《商用密码技术创新应用指南(2024版)》报告发布
2024-9-4 15:46:18 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

随着信息技术的飞速发展,数据安全问题日益凸显,商用密码技术作为保护数据安全的重要手段,其应用和推广受到了广泛关注。为帮助甲方用户更好了解商用密码技术的应用价值和建设方法,安全牛组织发起《商用密码技术创新应用指南(2024版)》报告研究工作。9月4日,报告正式发布。

报告基于对多行业用户和密码领域从业厂商的深入调研与分析,全面阐述了当前商用密码的整体发展现状、典型需求、关键能力及创新方向,并从品牌影响、技术创新、方案能力、行业应用、服务生态、信创能力等维度,对当前我国商用密码技术应用领域的代表性厂商进行了评估和收录。

关键发现

1.用户调研:

近一年来,60%以上的受访用户都已在建商用密码项目,其中90%以上的用户已将商用密码技术应用到核心业务信息系统中、80%以上的用户启动商用密码项目的出发点是主动规避安全风险而非合规要求。受访用户普遍认为,技术领先性和业务模式灵活性是选择商用密码供应商的主要因素,而场景化应用是当前商用密码项目落地时的主要挑战。

2.国产商密厂商:

我国商密市场的参与者热增,主要分为4大类和3个梯队,但由于商密市场整体成熟度较高,因此每个梯队市场竞争都在加剧,部分竞争已呈现互为生态、互相集成的趋势。

3.市场规模:

调研发现,合规要求和需求驱动将对当前商用密码市场产生叠加效应,或使得未来3年内商用密码的市场规模将呈倍数级显著增长。商密领域有可能会成为网络安全领域中市场规模最大的子领域。

4.供给模式:

网络安全与密码应用正在趋向融合,在数字经济和数据安全的宏观背景下,用户侧愈发注重基于应用场景的技术创新,更需要一站式或一整套“商密+安全”解决方案,相应地近两年来“去盒子”、开放及统一接口、回归软件化交付成为新兴供给模式。

5.应用建设:

在近两年商用密码应用建设中,安全牛建议用户参考通用框架的基础上审慎4个普遍性问题:不盲目追求密评分数、注重业务系统商密安全性建设、重视具备技术产品及软件化融合能力的创新型原厂、倡导密评结合业务的实用性。

商用密码应用现状与需求

覆盖全国范围的主要是信创/关基、金融、党政、运营商这4个行业及领域

核心业务系统成为当前商用密码项目建设在本次研究中的突出应用场景,应用最多的是信创/关基、金融、党政这3个行业及领域,其次是医疗、整车制造与智能网联汽车、能源化工,然后是运营商和交通。

综合类商密产品占比最高,其次是认证鉴别类、数据加解密类,然后是密码算法类、证书管理类以及服务。其中:应用综合类产品较多的前3个行业及领域,是党政、信创/关基、运营商。此外,整车制造与智能网联汽车相对应用产品类别较少,主要集中在认证鉴别类产品。

商用密码关键技术创新

本次调研数据清晰表明,用户当前最为关注的是其核心业务系统的密码应用。其重点在于商用密码技术与各行业特定业务环境的深度融合。从这一观察点出发,当前商用密码的主流关键技术能力已超越了单纯的技术层面,进入到与业务层的深度集成与融合优化。

具体创新方向,从以下三个方面举例:

1、密码算法创新层面:

旨在探索更高级别的密码解决方案,涵盖密钥分片技术、设备指纹识别、白盒密码算法、物联网设备认证算法、量子密码学、隐私计算技术、抗量子密码方案、数据负载加密、最小单位加密等多个前沿领域。调研结果显示,这些创新方向的部分技术已成功实现商业化应用。

2、安全认证技术进展:

主要针对新兴应用场景对多样化终端接入及高效认证的需求,包括短码证书技术、轻量级加密算法、基于量子技术的身份验证、双因子密钥管理系统、结合生物特征识别与公钥基础设施(PKI)的复合认证等。这些先进技术正处于研发与应用的前沿探索阶段,并已在车联网、物联网、金融业等多个领域初步应用。

3、面向新兴场景的创新实践:

主要围绕云计算、大数据、人工智能、物联网及异构信息系统等场景,从业者通过战略投资、自主研发、生态合作等多元化策略,积极提升其在新兴领域的服务供给能力。具体举措包括但不限于:容器镜像安全防护技术的研发、内源性密码服务的集成、物联网专用密码解决方案、密码服务的SaaS化转型、异构环境下密码服务的云端化、以及大规模密码服务的智能化监控与调度等。

新兴场景带来的复杂挑战依然基于身份、网络通信、数据三大核心安全模块,同时需要兼顾供给模式的灵活性,实现安全与效率的双重保障。

商用密码应用建设

当前商用密码应用建设的通用框架,包括咨询规划阶段、集成选型阶段、实施交付阶段、正式运行阶段共四个阶段。

通用框架已成为各行业商用密码应用建设的重要参照标准。在此基础上,4个关键要素值得特别强调:

1)业务部门深度参与的必要性,强调业务理解与密码技术融合的深度需求。

2)重视对密评服务的甄选,应采取严格标准,确保其能准确匹配项目需求和预期能力水平。

3)供应链生态与利润分配有待优化,为促进产业健康发展,产业链各参与方应致力于构建理性竞争与合作机制,维护良好的产业生态环境。

4)需要乙方联合融合创新,意味着技术产品型原厂不仅要具备软硬件一体化、物理与虚拟化/云原生部署等多维度能力,还需确保与其他厂商产品间的互操作性。

通过大量调研,本次研究发现在当前商用密码应用建设中存在以下4个普遍性问题:

1、密评得分和需求之间如何平衡

安全牛建议:

用户方及参与咨询规划的第三方机构需优先考量如何有效提升用户业务系统的商用密码安全性,超越单纯应对评测的层面,实现真正意义上的安全加固与风险防控。

2、硬件交付和软件化能力化之间如何平衡

安全牛建议:

应跨越IT环境中存在的各类异构挑战,积极推进软件化能力与内生安全机制的深度融合,确保能够精准对接并充分满足用户的实际安全需求,从而在根本上提升商用密码应用的有效性和系统的整体韧性。

3、项目模式的疲态与可持续性问题

安全牛建议:

产业监管机构及甲方用户在聚焦技术产品与实际需求的同时,应对当前商业生态环境给予适当干预与引导,旨在调整并优化当前“侧重项目轻视原厂”的不平衡格局。建议通过加强对原厂的商务扶持,提升其市场竞争力,从而激励技术创新,营造一个更加积极、有利于原厂成长与行业整体创新的生态环境。

4、业务级商密应用评估需求与实用型人才缺乏的矛盾

安全牛建议:

产业监管部门应携手教育及研究机构,扩大并深化对实用型人才的培养规模与培训强度,以弥补当前的人才缺口,支撑商用密码领域乃至整个网络安全产业的可持续发展。

国产商用密码代表性厂商

本次报告以安全牛年度《中国网络安全企业100强》和《中国网络安全行业全景图》研究成果为基础,共调研国内商用密码技术厂商31家,并对其中应用表现较好的10家代表性厂商进行了收录和推荐(排名不分先后,按公司简称首字母序展现)。

目前,《商用密码技术创新应用指南(2024版)》报告已经在安全牛商城上架预售,获取完整版本报告,请点击识别下方二维码:


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651131897&idx=1&sn=8ba2db84b8a1afa7a8a28dc4b85c88b9&chksm=bd15bf2a8a62363c06125046c94396774d54c8ed4bc8997b96230405ee1a44dfe96ef2b5507c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh