商密专家交流纪要 –20221114

国密、商密、普密、核密分别是什么？ 密码是对数据进行加密保护和安全认证的技术、产品、服务的总称，国密是国产密码，包括商密、普密、核密三类，其中普密核密用于保护涉及国家秘密的技术产品和服务，商密则是保护非涉密信息。 密评、等保2.0/3.0测评和商密的关系？ 商密是一种技术的使用和推广，和评测体系之间是促进的关系。国家的等保和测评体系是为了推动国家网安体系的建立。 密评、等保3.0等对商密的使用都有落实要求，推动商密使用。 18年对全国一万多个系统做普查，接近85%的系统是没使用密码的。对其中118个重要领域的系统做密评，发现一半不符合要求。 后来在等保2.0的时候就特地在身份鉴别和应用等方面加了一些商密使用的要求。两套评估体系共同推动商密应用以及国产密码替换。 如何理解密码和数据安全、网络安全的关系？ 网安上升为国家安全战略，国家逐步加码政策资金。 网安维度大方向多，防火墙、杀毒软件、安全审计都是传统网安，随着安全体系不断完善，问题层出不穷，出现大网安概念，包括边界安全、操作系统安全、数据安全、人的行为管理。 数据安全是网安的一部分，网安保护的重要资产是数据资产，所以数据安全是比较核心的。密码的特点是直接应用于数据，第一要务就是保证数据的机密性，是保护数据最直接的手段。但密码之外边界安全、操作系统安全也要有，是彼此相互依托的关系。 密码能够保证数据信息资产的四大特性。 数据有可用性、健壮性等特性，密码能够直接保证数据的机密性、完整性（防篡改）、来源真实性、抗抵赖（不可否认性）。商密的应用从硬件、软件等方面看大概包括哪些产品和服务？ 产品偏硬件，软件较少。 主要是因为国家密码主管部门要求，密码运行必定需要的密钥不能用软件，只能用更加可靠的硬件。因此商密产品以硬件为主。 软件是为了移动互联网、大数据等特定的应用场景，国家才准许开设了几个口子用软件。 密码产品从上游到下游可以分为：最上游，源头是密码芯片，是一种专用芯片，就是为了实现密码算法；密码芯片可以封装成不同的数据接口逐步往下延伸，类似U盘接口的USB-KEY（例如网银登陆）就是一种密码产品；PCI-E（内存条一样的）密码卡；IC卡都属于硬件密码模块；和服务器结合在一起加上一定的软件开发就包装成为密码机（整机），比如VPN产品、做身份认证安全通道建立的安全认证网关等都统称整机类设备。 整机类再往下游延申，可以在整机上做软件系统开发，将密钥管理服务、签名服务等包装在一起形成软件类产品，比如密钥管理系统、电子签章系统、云管平台，都是基于底层硬件完成的密码系统建设。 再往下游延申就是一些比较专用的特殊领域的大型系统，比如税控系统、政务中的电子签章认证服务系统。 服务分为电子认证服务（第三方认证服务，PKI基础设施专门颁发数据证书，提供这种证书签发服务，即电子认证服务，是需要国家许可证的，比如上海CA，浙江CA等才可以提供）；密码咨询服务（为系统构建安全架构设计）、软件集成开发服务等。 商密市场空间和拆分？ 体量比较大，17年大概270多亿，随着密码法等相关法规颁布，商密市场会比17年大很多，但市场规模没官方的数。目前主流份额还是密码产品，从芯片到整机到系统类。 服务居少。 从测评体系的维度来看，由于测评体系的推动，发现很多信息系统在建设阶段基本没考虑密码产品的采购，所以有很大的空白市场要填补，会有大量密码设备的采购。 只有这些设备采购到位之后才会有服务、集约化管理，所以还在下一个阶段。 今年浙江市场11个地级市，每个地级市都已经启动云密码服务资源池的建设，也就是底层密码设备的一期工作，从省级的900多万到地级市的三四百万，目前每个地级市都会投入，县一级的相对比较少，但像富阳、萧山都在统筹规划自己的密码服务平台，县一级的体量大概是两百多万。 