计算机行业深度研究报告:以密评促密改,密码行业迎来历史性机遇
AI智能总结
密评及密改市场空间大、渗透率低。密评行业持续增长逻辑明确,关基、等保三级及以上信息系统和国家政务系统需每年进行密评,具备投入持续性。 根据我们的推算,保守估计密评及密改的存量市场空间达到96亿元/年和765亿元,行业市场空间广阔。根据数观天下,2022年,密评行业交易额约2亿元,同比增长超100%,而密评市场整体渗透率不足2.5%,行业仍处于初期放量阶段。分行业来看,2021年,商用密码在金融及政务领域应用占比较高,分别为24.05%和19.31%;密评在政务、金融、医疗三大领域交易数量同比增长较快,预计公安和能源领域将会是下一步密评加速渗透的领域。 数字化(主动)+合规(刚性)+信创迎三重共振,共同推动密码行业快速发展。“新基建”的稳步推进,为数字经济蓬勃发展奠定基础,传统业务的数字化转型进程必然涉及信息安全问题,而密码作为信息安全的“扣环”,构筑成数字经济发展的“护城河”。数据安全事件频发,定期密评及时发现问题并进行改造具备必要性。近年来,我国密码产业在法律法规、算法标准、产业应用、监管体系等方面进展显著,针对密码行业的“一法三规一条例”的推出,为密码行业发展和密评稳步推进奠定了坚实土壤。根据赛迪研究院,2016年到2021年,我国商用密码产业规模年复合增长率达31%,2021年产业规模达到585亿元,预计2023年商用密码行业规模有望达到937.5亿元。在内需外压的双重驱动下,信创产业迎来历史性机遇。根据海比研究院,2022年信创产业规模达9220.2亿元,近五年复合增长率为35.7%,预计2025年突破2万亿元,而密码既是信创的重要组成部分,又为信创产业拧紧“安全阀”,信创产业发展为密码行业带来历史契机。 以密评促密改,密码产业链相关公司有望持续受益。密评环节测评的主要产品包括密码机、安全认证网关、电子签章、证书认证系统等多种软硬件形态密码产品,密评机构根据《商用密码应用安全性评估量化评估规则》对被测信息系统量化打分,最终给予被测评信息系统以符合、基本符合、不符合相应等级要求的评估结果。对于密评不合格的环节及系统,需进行相应密码改造,根据招标订单统计结果,一般密码改造费用在100-200万之间。后续随着密评执行的进一步落地,涉及相应密码产品研发、生产、销售的公司有望持续受益。 重点关注密改环节,密码产业链中相关受益公司。卫士通(密码芯片、密码机、密码卡、数字认证系统、签名服务器等)、信安世纪(证书认证、安全网关、签名服务器、全密码安全服务平台等)、吉大正元(电子认证、数字加密等)、格尔软件(公钥基础设施PKI等)、三未信安(密码芯片、密码板块、密码整机、密码系统等)、数字认证(数字身份管理、数字化交付、电子签章、密码设备等)、中孚信息(密码机、密码卡、智能IC卡等)、国芯科技(嵌入式CPU等)、信雅达(密码机、签名验签服务器、密码卡、支付密码器等)。 风险提示:密评及信创政策落实不及预期;市场竞争加剧。 投资主题 报告亮点 报告对密评、密改环节涉及对象、法律法规、产品技术、服务单价等进行了全面梳理。密评是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。密评的主要对象包括关键信息基础设施、等保三级及以上系统、政务系统等重要领域的信息系统。密评工作开展可以划分为两个阶段,分别是方案评估阶段和系统评估阶段,在系统评估阶段,密评机构主要以GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》为基本要求,依据《商用密码应用安全性评估量化评估规则》对被测信息系统量化打分,最终给予被测评信息系统以符合、基本符合、不符合GB/T 39786-2021相应等级要求的评估结果。一般情况,密评的单次收费在16万元左右。对于不符合密评标准或要进一步提高的信息系统需进行密码改造,密码改造环节涉及的主要产品包括服务器密码机、安全网关、签名验签服务器、Key和安全浏览器等,根据密码改造项目复杂度的不同,一般密码改造价格在100-200万元之间。 推算我国密评及密改行业存量市场空间,给出密评、密改行业当前渗透率较低,行业增速将进一步加快的明确逻辑判断。根据赛博研究院数据,2019年我国等保三级及以上系统数量约5万个,同时,密评单价在16万左右(招投标数据),保守估计我国密评存量市场空间达96亿元/年。根据数观天下,2022年,我国密评市场交易额约2亿元,同比增长100%,但相较于密评需求市场总规模,当前密评渗透率仍处于较低阶段。根据2018年商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统普查的结果显示,未使用密码的系统超过75%,在对第一批118个重要领域的信息系统进行安全性测评时,不符合规范的比例达到85%,甚至已被证明不安全的加密算法(如RSA1024、MD5)仍在大量使用。假设接受密评的信息系统中有85%有密改需求,推算我国密码改造的市场存量空间达765亿元。行业增速来看,密评在政务、金融、医疗三大行业的交易数量增速较快,我们预计未来密评将向能源及公安领域加速渗透。受益于数字化经济发展下对密码需求的源动力、密评的合规性要求推动和信创带来的历史性机遇,我们认为密码改造市场正在加速打开。 投资逻辑 密评及密改行业空间广阔,当前密评渗透率较低,在数字化、合规、信创的三重共振下,预计未来增速将进一步加快。根据我们测算,密评及密改的存量市场空间分别为96亿元/年和765亿元。2022年密评行业交易额约2亿元,同比增长100%,行业增速较快,但密评渗透率仅为2.5%,仍处于初期放量阶段,在数字化经济的密码刚性需求、数据安全法律法规不断健全、数据安全泄露事件外部驱动以及信创行业带来的历史机遇背景下,密评及密改的市场增长逻辑明确,增长速度有望进一步提升,密改环节所涉及公司将持续受益。 