2021密码产业洞察报告(下)

上半部分指路

三、密码产业发展趋势分析

密码产业的持续健康发展是大势所趋,这对打造以密码为基础的网络安全体系、构建网络空间安全保障体系以及维护国家网络空间安全具有重要意义,我国网络信息安全防护迎来从被动防御向主动免疫的战略转变。因此,提前判断密码产业发展趋势并进行布局是密码厂商在激烈市场竞争中能否占据先机的关键点之一。

3.1 市场蓬勃发展

3.1.1 密码国产化替代正加速

密码的国产化替代是大势所趋。随着密码法的实施以及国家对国产化的支持,底层芯片、卡、装置性能要求将不断提高,引导产品技术和产品大幅度性能升级,国产密码的“高质量升级”成为时代的需求。目前,我国自主设计的SM系列算法经过多轮安全性分析评估,在设计、实现方面均有独特优势和特点,能够有力支撑商用密码的产业化、规模化发展。面对激烈的国际竞争,将国外产品进一步替换为国产产品的趋势不可逆反,商用密码产品将大量国产化。

3.1.2 信创带来新的历史机遇

信创带来历史机遇。信创的核心在于,通过行业应用拉动构建国产化信息技术软硬件底层架构体系和全周期生态体系,解决核心技术关键环节“卡脖子”问题。芯片、整机、操作系统、数据库、中间件等技术封锁下,中国信创产业必将迎来发展黄金期。据智库机构预计,未来三年市场总规模有望达到上万亿元人民币。国产密码本身就是信创产业的核心部分,密码又能为蓬勃发展的信创产业保驾护航,所以,适配优化信创平台、在信创安全体系中全面应用密码等新需求对密码产品形态会产生深刻影响。

3.1.3 市场呈现分层次多样化

密码市场的内涵将愈加丰富合理。过去,密码市场分为监管市场和商业市场两部分。监管市场由合规手段强制推动,用户规模小但市场占比庞大,在过去占据密码市场的主导地位。而商业市场用户规模数倍于监管市场,但过去市场体量不足监管市场的一半。从产业规模看,当前密码产业规模仅占信息产业的千分之三,仍有较大发展空间。同时,密码产业以众多中小型密码企业为主,有待诞生真正的龙头企业。随着时代发展,未来密码市场的内涵,将从单一的“国密合规”变得更加丰富和细化,并呈现出分层次叠加的多样化特征,即“实战防护、密评合规、信创合规”。

图5:密码市场内涵演进方向说明

3.1.4 密码市场发展规模预测

未来几年,商用密码产业将保持高增长率。面向“十四五”时期,在密码技术、需求和监管等诸多因素影响下,密码产业供给侧正迎来前所未有的叠加演进和发展升级。密码市场将迎来新发展机遇,据预测,未来几年,商用密码产业都将迎来高增长,2023年我国商用密码规模预计将超过900亿。

图6:商用密码产业规模及增长率预测

数据来源:《2020-2021中国商用密码产业发展报告》

3.2 技术加速创新

3.2.1 数据要素激励密码技术创新

数据作为新的生产要素将全面赋能密码创新发展。数据生产要素具备自身特性,难以从技术上分割使用权和所有权,而通过创新的密码技术和方案可实现多个企业或机构间的数据共享互联,具有广阔发展空间。一是密码技术的发展创新,如隐私增强计算技术的联邦学习、安全多方计算、机密计算、差分隐私、同态加密等,实现“数据可用不可见”;二是新兴信息技术的密码应用场景的创新,例如区块链,就是加密技术、分布式网络、智能合约等多种技术集成的新型数据库软件,通过数据透明、不易篡改、可追溯,有望解决数据生产要素化的信任和安全问题;三是传统密码技术和多种安全保密技术的融合创新,使数据在共享时实现“最少可用原则”和“最小权限原则”,让数据在业务系统中实现共享与安全兼得。

3.2.2 密码能力紧密融入业务应用

密码和业务应用融合。传统密码产品开发改造应用的密码集成模式门槛高、周期长、风险大,用户面临“难用、难管”,很难将密码能力深入融合到信息系统,而业务应用改造也正是密码防护和密评整改的难点,与金融、交通、医疗等行业应用场景紧密结合的密码需求也会更加细化。业内提出基于“面向切面安全”的密码中间件模式,将安全与业务在技术上解耦、但又在能力上融合交织,提供轻量级改造应用的密码应用实施模式,有效防护企业应用与数据,让密码“好用、好管”。

