点击 信创纵横 并设为星标⭐️ 及时获取最新资讯
编者按:2022年,“密评”(即“商用密码应用安全性评估”)成了各行业关注的热词。在《密码法》的要求下,在国标《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)的指导下,各地各行业积极、严谨地开展密评工作,关键信息基础设施、政务信息系统、等保三级以上信息系统建设,都要“过密评。近日,资本市场上多家密码企业大涨,行业信创对密码系统尤其商用密码提出了新的要求,引领需求爆发。未来五年是大信创时代,密码系统尤其是商用密码将会迎来爆发性需求。
01
什么是商用密码
2020年1月1日,《中华人民共和国密码法》正式颁布施行,这是我国密码发展史上具有里程碑意义的大事。在密码法中,对于商用密码是这样定义的:“商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。”网络空间处处用到商用密码,商用密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥着重要的作用。
电信、电力、能源、金融、交通等国家关键信息基础设施,我们日常用到的刷卡消费、社保系统、电子邮件,都大量使用商用密码,用来实现网络和信息的加密保护和安全认证。随着以数据为核心的数字经济成为经济发展的新驱动力,数据安全上升到国家主权的高度,商用密码作为数据安全防护的核心技术和基础支持,成为了国家信息化发展战略及国家大数据战略的重要布局。
商用密码是网络信任体系的重要基石,是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规均不同程度地提到要使用商用密码。在信息互联时代,密码除传统加密外,主要体现在身份认证、权限管理、访问控制等。数字经济时代,密码的作用不断扩展到数据流通、数据共享等新维度,密码技术自身也需要持续革新。
02
什么是密评
商用密码应用安全性评估(简称“密评”)是指针对采用商用密码技术、产品和服务集成建设的网络和信息系统应用的合规性、正确性、有效性进行评估。
“密评”(商用密码应用安全性评估)首批试点于2017年启动,2019年《密码法》的出台以及2021年《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)的发布,推动我国密评合规进入快速发展阶段,国产密码建设以合规为主要驱动,带动国密改造业务在政府、金融等领域的加速落地。
03
遵循的技术标准
中国密码学会密评联委会发布并持续更新依照GB/T 39786-2021开展密评的系列指导文件,目前包括5项:
01 GM/T 0115-2021《信息系统密码应用测评要求》
02 GM/T 0116-2021《信息系统密码应用测评过程指南》
03 《信息系统密码应用高风险判定指引》
04 《商用密码应用安全性评估量化评估规则》
05 《商用密码应用安全性评估报告模板(2021版)》
04
密评的基本要求和程序设计
范围要求:法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统并定期进行密评。
机构性质:密评机构应当经国家密码管理局认定,依法取得商用密码检测机构资质,且资质认定业务范围载明“商用密码应用安全性评估”。
实施要求:包含方案测评、系统测评、运营者支持配合义务、结果备案等。
信息系统密码应用基本要求
05
如何通过密评
信创建设开启新一轮周期
《“十四五”国家信息化规划》明确2022-2025年将开启新一轮数字经济建设周期。党政信创将从电子公文向电子政务推进、从省市延伸到街道乡镇。行业信创规模化落地,大单不断。信创产业加速发展,成为国产密码的又一重要助推,党政信创+行业信创对信息安全提出了更高要求,密码有望成为贯穿信创全生态的安全基础。密码技术或将重构安全防护边界,推动信创安全体系实现从以网络安全为中心向以数据安全为中心深化转型,国产密码有望随信创建设实现跨越发展。
密码是网络信任体系的重要基石,行业规模增长显著
根据《中华人民共和国密码法》,我国密码分为核心密码、普通密码、商用密码三大类,商用密码是我们讨论的主要范畴。密码作为网络信任体系的重要基石,是网络“主动”安全的重要支撑,涵盖数据加密、身份认证、消息认证三大场景。随着我国网安建设由“演习驱动”向“内生驱动”转型,密码技术重要性日益凸显,据日前我们发布的《2021-2022商用密码行业分析报告》,截止 2021 年底,我国拥有有效期内的认证商用密码产品数量共计2205款。从产品区域分布看,华北、华东、华南地区位居前三,华北地区商用密码产品数量引领全国,比重接近42%,主要以北京市为牵引;华东地区位居第二,占比达28%,上海、浙江、江苏、山东地区表现亮眼;华南地区占比17%,主要广东省为主。其中, 北京地区商密认证产品数量多年稳居首位,占全国商密认证产品比重约38%;广东次之,占比约16.5%;上海、浙江、江苏、山东等地发展基础良好,初步形成了地区集群发展之势。商用密码认证产品数量占比排名前10的省份,合计占比超 90%。
据赛迪网安所发布的统计数据来看,2018年市场规模总量283亿元,较上一年增长18.21%;2019 年市场规模总量为350亿元,较上一年增长23.67%;2020年市场规模总量为466亿元,较上一年增长33.14%。2022年我国商用密码市场规模有望达到707.64 亿元,同比增长36.14%,2023年有望达985.85亿元,同比增长39.32%,预计2024年我国商用密码市场规模将突破千亿。
从密评合规到信创安全,国产密码矢量加速
信创安全助推国密建设,构建国产信息系统的软硬件底层架构以及全周期安全生态,产业链涵盖CPU、GPU、服务器等硬件环节,操作系统、数据库、中间件等基础软件,OA、ERP、办公软件等应用软件以及边界安全产品、终端安全产品等网络安全软硬件。密码作为网络安全的核心技术支撑,有望成为贯穿信创全生态的重要安全基础,推动信创安全体系实现从以网络安全为中心向以数据安全为中心深化转型,同时,国密产品将实现信创软硬件体系的全面适配,产品应用深度与广度均有望提升。
重点行业的密码相关政策基本明确,密码护航信创成为共识。从政策发布情况来看,党政、金融、医疗、教育的密码相关政策数量较多且起步时间较早(2020 年之前均已启动信息系统密码建设),拥有较大的存量替换空间;近年来随《政务信息系统密码应用与安全性评估工作指南》(电子政务)、《中国银保监会监管数据安全管理办法(试行)》(金融)、《“十四五”全民健康信息化规划》(医疗)、《教育部关于加强新时代教育管理信息化工作的通知》(教育)政策颁布,信息系统密码建设持续推进;考虑到金融、医疗、教育作为信创重点行业的建设先发性,金融、医疗、教育等行业的国密改造有望率先全面推进。
总结
网络安全正向“以数据为中心”的安全体系转型,密码技术重要性凸显。传统网安厂商已经开始入局密码市场,这是对密码技术重要性以及广阔市场空间的重要验证,未来应重点关注以密码为核心技术的安全厂商,根据之前发布的《2021-2022商用密码行业分析报告》统计,国产商用密码厂商数量众多,营收体量相对较小,行业集中度CR5 为 25%,CR9 为 40.4%,市场竞争格局相对分散,行业龙头有望加速诞生。
截至2021年4月,通过国家密码管理局审批的商用密码通用产品有2400余款,形成了从芯片、板卡、整机到系统和服务的完整产业链。那么商用密码产品都有哪些呢?下面为大家介绍35类主流商用密码产品。
具有数字证书存储、身份认证、数字签名和数据加密存储,那么密码产品有哪些呢?我们进行一个简单的罗列。产品应用于手机、PDA、GPS、警务通、执法仪、笔记本电脑等智能移动电子设备中,作为强身份验证、数据加密保护的专用密码工具,且具有一定的存储空间。
为各类安全平台提供多线程、多进程和多卡并行处理的高速密码运算服务,具有数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能。产品应用于签名验证服务器、IPSec/SSL VPN网关、防火墙等安全设备以及电子印章管理、安全公文传输等软件系统。
03.
