2022年计算机行业报告:以密评促密改,密码行业迎来历史性机遇
报告出品/作者:华创证券、邓怡,魏宗
以下为报告原文节选
------
一、密评:密码产业发展的关键一环
(一)密码:保障网络空间安全的核心技术和基础支撑
《中华人民共和国密码法》明确密码定义:密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码技术是保障网络信息安全的核心技术,从功能上看,主要包括加密保护技术和安全认证技术。加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。密码在网络空间中对于身份鉴别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用,可实现信息的机密性、真实性、数据的完整性和行为的不可否认性。
《中华人民共和国密码法》中将密码划分为核心密码、普通密码和商用密码。核心密码、普通密码属于国家秘密,商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,一般生活中接触更多的
是商用密码。
商用密码技术,是保障信息安全的核心技术:
从功能上看,主要包括加密保护技术和安全认证技术;
从内容上看,主要包括密码算法、密钥管理和密码协议。
商用密码产品,即承载密码技术、实现密码功能的实体。
按照形态划分:分为六类,即软件、芯片、模块、板卡、整机、系统;
按照功能划分:分为七类,即密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。
(二)密评:密码行业发展不可或缺的一环
1、什么是密评?
商用密码应用安全评估(简称“密评”):是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
合规性:信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求,使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。
正确性:系统中采用的标准密码算法、协议和密钥管理机制按照相应的密码国家和行业标准进行正确的设计和实现,密码保障系统建设或改造过程中密码产品和服务的部署和应用正确。
有效性:密码安全防护机制设计合理,在系统运行过程中能够发挥密码效用,保障信息的机密性、完整性、真实性、抗抵赖性。
2、主要密评对象
密评的主要对象包括关基、等保三级及以上系统、国家政务系统,密评频率为每年至少一次。根据《商用密码管理条例(修订草案征求意见稿)》第六章第三十八条,非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统,其运营者应当使用商用密码进行保护,开展商用密码应用安全性评估,通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估。同时,根据《商用密码应用安全性评估管理办法(试行)》第一章第三条:“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估”。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
等保三级信息系统:在《信息安全等级保护管理办法》中,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将网络信息系统的安全等级保护从低到高分为五级。等保三级信息系统指信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的信息系统。
关键信息基础设施:关基的概念首次提出和范围明确是在《网络安全法》中,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破环、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。根据《关键信息基础设施确定指南(试行)》,对关键信息基础设施做以下认定:
3、密评工作参考的主要标准
基本要求:主要依据国家标准GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,此标准于2021年10月1日正式实施,旨在指导、规范信息系统密码应用的规划、建设、运行及测评,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。
评估方法:目前主要参考的文件是2021年发布的GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》,中国密码学会密评联委会修订形成的《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》。
量化评估结果判定规则:根据《商用密码应用安全性评估量化评估规则》,若整体量化评估结果为100 分,则判定被测信息系统符合GB/T 39786-2021 相应等级要求;结果低于100 分、不低于阈值,且经风险评估发现没有高风险,则判定被测信息系统基本符合GB/T 39786-2021 相应等级要求;否则,判定被测信息系统不符合GB/T 39786-2021 相应等级要求。
