2021密碼產業洞察報告（下）

上半部分指路

三、密碼產業發展趨勢分析

密碼產業的持續健康發展是大勢所趨，這對打造以密碼為基礎的網絡安全體系、構建網絡空間安全保障體系以及維護國家網絡空間安全具有重要意義，我國網絡信息安全防護迎來從被動防御向主動免疫的战略轉變。因此，提前判斷密碼產業發展趨勢並進行布局是密碼廠商在激烈市場競爭中能否佔據先機的關鍵點之一。

3.1 市場蓬勃發展

3.1.1 密碼國產化替代正加速

密碼的國產化替代是大勢所趨。隨着密碼法的實施以及國家對國產化的支持，底層芯片、卡、裝置性能要求將不斷提高，引導產品技術和產品大幅度性能升級，國產密碼的“高質量升級”成為時代的需求。目前，我國自主設計的SM系列算法經過多輪安全性分析評估，在設計、實現方面均有獨特優勢和特點，能夠有力支撐商用密碼的產業化、規模化發展。面對激烈的國際競爭，將國外產品進一步替換為國產產品的趨勢不可逆反，商用密碼產品將大量國產化。

3.1.2 信創帶來新的歷史機遇

信創帶來歷史機遇。信創的核心在於，通過行業應用拉動構建國產化信息技術軟硬件底層架構體系和全周期生態體系，解決核心技術關鍵環節“卡脖子”問題。芯片、整機、操作系統、數據庫、中間件等技術封鎖下，中國信創產業必將迎來發展黃金期。據智庫機構預計，未來三年市場總規模有望達到上萬億元人民幣。國產密碼本身就是信創產業的核心部分，密碼又能為蓬勃發展的信創產業保駕護航，所以，適配優化信創平臺、在信創安全體系中全面應用密碼等新需求對密碼產品形態會產生深刻影響。

3.1.3 市場呈現分層次多樣化

密碼市場的內涵將愈加豐富合理。過去，密碼市場分為監管市場和商業市場兩部分。監管市場由合規手段強制推動，用戶規模小但市場佔比龐大，在過去佔據密碼市場的主導地位。而商業市場用戶規模數倍於監管市場，但過去市場體量不足監管市場的一半。從產業規模看，當前密碼產業規模僅佔信息產業的千分之三，仍有較大發展空間。同時，密碼產業以衆多中小型密碼企業為主，有待誕生真正的龍頭企業。隨着時代發展，未來密碼市場的內涵，將從單一的“國密合規”變得更加豐富和細化，並呈現出分層次疊加的多樣化特徵，即“實战防護、密評合規、信創合規”。

圖5：密碼市場內涵演進方向說明

3.1.4 密碼市場發展規模預測

未來幾年，商用密碼產業將保持高增長率。面向“十四五”時期，在密碼技術、需求和監管等諸多因素影響下，密碼產業供給側正迎來前所未有的疊加演進和發展升級。密碼市場將迎來新發展機遇，據預測，未來幾年，商用密碼產業都將迎來高增長，2023年我國商用密碼規模預計將超過900億。

圖6：商用密碼產業規模及增長率預測

數據來源：《2020-2021中國商用密碼產業發展報告》

3.2 技術加速創新

3.2.1 數據要素激勵密碼技術創新

數據作為新的生產要素將全面賦能密碼創新發展。數據生產要素具備自身特性，難以從技術上分割使用權和所有權，而通過創新的密碼技術和方案可實現多個企業或機構間的數據共享互聯，具有廣闊發展空間。一是密碼技術的發展創新，如隱私增強計算技術的聯邦學習、安全多方計算、機密計算、差分隱私、同態加密等，實現“數據可用不可見”；二是新興信息技術的密碼應用場景的創新，例如區塊鏈，就是加密技術、分布式網絡、智能合約等多種技術集成的新型數據庫軟件，通過數據透明、不易篡改、可追溯，有望解決數據生產要素化的信任和安全問題；三是傳統密碼技術和多種安全保密技術的融合創新，使數據在共享時實現“最少可用原則”和“最小權限原則”，讓數據在業務系統中實現共享與安全兼得。

