2022中国网络安全行业 商用密码产品及服务购买决策参考 2022年11月发布版 目录 前言1 安盟信息8 奥联13 梆梆安全21 北卡科技27 观成科技34 国泰网信37 吉大正元59 敏捷科技69 明朝万达75 宁盾81 时代亿信89 双湃智安94 新华三100 信安世纪104 赢达信114 云上密码119 前言 网络安全的“新基建”:商用密码 商用密码是网络安全的基石,也是中美网络空间“新基建”竞争的重要战略资源。 今年10月份,拜登政府发布美国国家安全备忘录并明确指出:将不懈关注国家关键基础设施防御的改善,建立一个全面的方法来“锁紧美国的数字大门”,并强调将通过开发新的加密技术来“建立美国技术优势,保护未来的在线商务和国家机密。” 11月,特斯拉创始人马斯克入主Twitter的第一件事不是急于开发“类似微信的新功能”,而是开除了Twitter整个网络安全团队,并宣称将为Twitter私人消息开发端到端加密功能。 密码技术是维护网络安全最有效、最可靠、最经济的技术手段。2022年从关键基础设施到消费互联网,越来越多的政府机构和企业开始主动使用密码技术强化数据安全和个人信息保护,重构网络信任体系。 今天,密码技术已经成为下一代互联网的“底层逻辑”,“密码霸权”阴影下数字经济的“定海神针”,更是“关键基础设施安全”和“关键核心技术安全可控”的核心要素。 商用密码迎来“最好的时代” 近年来随着数字化转型、云计算、物联网、5G、大数据等数字化进程加速,疫情推动的远程办公和混合办公导致攻击面不断扩大,数据加密脱敏,漏洞管理、 访问控制等环节的风险不断增长,全球关键基础设施多次发生大规模数据泄露事件,已经为各国政府敲响警钟。 白宫的国家安全战略强调密码技术普及和创新的重要性,希望通过(抗量子加密等)商用密码技术创新巩固美国的“密码霸权”。 我国作为全球第二大经济体,密码配套政策法规和标准化工作近年来也紧锣密鼓开展,2020年1月《密码法》的颁布实施;2021年10月1日,国家密码应用与安全性评估的关键标准(GB/T39786)正式实施,明确指出等保三级要求所使用的密码产品应达到二级及以上安全标准。 在“密评密改”等合规性需求刺激下,中国的商用密码市场进入了高速增长期,根据华经产业研究院报告,2020年在新冠疫情流行的客观环境下,我国商用密码产业仍取得高速发展,总体规模达到466亿元,较2019年增长33.14%,预 计2023年商用密码行业规模有望达到937.5亿元。 在关键基础设施领域,随着我国《关键基础设施安全保护条例》(2021年9月)的实施,以及首个关键基础设施国家标准《信息安全技术关键信息基础设施安全保护要求》(2023年5月1日实施)的颁布,将进一步推动商用密码应用市场的发展。 《标准》提出了关键信息基础设施安全保护3项基本原则: 以关键业务为核心的整体防控 以风险管理为导向的动态防护 以信息共享为基础的协同联防 无论是“整体防控”、“动态防护”还是“信息共享”,都对关键基础设施的网络安全和数据加密提出了更高的要求。 此外,关键基础设施国家标准还明确强化检测评估(至少每年一次),推动等保制度落实、商用密码应用、供应链防护、数据安全的安全性评估。过去,我国地方政府政务服务平台的数据加密及密码应用环节薄弱,使用非国产密码算法的现象也比较普遍。在法规和标准化的“双管”推动下,商用密码应用正从省部级平台逐步向市区级平台纵向和行业横向延伸,区域密码工作正蓬勃开展。 与此同时,我国商用密码产品自主创新能力持续增强,产业支撑能力不断提升,商密标准体系逐步完善,密码国产化和密码改造与其他网络安全产品和生态的整合加速,商用密码产业将迎来长期且持续的发展机遇。 商用密码的选型 随着云计算、大数据、物联网、车联网、区块链、数字货币、远程办公等商用密码新场景和新需求的涌现,商用密码市场蓬勃发展,密码应用安全建设已经成为我国网络安全建设的第三大合规市场。