第一章 行業(yè)概況

密碼技術(shù)是保障網(wǎng)絡(luò)安全的核心技術(shù)，密碼算法和密碼產(chǎn)品的自主可控是確保我國信息安全的重中之重。當(dāng)前我國大多采用國外制定的加密算法，存在著大量的不可控因素，一旦被不法分子利用攻擊，所產(chǎn)生的損失將不可估量。

實現(xiàn)密碼產(chǎn)品自主可控軟硬件全國產(chǎn)化替換，是防止后門漏洞的最有效方法，是保障網(wǎng)絡(luò)安全的終極舉措。國密算法具備自主知識產(chǎn)權(quán)，符合國家信息產(chǎn)品國產(chǎn)化戰(zhàn)略。隨著國產(chǎn)替代趨勢的進一步加強，存量市場上，國密算法將有望實現(xiàn)對RSA等國際算法的加速替代。

分類

國家將密碼分為核心密碼、普通密碼、商用密碼，實行分類管理。以商用密碼SM2算法為例，SM2擁有更高的安全性能和更快加密速度。目前主流的RSA算法是基于大整數(shù)因子分解數(shù)學(xué)難題（IFP）進行設(shè)計，其數(shù)學(xué)原理相對簡單，單位安全強度相對較低。SM2是基于ECC，單位安全強度相對較高�；�于ECC的SM2證書普遍采用256位密鑰長度，加密強度等同于3072位RSA證書，高于業(yè)界普遍采用的2048位RSA證書。更長的密鑰意味著必須來回發(fā)送更多的數(shù)據(jù)以驗證連接，產(chǎn)生更大的性能損耗和時間延遲。SM2算法能夠以較小的密鑰和較少的數(shù)據(jù)傳遞建立HTTPS連接，在確保相同安全強度的前提下提升連接速度。

應(yīng)用領(lǐng)域

金融方面，2013年，中國人民銀行發(fā)布《中國金融集成電路（IC）卡規(guī)范》，首次支持SM算法；2014年，中國銀聯(lián)修訂發(fā)布《中國銀聯(lián)金融IC卡技術(shù)規(guī)范》支持SM算法。自此，金融IC卡開始試點應(yīng)用SM算法并逐步規(guī)�；瘧�(yīng)用。2014年以來，中國銀聯(lián)先后修訂發(fā)布了交換系統(tǒng)、受理終端規(guī)范支持SM算法，并成功實施改造推廣。政務(wù)方面，截至2018年上半年，隨著CA系統(tǒng)SM2國產(chǎn)算法升級的加速推進，目前已有26個省及5個部委完成算法升級工作；新CA系統(tǒng)簽發(fā)國密算法SM2證書總計60256張，同比增長近7．6倍，國密產(chǎn)品得到廣泛應(yīng)用。

從安防角度，國密產(chǎn)品可運用于視頻監(jiān)控系統(tǒng)安全解決方案，通過終端接入管理，加強安全認(rèn)證，保障視頻安全傳輸，免受人為破壞。從車聯(lián)網(wǎng)角度，以密碼技術(shù)為核心的安全支撐平臺主要由證書認(rèn)證系統(tǒng)、授權(quán)管理系統(tǒng)、密鑰管理系統(tǒng)和安全管理系統(tǒng)共同構(gòu)成，可為智能運輸系統(tǒng)提供身份鑒別、授權(quán)管理、安全傳輸、數(shù)據(jù)保護、責(zé)任認(rèn)定和安全管理六項數(shù)據(jù)安全服務(wù)。從工業(yè)互聯(lián)網(wǎng)角度，國密相關(guān)產(chǎn)品可用于加強平臺雙方的身份認(rèn)證，防止數(shù)據(jù)被篡改，實現(xiàn)安全連接、安全執(zhí)行和安全存儲。

產(chǎn)品形態(tài)

密碼供給能力進一步提升，在國家專項支持和應(yīng)用需求的有力牽引下，支持商用密碼算法的密碼產(chǎn)品已達1390多款，其中安全芯片127款。密碼產(chǎn)品檢測能力顯著提升，信息系統(tǒng)的密碼應(yīng)用安全性評估試點逐步展開，首批10家密評機構(gòu)已經(jīng)國家密碼管理局認(rèn)定，穩(wěn)步開展密碼應(yīng)用安全性評估試點工作。密碼標(biāo)準(zhǔn)體系建設(shè)逐步健全，已發(fā)布68項商用密碼行業(yè)標(biāo)準(zhǔn)；密碼標(biāo)準(zhǔn)國際化實現(xiàn)重要突破，祖沖之算法成為3GPP標(biāo)準(zhǔn)、SM2和SM9算法成為ISO國際標(biāo)準(zhǔn)。

表：國產(chǎn)密碼主要產(chǎn)品形態(tài)

資料來源：千際投行，資產(chǎn)信息網(wǎng)

第二章 商業(yè)模式與技術(shù)發(fā)展

2．1 商業(yè)密碼產(chǎn)業(yè)鏈分析

上游：密碼／安全芯片、印刷電路板、服務(wù)器等IT設(shè)備及軟件開發(fā)工具，代表公司包括浪潮信息（毛利率11．88％）、深南電路（毛利率26．53％）、生益科技（毛利率26．65％）。

中游：以密碼技術(shù)為核心的產(chǎn)品、服務(wù)提供商，產(chǎn)品包括智能IC卡、智能密碼鑰匙（USBKey）、密碼機、電子簽章、數(shù)字證書認(rèn)證系統(tǒng)等。代表公司包括衛(wèi)士通（毛利率32．54％）、飛天誠信（38．37％）、中孚信息（69．87％）、格爾軟件（58．56％）、數(shù)字認(rèn)證（60．27％）。綜合網(wǎng)安廠商，部分產(chǎn)品涉及密碼技術(shù)，如啟明星辰（65．79％）、奇安信（56．72％）、深信服（72．19％），以及硬盤等數(shù)字產(chǎn)品巨頭Western Digital、Samsung Electronics。

下游：對信息安全具有較高要求的應(yīng)用行業(yè)，主要為政府、軍隊、軍工、央企、科研院所、金融、能源等行業(yè)，以及云計算、物聯(lián)網(wǎng)等領(lǐng)域的各級用戶。下游行業(yè)總體的信息化進程仍處于快速發(fā)展階段，信息化發(fā)展促進了信息安全及密碼產(chǎn)品、集成及服務(wù)需求持續(xù)增長。

圖：商業(yè)秘密產(chǎn)業(yè)鏈分析

資料來源：千際投行，資產(chǎn)信息網(wǎng)，數(shù)觀天下

產(chǎn)業(yè)鏈內(nèi)各企業(yè)也可能同時處于不同的位置。如成都衛(wèi)士通，既處于行業(yè)最上游，可以為下游企業(yè)提供密碼機、加密卡等產(chǎn)品，又是電子認(rèn)證產(chǎn)品生產(chǎn)商，位于行業(yè)中游，可以提供電子認(rèn)證系統(tǒng)及服務(wù)。產(chǎn)業(yè)鏈上游主要為密碼設(shè)備供應(yīng)商，處于電子元器件、IT設(shè)備及軟件開發(fā)工具等軟硬件生產(chǎn)制造行業(yè)。供應(yīng)的產(chǎn)品如加密機、密碼卡、USBKEY等。

受我國密碼政策的影響，對行業(yè)上游企業(yè)實施市場準(zhǔn)入制度，上游企業(yè)均為內(nèi)資企業(yè)，數(shù)量眾多，而且隨著國產(chǎn)自主可替代計劃的推進，電子元器件、集成電路、安全芯片趨于國產(chǎn)化，對國外提供商的依賴有所降低�？傮w來看，上游原材料供給穩(wěn)定，產(chǎn)品價格和質(zhì)量較穩(wěn)定，上游行業(yè)的波動對公司所處行業(yè)的影響較小。

2．2 網(wǎng)絡(luò)安全商業(yè)模式分析

參考中國網(wǎng)絡(luò)安全產(chǎn)品聯(lián)盟的分類，當(dāng)前我國網(wǎng)絡(luò)安全企業(yè)主要分為產(chǎn)品型、綜合型和集成服務(wù)型三大類，在毛利率、周轉(zhuǎn)率等財務(wù)指標(biāo)，以及上下游廠商和銷售模式方面具有顯著的差異。?

產(chǎn)品型

產(chǎn)品型安全企業(yè)的毛利率相對較高，交付周期短、應(yīng)收賬款周轉(zhuǎn)率高。上游包括供應(yīng)硬件平臺的硬件供應(yīng)商，以及供應(yīng)基礎(chǔ)軟件及模塊的軟件供應(yīng)商。下游主要為代理商或客戶，銷售模式以直銷和渠道相結(jié)合，其中直銷占比較高的公司如恒安嘉新等，還有部分企業(yè)以渠道銷售為主，典型的例如山石網(wǎng)科，以及直銷和渠道約各占一半的安恒信息。?

綜合型

綜合型安全企業(yè)的毛利率居中、企業(yè)規(guī)模大、產(chǎn)品線長。這類企業(yè)一般具有完善的營銷網(wǎng)絡(luò)和較強的品牌影響力，還會通過OEM形式擴充產(chǎn)品線，加強對多細(xì)分市場的覆蓋度。銷售模式往往采用直銷與渠道相結(jié)合，在直銷模式下，會參與一部分大型項目的集成服務(wù)工作。典型的企業(yè)包括啟明星辰、綠盟科技、深信服、天融信、奇安信等。?

集成服務(wù)型

集成服務(wù)型安全企業(yè)的毛利率相對較低、交付周期長，應(yīng)收賬款周轉(zhuǎn)率低。上游多為產(chǎn)品型安全廠商，供應(yīng)相對標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全產(chǎn)品。集成服務(wù)型廠商整合多方產(chǎn)品并以整體解決方案＋服務(wù)的形式向客戶提供交付服務(wù)，銷售模式以直銷為主，典型企業(yè)如中孚信息、數(shù)字認(rèn)證等。

圖：網(wǎng)絡(luò)安全商業(yè)模式

資料來源：千際投行，資產(chǎn)信息網(wǎng)，安信證券

2．3 網(wǎng)絡(luò)安全技術(shù)發(fā)展

網(wǎng)絡(luò)安全技術(shù)在持續(xù)演進和迭代。從簡單的防火墻、入侵檢測產(chǎn)品的部署到當(dāng)今結(jié)構(gòu)化的網(wǎng)絡(luò)安全產(chǎn)品部署，網(wǎng)絡(luò)安全技術(shù)在持續(xù)地演進和變革。參考IDC的最新預(yù)測，下一代安全產(chǎn)品將廣泛采用基于云計算、大數(shù)據(jù)分析、AI、SIEM（安全信息和事件管理）和認(rèn)知等相關(guān)的技術(shù)。而網(wǎng)絡(luò)安全防御體系也將向自動響應(yīng)、開發(fā)安全計劃、調(diào)查、追查、威脅誘捕等方向側(cè)重。借助層出不窮的新興技術(shù)，網(wǎng)絡(luò)安全產(chǎn)業(yè)在持續(xù)演進和迭代。

云計算徹底打破了網(wǎng)絡(luò)安全的固有“邊界”，私有云與混合云成為安全投入的重心。隨著云端數(shù)據(jù)體量不斷增長，第三方提供計算服務(wù)的公有云、企業(yè)自行開發(fā)的私有云，以及公有云和私有云配合使用的混合云的不斷發(fā)展，企業(yè)用戶對云計算的需求亦越來越多樣化，衍生出了多種云計算應(yīng)用場景，傳統(tǒng)網(wǎng)絡(luò)安全邊界被打破，且攻擊者更容易隱藏活動蹤跡制造網(wǎng)絡(luò)威脅，從而引發(fā)了全新的網(wǎng)絡(luò)安全問題，同時也為云安全的產(chǎn)品與服務(wù)提供了廣闊的應(yīng)用場景。

雖然我國公有云市場規(guī)模巨大，但云安全目標(biāo)客戶以小微企業(yè)為主，付費能力與意愿并不強烈，商業(yè)模式一直未能有效突圍。而安全服務(wù)對于以政務(wù)云為代表的私有云和混合云客戶來說則是剛需，從而成為目前主導(dǎo)我國云安全市場的核心力量。

大數(shù)據(jù)既是“防護對象”又是網(wǎng)絡(luò)安全的“武器彈藥”。狹義的大數(shù)據(jù)安全主要是指大數(shù)據(jù)場景下圍繞數(shù)據(jù)安全展開的大數(shù)據(jù)全生命周期的安全防護，包括大數(shù)據(jù)平臺安全、大數(shù)據(jù)安全防護和大數(shù)據(jù)隱私保護等，具體涉及大數(shù)據(jù)系統(tǒng)安全、大數(shù)據(jù)資源發(fā)現(xiàn)、大數(shù)據(jù)管理運營、敏感數(shù)據(jù)梳理、大數(shù)據(jù)脫敏、應(yīng)用數(shù)據(jù)審計、大數(shù)據(jù)審計等多個細(xì)分領(lǐng)域。但同時海量的非結(jié)構(gòu)化與結(jié)構(gòu)化數(shù)據(jù)在威脅情報與態(tài)勢感知等主動安全體系中同樣發(fā)揮著作為“武器彈藥”的功能。參考賽迪顧問數(shù)據(jù)，近年來我國大數(shù)據(jù)安全市場正在進入加速增長期。

“安全＋AI”的核心在于對安全知識的積累與有效應(yīng)用。參考IDC在網(wǎng)絡(luò)安全領(lǐng)域?qū)θ斯ぶ悄艿亩�義，其本質(zhì)是基于一系列結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)（包括日志、設(shè)備遙測、網(wǎng)絡(luò)數(shù)據(jù)包和其他可用信息）提供咨詢、增強服務(wù)和半自動化的網(wǎng)絡(luò)安全防御功能。

人工智能的價值并不在于識別攻擊或者攻擊分類，而是在于有效降低安全系統(tǒng)對安全知識的積累與高效使用成本。人工智能技術(shù)在數(shù)據(jù)分析、知識提取、智能決策等方面的優(yōu)勢為應(yīng)對動態(tài)多變、復(fù)雜交織網(wǎng)絡(luò)安全問題提供了新思路，網(wǎng)絡(luò)安全已經(jīng)成為人工智能應(yīng)用的重要方向之一。例如針對異常流量，人工智能為流量與日志的關(guān)聯(lián)分析與協(xié)同處臵提供了新的方案。研究機構(gòu)CB Insights數(shù)據(jù)顯示，2018年至2019年6月間，與網(wǎng)絡(luò)安全相關(guān)的人工智能投融資活動超過180筆。

“云＋大數(shù)據(jù)＋AI＋專家”大融合，將成為構(gòu)建整體安全能力的利器。云計算的架構(gòu)天然成為了海量大數(shù)據(jù)以及AI計算能力的承載平臺，對于安全行業(yè)也不例外，廠商自身的安全情報以及全網(wǎng)的安全信息都成為了構(gòu)建整體安全能力的“武器彈藥”，結(jié)合云端AI技術(shù)的分析挖掘與綜合判定，以及行業(yè)專家基于豐富知識經(jīng)驗的進一步補充和完善，安全能力與響應(yīng)速度均得到了極大增強。云＋大數(shù)據(jù)＋AI＋行業(yè)專家的全面融合，將成為構(gòu)建整體安全能力的利器。

2．4 政策監(jiān)管

政府法律法規(guī)

近年來，我國多措并舉、多管齊下，陸續(xù)健全了與數(shù)據(jù)安全相關(guān)的法律體系。從防護對象來看，《個人信息保護法（草案二次審議稿）》《數(shù)據(jù)安全法》對個人信息或企業(yè)數(shù)據(jù)安全建設(shè)提出明確防護目標(biāo)，是數(shù)據(jù)保護和數(shù)據(jù)利用的整體性法律框架。從技術(shù)手段來看，《密碼法》明確了將密碼技術(shù)作為核心的安全技術(shù)路線，將針對重要信息系統(tǒng)形成強合規(guī)增量市場。

圖：密碼“一法三規(guī)一條例”

資料來源：千際投行，資產(chǎn)信息網(wǎng)

行業(yè)自律要求

2021年7月12日，工業(yè)和信息化部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021－2023年）（征求意見稿）》，并提出：“到2023年，網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過2500億元，年復(fù)合增長率超過15％；一批網(wǎng)絡(luò)安全關(guān)鍵核心技術(shù)實現(xiàn)突破，達到先進水平；網(wǎng)絡(luò)安全產(chǎn)品、服務(wù)、解決方案單項冠軍企業(yè)數(shù)量逐步壯大；電信等重點行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例達10％；建成一批網(wǎng)絡(luò)安全人才實訓(xùn)基地、公共服務(wù)平臺和實訓(xùn)靶場；產(chǎn)融對接更加精準(zhǔn)高效，資本賦能作用持續(xù)加大”的發(fā)展目標(biāo)。

2021年5月1日由國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，該規(guī)定在明確App基本功能服務(wù)和必要個人信息范圍的基礎(chǔ)上，明確要求App運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用其基本功能服務(wù)。該規(guī)定的出臺科學(xué)地平衡了個人信息保護與促進App發(fā)展應(yīng)用的關(guān)系，保障了用戶對App基本功能服務(wù)的使用權(quán)，以及對收集使用非必要個人信息的知情權(quán)和決定權(quán)，有利于促進App的健康發(fā)展。