3.2.2 密碼能力緊密融入業務應用

密碼和業務應用融合。傳統密碼產品开發改造應用的密碼集成模式門檻高、周期長、風險大，用戶面臨“難用、難管”，很難將密碼能力深入融合到信息系統，而業務應用改造也正是密碼防護和密評整改的難點，與金融、交通、醫療等行業應用場景緊密結合的密碼需求也會更加細化。業內提出基於“面向切面安全”的密碼中間件模式，將安全與業務在技術上解耦、但又在能力上融合交織，提供輕量級改造應用的密碼應用實施模式，有效防護企業應用與數據，讓密碼“好用、好管”。

3.2.3 全生態亟待密碼實战化覆蓋

商用密碼的健壯發展亦離不开信息技術整體生態的支撐，按技術鏈條劃分，密碼技術鏈可大致分為上、中、下遊三個環節。

上遊包括密碼算法標准、網絡協議及規範，如IETF RFC等；中遊包括網絡協議棧實現、軟件开發工具鏈，以及硬件密碼模塊和驅動、CPU密碼指令集支持等；下遊包括各種應用軟件，涉及基礎應用軟件、行業應用軟件等環節。對於整個產業鏈來說，下遊各類應用軟件內含豐富的重要數據，包括姓名、身份證號、銀行卡號等敏感信息，因此越往下遊走，密碼應用保障個人信息安全將愈加重要。下遊行業總體的信息化進程仍處於快速發展階段，信息化發展正促進信息安全及密碼產品、集成及服務需求持續增長。

目前，技術生態環節存在商用密碼覆蓋盲區。上遊的網絡層協議及規範尚不支持SM算法。中遊的通用協議棧實現與开發工具鏈沒有充分支持SM算法。上中遊盲區導致下遊應用軟件普遍不支持SM算法。

因此，需要增強技術生態覆蓋，全面打造商用密碼實战化。針對上遊通過RFC等規範制定，布局SM算法進入標准和協議；針對中遊，通過多個重點工程，抓住協議棧和工具鏈；針對特定行業或領域，結合中國市場，聯合多家國際主導廠商，以密碼合規等市場准入條件為契機，反向推動上遊協議接納SM算法；針對下遊，結合法律法規和密評整改等手段，從下遊應用軟件反向推動，依賴下遊廣泛應用生態發揮出商用密碼的巨大價值，不斷开拓商業密碼市場和國際市場，做強密碼產業生態。

3.2.4 密碼安全一體化成為主思路

安全一體化的密碼技術的創新和發展。數據加密只是把明文安全問題轉移到密鑰安全問題，但是如果沒有結合業務的密鑰訪問控制，防護價值非常有限。過去，由於市場准入等因素，密碼和安全技術在建設落地時相對分離，但是，隨着密碼“放管服”落實以及監管側改革，“以密碼技術為核心、多種安全技術相互融合”將成為主流思路，並統籌實施等保與密評。通過加密技術，為流轉的數據重新定義了虛擬防護邊界，在邊界上施加訪問控制、審計等技術，實現“防繞過的訪問控制”以及“高置信度審計”，進一步集成企業IAM身份認證管理，打造同時滿足傳統場景和零信任場景的有效數據保護。

3.3 產品疊加演進

3.3.1 密碼交付向產品加服務演進

多重需求拉動密碼服務蓬勃發展。過去，合規主導的密碼市場側重產品本身，而當下企業更注重有效防護，要將安全產品轉化為有效防護能力，需要提供服務，尤其是結合安全運維。所以，密碼交付形態正在從“以產品為主”演進為“產品與服務相結合”。密碼企業交付模式從單純的產品交付轉變到產品與服務綜合性交付模式，“一站式”滿足客戶多樣化需求。

