第一章 行業概況

密碼技術是保障網絡安全的核心技術，密碼算法和密碼產品的自主可控是確保我國信息安全的重中之重。當前我國大多采用國外制定的加密算法，存在著大量的不可控因素，一旦被不法分子利用攻擊，所產生的損失將不可估量。

實現密碼產品自主可控軟硬件全國產化替換，是防止后門漏洞的最有效方法，是保障網絡安全的終極舉措。國密算法具備自主知識產權，符合國家信息產品國產化戰略。隨著國產替代趨勢的進一步加強，存量市場上，國密算法將有望實現對RSA等國際算法的加速替代。

分類

國家將密碼分為核心密碼、普通密碼、商用密碼，實行分類管理。以商用密碼SM2算法為例，SM2擁有更高的安全性能和更快加密速度。目前主流的RSA算法是基于大整數因子分解數學難題（IFP）進行設計，其數學原理相對簡單，單位安全強度相對較低。SM2是基于ECC，單位安全強度相對較高�；�于ECC的SM2證書普遍采用256位密鑰長度，加密強度等同于3072位RSA證書，高于業界普遍采用的2048位RSA證書。更長的密鑰意味著必須來回發送更多的數據以驗證連接，產生更大的性能損耗和時間延遲。SM2算法能夠以較小的密鑰和較少的數據傳遞建立HTTPS連接，在確保相同安全強度的前提下提升連接速度。

應用領域

金融方面，2013年，中國人民銀行發布《中國金融集成電路（IC）卡規范》，首次支持SM算法；2014年，中國銀聯修訂發布《中國銀聯金融IC卡技術規范》支持SM算法。自此，金融IC卡開始試點應用SM算法并逐步規�；瘧�用。2014年以來，中國銀聯先后修訂發布了交換系統、受理終端規范支持SM算法，并成功實施改造推廣。政務方面，截至2018年上半年，隨著CA系統SM2國產算法升級的加速推進，目前已有26個省及5個部委完成算法升級工作；新CA系統簽發國密算法SM2證書總計60256張，同比增長近7．6倍，國密產品得到廣泛應用。

從安防角度，國密產品可運用于視頻監控系統安全解決方案，通過終端接入管理，加強安全認證，保障視頻安全傳輸，免受人為破壞。從車聯網角度，以密碼技術為核心的安全支撐平臺主要由證書認證系統、授權管理系統、密鑰管理系統和安全管理系統共同構成，可為智能運輸系統提供身份鑒別、授權管理、安全傳輸、數據保護、責任認定和安全管理六項數據安全服務。從工業互聯網角度，國密相關產品可用于加強平臺雙方的身份認證，防止數據被篡改，實現安全連接、安全執行和安全存儲。

產品形態

密碼供給能力進一步提升，在國家專項支持和應用需求的有力牽引下，支持商用密碼算法的密碼產品已達1390多款，其中安全芯片127款。密碼產品檢測能力顯著提升，信息系統的密碼應用安全性評估試點逐步展開，首批10家密評機構已經國家密碼管理局認定，穩步開展密碼應用安全性評估試點工作。密碼標準體系建設逐步健全，已發布68項商用密碼行業標準；密碼標準國際化實現重要突破，祖沖之算法成為3GPP標準、SM2和SM9算法成為ISO國際標準。

表：國產密碼主要產品形態

資料來源：千際投行，資產信息網

第二章 商業模式與技術發展

2．1 商業密碼產業鏈分析

上游：密碼／安全芯片、印刷電路板、服務器等IT設備及軟件開發工具，代表公司包括浪潮信息（毛利率11．88％）、深南電路（毛利率26．53％）、生益科技（毛利率26．65％）。

中游：以密碼技術為核心的產品、服務提供商，產品包括智能IC卡、智能密碼鑰匙（USBKey）、密碼機、電子簽章、數字證書認證系統等。代表公司包括衛士通（毛利率32．54％）、飛天誠信（38．37％）、中孚信息（69．87％）、格爾軟件（58．56％）、數字認證（60．27％）。綜合網安廠商，部分產品涉及密碼技術，如啟明星辰（65．79％）、奇安信（56．72％）、深信服（72．19％），以及硬盤等數字產品巨頭Western Digital、Samsung Electronics。

下游：對信息安全具有較高要求的應用行業，主要為政府、軍隊、軍工、央企、科研院所、金融、能源等行業，以及云計算、物聯網等領域的各級用戶。下游行業總體的信息化進程仍處于快速發展階段，信息化發展促進了信息安全及密碼產品、集成及服務需求持續增長。

圖：商業秘密產業鏈分析

資料來源：千際投行，資產信息網，數觀天下

產業鏈內各企業也可能同時處于不同的位置。如成都衛士通，既處于行業最上游，可以為下游企業提供密碼機、加密卡等產品，又是電子認證產品生產商，位于行業中游，可以提供電子認證系統及服務。產業鏈上游主要為密碼設備供應商，處于電子元器件、IT設備及軟件開發工具等軟硬件生產制造行業。供應的產品如加密機、密碼卡、USBKEY等。

受我國密碼政策的影響，對行業上游企業實施市場準入制度，上游企業均為內資企業，數量眾多，而且隨著國產自主可替代計劃的推進，電子元器件、集成電路、安全芯片趨于國產化，對國外提供商的依賴有所降低�？傮w來看，上游原材料供給穩定，產品價格和質量較穩定，上游行業的波動對公司所處行業的影響較小。

2．2 網絡安全商業模式分析

參考中國網絡安全產品聯盟的分類，當前我國網絡安全企業主要分為產品型、綜合型和集成服務型三大類，在毛利率、周轉率等財務指標，以及上下游廠商和銷售模式方面具有顯著的差異。?

產品型

產品型安全企業的毛利率相對較高，交付周期短、應收賬款周轉率高。上游包括供應硬件平臺的硬件供應商，以及供應基礎軟件及模塊的軟件供應商。下游主要為代理商或客戶，銷售模式以直銷和渠道相結合，其中直銷占比較高的公司如恒安嘉新等，還有部分企業以渠道銷售為主，典型的例如山石網科，以及直銷和渠道約各占一半的安恒信息。?

綜合型

綜合型安全企業的毛利率居中、企業規模大、產品線長。這類企業一般具有完善的營銷網絡和較強的品牌影響力，還會通過OEM形式擴充產品線，加強對多細分市場的覆蓋度。銷售模式往往采用直銷與渠道相結合，在直銷模式下，會參與一部分大型項目的集成服務工作。典型的企業包括啟明星辰、綠盟科技、深信服、天融信、奇安信等。?

集成服務型

集成服務型安全企業的毛利率相對較低、交付周期長，應收賬款周轉率低。上游多為產品型安全廠商，供應相對標準化的網絡安全產品。集成服務型廠商整合多方產品并以整體解決方案＋服務的形式向客戶提供交付服務，銷售模式以直銷為主，典型企業如中孚信息、數字認證等。

圖：網絡安全商業模式

資料來源：千際投行，資產信息網，安信證券

2．3 網絡安全技術發展

網絡安全技術在持續演進和迭代。從簡單的防火墻、入侵檢測產品的部署到當今結構化的網絡安全產品部署，網絡安全技術在持續地演進和變革。參考IDC的最新預測，下一代安全產品將廣泛采用基于云計算、大數據分析、AI、SIEM（安全信息和事件管理）和認知等相關的技術。而網絡安全防御體系也將向自動響應、開發安全計劃、調查、追查、威脅誘捕等方向側重。借助層出不窮的新興技術，網絡安全產業在持續演進和迭代。

云計算徹底打破了網絡安全的固有“邊界”，私有云與混合云成為安全投入的重心。隨著云端數據體量不斷增長，第三方提供計算服務的公有云、企業自行開發的私有云，以及公有云和私有云配合使用的混合云的不斷發展，企業用戶對云計算的需求亦越來越多樣化，衍生出了多種云計算應用場景，傳統網絡安全邊界被打破，且攻擊者更容易隱藏活動蹤跡制造網絡威脅，從而引發了全新的網絡安全問題，同時也為云安全的產品與服務提供了廣闊的應用場景。

雖然我國公有云市場規模巨大，但云安全目標客戶以小微企業為主，付費能力與意愿并不強烈，商業模式一直未能有效突圍。而安全服務對于以政務云為代表的私有云和混合云客戶來說則是剛需，從而成為目前主導我國云安全市場的核心力量。

大數據既是“防護對象”又是網絡安全的“武器彈藥”。狹義的大數據安全主要是指大數據場景下圍繞數據安全展開的大數據全生命周期的安全防護，包括大數據平臺安全、大數據安全防護和大數據隱私保護等，具體涉及大數據系統安全、大數據資源發現、大數據管理運營、敏感數據梳理、大數據脫敏、應用數據審計、大數據審計等多個細分領域。但同時海量的非結構化與結構化數據在威脅情報與態勢感知等主動安全體系中同樣發揮著作為“武器彈藥”的功能。參考賽迪顧問數據，近年來我國大數據安全市場正在進入加速增長期。

“安全＋AI”的核心在于對安全知識的積累與有效應用。參考IDC在網絡安全領域對人工智能的定義，其本質是基于一系列結構化和非結構化數據（包括日志、設備遙測、網絡數據包和其他可用信息）提供咨詢、增強服務和半自動化的網絡安全防御功能。

人工智能的價值并不在于識別攻擊或者攻擊分類，而是在于有效降低安全系統對安全知識的積累與高效使用成本。人工智能技術在數據分析、知識提取、智能決策等方面的優勢為應對動態多變、復雜交織網絡安全問題提供了新思路，網絡安全已經成為人工智能應用的重要方向之一。例如針對異常流量，人工智能為流量與日志的關聯分析與協同處臵提供了新的方案。研究機構CB Insights數據顯示，2018年至2019年6月間，與網絡安全相關的人工智能投融資活動超過180筆。

