第一章 行业概况
密码技术是保障网络安全的核心技术,密码算法和密码产品的自主可控是确保我国信息安全的重中之重。当前我国大多采用国外制定的加密算法,存在着大量的不可控因素,一旦被不法分子利用攻击,所产生的损失将不可估量。
实现密码产品自主可控软硬件全国产化替换,是防止后门漏洞的最有效方法,是保障网络安全的终极举措。国密算法具备自主知识产权,符合国家信息产品国产化战略。随着国产替代趋势的进一步加强,存量市场上,国密算法将有望实现对RSA等国际算法的加速替代。
分类
国家将密码分为核心密码、普通密码、商用密码,实行分类管理。以商用密码SM2算法为例,SM2拥有更高的安全性能和更快加密速度。目前主流的RSA算法是基于大整数因子分解数学难题(IFP)进行设计,其数学原理相对简单,单位安全强度相对较低。SM2是基于ECC,单位安全强度相对较高。基于ECC的SM2证书普遍采用256位密钥长度,加密强度等同于3072位RSA证书,高于业界普遍采用的2048位RSA证书。更长的密钥意味着必须来回发送更多的数据以验证连接,产生更大的性能损耗和时间延迟。SM2算法能够以较小的密钥和较少的数据传递建立HTTPS连接,在确保相同安全强度的前提下提升连接速度。
应用领域
金融方面,2013年,中国人民银行发布《中国金融集成电路(IC)卡规范》,首次支持SM算法;2014年,中国银联修订发布《中国银联金融IC卡技术规范》支持SM算法。自此,金融IC卡开始试点应用SM算法并逐步规模化应用。2014年以来,中国银联先后修订发布了交换系统、受理终端规范支持SM算法,并成功实施改造推广。政务方面,截至2018年上半年,随着CA系统SM2国产算法升级的加速推进,目前已有26个省及5个部委完成算法升级工作;新CA系统签发国密算法SM2证书总计60256张,同比增长近7.6倍,国密产品得到广泛应用。
从安防角度,国密产品可运用于视频监控系统安全解决方案,通过终端接入管理,加强安全认证,保障视频安全传输,免受人为破坏。从车联网角度,以密码技术为核心的安全支撑平台主要由证书认证系统、授权管理系统、密钥管理系统和安全管理系统共同构成,可为智能运输系统提供身份鉴别、授权管理、安全传输、数据保护、责任认定和安全管理六项数据安全服务。从工业互联网角度,国密相关产品可用于加强平台双方的身份认证,防止数据被篡改,实现安全连接、安全执行和安全存储。
产品形态
密码供给能力进一步提升,在国家专项支持和应用需求的有力牵引下,支持商用密码算法的密码产品已达1390多款,其中安全芯片127款。密码产品检测能力显著提升,信息系统的密码应用安全性评估试点逐步展开,首批10家密评机构已经国家密码管理局认定,稳步开展密码应用安全性评估试点工作。密码标准体系建设逐步健全,已发布68项商用密码行业标准;密码标准国际化实现重要突破,祖冲之算法成为3GPP标准、SM2和SM9算法成为ISO国际标准。
表:国产密码主要产品形态
资料来源:千际投行,资产信息网
第二章 商业模式与技术发展
2.1 商业密码产业链分析
上游:密码/安全芯片、印刷电路板、服务器等IT设备及软件开发工具,代表公司包括浪潮信息(毛利率11.88%)、深南电路(毛利率26.53%)、生益科技(毛利率26.65%)。
中游:以密码技术为核心的产品、服务提供商,产品包括智能IC卡、智能密码钥匙(USBKey)、密码机、电子签章、数字证书认证系统等。代表公司包括卫士通(毛利率32.54%)、飞天诚信(38.37%)、中孚信息(69.87%)、格尔软件(58.56%)、数字认证(60.27%)。综合网安厂商,部分产品涉及密码技术,如启明星辰(65.79%)、奇安信(56.72%)、深信服(72.19%),以及硬盘等数字产品巨头Western Digital、Samsung Electronics。
下游:对信息安全具有较高要求的应用行业,主要为政府、军队、军工、央企、科研院所、金融、能源等行业,以及云计算、物联网等领域的各级用户。下游行业总体的信息化进程仍处于快速发展阶段,信息化发展促进了信息安全及密码产品、集成及服务需求持续增长。
图:商业秘密产业链分析
资料来源:千际投行,资产信息网,数观天下
产业链内各企业也可能同时处于不同的位置。如成都卫士通,既处于行业最上游,可以为下游企业提供密码机、加密卡等产品,又是电子认证产品生产商,位于行业中游,可以提供电子认证系统及服务。产业链上游主要为密码设备供应商,处于电子元器件、IT设备及软件开发工具等软硬件生产制造行业。供应的产品如加密机、密码卡、USBKEY等。
受我国密码政策的影响,对行业上游企业实施市场准入制度,上游企业均为内资企业,数量众多,而且随着国产自主可替代计划的推进,电子元器件、集成电路、安全芯片趋于国产化,对国外提供商的依赖有所降低。总体来看,上游原材料供给稳定,产品价格和质量较稳定,上游行业的波动对公司所处行业的影响较小。
2.2 网络安全商业模式分析
参考中国网络安全产品联盟的分类,当前我国网络安全企业主要分为产品型、综合型和集成服务型三大类,在毛利率、周转率等财务指标,以及上下游厂商和销售模式方面具有显著的差异。?