3.3.2 產品軟硬均衡支撐自主可控

產品形態的“軟硬兼備”將成未來的主流。當下，我國軟硬件密碼產品的發展並不均衡，亟待軟件密碼產品的技術創新，從目前國際密碼產品的發展情況來看，國內密碼產品的走向也將會朝着“軟硬結合，以軟為主”的方向發展，預計未來國內密碼產業軟硬件格局將與美國結構趨於一致：側重軟件形態為主的軟硬件均衡發展。因此，未來密碼軟件應用市場將迎來爆發，從機卡Key等強調安全合規型，到“識別和防護”的實战化安全產品將百花齊放，內嵌式密碼產品或將成為市場主流。

3.3.3 密碼產品強化自身安全防護

加強自身安全保護和形態多樣化的密碼產品創新和發展。這是威脅對抗常態化帶來的必然要求，密碼廠商會更加重視形態多樣化的密碼產品研發、生產和全生命周期中的安全管理，同時，監管機構持續完善密碼產品認證體系和優化密碼產品的安全性檢測認證要求，用“安全的密碼產品”有效保護企業數字化安全。

3.3.4 亟待一體化的密碼支撐體系

一體化的密碼平臺集約建設。企業業務需求持續變化決定了企業應用系統復雜多樣，而在密碼全方位應用要求背景下，針對每個應用分別實施密碼防護會面臨技術、管理等挑战，因此，亟待結合企業數字化現狀和具體問題，遵循統一標准體系，建設統一密碼平臺，實施統一安全防護，落實統一運維監管，打造一體化的密碼支撐體系。

3.4 體系實战升級

3.4.1 探索融入業務流轉的密碼防護

數據作為一種新型生產要素，正以更深度的方式為經濟社會發展賦能。在大數據時代，數據作為一種新型生產要素，具有區別於其他生產要素的顯著特徵。從信息化延伸視角看，數據具有如下特徵：一是個人信息數據量不斷增加，具備自我繁衍性；二是數據類型復雜，不僅包含各種復雜的結構化數據，而且圖片、指紋、聲紋等非結構化數據日益增多；三是業務實時性逐漸增強，對數據處理速度要求越來越高，同時對系統可用性要求也逐漸提高；四是高價值數據主要在應用層共享流轉，海量個人信息與復雜業務流程扭結纏繞，接觸人員更多，數據安全風險敞口也更突出，給數據安全防護帶來嚴峻技術挑战。

同時，數字化時代，數據一旦生產出來後就會進入傳輸、存儲、處理、分析、訪問與服務應用等環節，從而形成豐富的信息共享路徑。這些環節涉及到業務用戶、研發運維人員、外包人員、第三方機構等，傳統的數據之間簡單的线性聯動變成復雜的網狀數據流，大量環節面臨數據安全威脅。因此，保護數據安全應“以數據為中心”構建防護策略，將安全保護貫穿於數據的全生命周期，即對數據的收集、傳輸、存儲、使用、共享、刪除、銷毀等各流程實施安全防護，並結合數據業務與技術屬性，全環節主動式重建數據訪問規則，構築有效的數據安全縱深防线，保障數據的流轉、共享與安全兼得。

密碼應用目的是保護數據安全，安全是促進商用密碼應用最大的動力。基於企業目前 IT 架構，包含基礎設施、軟件平臺以及業務應用等不同層級，企業數據在不同層之間高效流轉，實現互聯共享，為企業創造價值。數據越朝上層流動，價值點越多。數據在基礎設施層，就是一些沒有業務含義的二進制數字；在軟件平臺層，表現為各種形式的文件格式；在業務應用層，數據才具備了豐富的業務含義。

從傳統角度來看，安全和業務是關聯的，有時候也是對立的。但換個角度，安全其實就是一種業務需求。“傳統業務需求”側重於“希望發生什么”，而“安全需求”則側重於“不希望發生什么”，從而確保“發生什么”。另外“安全”在英文中對應Security（安全防攻擊）、Safety（安全可靠）、Reliability（可靠性）、Trustiness（誠信度）、Sureness（確定性）等詞匯，從業務角度來看，這些詞匯都可以映射到相應的業務需求。結合到企業或機構的信息系統中，數據安全則來自於業務處理中的風險映射。時間維度看，數據在流轉的全生命周期中的每個環節都會有相應的安全需求；空間維度看，數據在基礎設施層、平臺層以及應用層之間流轉，不同層次又有着不同顆粒度的防護需求。

而傳統的城防式數據安全，主要用於保護被傳統物理網絡多層包圍的數據，這種防護體系僅適用於保護靜態數據。但當下，數據作為新型生產要素，在被充分共享流轉中產生更多價值，傳統城防式數據安全已很難以滿足相關防護需求。另外，數據與“網絡/主機/數據庫/應用”作為正交關系，數據安全的本質其實就是在數據流轉的多個層次環節中，通過密碼等安全技術重建業務規則，對數據施加主動式安全防護。

因此，兼顧數據利用和安全的技術，需要將加密等安全能力結合到業務流程中，一方面可以根據不同業務場景，定制不同的商業祕密保護方案；另一方面不會改變用戶的操作習慣，方便用戶使用，不影響數據的高效共享流轉，並基於高性能的密碼技術支撐，將安全機制與用戶現有流程無縫對接，實現在業務高效流轉和安全防護之間的平衡。

當然企業真實的業務需求往往更復雜，很難框定邊界，因此對應的數據安全也幾乎沒有邊界。所以在實施數據安全防護的時候，數據安全需要結合具體業務展开，很難有“一招鮮”的數據安全解決方案。

3.4.2 打造融合密碼的數據安全框架

數據安全的防護會涉及到很多場景，同時會有多種加密技術的應用，因此，以數據安全的多種場景為中心，繪制一張數據安全的技術地圖，則非常有意義，且有必要。針對數據進行安全防護的技術，可以先回顧經典網絡安全攻擊模型：ATT&CK，作為當前權威的網絡安全技術模型，ATT&CK包涵14個攻擊战術、205個攻擊技術以及573個攻擊流程，覆蓋了大多數網絡攻擊手段，從而給網絡安全防護提供了專業的技術參考。

圖7：經典網絡安全攻擊模型ATT&CK架構概覽

但是，ATT&CK模型更側重網絡攻防視角，從“主動式保護數據”的角度來看，ATT&CK並沒有針對內部業務人員威脅，也沒有將數據進行分級分類等。在基於ATT&CK模型的攻防對抗思路下，傳統“以網絡為中心的安全”主要通過“防漏洞、堵漏洞”的方式去保護數據，而當下來看，網絡漏洞在所難免，因此直接針對數據本身進行主動式加密等保護，是實現數據安全的最直接有效的手段。信息安全技術發展的大趨勢也正從“以網絡為中心的安全”轉向為如今的“側重以數據為中心的安全”，美國國防部對這種理念也非常認可，並將防護重點從邊界开始轉向數據和服務。

圖8：“以數據為中心的安全”與“以網絡為中心的安全”邏輯關系圖

依據這個新思路，煉石網絡從“以數據為中心”的角度提出新的數據安全技術框架，全稱是：“Data-centric Tactics, Techniques And Common Knowledge”（簡稱DTTACK），“以數據為中心的战術、技術和通用知識”。DTTACK不是網絡服務器或應用程序安全性的模型，它更強調數據本身的安全性，並從對數據的“應對式”防護，向“主動式”防護轉變，重視從業務風險映射視角列舉數據保護需求，可以為信息化建設、企業業務架構設計提供數據安全能力參考。

通過結合NIST安全能力模型和安全滑動標尺模型，兩者有交集、但也各有側重。DTTACK當前版本選擇了六大战術作為基本結構：I(識別)、P(防護)、D(檢測)、R(響應)、R(恢復)、C(反制)。

數據安全技術列舉方面，參考了工信部相關機構正在編制的行業標准《電信網和互聯網數據安全管控平臺技術要求和測試方法》，將114個具體技術流程分類並對號入座，I（識別）战術目前包括數據資產地圖、數據資產稽核、數據接口管理、數據內容識別等方面的技術；P（防護）战術目前包括加密技術、脫敏技術、數字籤名、訪問控制、隱私保護、數據防泄漏等方面的技術；D（檢測）战術目前包括風險檢測、安全審計、共享監控等方面的技術；R（響應）战術目前包括事件處理、應急響應、動態流轉等方面的技術；R（恢復）战術目前包括一體機、備份軟件、融合備份、雲災備等方面的技術；C（反制）战術目前包括水印、溯源等方面的技術。DTTACK的定位是數據安全領域的全地圖技術框架，能給數據安全廠商提供通用知識庫，也能為甲方用戶的數據安全規劃和技術對比提供參考依據。（關注本公衆號，實時了解DTTACK最新動態）

圖9：數據安全領域全技術框架DTTACK架構概覽

3.4.3 構建以密碼為核心的防護體系

密碼技術為DTTACK六大战術提供了重要價值。比如：識別方面，密碼可以為數據識別提供身份安全能力，為接口通道實現安全加密；防護方面，數據加密技術本身就是在开放式信道中，構建了強制的防護措施，並結合身份實現訪問控制。檢測、響應、恢復和反制方面，密碼也能夠為其分別提供身份鑑別、數據保護、水印追溯等不同能力。

尤其對於流轉數據防護，密碼技術可以提供獨特價值。共享流轉的數據很難有邊界，我們在做訪問控制的時候，如果數據庫或歸檔備份中的數據是明文，訪問控制機制很容易被繞過。而通過數據加密技術，可以打造一個強防護場景，用戶在正常訪問應用的過程中數據才會解密，並結合身份訪問控制、審計等安全技術，從而實現“防繞過的訪問控制”、以及“高置信度的審計”。密碼技術為數據重新定義了虛擬的“防護邊界”，從而更好的對數據實施防護與管控。

密碼技術結合其他安全技術產生的安全方案，可以滿足多維度的實战化需求。第一，方案無需开發改造應用，即可實現將安全能力融入到應用，以配置方式敏捷部署實施，滿足實战防護和新合規兩類需求，且對應用運行無影響，不會因實施加密帶來業務風險；第二，方案支持國密算法的同時，支持國際算法，並支持手機號、證件號、郵箱等字段保留格式加密。开發高性能國密技術，做到對企業業務系統效率和使用體驗零影響，比如煉石網絡在高性能國密技術方面擁有深厚，且具有競爭優勢的技術積累；第三，方案可基於屬性和角色的訪問控制，訪問控制主體可細化到用戶，實現對企業內部人員的敏感數據訪問授權最小化，並提供豐富的數據脫敏策略，當用戶對敏感數據風險訪問時，如過量導出、異常頻繁訪問等，可根據規則阻斷；第四，方案提供可定責的數據訪問審計，記錄識別到的主客體信息，在記錄操作行為的同時，能夠對每條審計日志進行籤名，不僅做到獨立於應用系統的第三方審計，還能夠通過數字籤名技術確保審計日志的不可篡改，以及在事後追溯問題過程中提供重要依據。

總結，我國密碼產業當下已形成堅實發展基礎，伴隨復雜多變的國際形勢，我們正處於建設“平安中國”的關鍵時期。一方面密碼的實战合規需求強勁發展，另一方面，密碼供給結構也處於變革前夜，密碼產業進入了發展新時代。一是分層化密碼市場將兼顧實战與合規，二是密碼供給結構正在向高質量升級，三是監管側推進新密碼市場正在釋放更多紅利。面向新時代，金融、政務、教育、醫療、文旅、制造等多領域都迎來重大發展機遇，安全服務商可以從實战化角度出發，應用密碼等安全技術，全面賦能數據安全實战化，為建設“平安中國”貢獻力量。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。