数观天下 2019-2020商用密码行业分析报告

数观天下下天 m o .c 2019-2020 5 商用密码行业分析报告 b u 观数 h t gi 参与评审单位:(排名不分先后) 深圳市商用密码行业协会北京安御道合科技有限公司江南信安（北京）科技有限公司北京海泰方圆科技股份有限公司北京三未信安科技发展有限公司北京数盾信息科技有限公司北京数字认证股份有限公司云上(江西)密码服务科技有限公司商密在线(北京)科技有限公司 2021年2月目录下天 1 中国商用密码产业概况 m o .c 5 2 b中国商用密码市场分析观数 u h it g3 中国商用密码产业链分析下 1天观数 m o .c 5 b u h t 中国商用密码产业概况 gi 发展历程起步阶段（2005 年之前）：主要应用于银行、证券、海关等金融相关的领域.金融行业的监管要求推动了金融数据密码机等商密产品的研制及应用。我国真正意义上的商密行业只有二十多年的发展历史，下天其发展轨迹大致可分为以下三个阶段：观数密码分类 m o .c h t gi 5 b u 初见规模（2005-2010年）：基于数字证书的PKI技术(公钥密码基础设施)取得大力发展，商用密码产品和技术为网络上的身份认证、数据传输加密、电子签名等提供技术支撑，推动了电子商务、电子政务、各个行业信息化的发展，我国的商密产业初见规模。大力发展（2011年以后）：2011年，密码行业标准化技术委员会正式成立，制定了SM2/3/4/9、 ZUC等密码算法标准以及一系列密码协议、产品等行业标准，逐渐建立了我国的商用密码标准体系。近几年，国家出台了一系列法规政策，更是大力促进了商密产业的发展。主管部门本行业有着特殊的信息安全要求，同时受到信息产业和安全主管部门的监管。相关主管部门及其职责如下：下天主管部门主要职责中央网信办着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题；研究制定网络安全和信息化发展战略、宏观规划和重大政策；推动国家网络安全和信息化法治建设，不断增强信息安全保障能力。国家发展和改革委员会、工业和信息化部负责产业政策的研究制定、行业的管理与规划等公安部主管全国公共信息网络的安全监察工作、网络信息安全及等级保护的监督管理工作和网络信息安全产品的销售许可工作等。国家密码管理局商用密码管理办公室主管全国商用密码管理工作，批准生产的商用密码产品品种等国家保密局管理和指导保密技术工作，负责办公自动化和计算机信息系统的保密管理，指导保密技术产品的研制和开发应用，多从事涉密信息系统集成的企业资质进行认定。国家知识产权局负责组织协调全国知识产权保护工作，推动知识产权保护工作体系建设。中国信息产业商会组织行业内企业开展各项活动和内部交流；发起分类安全标准的起草工作、研究抵制安全行业市场内的不正当竞争、组织跨行业的安全大会；引导会员认真执行国家的法规和政策、遵守行规、行约等。观数 m o .c 5 b u h t gi 法律法规目前，国内商用密码行业相关的主要法律法规如下：下天时间发文单位文件名称 1999年10月国务院《商用密码管理条例》 2003年9月中办国办《关于加强信息安全保障工作的意见》 2004年8月（2019年修正）全国人大常委会 2005年12月国家密码管理局 2005年12月（2017年修正）国家密码管理局 2009年10月（2017年修正）国家密码管理局 2010年4月全国人大常委会 2016年11月全国人大常委会 2019年10月全国人大常委会相关内容概要观数是我国商用密码领域第一个行政法规，标志着我国商用密码的发展和管理从此走上了法治化的轨道。 5 b u 《中华人民共和国电子签名法》 ti h 《商用密码产品生产管理规定》 g 《商用密码科研管理规定》《电子认证服务密码管理办法》《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》《中华人民共和国密码法》 m o .c 第一次明确了密码在信息安全保障工作中的基础性地位和关键作用。是电子认证服务业的根本法律，是我国第一次从法律上确定了可靠的电子签名与手写签名或者盖章具有同等的法律效力。规定了商用密码产品由国密局指定的单位生产。规定了商用密码的科研承担对象以及科研成果的验收流程。规定电子认证服务提供者提供电子认证服务必须申请《电子认证服务使用密码许可证》。规定了国家秘密的秘级，保密制度和相关法律责任制定网络安全战略，明确网络空间治理目标，强化了网络运行安全，同时也将催生不断扩大的网络安全市场空间，产业投入和建设也将步入持续稳定的发展轨道。其中密码法第三章商用密码部分，规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。行业标准观数密码标准体系框架 02 基础类标准为其他三类标准提供了底层、共性支撑（如术语、算法、协议、产品等）；下天 m o .c 5 b03 u h it g 01 当前，商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。检测类标准为基础类标准和应用类标准提供了合法性检测的功能，保障商用密码使用的合法性； 04 管理类标准为其他三类标准提供了管 05 应用类标准为上层具体的密码产品、理功能；服务应用提供支持。密码法解读 01 国家主席习近平10月26日签署了第35号号主席令：《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，现予公布，自2020年1月1日起施行。下天密码的分类与管理  密码法将密码分类为核心密码、普通密码与商用密码，并明确要求对这三类密码实行分类管理。  其中“核心密码”与“普通密码”被用来保护国家秘密信息，涉密单位应重点关注对于这两类密码的管理。对这两类密码，《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。  而商用密码被用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用，都属于商用密码，应遵循国家密码局商用密码管理有关条例规定。 03 观数 02 m o .c 5 b u 密码安全性评估成为必须  本次《密码法》发布对于非涉密的企事业单位来说，最大的影响就是必须要主动进行“密码安全性评估”。  根据《密码法》要求，商用密码产品及服务使用方应按照国家密码管理局有关规定，对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。  并对关键信息基础设施，应采用商用密码进行保护，并进行密码安全性评估，同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。 h t gi 《密码法》主要内容《密码法》共五章四十四条，重点规范了以下内容: 第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。 04 产业影响因素影响因素 01 下天周期性：客户主要分布于政府和国家重点网络攻击日益频繁行业，收入来源中政府预算支出和重点行随着身份盗用、交易诈骗、资源滥用、网络钓鱼等安全事件频繁发生，政府、企业、个人对信息安全的关注程度日益增强，社会对信息安全的需求与日俱增，政府部门、重点行业在信息安全产品和服务上的投入也不断增加，促进了信息安全行业的持续增长。业客户支出占比较高，受一定宏观经济影响，是偏向于弱周期性的行业。 02 观数季节性：政府、金融、电信、能源等国家重点产业特点行业通常采取预算管理制度和集中采购制度，半年进行项目招标采购，因此行业呈现季节性特征，上半年销售订单较少，从年度中期开始增多，第四季度达到产品销售和交付的高峰。 5 b u 2017-2019年，随着《网络安全法》、《央企考核办法》、《等保2.0》、《数据安全》、《产业规划》、《密码法》等的陆续出台，叠加HW行动、信创等政策因素，网安相关政策的影响力持续加强，合规需求仍是现阶段行业主题。 ti h 上半年审批上一年度预算和投资采购计划，下 03 m o .c 合规要求趋严 g 信息技术不断发展革新近年来，云计算、大数据、移动以及社交网络的快速发展给信息系统架构带来了巨大变化，信息安全也随之迎来挑战。例如云计算技术，使得数据中心的基础设施由原来的各业务系统独立建设模式转变为资源池建设模式，服务器、存储、网络设备的部署方式相应改变。基础架构的变化要求信息安全建设能够适应新的IT基础架构，从而满足新的安全需求，这同时为信息安全建设带来了新的发展空间。地域性：受区域经济情况，政策辐射效力、重点行业单位数量、企业数量等因素影响，华东、华北、华南区城市场份额占比较高。 04 行业性：受国家政策、自身需求等因素影响，政府和国家重点行业客户一直是产业发展的主要推动力量。产品推广周期较长由于信息安全行业的特殊性，行业内企业不但要具备相应信息安全企业资质，并且新技术、新产品需要经过公安部、密码管理局、国家信息安全认证中心等众多部门审批合格后方可推向市场，一定程度上限制了行业技术革新以及产业化推进。密码产品检测机构密码管理局国家密码管理局商用密码检测中心