2022年中国网络安全行业《商用密码产品及服务购买决策参考》发布

2022年11月23日作者：GoUpSec

网络安全的“新基建”：商用密码

商用密码是网络安全的基石，也是中美网络空间“新基建”竞争的重要战略资源。

今年10月份，拜登政府发布美国国家安全备忘录并明确指出：将不懈关注国家关键基础设施防御的改善，建立一个全面的方法来“锁紧美国的数字大门”，并强调将通过开发新的加密技术来“建立美国技术优势，保护未来的在线商务和国家机密。”

11月，特斯拉创始人马斯克入主Twitter的第一件事不是急于开发“类似微信的新功能”，而是开除了Twitter整个网络安全团队，并宣称将为Twitter私人消息开发端到端加密功能。

密码技术是维护网络安全最有效、最可靠、最经济的技术手段。2022年从关键基础设施到消费互联网，越来越多的政府机构和企业开始主动使用密码技术强化数据安全和个人信息保护，重构网络信任体系。

今天，密码技术已经成为下一代互联网的“底层逻辑”，“密码霸权”阴影下数字经济的“定海神针”，更是“关键基础设施安全”和“关键核心技术安全可控”的核心要素。

商用密码迎来“最好的时代”

近年来随着数字化转型、云计算、物联网、5G、大数据等数字化进程加速，疫情推动的远程办公和混合办公导致攻击面不断扩大，数据加密脱敏，漏洞管理、访问控制等环节的风险不断增长，全球关键基础设施多次发生大规模数据泄露事件，已经为各国政府敲响警钟。

白宫的国家安全战略强调密码技术普及和创新的重要性，希望通过（抗量子加密等）商用密码技术创新巩固美国的“密码霸权”。

我国作为全球第二大经济体，密码配套政策法规和标准化工作近年来也紧锣密鼓开展，2020年1月《密码法》的颁布实施；2021年10月1日，国家密码应用与安全性评估的关键标准(GB/T 39786)正式实施，明确指出等保三级要求所使用的密码产品应达到二级及以上安全标准。

在“密评密改”等合规性需求刺激下，中国的商用密码市场进入了高速增长期，根据华经产业研究院报告，2020年在新冠疫情流行的客观环境下，我国商用密码产业仍取得高速发展，总体规模达到466亿元，较2019年增长33.14%，预计2023年商用密码行业规模有望达到937.5亿元。

在关键基础设施领域，随着我国《关键基础设施安全保护条例》（2021年9月）的实施，以及首个关键基础设施国家标准《信息安全技术关键信息基础设施安全保护要求》（2023年5月1日实施）的颁布，将进一步推动商用密码应用市场的发展。

《标准》提出了关键信息基础设施安全保护3项基本原则：

以关键业务为核心的整体防控
以风险管理为导向的动态防护
以信息共享为基础的协同联防

无论是“整体防控”、“动态防护”还是“信息共享”，都对关键基础设施的网络安全和数据加密提出了更高的要求。

此外，关键基础设施国家标准还明确强化检测评估（至少每年一次），推动等保制度落实、商用密码应用、供应链防护、数据安全的安全性评估。过去，我国地方政府政务服务平台的数据加密及密码应用环节薄弱，使用非国产密码算法的现象也比较普遍。在法规和标准化的“双管”推动下，商用密码应用正从省部级平台逐步向市区级平台纵向和行业横向延伸，区域密码工作正蓬勃开展。

与此同时，我国商用密码产品自主创新能力持续增强，产业支撑能力不断提升，商密标准体系逐步完善，密码国产化和密码改造与其他网络安全产品和生态的整合加速，商用密码产业将迎来长期且持续的发展机遇。

商用密码的选型

随着云计算、大数据、物联网、车联网、区块链、数字货币、远程办公等商用密码新场景和新需求的涌现，商用密码市场蓬勃发展，密码应用安全建设已经成为我国网络安全建设的第三大合规市场。除了传统密码厂商，还有许多科技和安全企业也已经或正在进入这个赛道，并陆续推出自己的密码卡、服务器密码机、安全认证网关等密码类产品。

目前，我国商用密码市场百花齐放，现有商用密码产品达到3000余款，其中2200余款产品取得商用密码产品认证证书，部分产品性能指标已达到国际先进水平。品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条，形成了完整的商用密码产品体系和算法体系，产品主要分为以下六类：

密码算法类：提供密码运算功能，加密卡、密码芯片等。
数据加解密：提供数据加解密功能产品，如服务器密码机、云服务器密码机、VPN加密网关和加密硬盘等。
认证鉴别类：提供身份鉴别等功能产品，如认证网关、动态口令、令牌环，签名验证服务器。
证书管理类：提供证书产生、分发、管理功能的产品，如证书认证系统等。
密钥管理类：提供密钥产生、分发、更新、归档和恢复等功能的产品，例如证书认证密钥管理系统、支付服务密钥管理系统等。
密码防伪类：提供密码防伪验证功能的产品，例如电子签章、时间戳服务器。

由于商用密码行业较为分散，尚未形成产业集群优势。未来五年，商用密码应用市场将呈现网络安全企业与传统密码厂商之间相互竞争又相互融合的新局面。

商用密码应用面临的挑战

合规驱动。商用密码市场目前仍然是合规驱动为主，等保和关基用户关注的重点是旧密码系统的改造、升级与合规。新场景需求尚未得到充分释放和有效监管。
选型困难。商用密码市场分散、应用体系复杂、产品种类繁多，企业难以对商密产品体系的合规性、安全性以及“自主可控”等进行全面评估。
整合困难。密码应用和升级改造涉及算法、协议、产品、技术体系、密钥管理、密码应用等多个方面，统一密管、统一认证、数据加密、云安全和移动安全的密码应用运营管理体系的建设还面临与其他安全产品方案（例如零信任）和信息系统的整合和统一管理问题。
人才短缺。与其他安全领域技术升级面临的困境类似，企业用户普遍缺少专业密码技术人才，密码应用的需求、规划和实施能力较弱。

产品与服务的选型参考基准

针对企业商业密码/国产密码应用面临的挑战，商业密码产品和方案选型除了需要安全合规（例如密码产品资质以及密评工作指导文件《信息系统密码应用高风险判定指引》等），还可参考以下选型基准建议：

可管理性和可见性。包括密评密改工作进度和成果的可视化监控和管理。
自主可控。采用国密算法进行数据传输和存储加密。
云原生架构。密码管理和服务平台的云原生开发部署和管理、可量化、统一资源一站式管理、弹性扩容、云安全。
系统化建设。统一建设密码服务平台，确保为应用系统提供统一、标准、规范、便利、安全、可扩展、易维护的密码服务，同时能够满足建设单位对应用系统密码应用的安全需求以及管理要求。（SSO应该是“标配”产品，不是奢侈品。）
产品自身的安全性，减少密码应用系统带来的新的攻击面。
与其他安全产品和方案的可集成性和可扩展性。
厂商的专业服务与持续开发能力。
身份认证采用高强度MFA多因素认证（基于PKI、硬件密钥或APP）。遏制和缓解中间人攻击以及社会工程攻击威胁。

GoUpSec深入调研了多家知名国内商用密码专业提供商和综合安全厂商，从产品功能、应用行业、成功案例、安全策略等维度对各厂商商用密码产品及服务进行调研了解，整理形成了2022年中国网络安全行业《商用密码产品及服务购买决策参考》。