目前省市一级的采购只能满足信创等特定领域的供给，离全上密码，全用上密码的距离还是比较大的，所以接下来密码设备的供给市场还很大。另外还有一个很重要，不可缺失的市场，即测评市场。 去年浙江三家具有测评资质牌照的测评机构市场份额大概2000多万，今年6月就已经超了全年体量，今年年底估计要5000万，明年估计还要涨。测评的体量逐年增长，占到的市场份额也会逐年增长。 随着未来几年密码产品的使用和测评体系推广，还会衍生出像集成、软件实施服务这类的安全服务，这个方向可能要在三到五年之后，因为必须要等硬件设备全部具备之后，这些服务才会起来。 商密项目中硬件、软件、集成等大概的占比？个人经验来看，集成费用一般是4-5成。 因为政策原因、区域背景原因，除了部委级项目外，一般在各省做国密化改造的大部分是运营商或者原先做政府信息系统集成的单位，他们一般会在报价中占到三到四成，然后密码产品硬件会占四成，还有两成给软件，包括软件的适配改造、软件系统的采购以及相应的咨询测评服务。 商密的下游客户主要是谁？分别大概的占比？ 14年国家启动了一个金融专项，对网银支付、银行支付交易系统等做了全面的密码升级，所以金融行业比较成熟、饱和。上市的信安世纪、上海格尔都是做银行金融领域出身，金融带动好几个企业。 之后到去年信创项目的结尾，国产密码替代也是重要一环，所以前几年主要下游客户是政府。 国家从党政机关入手实际上是一个试点工作，在政府领域把国产化替代经验摸索成熟后就会逐步网其他行业推广，下一波重点领域会是能源（中石化中石油、电力的专供芯片调度系统、石油管网）；还有就是泛金融领域（证券期货基金保险等非银，去年年底证监会发文要求国有证券公司期货基金要在今年年底完成三级系统的国密化改造及测评，所以从去年到今年做的最大的是证券和期货行业）交通领域（ETC）、教育领域都会逐步起来。 18年出台了《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》，今年已经到扫尾工作了，之后会在新的领域有新的规划。目前占比无官方统计，但大致方向就是先从金融开始，在政府领域摸索经验，再逐步往基础设施领域推广：能源交通泛金融税务。 国内三级等保系统怎么看量价？ 以浙江为例，去年单纯等保三级大概4000多个系统。 三级系统平均下来一个最少的费用是60万，最大的费用没上限。 这个会随系统大小客户规模变，一个正常系统大概是60-200万之间。江苏和浙江接近，上海应该是浙江的2-3倍。 密码近期相关政策是否有变化，未来趋势？ 2020年颁布的密码法结合网络安全保护条例、国家政府信用管理办法得出这样的结论：三类一定要开展密评：政务类、等保三级、关基。密评后就会逐步整改。 但密码法对执法和处罚监管上的一些细节并不是很细化。 其实前几年就有一个《商用密码管理条例修订草案征求意见稿》，原版1999年的《商业密码管理条例》严重不适用如今的简政放权，前几年启动修订。 新版明确要求由谁执行监管和密码的应用推进工作：省市县三级都有权力，国家统筹工作，也明确要求了哪些系统要做密评及处罚措施。目前发现20到22年，密评的增长量几何倍增长，去年整个浙江省260个密评系统，今年3、4月已签合同就接近这个数量，年底估计过千。明年估计会更多，因为11月我们发现很多单位去年没考虑密评经费，但今年已经考虑了密评甚至密改的经费，这个在往年几乎是没有的。 国家层面之下，各个省市县密码主管部门也出台自己的规定，比如浙江省出的密评工作考核要求，温州市政务信息化管理办法的通知、江西省密码管理工作的通知。 后面还会出台密评的评估管理办法，一个是针对评估工作如何开展，一个是机构工作监督。 这些条例出来之后整个体系就健全了，上面是密码法，中间是条例，底下是主管部门出台的管理办法，再下面是各省市县结合自身情况出台的相应政策法规。 相比当时推等保，密评的政策法规制定要更密集，催化作用比对等保和传统网安更快，风口在未来三到五年内。如何看待明年放量的量级？ 密评市场大概翻番，数量从1000多翻到2000个。 因为浙江、上海、江苏、福建这些政府逐渐形成审批流程，项目的立项要有密码应用方案，项目的验收一定要有密评报告。 21年200多个系统中大概通过10多个，今年1000多个估计有6070个合格，明年2000多大概是过百。要拿到合格的密评报告就要在密码设备上投入。 商密、普密的竞争情况？ 核心竞争要素是不是资质和央国企背景？ 企业资质门槛方面，国家简政放权，取缔了三个许可证，只保留了对产品的核准，把原来的门槛降了一点。现在任何公司都可以参与密码产品的生产和销售，但产品需要拿到商用密码产品认证证书。 竞争上国有企业肯定更具备优势，尽管资质已经很大放开了，因为采用密码的重要领域（金融、政府）还是比较看重背景出身的。疫情前国家队还是具备很大优势的。 但这几年，在商密领域，接下来几年可能是交付能力和当地的技术配备力量起到关键性作用。 因为前几年对密码的使用量没那么大，很多国有企业的技术支撑能力和响应能力可以应付的过来。 但今年很多单位更倾向于综合实力比较强，在当地有驻扎团队，有定制化密码改造能力（要和业务强耦合）的企业。用户更期待定制化改造能力强，还有驻扎在本地的团队。 浙江省11个地级市都准备建密码服务平台，目前招标公开的项目来看，省平台是卫士通，宁波就是一家本地企业，绍兴是杭州本地企业，丽水是北京的一家企业。 从各地级市的招投标来看，卫士通的竞争力并不是很强，更多还是保障自己的省平台和普密领域。产品线全，本地交付能力强，定制化能力强才是关键，信安世纪、上海格尔都已经在各省市设点了。普密方面还是国有企业占大头。 因为普密还没有简政放权，目前能有资质的只有30所（卫士通普密），兴唐（大唐数据所），全国也就五六家能够销售，是专供类产品。接下来可能会开展密码建设的行业，这里边能排个序吗，哪个快一些？ 现有哪些厂商会有更好的市占率？ 证券期货这个领域比较重要，证监会明确规定80%改造率。 去年只是试点工作，后续有80%工作量放量，也有明确政策要求；第二个是能源领域，像电力的电力调度系统、配电网系统，风力、核电；第三个是税控，国家税务总局也建了整体的密码的统筹规划架构设计，要求是接下来几年省市税务局完成国密化替代工作；还有就是教育领域和医疗领域。 卫健委和教育部都组织了典型的密码企业和一些系统建设单位，出台了一些建设标准，要求逐步完成替代工作。哪些厂商在细分领域会做的比较好？ 比如说电力未来会是哪家做的比较好？ 电力比较封闭，目前做替换工作的企业比较少，都是国家电网下属的公司，国电南瑞，国电南自等，会和一些密码企业进行OEM产品，很难去观察。 冲在改造最前面的是国电下属的一些三产企业和自己的研究所、科研公司。集成之后采用什么企业的密码很难确定。 国税不了解。 证券期货这边看，比较大的份额是上海格尔、信安世纪、三未信安，都做得差不多。数字认证在医疗保险做的比较好。 有无数据中心，和业务无关，就是专门保护数据传输的密码厂商，不需要去做系统定制化？从密码产品的规划使用来看，各个厂家的侧重点不一样。 有的做数字认证，有的做传输加密，也有专门做物理环境安全的。 做密评一般分四个维度测评：物理机房、网络通信、设备管理、应用层面。 应用层面改造的难度比较大，像专门做物理机房改造的，其实和应用关系就不大，比如中控、天津光电等，也有做门禁的，比如海康威视也在拿产品认证去做物理机房改造。 这类厂商和业务系统就不太相关，难度会大幅下降。 这个空间是包含在之前说的60万里面的。