计算机行业专题研究：商密应用市场演化分析

1告计算机告计算机华泰研究专题研究增增持(维持)计算机演化分析：政务、金融先行，重点行业紧随其后从商用密码产品应用领域占比来看，我国商用密码应用领域按渗透率高低可分为3个层级：1)深度应用渗透：金融、政务；2)中度应用渗透：通信、电力、交通；3)一般应用渗透：教育、医疗、电子商务等。密码在不同下游领域的商业化渗透情况存在差异，行业信息化深度较深、安全标准体系较成熟的金融、政务领域，商密渗透率较高，通信、电力、交通、教育、医疗等重点行业紧随其后。据赛迪咨询预测，2023年我国商用密码市场规模有准化程度可以作为后续商用密码下游需求释放节奏预判的重要参考。深信息化：行业信息化深度决定信息保护紧迫程度据网络安全研究所统计，截至2021年我国商用密码产品主要分布在金融、政务、通信、电力、交通、教育、医疗、电子商务等领域，其中政务、金融、通信、电力、交通应用占比分别为24%、19%、15%、12%、10%。应用领域的密码商业化渗透深浅与该行业深度信息化的时间早晚相对应，深度信息化时间越早，商用密码应用渗透越深。其中，政务、金融在2000年前后基本实现深度信息化建设，通信、电力、交通、教育、医疗等行业在2010年前后完成深度信息化进程。行业的深度信息化转型加速体现了信息数据的“生产要素”属性，因此，商用密码成为行业信息安全建设的重点。强标准化：密码标准体系提供密码建设范本商用密码的加速渗透由密评、密改推动，因此完善的行业标准体系可以为密码建设提供范本，带动密码商业化进程加速推进。2019年《中华人民共和国密码法》正式发布，我国商用密码建设朝标准化方向稳步迈进；2021年10月，GB-39786《信息系统密码应用基本要求》发布，标志着密码应用成为信息系统建设的必选项，推动密码应用安全性评估加速发展。近年来，政务、通信、电力等领域的密码标准体系日益完善，众多“指南”型文件相继出台，带动商用密码加速渗透。考虑到商用密码进入到“以评促建”的加速要助推。研究员SACNo.S0570519080006SFCNo.BQZ938研究员SACNo.S0570521060004联系人SACNo.S0570121070173春生xiechunsheng@+(86)2129872036fanyirui@+(86)1063211166penggang@+(86)2128972228行业走势图计算机沪深300(%)5(5)(15)(25)(35)Nov-21Mar-22Jul-22Nov-22资料来源：Wind，华泰研究趋势判断：重点行业加速渗透，关注新安全增量空间我们认为，未来3-5年商用密码将实现重点关键信息基础设施行业的加速渗育、医疗等重点关键信息基础设施行业已具备深度信息化特征，后续密码商业化渗透将随标准体系完善全面加速；2)新安全场景将贡献商用密码增量空间：以工业互联网、车联网、智慧城市为代表的新安全场景，作为新型数字技术与产业深度融合的新业态，天然具备深度信息化属性，密码应用需求旺盛，同时《新型智慧城市评价指标》、《工业互联网安全标准体系(2021年)》等新安全标准体系逐步确定，有望带动商用密码在新安全领域的加速拓展。产业链公司梳理国产商用密码研究与应用起步于20世纪90年代末，目前以密码技术为核心的安全厂商主要包括吉大正元、格尔软件、信安世纪、数字认证、卫士通、三未信安等。风险提示：宏观经济波动，政策推进不及预期。商用密码是密码技术的商业化应用，逐步渗透政务、金融、通信、电力等领域。国产商用密码的发展大致可分为四个阶段：1)业务初探期(1996-2005年)：商用密码的研究与应用正式起步，实现政务、金融领域的初步探索；2)产业扩张期(2005-2010年)：商密应用从政务、金融向通信、电力、教育、医疗等领域逐步扩大；3)规范发展期(2011-2020年)：商用密码标准体系逐步确立，应用渗透率快速提升；4)高质量发展期(2021年至今)：信创加速国产商用密码发展，密码技术、应用、服务全面提升。从下游应用来看，据网络安全研究所统计，截至2021年我国商用密码产品主要分布在金融、政务、通信、电力、交通、教育、医疗、电子商务等领域，其中政务、金融应用占比分别为24%、19%。资料来源：中央办公厅、国务院、国家密码管理局、华泰研究力12%其其他20%金融24%通信15%交通10%政务19%资料来源：《2021-2022年中国商用密码行业发展白皮书》，网络安全研究所(2022)、华泰研究密码商业化与行业信息化、体系标准化高度协同。为剖析商用密码在不同下游行业的渗透率差异，我们选取金融、政务、通信、电力、交通、教育、医疗等典型商用密码应用场景，对各行业的信息化进程、密码商业化应用进展、密码行业标准体系等内容进行了系统性梳理，总结出了影响密码商业化进程的两大关键因素。一是行业是否实现了深度信息化转型：行业信息化转型程度越深，数据的生产要素属性越突出，使用密码技术实现数据保护的需求越强烈；二是行业是否建立了密码标准体系：密码标准体系是密码大规模商业化应用的范本示例，标准体系的建立对于“以评促建”的密码行业具有重要的指导性意义。密码商业化应用是行业深度信息化后产生的业务需求，越早实现深度信息化转型的行业商用密码渗透率越高。从商用密码产品应用领域占比来看，我国商用密码应用领域按渗透率高低可分为3个层级：1)深度应用渗透：金融、政务；2)中度应用渗透：通信、电力、交通；3)一般应用渗透：教育、医疗、电子商务等。应用领域的渗透深浅与该行业深度信息化的时间早晚相对应，深度信息化时间越早，商用密码应用渗透越深。政务、金融率先完成深度信息化转型，密码商业化程度处于领先地位。我国金融、政务信息化建设起步较早，基本于21世纪初完成深度信息化转型。其中，我国电子政务建设起步于1993年的“金字工程”，以金桥、金关、金卡为起点，逐步拓展为2002年的“两网一站四库十二金”，政务系统实现了涵盖内部办公与外部服务的深度信息化转型。我国金融信息化建设以银行信息化为先驱，从20世纪80年代的单机业务信息化到20世纪90年代的联机业务信息化，再到21世纪初的联机网络处理，金融系统的深度信息化转型初具规模。对比来看，通信、电力、交通、教育、医疗等行业的深度信息化建设多完成于2010年前后，密码商业化应用程度较政务、金融来说相对较浅。图表4：政务信息化“两网一站四库十二金”资料来源：《2021-2022年中国商用密码行业发展白皮书》，网络安全研究所(2022)、华泰研究行业密码相关政策的提出时间侧面印证了各行业密码需求的先后顺序。行业的深度信息化转型加速体现了信息数据的“生产要素”属性，为完成行业信息数据的“主动”保护，商用密码成为行业信息安全建设的重点。从各行业密码相关政策的出台时间来看，越早完成深度信息化转型的行业，密码应用的指导性政策出台越早。其中政务领域2006年发布《国家电子政务总体框架》，提出要“完善密钥管理基础设施，充分利用密码、访问控制等技术保护电子政务安全”；金融领域2014年发布《金融领域密码应用指导意见》，提出要“建立以国产密码为主要支撑的金融信息安全保障体系，力争2015年初步实现国产密码在重点领域的广泛应用，到2020年实现国产密码在金融领域的全面应用”。资料来源：国家信息化领导小组、国务院、国家能源局、国家卫健委、国家教育部、国家交通运输部、华泰研究商用密码的加速渗透由密评、密改推动，行业标准体系为密码建设提供范本。2019年《中华人民共和国密码法》正式发布，我国商用密码建设朝标准化方向稳步迈进，2021年10月，GB-39786《信息系统密码应用基本要求》发布，标志着密码应用成为信息系统建设的必选项，推动密码应用安全性评估加速发展。考虑到我国商用密码进入到“以评促建”的加速渗透期，密码标准体系成为密码大规模商业化应用的重要助推。1)政务：2020年9月，中国密码学会密评联委会编制的《政务信息系统密码应用与安全性评估工作指南》正式发布，成为指导非涉密的国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性估工作的重要参考，政务信息系统集成单位、商用密码应用安全性评估机构、各级地方政务信息化项目建设单位和使用单位均可参照《政务信息系统密码应用与安全性评估工作指南》开展相关工作。资料来源：《政务信息系统密码应用与安全性评估工作指南》、国家密码管理局(2020)、华泰研究2)电信、互联网：2020年12月，工信部发布《电信和互联网行业数据安全标准体系建设指南》，其中关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期环节出发，对数据安全的关键技术进行规范，涵盖了数据加密、数据完整性保护等密码要求，为电信、互联网行业依托密码技术建设数据安全标准体系提供了重要参考。3)电力：2021年5月，国家电网有限公司制定《电力物联网密码应用规范》企业标准，规定了电力物联网密码应用总体要求以及感知层、网络层、平台层、应用层的密码应用基本要求和增强要求，为电力行业的密码深度应用提供了规范化技术标准。从密码渗透程度及相关政策的匹配度来看，我们认为，在密码成为安全建设共识的前提下，率先完成行业标准体系建设的细分领域，有望率先实现商用密码的深度应用。重点行业的密码商业化应用有望加速渗透。综合密码商业化进程的两大关键因素，我们认为，通信、电力、教育、医疗等关基行业已具备深度信息化特征，后续将随密码标准体系完善实现密码商业化应用有望全面加速。2022年11月，GB/T39204-2022《关键信息基础设施安全保护要求》正式发布，标志着我国关键信息基础设施安全保护标准体系基础已基本确立，后续通信、电力、教育、医疗等关基重点行业的密码标准体系有望加速完善，带动密码商业化应用渗透率快速提升。新安全具备深度数字化天然属性，标准体系已初步确立。以工业互联网、车联网、智慧城市为代表的新安全场景，作为新型数字技术与产业深度融合的新业态，具备天然的深度数用需求旺盛。同时《新型智慧城市评价指标》(GB/T33356-2022)、《工业互联网安全标准体系(2021年)》、《关于加强车联网网络安全和数据安全工作的通知》等新安全标准体系逐步确定，提出“按照国家有关标准使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”的通用要求，密码商业化有望实现新安全领域的加速拓展。产业链公司梳理目前以密码技术为核心的安全厂商，主要包括吉大正元、格尔软件、信安世纪、数字认证、卫士通、三未信安等，其中三未信安暂未上市。1)吉大正元：公司成立于1999年2月，以密码安全、身份与信任、数据安全产品为核心，打造数字世界和数字经济的安全基座，形成了涵盖密码与身份安全、数据安全、物联网安全、网络与系统安全等场景的安全产品体系和行业解决方案。公司业务遍及政府、军队、能源、互联网、交通等领域，2021年业务拓展取得重要成果。1)军队：公司坚持自主研多个军种市场拓展；2)金融：公司金融国密改造业务实现全国范围的积极推广；3)车联网：公司在车云安全、车际安全、视频安全等方面积极核心的商用密码软件产品的研发、生产和销售及服务业务，主要产品包括PKI基础设施产品、PKI安全应用产品、通用安全产品三大类。公司业务覆盖政府、金融、军工、中大型企业等重要信息系统领域，参与承建了我国多个第三方数字认证中心系统，并实现了电子商务、互联网网络实名、金融电子支付、云计算平台等新安全领域的业务拓展。3)数字信安：公司成立于2001年8月，经过二十多年的自主研发和持续创新，逐步形成了身份安全、通信安全、数据安全、移动安全、云安全和平台安全六大产品系列。公司的产品和解决方案广泛应用于金融、政府和中大型企业等重要领域，其中公司金融领域业务覆盖网上银行、支付清算、二代征信、证券登记结算、电子保单等重要金融业务系统，2021年公司在金融行业的营收同比增长28.33%；公司政府领域业务覆盖交通、人社、烟草、海关、税务、政法等数十个行业，2021年政府行业营收同比增长37.84%。4)数字认证：公司成立于2001年2月，是北京市国有资产经营有限责任公司控股的国有企业。公司主要业务包括电子认证产品及服务、网络安全产品及服务两大类。公司业务覆盖政府、金融、医疗、大型企业等多个领域。公司2021年技术预研和生态合作进展顺利，1)云战略：公司积极推进产品云化升级，密码、签名、签章、认证、核验等产品云服务体系建设逐步完善，云服务注册用户数增长迅速，新增用户数超百万；2)零信任：公司攻克零信任关键技术，推出零信任网络安全解决方案，成功实现互联网医院的场景落地；3)车联网：公司牵头密标委标准《C-V2X车联网证书策略与认证业务声明框架》编制工作，探索车联网数字身份认证和安全信任支撑体系；4)生态合作：公司积极实现与华为生态对接。5)卫士通：公司成立于1998年，是国内首批商密产品研发、生产、销售资质单位，是中国电科旗下中国网安的控股子公司。公司秉持“以密码为核心的数据智能安全服务商”的战略定位，构建了覆盖芯片、模块、平台、整机、系统、整体解决方案、安全服务的全产业链产品体系。公司业务覆盖金融、政务、电信、交通等多领域，实现了密码技术在关键行业中的深度渗透及应用。6)三未信安：公司成立于2008年8月，自成立来专注密码技术的创新和密码产品的研发、销售及服务，形成了包括密码芯片、密码板卡、密码整机和密码系统在内的密码产品体系。2020年12月公司首款自研密码芯片XS100成功流片并完成封装，并于2022年9月完成第一批密码芯片XS100的量产。公司业务覆盖金融、电力、电信、石油、交通、电子商务等行业领域，曾参与国家税务系统密码改造、公安系统密码资源池建设、国家医疗保障信息平台密码建设、国家电网密码平台建设、疫情大数据加密等重大国家信息安全项目建设。提示宏观经济波动。若宏观经济波动，可能会对下游客户的预算、支付意愿产生负面影响，影响下游行业的需求释放。政策推进不及预期。密码建设仍以密评合规为重要驱动，若相关合规政策推进不及预期，可能影响下游行业的建设积极性，会对产业发展产生负面影响。分析师声明本人，谢春生、范昳蕊，兹证明本报告所表达的观点准确地反映了分析师对标的证券或发行人的个人意见；彼以往、现在或未来并无就其研究报告所提供的具体建议或所表迖的意见直接或间接收取任何报酬。一般声明及披露本报告由华泰证券股份有限公司(已具备中国证监会批准的证券投资咨询业务资格，以下简称“本公司”)制作。本报告所载资料是仅供接收人的严格保密资料。本报告仅供本公司及其客户和其关联机构使用。本公司不因接收人收到本报告而视其为客户。本报告基于本公司认为可靠的、已公开的信息编制，但本公司及其关联机构(以下统称为“华泰”)对该等信息的准确性及完整性不作任何保证。本报告所载的意见、评估及预测仅反映报告发布当日的观点和判断。在不同时期，华泰可能会发出与本报告所载意见、评估及预测不一致的研究报告。同时，本报告所指的证券或投资标的的价格、价值及投资收入可能会波动。以往表现并不能指引未来，未来回报并不能得到保证，并存在损失本金的可能。华泰不保证本报告所含信息保持在最新状态。华泰对本报告所含信息可在不发出通知的情形下做出修改，投资者应当自行关注相应的更新或修改。本公司不是FINRA的注册会员，其研究分析师亦没有注册为FINRA的研究分析师/不具有FINRA分析师的注册资华泰力求报告内容客观、公正，但本报告所载的观点、结论和建议仅供参考，不构成购买或出售所述证券的要约或招揽。该等观点、建议并未考虑到个别投资者的具体投资目的、财务状况以及特定需求，在任何时候均不构成对客户私人投资建议。