3.2.3 全生态亟待密码实战化覆盖

商用密码的健壮发展亦离不开信息技术整体生态的支撑,按技术链条划分,密码技术链可大致分为上、中、下游三个环节。

上游包括密码算法标准、网络协议及规范,如IETF RFC等;中游包括网络协议栈实现、软件开发工具链,以及硬件密码模块和驱动、CPU密码指令集支持等;下游包括各种应用软件,涉及基础应用软件、行业应用软件等环节。对于整个产业链来说,下游各类应用软件内含丰富的重要数据,包括姓名、身份证号、银行卡号等敏感信息,因此越往下游走,密码应用保障个人信息安全将愈加重要。下游行业总体的信息化进程仍处于快速发展阶段,信息化发展正促进信息安全及密码产品、集成及服务需求持续增长。

目前,技术生态环节存在商用密码覆盖盲区。上游的网络层协议及规范尚不支持SM算法。中游的通用协议栈实现与开发工具链没有充分支持SM算法。上中游盲区导致下游应用软件普遍不支持SM算法。

因此,需要增强技术生态覆盖,全面打造商用密码实战化。针对上游通过RFC等规范制定,布局SM算法进入标准和协议;针对中游,通过多个重点工程,抓住协议栈和工具链;针对特定行业或领域,结合中国市场,联合多家国际主导厂商,以密码合规等市场准入条件为契机,反向推动上游协议接纳SM算法;针对下游,结合法律法规和密评整改等手段,从下游应用软件反向推动,依赖下游广泛应用生态发挥出商用密码的巨大价值,不断开拓商业密码市场和国际市场,做强密码产业生态。

3.2.4 密码安全一体化成为主思路

安全一体化的密码技术的创新和发展。数据加密只是把明文安全问题转移到密钥安全问题,但是如果没有结合业务的密钥访问控制,防护价值非常有限。过去,由于市场准入等因素,密码和安全技术在建设落地时相对分离,但是,随着密码“放管服”落实以及监管侧改革,“以密码技术为核心、多种安全技术相互融合”将成为主流思路,并统筹实施等保与密评。通过加密技术,为流转的数据重新定义了虚拟防护边界,在边界上施加访问控制、审计等技术,实现“防绕过的访问控制”以及“高置信度审计”,进一步集成企业IAM身份认证管理,打造同时满足传统场景和零信任场景的有效数据保护。

3.3 产品叠加演进

3.3.1 密码交付向产品加服务演进

多重需求拉动密码服务蓬勃发展。过去,合规主导的密码市场侧重产品本身,而当下企业更注重有效防护,要将安全产品转化为有效防护能力,需要提供服务,尤其是结合安全运维。所以,密码交付形态正在从“以产品为主”演进为“产品与服务相结合”。密码企业交付模式从单纯的产品交付转变到产品与服务综合性交付模式,“一站式”满足客户多样化需求。

3.3.2 产品软硬均衡支撑自主可控

产品形态的“软硬兼备”将成未来的主流。当下,我国软硬件密码产品的发展并不均衡,亟待软件密码产品的技术创新,从目前国际密码产品的发展情况来看,国内密码产品的走向也将会朝着“软硬结合,以软为主”的方向发展,预计未来国内密码产业软硬件格局将与美国结构趋于一致:侧重软件形态为主的软硬件均衡发展。因此,未来密码软件应用市场将迎来爆发,从机卡Key等强调安全合规型,到“识别和防护”的实战化安全产品将百花齐放,内嵌式密码产品或将成为市场主流。

3.3.3 密码产品强化自身安全防护

加强自身安全保护和形态多样化的密码产品创新和发展。这是威胁对抗常态化带来的必然要求,密码厂商会更加重视形态多样化的密码产品研发、生产和全生命周期中的安全管理,同时,监管机构持续完善密码产品认证体系和优化密码产品的安全性检测认证要求,用“安全的密码产品”有效保护企业数字化安全。

3.3.4 亟待一体化的密码支撑体系

一体化的密码平台集约建设。企业业务需求持续变化决定了企业应用系统复杂多样,而在密码全方位应用要求背景下,针对每个应用分别实施密码防护会面临技术、管理等挑战,因此,亟待结合企业数字化现状和具体问题,遵循统一标准体系,建设统一密码平台,实施统一安全防护,落实统一运维监管,打造一体化的密码支撑体系。

