2019-2020商用密码行业分析报告

2019-2020商用密码行业分析报告参与评审单位:(排名不分先后)2021年2月数观天下深圳市商用密码行业协会北京安御道合科技有限公司江南信安（北京）科技有限公司北京海泰方圆科技股份有限公司北京三未信安科技发展有限公司北京数盾信息科技有限公司北京数字认证股份有限公司云上(江西)密码服务科技有限公司商密在线(北京)科技有限公司数观天下目录12中国商用密码产业概况中国商用密码市场分析3中国商用密码产业链分析数观天下1中国商用密码产业概况数观天下我国真正意义上的商密行业只有二十多年的发展历史，其发展轨迹大致可分为以下三个阶段：发展历程起步阶段（2005 年之前）：主要应用于银行、证券、海关等金融相关的领域.金融行业的监管要求推动了金融数据密码机等商密产品的研制及应用。初见规模（2005-2010年）：基于数字证书的PKI技术(公钥密码基础设施)取得大力发展，商用密码产品和技术为网络上的身份认证、数据传输加密、电子签名等提供技术支撑，推动了电子商务、电子政务、各个行业信息化的发展，我国的商密产业初见规模。大力发展（2011年以后）：2011年，密码行业标准化技术委员会正式成立，制定了SM2/3/4/9、ZUC等密码算法标准以及一系列密码协议、产品等行业标准，逐渐建立了我国的商用密码标准体系。近几年，国家出台了一系列法规政策，更是大力促进了商密产业的发展。密码分类数观天下主管部门主要职责中央网信办着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题；研究制定网络安全和信息化发展战略、宏观规划和重大政策；推动国家网络安全和信息化法治建设，不断增强信息安全保障能力。国家发展和改革委员会、工业和信息化部负责产业政策的研究制定、行业的管理与规划等公安部主管全国公共信息网络的安全监察工作、网络信息安全及等级保护的监督管理工作和网络信息安全产品的销售许可工作等。国家密码管理局商用密码管理办公室主管全国商用密码管理工作，批准生产的商用密码产品品种等国家保密局管理和指导保密技术工作，负责办公自动化和计算机信息系统的保密管理，指导保密技术产品的研制和开发应用，多从事涉密信息系统集成的企业资质进行认定。国家知识产权局负责组织协调全国知识产权保护工作，推动知识产权保护工作体系建设。中国信息产业商会组织行业内企业开展各项活动和内部交流；发起分类安全标准的起草工作、研究抵制安全行业市场内的不正当竞争、组织跨行业的安全大会；引导会员认真执行国家的法规和政策、遵守行规、行约等。主管部门本行业有着特殊的信息安全要求，同时受到信息产业和安全主管部门的监管。相关主管部门及其职责如下：数观天下法律法规目前，国内商用密码行业相关的主要法律法规如下：时间发文单位文件名称相关内容概要1999年10月国务院《商用密码管理条例》是我国商用密码领域第一个行政法规，标志着我国商用密码的发展和管理从此走上了法治化的轨道。2003年9月中办国办《关于加强信息安全保障工作的意见》第一次明确了密码在信息安全保障工作中的基础性地位和关键作用。2004年8月（2019年修正）全国人大常委会《中华人民共和国电子签名法》是电子认证服务业的根本法律，是我国第一次从法律上确定了可靠的电子签名与手写签名或者盖章具有同等的法律效力。2005年12月国家密码管理局《商用密码产品生产管理规定》规定了商用密码产品由国密局指定的单位生产。2005年12月（2017年修正）国家密码管理局《商用密码科研管理规定》规定了商用密码的科研承担对象以及科研成果的验收流程。2009年10月（2017年修正）国家密码管理局《电子认证服务密码管理办法》规定电子认证服务提供者提供电子认证服务必须申请《电子认证服务使用密码许可证》。2010年4月全国人大常委会《中华人民共和国保守国家秘密法》规定了国家秘密的秘级，保密制度和相关法律责任2016年11月全国人大常委会《中华人民共和国网络安全法》制定网络安全战略，明确网络空间治理目标，强化了网络运行安全，同时也将催生不断扩大的网络安全市场空间，产业投入和建设也将步入持续稳定的发展轨道。2019年10月全国人大常委会《中华人民共和国密码法》其中密码法第三章商用密码部分，规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。数观天下01当前，商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。05应用类标准为上层具体的密码产品、服务应用提供支持。03检测类标准为基础类标准和应用类标准提供了合法性检测的功能，保障商用密码使用的合法性；02基础类标准为其他三类标准提供了底层、共性支撑（如术语、算法、协议、产品等）；04管理类标准为其他三类标准提供了管理功能；行业标准密码标准体系框架数观天下01国家主席习近平10月26日签署了第35号号主席令：《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，现予公布，自2020年1月1日起施行。03密码安全性评估成为必须 本次《密码法》发布对于非涉密的企事业单位来说，最大的影响就是必须要主动进行“密码安全性评估”。 根据《密码法》要求，商用密码产品及服务使用方应按照国家密码管理局有关规定，对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。 并对关键信息基础设施，应采用商用密码进行保护，并进行密码安全性评估，同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。04《密码法》主要内容《密码法》共五章四十四条，重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。02密码的分类与管理 密码法将密码分类为核心密码、普通密码与商用密码，并明确要求对这三类密码实行分类管理。 其中“核心密码”与“普通密码”被用来保护国家秘密信息，涉密单位应重点关注对于这两类密码的管理。对这两类密码，《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。 而商用密码被用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用，都属于商用密码，应遵循国家密码局商用密码管理有关条例规定。密码法解读数观天下网 络 攻 击 日 益 频 繁随 着 身 份 盗 用 、 交 易 诈 骗 、 资 源 滥 用 、 网 络 钓 鱼 等 安 全 事 件 频 繁 发 生 ， 政 府 、企 业 、 个 人 对 信 息 安 全