《2022密码产业洞察报告.docx》由会员分享,可在线阅读,更多相关《2022密码产业洞察报告.docx(82页珍藏版)》请在优知文库上搜索。
1、2022密码产业洞察报告观点提要51 .密码监管侧政策带来市场红利52 .密码分层市场兼顾实战与合规53 .密码供给结构正向高质量升级54 .新数据安全紧密融合密码技术5一、密码产业筑牢坚实基础6(一)密码是信息化发展安全基因6(二)密码产业已构建出坚实基座71 .法律标准体系逐步健全72 .产业正处于高速发展期263 .监管体系取得丰硕成果284 .融合应用取得长足发展29(三)关键领域密码技术应用发展311 .金融领域322 .政务领域343 .教医旅领域364 .其他重要领域39二、多重因素驱动产业发展41(一)密码技术演进促进产业发展411 .密码产品形态“软硬协同”412 .密码发展
2、应用危机并存44(二)供给质量升级拉动产业发展451 .高质量供给夯实基础支撑462 .新场景应用赋能数字经济48(三)安全实战合规引领产业发展491 .实战合规并举成发展动力492 .密码市场迎时代发展契机53(四)数据安全挑战助推产业发展541 .中国将成为全球最大数据圈542 .密码技术应用保障数据安全56三、密码产业发展趋势分析60()市场勃发展.1 .密码国产化替代正加速602 .信创带来新的历史机遇603 .市场呈现分层次多样化614 .密码市场发展规模预测621 .数据要素激励密码技术创新632 .密码能力紧密融入业务应用643 .全生态亟待密码实战化覆盖644 .密码安全一体化
3、成为主思路65(三)产品叠加演进661 .密码交付向产品加服务演进662 .产品软硬均衡支撑自主可控663 .密码产品强化自身安全防护674 .亟待一体化的密码支撑体系67(四)体系实战升1 .探索融入业务流转的密码防护672 .打造融合密码的数据安全框架703 .构建以密码为核心的防护体系73刖言密码是国之重器,是信息化发展的安全基因,是保障网络与数据安全的核心技术,也是推动我国数字经济高质量发展,构建网络强国的基础支撑。近年来,国家高度重视商用密码工作,先后发布相关政策法规、采取系列重大举措,以促进商用密码的推广普及、深度融合。纵观当下,我国正处于数字经济高速发展期,密码产业供给侧、需求侧
4、、监管侧均有长足发展,密码实战与合规需求强劲,技术自主可控逐步实现,放管服改革进一步深化。站在“十四五”开局新起点,密码前沿技术与应用的引领企业,应抓住时代机遇窗口,加速布局密码业务,深化技术创新研究,扎实推进我国商用密码产业建设及发展。注1:本文仅代表作者观点,水平认知有限,后续将陆续更新迭代,欢迎业界同仁共同完善。注2:本文部分内容或数据借鉴了商用密码发展报告(2012-2017)(国家密码管理局组织,负责编写)、商用密码知识与政策干部读本、商用密码应用与安全性评估,(2020-2021中国商用密码产业发展报告(赛迪研究所网络安全研究所发布)、数据安全白皮书(2021年由国家工信安全中心联
5、合华为发布)等权威素材或书籍,以及从互联网公开获取到的相关政策权威材料。观点提要1 .密码监管慢!政策带来市场红利在密码法及相关法规政策推动下,密码市场蓬勃发展,“放管服新政策推动密码企业的竞争发展更公平公正,以产品质量决定竞争力,而非准入门槛。2 .密码分层市场兼顾实战与合规新密码市场呈现“实战防护、密评合规、信创合规”分层次叠加的多样化需求。实战与合规双重驱动下,新密码市场正步入快速增长阶段,预计2023年我国商用密码规模将超900亿。3 .密码供给结构正向高质升级密码能用、密码好用、密码用好是提升密码高质量供给的关键,密码产品形态正从“以产品为主”升级至产品+服务”,产品构成侧重向软件、
6、或软硬混合形态发展。4 .新数据安全紧密融合密码技术企业安全防护正从“应对式”向“主动式”转变,密码对数据本身可以进行主动式加密等保护,是实现数据安全最直接有效的手段。融合密码的主动式防护安全框架,重视从业务风险映射视角列举数据保护需求,将密码功能融入业务流程,以数据为中心,构建全方位的数据安全治理体系,为信息化建设、企业业务架构设计提供数据安全能力参考。-、密码产业筑牢坚实基础信息化和网络安全整体水平是衡量一个国家综合国力和竞争力的重要标志,密码作为保障网络安全最有效、最可靠、最经济的关键核心技术,在维护国家安全、促进经济发展、保护人民群众利益中发挥着越来越重要的作用,并在科技创新、产业发展
7、、应用推进、生态构建等方面取得系列成果。随着密码法出台,以及商用密码技术的不断推陈出新,密码产业已形成坚实发展基础,并步入创新协同、高质量发展的快车道。(一)密码是信息化发展安全基因密码作为历史最悠久、最具传奇色彩的安全技术,从诞生以来就自带安全产品属性,由攻防对抗推动发展。3000年前,著名兵书六韬记载了姜太公使用阴符、阴书等古典密码技术来保护军事秘密通信。甲午战争期间,中方高级电报密码被日方破译,在一定程度上导致清军在战争的多方面陷入被动局面。现代密码学演进,则与计算机技术、电子通信技术密切相关。随着计算机的发明以及信息化时代的到来,密码的加解密工作有了更好工具和载体,密码技术迎来千载难逢