4、密评涉及的主要产品及测评技术
根据《信息系统密码应用测评要求》,进行测评的典型密码产品有智能IC卡/智能密码钥匙、密码机、VPN 产品和安全认证网关、电子签章系统、动态口令系统、电子门禁系统、证书认证系统。密评通过相关技术手段对密码产品实施测评,检验产品是否具备传输机密性、存储机密性、传输完整性、存储完整性、真实性、不可否认性的密码功能。
5、以政务信息系统为例,看密评工作全流程
密评工作主要分为两个阶段:一是信息系统规划阶段的密码应用方案评估,这一环节主要用于保证建设方案的安全性;二是信息系统建设完成后针对该系统开展现场测试。方案评估阶段:主要针对新建或改造信息系统,密码应用改造方案一般由用户单位组织编写,用户单位编写密码应用建设方案/改造方案后,应委托专家对方案进行评估或委托密评机构出具方案密评报告。系统评估阶段:主要依据国标GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面开展评估。
6、密评服务收费情况
根据密评项目的难度与要求不同,密评项目服务收费方差较大,密评服务收费中位数在16万左右。
7、商用密码应用改造环节
密评过程中不合格以及需进一步提高的环节,需要对其进行密码改造。密码改造项目建设单位需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用密码技术措施,建立安全的密钥管理方案,采取有效的安全管理措施,进行系统保护。
密码改造产品主要包括服务器密码机、安全网关、签名验签服务器等。功能来看,服务器密码机能够为各类业务系统提供数据加/解密、数字签名/验签以及密钥管理等高性能密码服务;安全网关能为用户提供可信身份认证、访问控制、传输加密等密码安全服务;签名验签服务器具有数字签名、身份认证等功能,可为于电子商务、CA认证、网上银行等服务器端提供密码服务。一套系统最小化的密改方案除了上述产品外,客户端还需加上key和安全浏览器,金额总计为60万元左右,考虑到客户信息系统规模大小、功能,一般改造花费为100-200万元。
从密码产品及服务供应的产业链分析,密码产业链上游包括安全芯片、印刷电路板、服务器三大类;中游为以密码技术为核心的产品,包括密码机/密码卡、数字证书、vpn、令牌、电子签章、量子加密六大类;下游主要是软件、系统集成及应用领域。
二、密码行业迎来数字化+合规+信创三重共振历史机遇
(一)密评行业处于推广发展期,为密码行业发展提供安全屏障
根据炼石网络整理结果,我国密评行业经历了五个时期,当前正处于推广发展期:
制度奠基期(2007年11月至2016年8月):2007年11月27日,国家密码管理局印发《信息安全等级保护商用密码管理办法》,要求等保密评工作由国家密码管理局指定的测评机构承担。2009年12月15日,国家密码管理局印发了管理办法实施意见,进一步明确了与密码测评有关的要求。
再次集结期(2016年9月至2017年4月):国家密码管理局起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》,在七省五行业开展密评第一次试点工作。
体系建设期(2017年5月至2017年9月):国家密码管理局成立了密评领导小组,2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》、《信息系统密码应用基本要求》和《信息系统密码测评要求(试行)》,我国密评制度体系初步建立。
密评试点开展期(2017年10月至2021年):2019年开启第二批密评试点工作。2020年7月29日,国家密码管理局发布《商用密码应用安全性评估试点机构目录》,确定24家全国密评试点机构。2021年6月11日,国家密码管理局发布《商用密码应用安全性评估试点机构目录》,密评试点机构扩大至48家。
推广发展期(2021年至今):“十四五”时期数字化引领密评加速推广发展,金融、政务、教育、电信等行业将实现密评规模化布局。
-----------报告摘录结束 更多内容请阅读报告原文-----------
报告合集专题一览 X 由【虎鲸报告】定期整理更新
科技 / 电子 / 半导体 /
人工智能 | Ai产业 | Ai芯片 | 智能家居 | 智能音箱 | 智能语音 | 智能家电 | 智能照明 | 智能马桶 | 智能终端 | 智能门锁 | 智能手机 | 可穿戴设备 |半导体 | 芯片产业 | 第三代半导体 | 蓝牙 | 晶圆 | 功率半导体 | 5G | GA射频 | IGBT | SIC GA | SIC GAN | 分立器件 | 化合物 | 晶圆 | 封装封测 | 显示器 | LED | OLED | LED封装 | LED芯片 | LED照明 | 柔性折叠屏 | 电子元器件 | 光电子 | 消费电子 | 电子FPC | 电路板 | 集成电路 | 元宇宙 | 区块链 | NFT数字藏品 | 虚拟货币 | 比特币 | 数字货币 | 资产管理 | 保险行业 | 保险科技 | 财产保险 |
(特别说明:本文来源于公开资料,摘录内容仅供参考,不构成任何投资建议,如需使用请参阅报告原文。)