产品型
产品型安全企业的毛利率相对较高,交付周期短、应收账款周转率高。上游包括供应硬件平台的硬件供应商,以及供应基础软件及模块的软件供应商。下游主要为代理商或客户,销售模式以直销和渠道相结合,其中直销占比较高的公司如恒安嘉新等,还有部分企业以渠道销售为主,典型的例如山石网科,以及直销和渠道约各占一半的安恒信息。?
综合型
综合型安全企业的毛利率居中、企业规模大、产品线长。这类企业一般具有完善的营销网络和较强的品牌影响力,还会通过OEM形式扩充产品线,加强对多细分市场的覆盖度。销售模式往往采用直销与渠道相结合,在直销模式下,会参与一部分大型项目的集成服务工作。典型的企业包括启明星辰、绿盟科技、深信服、天融信、奇安信等。?
集成服务型
集成服务型安全企业的毛利率相对较低、交付周期长,应收账款周转率低。上游多为产品型安全厂商,供应相对标准化的网络安全产品。集成服务型厂商整合多方产品并以整体解决方案+服务的形式向客户提供交付服务,销售模式以直销为主,典型企业如中孚信息、数字认证等。
图:网络安全商业模式
资料来源:千际投行,资产信息网,安信证券
2.3 网络安全技术发展
网络安全技术在持续演进和迭代。从简单的防火墙、入侵检测产品的部署到当今结构化的网络安全产品部署,网络安全技术在持续地演进和变革。参考IDC的最新预测,下一代安全产品将广泛采用基于云计算、大数据分析、AI、SIEM(安全信息和事件管理)和认知等相关的技术。而网络安全防御体系也将向自动响应、开发安全计划、调查、追查、威胁诱捕等方向侧重。借助层出不穷的新兴技术,网络安全产业在持续演进和迭代。
云计算彻底打破了网络安全的固有“边界”,私有云与混合云成为安全投入的重心。随着云端数据体量不断增长,第三方提供计算服务的公有云、企业自行开发的私有云,以及公有云和私有云配合使用的混合云的不断发展,企业用户对云计算的需求亦越来越多样化,衍生出了多种云计算应用场景,传统网络安全边界被打破,且攻击者更容易隐藏活动踪迹制造网络威胁,从而引发了全新的网络安全问题,同时也为云安全的产品与服务提供了广阔的应用场景。
虽然我国公有云市场规模巨大,但云安全目标客户以小微企业为主,付费能力与意愿并不强烈,商业模式一直未能有效突围。而安全服务对于以政务云为代表的私有云和混合云客户来说则是刚需,从而成为目前主导我国云安全市场的核心力量。
大数据既是“防护对象”又是网络安全的“武器弹药”。狭义的大数据安全主要是指大数据场景下围绕数据安全展开的大数据全生命周期的安全防护,包括大数据平台安全、大数据安全防护和大数据隐私保护等,具体涉及大数据系统安全、大数据资源发现、大数据管理运营、敏感数据梳理、大数据脱敏、应用数据审计、大数据审计等多个细分领域。但同时海量的非结构化与结构化数据在威胁情报与态势感知等主动安全体系中同样发挥着作为“武器弹药”的功能。参考赛迪顾问数据,近年来我国大数据安全市场正在进入加速增长期。
“安全+AI”的核心在于对安全知识的积累与有效应用。参考IDC在网络安全领域对人工智能的定义,其本质是基于一系列结构化和非结构化数据(包括日志、设备遥测、网络数据包和其他可用信息)提供咨询、增强服务和半自动化的网络安全防御功能。
人工智能的价值并不在于识别攻击或者攻击分类,而是在于有效降低安全系统对安全知识的积累与高效使用成本。人工智能技术在数据分析、知识提取、智能决策等方面的优势为应对动态多变、复杂交织网络安全问题提供了新思路,网络安全已经成为人工智能应用的重要方向之一。例如针对异常流量,人工智能为流量与日志的关联分析与协同处臵提供了新的方案。研究机构CB Insights数据显示,2018年至2019年6月间,与网络安全相关的人工智能投融资活动超过180笔。
“云+大数据+AI+专家”大融合,将成为构建整体安全能力的利器。云计算的架构天然成为了海量大数据以及AI计算能力的承载平台,对于安全行业也不例外,厂商自身的安全情报以及全网的安全信息都成为了构建整体安全能力的“武器弹药”,结合云端AI技术的分析挖掘与综合判定,以及行业专家基于丰富知识经验的进一步补充和完善,安全能力与响应速度均得到了极大增强。云+大数据+AI+行业专家的全面融合,将成为构建整体安全能力的利器。
2.4 政策监管
政府法律法规
近年来,我国多措并举、多管齐下,陆续健全了与数据安全相关的法律体系。从防护对象来看,《个人信息保护法(草案二次审议稿)》《数据安全法》对个人信息或企业数据安全建设提出明确防护目标,是数据保护和数据利用的整体性法律框架。从技术手段来看,《密码法》明确了将密码技术作为核心的安全技术路线,将针对重要信息系统形成强合规增量市场。
图:密码“一法三规一条例”
资料来源:千际投行,资产信息网
行业自律要求
2021年7月12日,工业和信息化部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,并提出:“到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%;一批网络安全关键核心技术实现突破,达到先进水平;网络安全产品、服务、解决方案单项冠军企业数量逐步壮大;电信等重点行业网络安全投入占信息化投入比例达10%;建成一批网络安全人才实训基地、公共服务平台和实训靶场;产融对接更加精准高效,资本赋能作用持续加大”的发展目标。
2021年5月1日由国家互联网信息办公室、工业和信息化部、公安部、市场监管总局发布《常见类型移动互联网应用程序必要个人信息范围规定》,该规定在明确App基本功能服务和必要个人信息范围的基础上,明确要求App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务。该规定的出台科学地平衡了个人信息保护与促进App发展应用的关系,保障了用户对App基本功能服务的使用权,以及对收集使用非必要个人信息的知情权和决定权,有利于促进App的健康发展。
2021年4月26日由国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,该规定界定了适用范围和监管主体,明确了“知情同意”“最小必要”两项原则。这一新政释放出全力捍卫公民隐私权的强烈信号,而APP也将面临精细监管。
2021年2月1日发布的《保险中介机构信息化工作监管办法》由中国银行保险监督管理委员会正式发布,对保险中介机构信息化工作提出全面要求,提出实施后的一年整改自查期内,若不完成信息化系统建设,将不得经营保险中介业务。《办法》将进一步提高保险中介机构的信息化工作水平和经营管理水平,构建新型保险中介市场体系,促进保险业高质量发展。
2021年1月15日发布的《监管数据安全管理办法(试行)》由中国银行保险监督管理委员会正式发布,旨在建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。
2020年6月12日发布的《民用航空旅客服务信息系统信息安全保护规范》规定了民用航空旅客服务信息系统需要满足的相关信息安全技术要求和管理要求,适用于民航旅客服务信息系统的规划、设计、开发、运行及维护等各个阶段。
2020年3月5日发布的《关于深化医疗保障制度改革的意见》由中共中央、国务院印发,提出统一医疗保障业务标准和技术标准,建立全国统一、高效、兼容、便捷、安全的医疗保障信息系统,实现全国医疗保障信息互联互通,加强数据有序共享。规范数据管理和应用权限,依法保护参保人员基本信息和数据安全。
2020年2月1日施行的《国家政务信息化项目建设管理办法》由国务院办公厅印发,对国家政务信息系统的规划、审批、建设、共享和监管作出规定,提出建立统一、集约化信息基础设施和安全保障大平台,对共性应用与分散系统提供集中统一基础设施支撑,将更加有利于提高政务信息系统的安全保障能力,提高系统建设的集约水平,避免重复建设。
2020年2月13日发布的《个人金融信息保护技术规范》由中国人民银行正式发布,将个人金融信息按敏感程度、泄露后造成的危害程度,从高到低分为C3、C2、C1三个类别;同时,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
2020年2月26日发布的《2020年教育信息化和网络安全工作要点》由教育部办公厅印发,对2020年教育信息化和网络安全重点工作进行了安排部署。《工作要点》提出,落实《教育行业密码与应用创新发展实施方案》,推进密码基础设施和支撑体系建设,有序推动教育重要业务信息系统开展密码应用安全性评估,完善教育数字认证(CA)基础支撑体系建设,推动国家教育管理信息系统密码普遍应用,提升系统安全和数据安全。