍。
密码成为数据流通不可或缺的环节,隐私计算技术如联邦计算、多方计算、可信计算等,可解决数据要素化中数据使用权及所有权分离的核心问题,使数据可用不可见。以多方安全计算以及同态安全算法为例,其为目前相对比较成熟的路径,使用加密数据进行计算,并得到与原始数据相同的计算结果。
2、云安全:云密码产品迭代更新,满足云计算安全需求
被动安全技术无法满足云计算时代需求,密码成为关键手段。云计算强调信息资源的共享和按需使用,采用虚拟化、分布式处理等技术,实现计算、存储和网络资源的共享和按需分配,提高了资源的利用率。但云计算模糊了不同信息系统之间的边界,平台化运营使得信息系统的运营者和使用者可能分离,特别是在公有云中,用户租用公有云运营商的信息资源服务,用户的数据和信息系统运行在运营商的公有云上,对自己在云上信息的安全管控难以实现,缺乏身份认证、隔离手段,易发生数据被非法/越权访问、盗取、泄露、篡改。并且,无论哪种云架构模式(IaaS/PaaS/SaaS)均不是通过物理连接的方式,基于边界防护理念的传统网络安全技术如防火墙、IDS、IPS 无法满足云数据整体性安全需求,密码技术作为主动安全理念的核心技术,可为各云架构模式提供云安全,成为关键手段。
传统的密码设备不符合云计算分布式的环境,单台密码设备的使用效率低下,需要买设备、堆硬件。云密码产品融入了云计算特性,可以根据需求,按需、按量购买服务无缝扩容自由升级,并且采用密钥管理和设备管理分离的理念,实现管理员只维护设备、客户自行管理密钥,解决数据运营者、使用者分离导致的安全问题。云相关密码产品 :1)基于云密码资源池解决方案,可根据负载动态调整云密码机的处理能力,实现密码算力的动态调整,为应用提供按需、高效、可扩展的密码服务,2)云服务器密码机也可根据应用的需求动态伸缩,按需调配资源。(下图:云计算环境密码解决方案)
3、物联网:安全威胁频繁,密码技术可解决核心问题
物联网上连接着多类型、大量数量的物联网传感终端,由于物联网终端设备的强分散性、弱组织化,物联网终端面临着更高的被篡改和仿冒的安全威胁,1)身份认证风险:传统终端认证采用口令密码方式,终端设备口令统一预置固话,无法避免弱口令、撞库攻击、字典攻击等风险;2)数据传输风险:大量终端设备采集的数据以明文形式传输到云端,易被拦截、篡改和窃取;3)数据存储风险:数据存储在在云端和终端中,易被暴力攻击和破解。由此可见,物联网的安全威胁呈“倒三角模型”,威胁主要集中在终端,管道检测、云端协同+可信设备认证是解决物联网安全威胁的主要手段。
密码技术可解决物联网核心安全问题,需更加灵活、云端协同度更高的密码产品。密码可以保护云、管、端之间的数据交互和安全联系,实现身份鉴别、数据保密性、完整性和不可抵赖性。1)通过 PKI 数字证书技术,为物联网业务中参与的对象(平台/人/设备)颁发数字证书,标识其在网络中的唯一身份,实现身份强标识、无法篡改和假冒;提供基于数字证书在业务过程中的身份有效性查询。2)通过对称密码技术,对物联网业务场景中的关键、敏感数据进行加密处理,实现数据的机密性和隐私保护。3)通过基于密码的身份认证技术,针对大规模的终端设备接入,提供设备接入双向身份认证和链路加密。通过数字签名技术,提供数据完整性、抗抵赖等安全服务。然而,物联网设备往往存储空间小,处理能力弱,传输速度慢,需要如轻量级密钥管理系统等灵活度更高的产品。
商用密码的主要技术
国家商用密码管理办公室制定了一系列密码标准,包括 SM1(SCB2)、SM2、SM3、SMS4、SM7、SM9、祖冲之密码算法等等。其中SM1、SMS4、SM7、祖冲之密码是对称算法;SM2、SM9 是非对称算法;SM3 是哈希算法。