“云＋大數據＋AI＋專家”大融合，將成為構建整體安全能力的利器。云計算的架構天然成為了海量大數據以及AI計算能力的承載平臺，對于安全行業也不例外，廠商自身的安全情報以及全網的安全信息都成為了構建整體安全能力的“武器彈藥”，結合云端AI技術的分析挖掘與綜合判定，以及行業專家基于豐富知識經驗的進一步補充和完善，安全能力與響應速度均得到了極大增強。云＋大數據＋AI＋行業專家的全面融合，將成為構建整體安全能力的利器。

2．4 政策監管

政府法律法規

近年來，我國多措并舉、多管齊下，陸續健全了與數據安全相關的法律體系。從防護對象來看，《個人信息保護法（草案二次審議稿）》《數據安全法》對個人信息或企業數據安全建設提出明確防護目標，是數據保護和數據利用的整體性法律框架。從技術手段來看，《密碼法》明確了將密碼技術作為核心的安全技術路線，將針對重要信息系統形成強合規增量市場。

圖：密碼“一法三規一條例”

資料來源：千際投行，資產信息網

行業自律要求

2021年7月12日，工業和信息化部發布《網絡安全產業高質量發展三年行動計劃（2021－2023年）（征求意見稿）》，并提出：“到2023年，網絡安全產業規模超過2500億元，年復合增長率超過15％；一批網絡安全關鍵核心技術實現突破，達到先進水平；網絡安全產品、服務、解決方案單項冠軍企業數量逐步壯大；電信等重點行業網絡安全投入占信息化投入比例達10％；建成一批網絡安全人才實訓基地、公共服務平臺和實訓靶場；產融對接更加精準高效，資本賦能作用持續加大”的發展目標。

2021年5月1日由國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局發布《常見類型移動互聯網應用程序必要個人信息范圍規定》，該規定在明確App基本功能服務和必要個人信息范圍的基礎上，明確要求App運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用其基本功能服務。該規定的出臺科學地平衡了個人信息保護與促進App發展應用的關系，保障了用戶對App基本功能服務的使用權，以及對收集使用非必要個人信息的知情權和決定權，有利于促進App的健康發展。

2021年4月26日由國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合發布了《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》，該規定界定了適用范圍和監管主體，明確了“知情同意”“最小必要”兩項原則。這一新政釋放出全力捍衛公民隱私權的強烈信號，而APP也將面臨精細監管。

2021年2月1日發布的《保險中介機構信息化工作監管辦法》由中國銀行保險監督管理委員會正式發布，對保險中介機構信息化工作提出全面要求，提出實施后的一年整改自查期內，若不完成信息化系統建設，將不得經營保險中介業務�！掇k法》將進一步提高保險中介機構的信息化工作水平和經營管理水平，構建新型保險中介市場體系，促進保險業高質量發展。

2021年1月15日發布的《監管數據安全管理辦法（試行）》由中國銀行保險監督管理委員會正式發布，旨在建立健全監管數據安全協同管理體系，推動銀保監會有關業務部門、各級派出機構、受托機構等共同參與監管數據安全保護工作，加強培訓教育，形成共同維護監管數據安全的良好環境。

2020年6月12日發布的《民用航空旅客服務信息系統信息安全保護規范》規定了民用航空旅客服務信息系統需要滿足的相關信息安全技術要求和管理要求，適用于民航旅客服務信息系統的規劃、設計、開發、運行及維護等各個階段。

2020年3月5日發布的《關于深化醫療保障制度改革的意見》由中共中央、國務院印發，提出統一醫療保障業務標準和技術標準，建立全國統一、高效、兼容、便捷、安全的醫療保障信息系統，實現全國醫療保障信息互聯互通，加強數據有序共享。規范數據管理和應用權限，依法保護參保人員基本信息和數據安全。

2020年2月1日施行的《國家政務信息化項目建設管理辦法》由國務院辦公廳印發，對國家政務信息系統的規劃、審批、建設、共享和監管作出規定，提出建立統一、集約化信息基礎設施和安全保障大平臺，對共性應用與分散系統提供集中統一基礎設施支撐，將更加有利于提高政務信息系統的安全保障能力，提高系統建設的集約水平，避免重復建設。

2020年2月13日發布的《個人金融信息保護技術規范》由中國人民銀行正式發布，將個人金融信息按敏感程度、泄露后造成的危害程度，從高到低分為C3、C2、C1三個類別；同時，規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，從安全技術和安全管理兩個方面，對個人金融信息保護提出了規范性要求。

2020年2月26日發布的《2020年教育信息化和網絡安全工作要點》由教育部辦公廳印發，對2020年教育信息化和網絡安全重點工作進行了安排部署�！豆ぷ饕�點》提出，落實《教育行業密碼與應用創新發展實施方案》，推進密碼基礎設施和支撐體系建設，有序推動教育重要業務信息系統開展密碼應用安全性評估，完善教育數字認證（CA）基礎支撐體系建設，推動國家教育管理信息系統密碼普遍應用，提升系統安全和數據安全。