一、密评:密码产业发展的关键一环 (一)密码:保障网络空间安全的核心技术和基础支撑 《中华人民共和国密码法》明确密码定义:密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码技术是保障网络信息安全的核心技术,从功能上看,主要包括加密保护技术和安全认证技术。加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。密码在网络空间中对于身份鉴别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用,可实现信息的机密性、真实性、数据的完整性和行为的不可否认性。 图表1密码在网络安全方面发挥的三个重要作用 《中华人民共和国密码法》中将密码划分为核心密码、普通密码和商用密码。核心密码、普通密码属于国家秘密,商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,一般生活中接触更多的是商用密码。 图表2密码按安全等级分类 商用密码技术,是保障信息安全的核心技术: 从功能上看,主要包括加密保护技术和安全认证技术; 从内容上看,主要包括密码算法、密钥管理和密码协议。 商用密码产品,即承载密码技术、实现密码功能的实体。 按照形态划分:分为六类,即软件、芯片、模块、板卡、整机、系统; 按照功能划分:分为七类,即密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。 图表3商用密码产品 (二)密评:密码行业发展不可或缺的一环 1、什么是密评? 商用密码应用安全评估(简称“密评”):是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。 合规性:信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。 正确性:系统中采用的标准密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现,密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。 有效性:密码安全防护机制设计合理,在系统运行过程中能够发挥密码效用,保障信息的机密性、完整性、真实性、抗抵赖性。 2、主要密评对象 密评的主要对象包括关基、等保三级及以上系统、国家政务系统,密评频率为每年至少一次。根据《商用密码管理条例(修订草案征求意见稿)》第六章第三十八条,非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统,其运营者应当使用商用密码进行保护,开展商用密码应用安全性评估,通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估。同时,根据《商用密码应用安全性评估管理办法(试行)》第一章第三条:“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估”。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。 图表4主要密评对象 等保三级信息系统:在《信息安全等级保护管理办法》中,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将网络信息系统的安全等级保护从低到高分为五级。等保三级信息系统指信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的信息系统。 图表5信息系统的安全保护等级 关键信息基础设施:关基的概念首次提出和范围明确是在《网络安全法》中,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破环、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。根据《关键信息基础设施确定指南(试行)》,对关键信息基础设施做以下认定: 图表6关键信息基础设施认定标准 3、密评工作参考的主要标准 基本要求:主要依据国家标准GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,此标准于2021年10月1日正式实施,旨在指导、规范信息系统密码应用的规划、建设、运行及测评,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。 评估方法:目前主要参考的文件是2021年发布的GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》,中国密码学会密评联委会修订形成的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》。 量化评估结果判定规则:根据《商用密码应用安全性评估量化评估规则》,若整体量化评估结果为100分,则判定被测信息系统符合GB/T 39786-2021相应等级要求;结果低于100分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合GB/T 39786-2021相应等级要求;否则,判定被测信息系统不符合GB/T 39786-2021相应等级要求。 图表7测评指标权重表 4、密评涉及的主要产品及测评技术 根据《信息系统密码应用测评要求》,进行测评的典型密码产品有智能IC卡/智能密码钥匙、密码机、VPN产品和安全认证网关、电子签章系统、动态口令系统、电子门禁系统、证书认证系统。密评通过相关技术手段对密码产品实施测评,检验产品是否具备传输机密性、存储机密性、传输完整性、存储完整性、真实性、不可否认性的密码功能。 图表8典型密码产品应用测评技术产品类型测评实施 5、以政务信息系统为例,看密评工作全流程 密评工作主要分为两个阶段:一是信息系统规划阶段的密码应用方案评估,这一环节主要用于保证建设方案的安全性;二是信息系统建设完成后针对该系统开展现场测试。方案评估阶段:主要针对新建或改造信息系