2021年4月26日由國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合發(fā)布了《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定（征求意見稿）》，該規(guī)定界定了適用范圍和監(jiān)管主體，明確了“知情同意”“最小必要”兩項原則。這一新政釋放出全力捍衛(wèi)公民隱私權(quán)的強烈信號，而APP也將面臨精細(xì)監(jiān)管。

2021年2月1日發(fā)布的《保險中介機構(gòu)信息化工作監(jiān)管辦法》由中國銀行保險監(jiān)督管理委員會正式發(fā)布，對保險中介機構(gòu)信息化工作提出全面要求，提出實施后的一年整改自查期內(nèi)，若不完成信息化系統(tǒng)建設(shè)，將不得經(jīng)營保險中介業(yè)務(wù)�！掇k法》將進一步提高保險中介機構(gòu)的信息化工作水平和經(jīng)營管理水平，構(gòu)建新型保險中介市場體系，促進保險業(yè)高質(zhì)量發(fā)展。

2021年1月15日發(fā)布的《監(jiān)管數(shù)據(jù)安全管理辦法（試行）》由中國銀行保險監(jiān)督管理委員會正式發(fā)布，旨在建立健全監(jiān)管數(shù)據(jù)安全協(xié)同管理體系，推動銀保監(jiān)會有關(guān)業(yè)務(wù)部門、各級派出機構(gòu)、受托機構(gòu)等共同參與監(jiān)管數(shù)據(jù)安全保護工作，加強培訓(xùn)教育，形成共同維護監(jiān)管數(shù)據(jù)安全的良好環(huán)境。

2020年6月12日發(fā)布的《民用航空旅客服務(wù)信息系統(tǒng)信息安全保護規(guī)范》規(guī)定了民用航空旅客服務(wù)信息系統(tǒng)需要滿足的相關(guān)信息安全技術(shù)要求和管理要求，適用于民航旅客服務(wù)信息系統(tǒng)的規(guī)劃、設(shè)計、開發(fā)、運行及維護等各個階段。

2020年3月5日發(fā)布的《關(guān)于深化醫(yī)療保障制度改革的意見》由中共中央、國務(wù)院印發(fā)，提出統(tǒng)一醫(yī)療保障業(yè)務(wù)標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，建立全國統(tǒng)一、高效、兼容、便捷、安全的醫(yī)療保障信息系統(tǒng)，實現(xiàn)全國醫(yī)療保障信息互聯(lián)互通，加強數(shù)據(jù)有序共享。規(guī)范數(shù)據(jù)管理和應(yīng)用權(quán)限，依法保護參保人員基本信息和數(shù)據(jù)安全。

2020年2月1日施行的《國家政務(wù)信息化項目建設(shè)管理辦法》由國務(wù)院辦公廳印發(fā)，對國家政務(wù)信息系統(tǒng)的規(guī)劃、審批、建設(shè)、共享和監(jiān)管作出規(guī)定，提出建立統(tǒng)一、集約化信息基礎(chǔ)設(shè)施和安全保障大平臺，對共性應(yīng)用與分散系統(tǒng)提供集中統(tǒng)一基礎(chǔ)設(shè)施支撐，將更加有利于提高政務(wù)信息系統(tǒng)的安全保障能力，提高系統(tǒng)建設(shè)的集約水平，避免重復(fù)建設(shè)。

2020年2月13日發(fā)布的《個人金融信息保護技術(shù)規(guī)范》由中國人民銀行正式發(fā)布，將個人金融信息按敏感程度、泄露后造成的危害程度，從高到低分為C3、C2、C1三個類別；同時，規(guī)定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護要求，從安全技術(shù)和安全管理兩個方面，對個人金融信息保護提出了規(guī)范性要求。

2020年2月26日發(fā)布的《2020年教育信息化和網(wǎng)絡(luò)安全工作要點》由教育部辦公廳印發(fā)，對2020年教育信息化和網(wǎng)絡(luò)安全重點工作進行了安排部署�！豆ぷ饕�點》提出，落實《教育行業(yè)密碼與應(yīng)用創(chuàng)新發(fā)展實施方案》，推進密碼基礎(chǔ)設(shè)施和支撐體系建設(shè)，有序推動教育重要業(yè)務(wù)信息系統(tǒng)開展密碼應(yīng)用安全性評估，完善教育數(shù)字認(rèn)證（CA）基礎(chǔ)支撐體系建設(shè)，推動國家教育管理信息系統(tǒng)密碼普遍應(yīng)用，提升系統(tǒng)安全和數(shù)據(jù)安全。