3.4 体系实战升级

3.4.1 探索融入业务流转的密码防护

数据作为一种新型生产要素,正以更深度的方式为经济社会发展赋能。在大数据时代,数据作为一种新型生产要素,具有区别于其他生产要素的显著特征。从信息化延伸视角看,数据具有如下特征:一是个人信息数据量不断增加,具备自我繁衍性;二是数据类型复杂,不仅包含各种复杂的结构化数据,而且图片、指纹、声纹等非结构化数据日益增多;三是业务实时性逐渐增强,对数据处理速度要求越来越高,同时对系统可用性要求也逐渐提高;四是高价值数据主要在应用层共享流转,海量个人信息与复杂业务流程扭结缠绕,接触人员更多,数据安全风险敞口也更突出,给数据安全防护带来严峻技术挑战。

同时,数字化时代,数据一旦生产出来后就会进入传输、存储、处理、分析、访问与服务应用等环节,从而形成丰富的信息共享路径。这些环节涉及到业务用户、研发运维人员、外包人员、第三方机构等,传统的数据之间简单的线性联动变成复杂的网状数据流,大量环节面临数据安全威胁。因此,保护数据安全应“以数据为中心”构建防护策略,将安全保护贯穿于数据的全生命周期,即对数据的收集、传输、存储、使用、共享、删除、销毁等各流程实施安全防护,并结合数据业务与技术属性,全环节主动式重建数据访问规则,构筑有效的数据安全纵深防线,保障数据的流转、共享与安全兼得。

密码应用目的是保护数据安全,安全是促进商用密码应用最大的动力。基于企业目前 IT 架构,包含基础设施、软件平台以及业务应用等不同层级,企业数据在不同层之间高效流转,实现互联共享,为企业创造价值。数据越朝上层流动,价值点越多。数据在基础设施层,就是一些没有业务含义的二进制数字;在软件平台层,表现为各种形式的文件格式;在业务应用层,数据才具备了丰富的业务含义。

从传统角度来看,安全和业务是关联的,有时候也是对立的。但换个角度,安全其实就是一种业务需求。“传统业务需求”侧重于“希望发生什么”,而“安全需求”则侧重于“不希望发生什么”,从而确保“发生什么”。另外“安全”在英文中对应Security(安全防攻击)、Safety(安全可靠)、Reliability(可靠性)、Trustiness(诚信度)、Sureness(确定性)等词汇,从业务角度来看,这些词汇都可以映射到相应的业务需求。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次又有着不同颗粒度的防护需求。

而传统的城防式数据安全,主要用于保护被传统物理网络多层包围的数据,这种防护体系仅适用于保护静态数据。但当下,数据作为新型生产要素,在被充分共享流转中产生更多价值,传统城防式数据安全已很难以满足相关防护需求。另外,数据与“网络/主机/数据库/应用”作为正交关系,数据安全的本质其实就是在数据流转的多个层次环节中,通过密码等安全技术重建业务规则,对数据施加主动式安全防护。

因此,兼顾数据利用和安全的技术,需要将加密等安全能力结合到业务流程中,一方面可以根据不同业务场景,定制不同的商业秘密保护方案;另一方面不会改变用户的操作习惯,方便用户使用,不影响数据的高效共享流转,并基于高性能的密码技术支撑,将安全机制与用户现有流程无缝对接,实现在业务高效流转和安全防护之间的平衡。

当然企业真实的业务需求往往更复杂,很难框定边界,因此对应的数据安全也几乎没有边界。所以在实施数据安全防护的时候,数据安全需要结合具体业务展开,很难有“一招鲜”的数据安全解决方案。

3.4.2 打造融合密码的数据安全框架

数据安全的防护会涉及到很多场景,同时会有多种加密技术的应用,因此,以数据安全的多种场景为中心,绘制一张数据安全的技术地图,则非常有意义,且有必要。针对数据进行安全防护的技术,可以先回顾经典网络安全攻击模型:ATT&CK,作为当前权威的网络安全技术模型,ATT&CK包涵14个攻击战术、205个攻击技术以及573个攻击流程,覆盖了大多数网络攻击手段,从而给网络安全防护提供了专业的技术参考。

图7:经典网络安全攻击模型ATT&CK架构概览

但是,ATT&CK模型更侧重网络攻防视角,从“主动式保护数据”的角度来看,ATT&CK并没有针对内部业务人员威胁,也没有将数据进行分级分类等。在基于ATT&CK模型的攻防对抗思路下,传统“以网络为中心的安全”主要通过“防漏洞、堵漏洞”的方式去保护数据,而当下来看,网络漏洞在所难免,因此直接针对数据本身进行主动式加密等保护,是实现数据安全的最直接有效的手段。信息安全技术发展的大趋势也正从“以网络为中心的安全”转向为如今的“侧重以数据为中心的安全”,美国国防部对这种理念也非常认可,并将防护重点从边界开始转向数据和服务。

图8:“以数据为中心的安全”与“以网络为中心的安全”逻辑关系图

依据这个新思路,炼石网络从“以数据为中心”的角度提出新的数据安全技术框架,全称是:“Data-centric Tactics, Techniques And Common Knowledge”(简称DTTACK),“以数据为中心的战术、技术和通用知识”。DTTACK不是网络服务器或应用程序安全性的模型,它更强调数据本身的安全性,并从对数据的“应对式”防护,向“主动式”防护转变,重视从业务风险映射视角列举数据保护需求,可以为信息化建设、企业业务架构设计提供数据安全能力参考。

通过结合NIST安全能力模型和安全滑动标尺模型,两者有交集、但也各有侧重。DTTACK当前版本选择了六大战术作为基本结构:I(识别)、P(防护)、D(检测)、R(响应)、R(恢复)、C(反制)。

数据安全技术列举方面,参考了工信部相关机构正在编制的行业标准《电信网和互联网数据安全管控平台技术要求和测试方法》,将114个具体技术流程分类并对号入座,I(识别)战术目前包括数据资产地图、数据资产稽核、数据接口管理、数据内容识别等方面的技术;P(防护)战术目前包括加密技术、脱敏技术、数字签名、访问控制、隐私保护、数据防泄漏等方面的技术;D(检测)战术目前包括风险检测、安全审计、共享监控等方面的技术;R(响应)战术目前包括事件处理、应急响应、动态流转等方面的技术;R(恢复)战术目前包括一体机、备份软件、融合备份、云灾备等方面的技术;C(反制)战术目前包括水印、溯源等方面的技术。DTTACK的定位是数据安全领域的全地图技术框架,能给数据安全厂商提供通用知识库,也能为甲方用户的数据安全规划和技术对比提供参考依据。(关注本公众号,实时了解DTTACK最新动态)

图9:数据安全领域全技术框架DTTACK架构概览

3.4.3 构建以密码为核心的防护体系

密码技术为DTTACK六大战术提供了重要价值。比如:识别方面,密码可以为数据识别提供身份安全能力,为接口通道实现安全加密;防护方面,数据加密技术本身就是在开放式信道中,构建了强制的防护措施,并结合身份实现访问控制。检测、响应、恢复和反制方面,密码也能够为其分别提供身份鉴别、数据保护、水印追溯等不同能力。

尤其对于流转数据防护,密码技术可以提供独特价值。共享流转的数据很难有边界,我们在做访问控制的时候,如果数据库或归档备份中的数据是明文,访问控制机制很容易被绕过。而通过数据加密技术,可以打造一个强防护场景,用户在正常访问应用的过程中数据才会解密,并结合身份访问控制、审计等安全技术,从而实现“防绕过的访问控制”、以及“高置信度的审计”。密码技术为数据重新定义了虚拟的“防护边界”,从而更好的对数据实施防护与管控。

密码技术结合其他安全技术产生的安全方案,可以满足多维度的实战化需求。第一,方案无需开发改造应用,即可实现将安全能力融入到应用,以配置方式敏捷部署实施,满足实战防护和新合规两类需求,且对应用运行无影响,不会因实施加密带来业务风险;第二,方案支持国密算法的同时,支持国际算法,并支持手机号、证件号、邮箱等字段保留格式加密。开发高性能国密技术,做到对企业业务系统效率和使用体验零影响,比如炼石网络在高性能国密技术方面拥有深厚,且具有竞争优势的技术积累;第三,方案可基于属性和角色的访问控制,访问控制主体可细化到用户,实现对企业内部人员的敏感数据访问授权最小化,并提供丰富的数据脱敏策略,当用户对敏感数据风险访问时,如过量导出、异常频繁访问等,可根据规则阻断;第四,方案提供可定责的数据访问审计,记录识别到的主客体信息,在记录操作行为的同时,能够对每条审计日志进行签名,不仅做到独立于应用系统的第三方审计,还能够通过数字签名技术确保审计日志的不可篡改,以及在事后追溯问题过程中提供重要依据。

总结,我国密码产业当下已形成坚实发展基础,伴随复杂多变的国际形势,我们正处于建设“平安中国”的关键时期。一方面密码的实战合规需求强劲发展,另一方面,密码供给结构也处于变革前夜,密码产业进入了发展新时代。一是分层化密码市场将兼顾实战与合规,二是密码供给结构正在向高质量升级,三是监管侧推进新密码市场正在释放更多红利。面向新时代,金融、政务、教育、医疗、文旅、制造等多领域都迎来重大发展机遇,安全服务商可以从实战化角度出发,应用密码等安全技术,全面赋能数据安全实战化,为建设“平安中国”贡献力量。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。