投资者应当充分考虑自身特定状况，并完整理解和使用本报告内容，不应视本报告为做出投资决策的唯一因素。对依据或者使用本报告所造成的一切后果，华泰及作者均不承担任何法律责任。任何形式的分享证券投资收益或者分担证券投资损失的书面或口头承诺均为无效。除非另行说明，本报告中所引用的关于业绩的数据代表过往表现，过往的业绩表现不应作为日后回报的预示。华泰不承诺也不保证任何预示的回报会得以实现，分析中所做的预测可能是基于相应的假设，任何假设的变化可能会显著影响所预测的回报。华泰及作者在自身所知情的范围内，与本报告所指的证券或投资标的不存在法律禁止的利害关系。在法律许可的情况下，华泰可能会持有报告中提到的公司所发行的证券头寸并进行交易，为该公司提供投资银行、财务顾问或者金融产品等相关服务或向该公司招揽业务。华泰的销售人员、交易人员或其他专业人士可能会依据不同假设和标准、采用不同的分析方法而口头或书面发表与本报告意见及建议不一致的市场评论和/或交易观点。华泰没有将此意见及建议向报告所有接收者进行更新的义务。华泰的资产管理部门、自营部门以及其他投资业务部门可能独立做出与本报告中的意见或建议不一致的投资决策。投资者应当考虑到华泰及/或其相关人员可能存在影响本报告观点客观性的潜在利益冲突。投资者请勿将本报告视为投资或其他决定的唯一信赖依据。有关该方面的具体披露请参照本报告尾部。本报告并非意图发送、发布给在当地法律或监管规则下不允许向其发送、发布的机构或人员，也并非意图发送、发布给因可得到、使用本报告的行为而使华泰违反或受制于当地法律或监管规则的机构或人员。本报告版权仅为本公司所有。未经本公司书面许可，任何机构或个人不得以翻版、复制、发表、引用或再次分发他人(无论整份或部分)等任何形式侵犯本公司版权。如征得本公司同意进行引用、刊发的，需在允许的范围内使用，并需在使用前获取独立的法律意见，以确定该引用、刊发符合当地适用法规的要求，同时注明出处为“华泰证券研究所”，且不得对本报告进行任何有悖原意的引用、删节和修改。本公司保留追究相关责任的权利。所有本报告中使用的商标、服务标记及标记均为本公司的商标、服务标记及标记。中国香港本报告由华泰证券股份有限公司制作,在香港由华泰金融控股(香港)有限公司向符合《证券及期货条例》及其附属法律规定的机构投资者和专业投资者的客户进行分发。华泰金融控股(香港)有限公司受香港证券及期货事务监察委员会监管，是华泰国际金融控股有限公司的全资子公司，后者为华泰证券股份有限公司的全资子公司。在香港获得本报告的人员若有任何有关本报告的问题,请与华泰金融控股(香港)有限公司联系。香港-重要监管披露•华泰金融控股(香港)有限公司的雇员或其关联人士没有担任本报告中提及的公司或发行人的高级人员。•有关重要的披露信息，请参华泰金融控股(香港)有限公司的网页.hk/stock_disclosure其他信息请参见下方“美国-重要监管披露”。美国在美国本报告由华泰证券(美国)有限公司向符合美国监管规定的机构投资者进行发表与分发。华泰证券(美国)有限公司是美国注册经纪商和美国金融业监管局(FINRA)的注册会员。对于其在美国分发的研究报告，华泰证券(美国)有限公司根据《1934年证券交易法》(修订版)第15a-6条规定以及美国证券交易委员会人员解释，对本研究报告内容负责。华泰证券(美国)有限公司联营公司的分析师不具有美国金融监管(FINRA)分析师的注册资格，可能不属于华泰证券(美国)有限公司的关联人员，因此可能不受FINRA关于分析师与标的公司沟通、公开露面和所持交易证券的限制。华泰证券(美国)有限公司是华泰国际金融控股有限公司的全资子公司，后者为华泰证券股份有限公司的全资子公司。任何直接从华泰证券(美国)有限公司收到此报告并希望就本报告所述任何证券进行交易的人士，应通过华泰证券(美国)有限公司进行交易。美国-重要监管披露•分析师谢春生、范昳蕊本人及相关人士并不担任本报告所提及的标的证券或发行人的