除了传统密码厂商,还有许多科技和安全企业也已经或正在进入这个赛道,并陆续推出自己的密码卡、服务器密码机、安全认证网关等密码类产品。 目前,我国商用密码市场百花齐放,现有商用密码产品达到3000余款,其中 2200余款产品取得商用密码产品认证证书,部分产品性能指标已达到国际先进水平。品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条,形 成了完整的商用密码产品体系和算法体系,产品主要分为以下六类: 密码算法类:提供密码运算功能,加密卡、密码芯片等。 数据加解密:提供数据加解密功能产品,如服务器密码机、云服务器密码机、VPN加密网关和加密硬盘等。 认证鉴别类:提供身份鉴别等功能产品,如认证网关、动态口令、令牌环,签名验证服务器。 证书管理类:提供证书产生、分发、管理功能的产品,如证书认证系统等。 密钥管理类:提供密钥产生、分发、更新、归档和恢复等功能的产品,例如证书认证密钥管理系统、支付服务密钥管理系统等。 密码防伪类:提供密码防伪验证功能的产品,例如电子签章、时间戳服务器。 由于商用密码行业较为分散,尚未形成产业集群优势。未来五年,商用密码应用市场将呈现网络安全企业与传统密码厂商之间相互竞争又相互融合的新局面。 商用密码应用面临的挑战 合规驱动。商用密码市场目前仍然是合规驱动为主,等保和关基用户关注的重点是旧密码系统的改造、升级与合规。新场景需求尚未得到充分释放和有效监管。 选型困难。商用密码市场分散、应用体系复杂、产品种类繁多,企业难以对商密产品体系的合规性、安全性以及“自主可控”等进行全面评估。 整合困难。密码应用和升级改造涉及算法、协议、产品、技术体系、密钥管理、密码应用等多个方面,统一密管、统一认证、数据加密、云安全和移动安全的密码应用运营管理体系的建设还面临与其他安全产品方案(例如零信任)和信息系统的整合和统一管理问题。 人才短缺。与其他安全领域技术升级面临的困境类似,企业用户普遍缺少专业密码技术人才,密码应用的需求、规划和实施能力较弱。 产品与服务的选型参考基准: 针对企业商业密码/国产密码应用面临的挑战,商业密码产品和方案选型除了需要安全合规(例如密码产品资质以及密评工作指导文件《信息系统密码应用高风险判定指引》等),还可参考以下选型基准建议: 可管理性和可见性。包括密评密改工作进度和成果的可视化监控和管理。 自主可控。采用国密算法进行数据传输和存储加密。 云原生架构。密码管理和服务平台的云原生开发部署和管理、可量化、统一资源一站式管理、弹性扩容、云安全。 系统化建设。统一建设密码服务平台,确保为应用系统提供统一、标准、规范、便利、安全、可扩展、易维护的密码服务,同时能够满足建设单位对应用系统密码应用的安全需求以及管理要求。(SSO应该是“标配”产品,不是奢侈品。) 产品自身的安全性,减少密码应用系统带来的新的攻击面。 与其他安全产品和方案的可集成性和可扩展性。 厂商的专业服务与持续开发能力。 身份认证采用高强度MFA多因素认证(基于PKI、硬件密钥或APP)。 遏制和缓解中间人攻击以及社会工程攻击威胁。 GoUpSec深入调研了多家知名国内商用密码专业提供商和综合安全厂商,从产品功能、应用行业、成功案例、安全策略等维度对各厂商商用密码产品及服务进行调研了解,整理形成了2022年中国网络安全行业《商用密码产品及服务购买决策参考》。 本次报告共收录16家国内网络安全厂商,共计37个商用密码产品及服务,成 功实施案例44例,分别来自政府、金融、运营商、能源、医疗、物联网、车联网、电力、交通、公安、制造业、医疗、互联网、地产、教育等重点行业。 *由于市场调研工作或时间局限等原因,部分商用密码厂商暂未报名参与此次调研,后续我们将继续补充完善相关名录。 安盟信息 一、公司名称: 北京安盟信息技术股份有限公司 二、公司logo: 三、商用密码产品名称:安盟华御密码应用监测平台安盟华御密码服务平台 四、产品特点及优势: 安盟华御密码应用监测平台:特点: 契合密码主管部门的管理模式,支撑主管部门行使监督检查指导等职责推进密评工作推进的环节把控,实现密评密改工作状态一窗式管理呈现 支撑全局视角下的密评可视化,实时获取信息系统的密码应用运行情况分区域分行业展示密码工作成果,全局化呈现密码工作推进成效与趋势优势: 依据主管部门的管理逻辑,提供更贴身的密码工作管理工具细化密评密改项目逻辑,从参与角色出发 支持级联部署,实现省市县多级密码应用工作统筹 多维度多角度梳理区域密码工作进展,综合化展现发展趋势和建设成效 安盟华御密码服务平台:特点: 通过平台化集约化设计,统一资源管理,统一服务接口 提供标准化组件化服务能力,支持用户应用快速对接、快速上线云原生架构设计研发,支持容器化部署和多租户隔离 支持对密码应用情况进行健康度监测 优势: 支持云原生部署运维,管理简便,支持快捷、自动化扩容;支持对应用的认证授权和细粒度访问控制; 支持基于流量、应用、时间等要素的配额管理和流量控制; 提供密码事件库、规则库对密码应用的态势进行风险预警和报警。 五、成功案例: 安盟华御密码应用监测平台: 为某市密码主管部门部署密码应用监测平台,提供区域级密码应用情况的监测和展示,为主管部门提供密评密改统一管理、密码应用环节把控、密码应用态势呈现、信息采集逐级汇聚等能力,聚合了主管部门、业务单位、产品厂商和测评机构,为当地密码工作的开展提供了有效的工具支持。 安盟华御密码服务平台: 为某市政务云部署密码服务平台,提供平台化可运营的密码服务能力。在政务云上发布密码服务,某委办局的信息系统通过采购云上的密码服务获取满足密评要求的密码保障能力。 六、适用行业: 密码及行业主管部门、政务云平台、央企云平台、行业云平台 七、联系人姓名及职位 姓名:张莉 职位:市场 联系方式:13701191423 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语: 三分技术,七分管理。随着密码应用从省部级平台逐步向市区级平台纵向和行业横向延伸,区域密码工作蓬勃发展,如何有效的统筹与督导区域工作、检查和指导各业务单位的密评工作开展情况成为密码主管部门的一个重要任务。 密码应用监测平台能够协助密码主管部门行使密码应用监督检查指导等职责、开展区域内商用密码事中事后监管、支撑区域内商用密码工作监督管理、完善区域内密码应用信息采集机制展现区域内商用密码应用整体态势、构建区域内密码应用动态监测能力,成为密码主管部门开展密码工作如臂使指般的工具和平台。 随着各省市政务部门、行业企业纷纷开展上云上平台,密码应用建设的主体环境也随之迁移到云平台上,密码服务平台基于其云原生、租户隔离、集约赋能、一站管理、可计量可管控、可监管可预警等特性,能够为政务云、行业云、企业云运营机构和业务单位提供按需调用、弹性扩容、易用好用的密码服务,为运维人员提供分权分域、一窗统管的运维管理能力,为运营商提供全网覆盖、一键直达、多维可视、一图概览的密码应用态势,成为云运营单位对外发布、管理和运营密码服务的核心基础承载平台。 ——北京安盟信息技术股份有限公司商用密码发展中心总经理韩斐 奥联 一、公司名称: 深圳奥联信息安全技术有限公司 二、公司logo: 三、商用密码产品名称: 1.统一密码服务平台 2.数据库加密系统 四、产品特点及优势:特点: 统一密码服务平台: 在国家信息化建设的不断推进以及网络安全已上升为国家战略的大背景下,奥联 统一密码服务平台整合了各厂家的密码资源,直接面向业务应用场景,提供统一的密码资源池管理、统一的系统运维监控、统一的密码接口规范、统一的密码策略配置、统一的密码安全应用管理,从而实现统一用户管理、统一身份认证、统一密码应用、统一运维监控的效果,满足应用信息系统的安全合规要求、密码技术的统一标准化改造和密码资源的统一管理与