密码系统的安全性并不取决于相对稳定的密码算法,而是取决于灵活多变的密钥。为了保证密码系统能够抵抗密码分析,现代密码系统的设计一般需要满足以下要求:
商用密码产品性能主要取决于芯片、板卡及整机,其中芯片取决产品的性能上限,板卡与整机通过硬件设计及软件开发优化产品性能。
商用密码的市场及概念股
国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统均需开展密评工作。依据 GB/T 39786-2021《信息系统密码应用基本要求》,密评等级通常与等保等级挂钩,如等保三级对应密评二级及以上;对于未完成等保定级的重要信息系统,一般要求其密码等级至少为第二级。密评对密码系统的各方面提出了诸多要求,比如底层的密码算法必须完全使用国密、密码产品需均通过验证并获得证书、完善的密钥管理系统等,目前已有的多数密码系统不符合国家标准,需进行改造,将带来大量密码产品的采购需求。
安信证券研报显示,商密新一轮需求周期开启,未来三年将释放至少300亿的市场空间。密评+密改将带来大量密码产品采购需求,以国家重点行业商密网为例,需部署服务器密码机、身份认证系统、VPN安全接入网安、USB Key、签名验签服务器、时间戳服务器等密码产品。从关基行业的系统采购订单来看,金额在50万-500万不等,我们保守假设单个系统的改造投入为100万;根据数世咨询数据,目前存量等保三级以上系统的个数在3万个以上,对应300亿的市场空间,有望在未来2-3年内逐渐释放。
根据赛迪研究院数据,我国商用密码市场总体规模2023 年有望达 937.5 亿元,同比增长 35.5%。
公司方面,行业内厂商各有侧重
- 三未信安。专注于密码技术的创新和密码产品,提供全面的商用密码产品和解决方案。产品包括密码芯片,密码板卡,密码整机(服务器密码机、金融数据密码机、签名验签服务器、云密码机等),密码系统和服务(密钥管理系统、身份认证系统、云密码服务平台、云密码资源池等)。
- 电科网安。业务包括安全产品、安全服务和安全集成,在能源、交通、通信等领域具有优势。产品主要有密码芯片,密码板卡,密码整机(服务器密码机、签名验签服务器、金融数据密码机、税控服务器密码机、云服务器密码机等),密码系统和密码服务(数字证书认证系统、密钥管理系统、密码服务平台、密码监管系统、云密码池管理平台等)。
- 数字认证。主要业务为电子认证服务、安全集成、安全咨询与运维服务,在政务、医疗、金融、教育等领域具有优势。主要产品包括密码整机(签名验签服务器、时间戳服务器、电子签章服务器、服务器密码机、云服务密码机、安全网关等)、密码系统与服务(数字证书认证系统、电子合同签署系统、密钥管理系统、密码云服务平台等)。
- 吉大正元。业务包括电子认证产品、信息安全服务和安全集成,在军队、军工等领域具有优势。产品包括密码整机(服务器密码机、金融数据密码机、云服务密码机、数字签名服务器、云签验服务、时间戳服务器)、密码系统与服务(密码管理平台、电子证书认证系统、密钥管理系统、身份认证平台等)。
- 格尔软件。业务包括网络安全系列产品、安全服务和网络安全整体解决方案,在国家部委、地方政府部门、金融机构等应用领域有优势。主要产品包括密码整机(时间戳服务器、签名验签服务器),密码系统和服务(电子签章系统、证书签发系统、证书综合管理系统、密钥管理系统等)。
- 信安世纪。业务包括科技创新型的网络安全产品和解决方案,解决网络环境中的身份安全、通信安全和数据安全等。产品包括密码整机(签名验签服务器、时间戳服务器),密码系统和服务(全密码安全服务平台、云密码服务平台、证书认证系统、身份认证系统、动态密码系统等)。
VCAI.CN 原创文章,转载请注明出处:https://vcai.cn/index.php/zhuti-20230417-mima/