8、的发展机遇。这一阶段,密码理论百花齐放,密码算法的设计与分析互相促进,出现了大量的加密算法及分析方法,比如:序列密码、分组密码、公钥密码、HASH函数等,技术与算法逐步成熟完善。数字时代的来临,使得密码技术进入高速发展期。基于密码技术的身份鉴别、访问控制、数据加密、可信计算、密文计算、数据脱敏等措施,能实现信息系统安全防护架构的“真实性、机密性、完整性、不可否认性、限定性”等基本安全目标,有效解决信息系统的信息安全问题,成为支撑构建信息系统安全防护体系的基石。信息化是密码技术演进的土壤,密码技术为信息化系统提供安全支撑。两者的深度融合,能够加速密码技术安全价值的释放。而随着信息技术演进升级,密
9、码产品本身和对外服务形态也会发生适应性的转变。以云计算为例,虚拟机技术催生云交付形态的云密码机、云密钥管理系统等,同时企业应用云化又对密码产品和服务能力提出云兼容、弹性扩展、灵活管理等新需求,因此,“用云交付密码”和“让密码服务于云”逐步被企业所接受,且发展空间非常广阔。(二)密码产业已构建出坚实基座近年来,我国密码产业立足自主,开拓创新,在法律法规、算法标准、产业应用、监管体系等方面进展显著,夯实了自身发展基础,也为后续的快速发展积攒动力。1.法律标准体系逐步健全早在1996年7月,中央办公厅就印发关于发展商用密码和加强对商用密码管理工作的通知,体现了对商用密码工作的重视。如今,从顶层设计到
10、法律法规,行业标准到产业要求的密集颁布,商用密码法律标准实现了自上而下的体系化发展,市场进一步被激活,海量非涉密信息的加密保护和安全认证等具体应用获得了充分发展的沃土。1 )顶层设计中华人民共和国国家安全法第二十五条提出,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标
11、纲要提出,加快数字化发展,培育壮大网络安全等新兴数字产业;提高数字政府建设水平,建立健全数据要素市场规则,加强网络安全保护,推动构建网络空间命运共同体;统筹发展和安全,加强国家安全体系和能力建设。十三届全国人大四次会议政府工作报告中提出,加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型,加快数字社会建设步伐,提高数字政府建设水平,营造良好数字生态,建设数字中国。同时,强调加强网络安全、数据安全和个人信息保护。关于构建更加完善的要素市场化配置体制机制的意见第六部分“加快培育数据要素市场”第22条:加强数据资源整合和安全保护。推动完善适用于大数据环境下的数据分类分级安全保护制
12、度,加强对政务数据、企业商业秘密和个人数据的保护。2 )法律法规密码”一法三规一条例”表1密码一法三规一条例密码政策法规.,条例标准层级名称条例一法密码法二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。关键信息基础设施运营者,应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。三规关于印发国家政务信息化项目建设管理办法的通知第四章第三十条:各部门应当严格遵守有关保密等法律法规规定,构建全方位、多层次、一致性的防护体系,按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据
13、安全。贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(公网安(2020)1960号)第二部分第六点:落实密码安全防护要求。网络运营者应贯彻落实密码法等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。关键信息基础设施安全保护条例(征求意见稿)第四章第二十三条第四点:采取数据分类、重要数据备份和加密认证等措施。一条例商用密码管理条例(修订草案征求意见稿)第六章第三十八条:非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商
14、用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。密评行标升国标GB/T39786-2021信息安全技术信息系统密码应用基本要求“密码产品”方面的基本要求相比行标有重要变化,信息系统等级保护第三级安全要求,从行标的“宜采用GM/T0028三级及以上”,放宽为国标的“应达到GB/T37092二级及以上”;对等级保护第二级安全要求,从行标的“宜采用GM/T0028二级及以上”,放宽为国标的“应达到GB/T37092一级及以上”。其次,“密码服务”成为行业技术要求的必选项。(注:GM/T0028是GB/T3
15、7092密码模块安全技术要求的行标版本,行标升国标后的具体变化见文末好文推荐)各地区密码应用政策要求北京市明确将密码应用建设过程中的新建项目所需经费列入同级政府固定资产投资,升级改造和运行维护经费列入同级财政预算,并对密码应用情况进行事前审查。吉林省制定出台13项密码应用“增量”管控措施,部署在项目立项、项目论证、招标采购等环节,对项目建设实施管控,明确采用密码进行保护的刚性约束。吉林省还出台36项密码供给能力建设扶持政策,涵盖金融、土地、税收、出口等方面,对密码产业、产品和服务等供给侧给予优惠扶持。江苏省财政厅、省密码管理局联合印发通知并颁布江苏省密码产品采购管理目录,明确密码产品相关采购要求。天津市委办公厅、市政府办公厅联合印发关
免费区 