计算机行业报告：《密码法》正式实施，加密行业迎来两化新机遇

《密码法》正式实施，加密行业迎来两化新机遇证券分析师：郝彪执业证书编号：S0600516030001 联系邮箱：haob@dwzq.com.cn证券研究报告·计算机行业报告2020年1月2日 目录《密码法》正式实施，行业刚性合规需求有望爆发密码软件占比有望提升，商密市场更具前景密码全产业链自主条件成熟，国产化带来新机遇密码应用泛在化，新场景新产品涌现1相关标的&风险提示 《密码法 》正式实施，密码的刚性合规需求有望爆发：密码是国家的重要战略资源，直接关系国家政治安全、经济安全、国防安全和信息安全。加密是网络安全体系的重要一环，是实现数据安全及网络安全的核心技术。1月1日《密码法 》正式实施，提出推进商用密码检测认证和分类审查，提升行业门槛；同时规定密码工作经费纳入政府预算并建立责任制，尤其在关键信息基础设施领域，运营者违规使用商密可能被处以罚款，违反密码法视后果可能追究刑事或者民事责任，密码的刚性合规需求有望爆发。国内密码市场以硬件为主，《密码法》将推动密码软件和密码应用爆发：国外密码市场软、固件占55%，硬件占45%；而我国密码市场中，软件密码产品仅占2%。目前我国密码产业应用侧供给不足，在云移物等新场景需求带动下，软件产品将会迅速增长，密码应用市场将迎来爆发。根据数观天下的统计，2017年我国商用密码产业规模达239亿元，随着密码法的正式实施，受业务需求和合规需求双重拉动，密码行业将迎来高速增长的时期。密码全产业链自主条件成熟，国产化带来新机遇：从产品形态角度，目前我国密码产业已经形成从芯片、办卡、整机到软件、系统和密码服务的完整产业链。全面采用国产通用算法是国家信息安全战略的内在要求，除了软件层的算法，更重要的是硬件层的密码芯片和需要用到的通用芯片的自主可控，随着国产芯片性能提升和生态成熟，基础产品领域的密码机有望率先在党政和关键信息基础设施领域迎来国产化的机遇，并带动应用端电子公文系统信息创新近200亿左右的集成市场。后续金融数据密码机等重磅产品也将迎来国产潮，仅金融口即有望带来百亿级的市场。密码应用泛在化，新场景和新产品涌现：云计算 、物联网等新兴领域不断涌现，新技术和新需求推动密码应用领域的边界不断扩张。密码法正式实施后，加密有望逐渐加快在除金融、党政、关键基础信息设施等以外的新兴场景和领域的应用，比如车联网、视频安防、工控等 ，同时也将广泛覆盖政府、企业、组织和民众。同时电子商务和电子合同带来的数字签名与印章等新业态不断涌现。根据中国电子认证服务产业联盟的统计，截至2017年我国电子认证总体规模为237亿元 。其中，电子签章产品及服务仍处于高速发展的初期，市场规模约为9亿元，同比增长69.81%。标的：重点推荐加密领域绝对龙头卫士通，国内唯一同时拥有涉密、商密领域最高级别资质的信息安全企业，拥有从芯片到算法到应用系统的完整产业链，在基础密码领域份额绝对领先。基础领域有密码机、数字证书认证系统，在应用领域有身份认证服务系统、电子签章、电子公文交换系统、电子公文处理系统等众多重磅产品和方案，密码法实施后有望大规模放量，率先受益。关注：格尔软件（PKI）、数字认证（PKI）、中孚信息（保密和密码应用）、启明星辰（子公司书生电子从事电子签章）、信雅达（金融数据密码机）、深信服（VPN接入）、飞天诚信（USBKEY）、国农科技（收购智游网安）、航天信息（PKI、安全芯片）、吉大正元等。风险提示：密码法推进低于预期；密码相关产品应用低于预期。投资结论4 《密码法》正式实施，行业刚性合规需求有望爆发 加密产品是网络安全中的重要一环，是实现数据安全及网络安全的核心技术。密码是国家的重要战略资源，直接关系国家政治安全、经济安全、国防安全和信息安全。加密是密码的核心，尤其是在当今的电子商务、数字货币、网络银行等各种网络业务快速兴起的时代。如何保护数据安全使之不被窃取、不被篡改或破坏等问题越来越受到人们的重视，而解决这些问题的关键就是密码。加密是网络安全的重要一环，保护数据安全图表1：通过加密实现数据本身安全资料来源：gemalto官网，东吴证券研究所测算 此前密码行业由行政推进：1999年10月发布施行的《商用密码管理条例》是我国密码发展史上的一个里程碑，对于我国发展商用密码的意义重大。《密码法 》发布 ，密码上升到国家法律层面：10月26日，十三届全国人大常委会第十四次会议表决通过《密码法 》，并于2020年1月1日起正式实施。此次《密码法 》的颁布 ，将作为我国密码领域的综合性、基础性法律，推动密码在网络安全与信息化发展中发挥更大作用，更加深入、泛在地保障我国网络空间各个领域的权益。颁布时间发文单位文件名2020年1月1日 全国人大常委会《中华人民共和国密码法》正式实施2019年10月 全国人大常委会《中华人民共和国密码法》颁布2016年3月 国家密码管理局《SM9标识密码算法》等2项密码行业标准公告2015年4月 国家密码管理局《密码模块安全检测要求》等5项密码行业标准公告2014年2月 国家密码管理局《IPSecVPN技术规范》等17项密码行业标准公告2014年1月国务院《中华人民共和国保守国家秘密法实施条例》2013年6月 国家密码管理局《密码术语》2012年11月 国家密码管理局《SM2密码算法使用规范》等14项密码行业标准公告2012年3月 国家密码管理局《祖冲之序列密码算法》等6项密码行业标准公告2010年12月 国家密码管理局《SM3密码杂凑算法》2010年12月 国家密码管理局《SM2椭圆曲线公钥密码算法》2010年4月 国家密码管理局《智能IC卡及智能密码钥匙密码应用接口规范》2010年4月 全国人大常委会《中华人民共和国保守国家秘密法》2009年10月国家密码管理局《电子认证服务密码管理办法》2007年12月 国家密码管理局《可信计算密码支撑平台功能与接口规范》2005年12月 国家密码管理局《商用密码产品生产管理规定》2005年12月 国家密码管理局《商用密码科研管理规定》2005年12月 国家密码管理局《商用密码产品销售管理规定》2005年12月国家保密局《涉及国家秘密的信息系统分级保护管理办法》2004年8月 全国人大常委会《中华人民共和国电子签名法》1999年10月国务院《商用密码管理条例》1996年7月中央办公厅《关于发展商用密码和加强对商用密码管理工作的通知》图表2：密码相关政策资料来源：全国人大常委会、密码管理局、国务院等官网，东吴证券研究所图表3：《密码法》是整个密码领域的纲领性法律密码领域法律框架法律/全国人大《国家安全法》、《密码法》、《 保守国家秘密法》、《网络安全法》、《反恐怖主义法》、《电子签名法》、 《对外贸易法》、《 技术进出口管理条例》等行政法规/国务院《商用密码管理条例》([1999]国务院令273号)《国务院关于取消一批行政许可事项的决定》(国发[2017]46号)部门规章/国家密码管理局《商用密码产品生产管理规定》(2017年12月1日修订)《商用密码科研管理规定》(2017年12月1日修订)《电子认证服务密码管理办法》(2017年12月1日修订)《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》(国密局字[2017]336号)《电子政务电子认证服务业务规则规范》(国密局字[2018]572号)，等国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》《GM/T 0054-2018 信息系统密码应用基本要求》《GM/T 0044-2016SM9 标识密码算法》《GM/T 0045-2016 金融数据密码机技术规范》，等资料来源：国务院、财政部等官网，东吴证券研究所密码法正式发布，密码成为刚性合规需求 信息安全等级安全程度内容描述资质情况核密最高国家党政领导人及绝密单位的安全级别。无商业行为。普密次之国家党政军机关的信息安全级别。普密可用于保护一定范围的国家安全信息，对国家秘密保护的强度包括它的手段和技术。因保护国家秘密信息的时候所采用的密码必须是普密级以上的，普密设备从管理上要求对普密产品、设备的管理非常严格。国家指定五家研究机构负责研制：电子工业集团30研究所（卫士通）、原邮电部数据通信研究所（数据所）、总参56所（江南所）、中船722所、空三所。商密最低用于保护企业级的商业秘密，技术上不一定比普密低，但商密产品的管理程度低于普密，应用产品多，应用面广（如VPN）。卫士通(国内唯一一家同时拥有涉密，商密领域最高级别资质信息安全企业)、格尔软件、吉大正元、数字认证等。资料来源：《密码法》，东吴证券研究所给出密码定义，对密码实行分类管理：按照《 密码法 》定义， 密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务，因此加密主要用途是加密和身份认证。按照密码分类保护要求，密码分为核心密码、普通密码和商用密码。核密、 普密用于保护国家秘密信息，属于国家秘密。商密用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全，隐蔽商密可以进行市场化。推进商用密码检测认证和分类审查，提升行业门槛：国家推进商用密码检测认证体系建设，对关系国家安全和国计民生、社会公共利益的商密产品，依法列入网络关键设备和网络安全专用产品名录，认证合格后才可销售，并采取进口许可，有望提升行业进入门槛。密码工作经费纳入政府预算，密码成为刚性合规需求：《密码法 》第十一条规定县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级财政预算。从立法层面，要求政务机关把对密码产品的采购列入到预算，把信息化和网络安全同步规划、同步建设、同步运营，通过政府采购规定可以进一步拉动产业。从实施手段上，强化财政预算中纳入密码工作所需经费，主张采购有效密码产品，以增大政府对密码产品采购和安全防护实施。从责任上，尤其是关键信息基础设施领域，运营者违规使用商密可能被处以罚款；违反密码法视后果可能追究刑事或者民事责任。密码实行分类管理和认证，密码成为刚性合规需求图表4：密码分为三个等级 密码软件占比有望提升，商密市场更具前景 密码产业包含算法、产品、 应用等环节：密码算法包含非对称加密、对称加密、散列算法等；密码应用既包含应用密码的安全产品，也涉及广泛信息化系统中使用密码。从产品的功能角度，可以分为密码算法、数据加解密、证书管理、秘钥管理等产品。我国密码行业经过多年发展，已经初步具备全产业链能力：从产品形态角度，目前我国密码产品种类齐全，已经形成了从芯片 、办卡 、整机到软件、系统和密码服务的完整产业链，能够满足现有各类信息系统的安全需求，而且密码产品更加实用。密码产业链分析：可以从功能和形态两个维度分类类别解释典型产品密码算法类构成密码应用基础的能提供密码运算功能的产品密码算法实现软件、密码算法芯片等产品数据加解密类提供数据加解密功能的产品加密机、加密卡、智能密码钥匙等产品认证鉴别类提供身份认证、密码鉴别功能的产品动态口令系统、身份认证系统等产品证书管理类提供数字证书的产生、分发、管理功能的产品数字证书管理系统等产品密钥管理类提供密钥的产生、分发、更新、归档和恢复等功能的产品密钥管理系统等产品密码防伪类提供密码防伪验证功能的产品电子印章系统、支付密码器、数字水印等产品综合类提供上述两种或两种以上功能的产品电子商务安全平台等产品图表5：产品按照功能分类类别解释典型产品密码软件类提供纯软件形态出现的密码产品信息加密软件、密码算法实现软件等产品密码芯片类指以集成电路芯片形态出现的密码产品密码算法芯片、密码SOC芯片等产品密码模块类指以多芯片组装的背板形态出现，具备专用密码功能，但本身不能完成完整的密码功能的产品加解密模块、安全控制模块等产品密码板卡类指以板卡形态出现，具备完整密码功能的产品USB密码钥匙、PCI密码卡等产品密码整机类指以整机形态出现，具备完整密码功能的产品VPN、网络密码机、服务器密码机、签名