国密、商密、普密、核密分别是什么?
密码是对数据进行加密保护和安全认证的技术、产品、服务的总称,国密是国产密码,包括商密、普密、核密三类,其中普密核密用于保护涉及国家秘密的技术产品和服务,商密则是保护非涉密信息。
密评、等保2.0/3.0测评和商密的关系?
商密是一种技术的使用和推广,和评测体系之间是促进的关系。国家的等保和测评体系是为了推动国家网安体系的建立。密评、等保3.0等对商密的使用都有落实要求,推动商密使用。18年对全国一万多个系统做普查,接近85%的系统是没使用密码的。对其中118个重要领域的系统做密评,发现一半不符合要求。后来在等保2.0的时候就特地在身份鉴别和应用等方面加了一些商密使用的要求。两套评估体系共同推动商密应用以及国产密码替换。
如何理解密码和数据安全、网络安全的关系?
网安上升为国家安全战略,国家逐步加码政策资金。网安维度大方向多,防火墙、杀毒软件、安全审计都是传统网安,随着安全体系不断完善,问题层出不穷,出现大网安概念,包括边界安全、操作系统安全、数据安全、人的行为管理。数据安全是网安的一部分,网安保护的重要资产是数据资产,所以数据安全是比较核心的。密码的特点是直接应用于数据,第一要务就是保证数据的机密性,是保护数据最直接的手段。但密码之外边界安全、操作系统安全也要有,是彼此相互依托的关系。
商密的应用从硬件、软件等方面看大概包括哪些产品和服务?
服务分为电子认证服务(第三方认证服务,PKI基础设施专门颁发数据证书,提供这种证书签发服务,即电子认证服务,是需要国家许可证的,比如上海CA,浙江CA等才可以提供);密码咨询服务(为系统构建安全架构设计)、软件集成开发服务等。
商密市场空间和拆分?
另外还有一个很重要,不可缺失的市场,即测评市场。去年浙江三家具有测评资质牌照的测评机构市场份额大概2000多万,今年6月就已经超了全年体量,今年年底估计要5000万,明年估计还要涨。测评的体量逐年增长,占到的市场份额也会逐年增长。
随着未来几年密码产品的使用和测评体系推广,还会衍生出像集成、软件实施服务这类的安全服务,这个方向可能要在三到五年之后,因为必须要等硬件设备全部具备之后,这些服务才会起来。
商密项目中硬件、软件、集成等大概的占比?
个人经验来看,集成费用一般是4-5成。因为政策原因、区域背景原因,除了部委级项目外,一般在各省做国密化改造的大部分是运营商或者原先做政府信息系统集成的单位,他们一般会在报价中占到三到四成,然后密码产品硬件会占四成,还有两成给软件,包括软件的适配改造、软件系统的采购以及相应的咨询测评服务。
商密的下游客户主要是谁?分别大概的占比?
国内三级等保系统怎么看量价?
以浙江为例,去年单纯等保三级大概4000多个系统。三级系统平均下来一个最少的费用是60万,最大的费用没上限。这个会随系统大小客户规模变,一个正常系统大概是60-200万之间。江苏和浙江接近,上海应该是浙江的2-3倍。
2020年颁布的密码法结合网络安全保护条例、国家政府信用管理办法得出这样的结论:三类一定要开展密评:政务类、等保三级、关基。密评后就会逐步整改。但密码法对执法和处罚监管上的一些细节并不是很细化。其实前几年就有一个《商用密码管理条例修订草案征求意见稿》,原版1999年的《商业密码管理条例》严重不适用如今的简政放权,前几年启动修订。新版明确要求由谁执行监管和密码的应用推进工作:省市县三级都有权力,国家统筹工作,也明确要求了哪些系统要做密评及处罚措施。目前发现20到22年,密评的增长量几何倍增长,去年整个浙江省260个密评系统,今年3、4月已签合同就接近这个数量,年底估计过千。明年估计会更多,因为11月我们发现很多单位去年没考虑密评经费,但今年已经考虑了密评甚至密改的经费,这个在往年几乎是没有的。
国家层面之下,各个省市县密码主管部门也出台自己的规定,比如浙江省出的密评工作考核要求,温州市政务信息化管理办法的通知、江西省密码管理工作的通知。后面还会出台密评的评估管理办法,一个是针对评估工作如何开展,一个是机构工作监督。这些条例出来之后整个体系就健全了,上面是密码法,中间是条例,底下是主管部门出台的管理办法,再下面是各省市县结合自身情况出台的相应政策法规。相比当时推等保,密评的政策法规制定要更密集,催化作用比对等保和传统网安更快,风口在未来三到五年内。
如何看待明年放量的量级?
密评市场大概翻番,数量从1000多翻到2000个。因为浙江、上海、江苏、福建这些政府逐渐形成审批流程,项目的立项要有密码应用方案,项目的验收一定要有密评报告。21年200多个系统中大概通过10多个,今年1000多个估计有6070个合格,明年2000多大概是过百。要拿到合格的密评报告就要在密码设备上投入。
商密、普密的竞争情况?核心竞争要素是不是资质和央国企背景?
企业资质门槛方面,国家简政放权,取缔了三个许可证,只保留了对产品的核准,把原来的门槛降了一点。现在任何公司都可以参与密码产品的生产和销售,但产品需要拿到商用密码产品认证证书。竞争上国有企业肯定更具备优势,尽管资质已经很大放开了,因为采用密码的重要领域(金融、政府)还是比较看重背景出身的。疫情前国家队还是具备很大优势的。
普密方面还是国有企业占大头。因为普密还没有简政放权,目前能有资质的只有30所(卫士通普密),兴唐(大唐数据所),全国也就五六家能够销售,是专供类产品。
接下来可能会开展密码建设的行业,这里边能排个序吗,哪个快一些?现有哪些厂商会有更好的市占率?
证券期货这个领域比较重要,证监会明确规定80%改造率。去年只是试点工作,后续有80%工作量放量,也有明确政策要求;第二个是能源领域,像电力的电力调度系统、配电网系统,风力、核电;第三个是税控,国家税务总局也建了整体的密码的统筹规划架构设计,要求是接下来几年省市税务局完成国密化替代工作;还有就是教育领域和医疗领域。卫健委和教育部都组织了典型的密码企业和一些系统建设单位,出台了一些建设标准,要求逐步完成替代工作。
哪些厂商在细分领域会做的比较好?比如说电力未来会是哪家做的比较好?
有无数据中心,和业务无关,就是专门保护数据传输的密码厂商,不需要去做系统定制化?