存储型智能密码钥匙
USBKEY和安全U盘的融合产品。具有智能密码钥匙身份认证、数据加密等功能,并集成大容量安全数据存储空间,具备高安全的移动存储功能。
内置安全芯片,提供数字证书管理、数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成等功能。可作为用户登录业务系统的身份凭证。
内置专用硬件算法芯片,实现全盘数据加密存储,用户只有通过身份认证后才能访问加密区,防止加密区数据泄露确保用户数据的机密性。
提供对非对称/对称数据加解密运算以及数据完整性校验、真随机数生成、数字签名、密钥管理等。
用于确保金融数据安全,并符合金融磁条卡、IC卡业务特点的,主要实现PIN加密、PIN转加密、MAC产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备。
基于IPSec协议提供网络传输的数据提供高性能加密、签名验证服务。通过虚拟隧道技术为总部和分支机构网络之间建立专用通道,保障通道中传送数据的保密性、完整性和真实性。
提供基于安全套接层SSL的安全通道防护,实现终端用户的远程安全接入,保障远程用户访问公司敏感数据安全性。
提供非对称密钥对和对称密钥的生成、存储、保护、分发、注销、归档和恢复,以及对密钥申请的授权和证实、归档密钥的恢复、密钥管理的审计和跟踪、密钥管理系统的访问控制等功能。
提供数字签名/验证、文件签名/验证、数字信封、密钥管理、证书管理、数据杂凑等功能。可对网上证券、网上保险、网上银行及电子商务和电子政务活动中的关键敏感数据进行签名验签。
基于PKI关键技术,提供数字证书的申请、审核、签发、查询、发布,证书吊销列表的签发、查询、发布等全生命周期管理功能。应用系统可使用加密和数字签名技术,保证网络信息传输的机密性、真实性、完整性和不可否认性。
采用数字证书为应用系统提供基于数字证书的高强度身份鉴别服务,如用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务。
用于保护PIN输入安全并对PIN进行加密的独立式密码模块。包括POS主机等设备的外接加密密码键盘和无人值守(自助)终端的加密PIN键盘。
基于KPI技术的时间戳权威系统,对外提供精确可信的时间戳服务器。广泛应用于网上交易、电子病历、网上招投标和数字知识产权保护等电子政务和电子商务活动中。
采用密码技术,确定用户身份和用户权限的门禁控制系统。
为应用系统提供动态口令认证服务。由认证系统和密钥管理系统组成。动态令牌负责生成动态口令,认证系统负责验证动态口令的正确性,密钥管理系统负责动态令牌的密钥管理,信息系统负责将动态口令按照指定的协议发送至认证系统进行认证。
提供电子印章管理、电子签章/验章等功能的密码应用系统。
在电子文件创建、修改、授权、阅读、签批、盖章、打印、添加水印、流转、存档和销毁等操作中提供密码运算、密钥管理等功能的应用系统。
采取密码技术,为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。
证书认证系统,对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。证书认证密钥管理系统,对生命周期内的加密证书密钥对进行全过程管理的系统。
含密码算法、安全功能,可实现密钥管理机制的集成电路芯片。
含密码算法、安全功能,可实现密钥管理机制的集成电路芯片。
传统印章与数字签名技术结合,采用组件技术、图像处理技术及密码技术,对电子文件进行数据签章保护。电子印章系统包括电子印章制作系统与电子印章服务系统。电子印章制作系统主要用于制作电子印章,印章数据通过离线的方式导入电子印章服务系统。电子印章服务系统主要用于电子印章的盖章、验章。
由密钥生成、密钥库管理、密钥恢复、密码服务、密钥管理、安全审计、认证管理等功能模块组成。
实现密码运算和密钥管理功能的含CPU(中央处理器)的集成电路卡,包括应用于金融等行业领域的智能IC卡。
提供移动终端、PC等全终端环境下的可信身份认证服务。利用移动终端作为身份认证载体,以密码技术为核心,通过融合数字证书、生物识别、设备指纹、安全加固等多因素、多维度安全技术,实现安全强度可媲美USBKey的移动终端解决方案。
为电力调度部门上下级控制中心多个业务系统之间的实时数据交换提供认证与加密服务,实现端到端的选择性保护,保证电力实时数据传输的实时性、机密性、完整性和可靠性。部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间。
可提供服务器密码机、金融数据密码机、签名验证服务器等多种类型的虚拟密码机;使用方式与传统密码机基本一致,方便传统业务平滑迁移至云环境。
一种小微型加密认证网关设备。产品基于国密算法实现身份认证、访问控制、数据加解密等功能。产品可自身配对使用或与其它加密认证网关类产品配合使用,解决工控终端与应用系统、物联网终端与应用系统以及小型数据中心之间的安全互联,实现数据/指令的传输加密和完整性校验。
针对密码机、VPN网关等各类标准密码设备及各类支持密码运算的工控设备(如智能电表)进行密码算法、随机数、密码协议、密码运算性能等方面的自动化检测。
采用基于空域的局部图像水印嵌入技术在视频和图片上添加隐形的水印信息,不影响其原载体的使用价值和图像质量,可以被生产方识别和辨认,不易被它方探知,保护多媒体信息安全、实现防伪溯源、版权保护。
与预留印章配合使用鉴别票据真伪的一种辅助工具,针对传统的预留印章鉴别,其具有防伪、防篡改、抗抵赖和防止内部作案等。
具有普通通话和加密通话两种功能,机身有加密\非加密转换开关和密钥转换开关;机身内连接调制解调电路,该电路包括低通滤波、调制解调和分频电路,可使普通话音信号经调制加密而发出,也可使加密话音信号经解调去密而接收;当转换开关置于加密位置时,通话电路与调制解调电路相连。
通过系统中加密、DBMS内核层(服务器端)加密和DBMS外层(客户端)加密。且能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。
END
点击图片查看完整内容:
