欧亿体育官网一、本公司董事会、监事会及董事、监事、高级管理人员保证年度报告内容的真实性、准确性、完整性,不存在虚假记载、误导性陈述或重大遗漏,并承担个别和连带的法律责任。
三、上会会计师事务所(特殊普通合伙)为本公司出具了标准无保留意见的审计报告。
四、公司负责人杨文山、主管会计工作负责人邹瑛及会计机构负责人(会计主管人员)蔡文庆声明:保证年度报告中财务报告的真实、准确、完整。
五、董事会决议通过的本报告期利润分配预案或公积金转增股本预案 公司第八届董事会第九次会议审议通过了《公司2022年度利润分配预案》:经上会会计师事务所(特殊普通合伙)审计,公司2022年度实现归属于上市公司股东的净利润为-8,712,532.61元。根据《公司法》《公司章程》的有关规定,由于公司2022年经审计归属于上市公司股东的净利润为负数,因此拟定2022年度不进行利润分配,也不进行资本公积转增股本。该预案尚需提交股东大会审议。
本报告涉及未来计划等前瞻性陈述,该陈述不构成公司对投资者的实质承诺,敬请投资者注意投资风险。请投资者及相关人士对此保持足够的风险认识,并且理解计划、预测与承诺之间的差异。
九、是否存在半数以上董事无法保证公司所披露年度报告的真实性、准确性和完整性 否
公司已在本报告中详细描述可能存在的相关风险,详见“第三节管理层讨论与分析/六、公司关于未来发展的讨论与分析/(四)可能面对的风险”中提到的内容。
经公司2021年年度股东大会审议通过,公司以2021年末股本232,790,328股为基数,每股派发现金红利0.13元(含税),共计派发现金红利30,123,864.29元。详见公司于2022年5月31日刊登于上海证券交易所网站的《格尔软件股份有限公司2021年年度股东大会决议公告》公告编号:2022-022。本次现金红利已于2022年6月16日发放完毕。详见公司于2022年6月9日刊登于上海证券交易所网站的《格尔软件股份有限公司2021年年度权益分派实施公告》,公告编号:2022-024。
保护信息系统不受偶然的或者恶意的破坏、更改、泄露, 保证系统连续可靠正常地运行,信息服务不中断,最终实 现业务连续性
公钥基础设施(Public Key Infrastructure),即基于 公钥密码技术所构建的、国际公认的能够全面解决信息安 全问题的、普遍适用的一种信息安全基础设施,能够为信 息系统提供密钥管理和证书管理等基础性安全服务,为应 用提供认证、加密和数字签名等安全支撑,以解决信息的 机密性、完整性和不可抵赖性
数字证书认证系统或数字证书认证中心(Certificate Authority),前者是指发放、管理、废除数字证书的系 统,其作用是检查证书持有者身份的合法性,并签发证书, 以防证书被伪造或篡改,以及对证书进行管理;后者是指 发放、管理、废除数字证书的机构
证书注册系统(Registration Authority),是数字证书 认证系统的证书发放、管理的延伸,主要负责证书申请者 的信息录入、审核以及证书发放等工作,同时对发放的证 书完成相应的管理功能
供应商考核系统,主要由以下指标组成T:Technology(技 术),Q:Quality(质量),R:Responsiveness(可靠 度),D:Delivery(交货),C:Cost(成本)
密钥管理系统(Key Management),负责为CA系统提供 密钥的生成、保存、备份、更新、恢复、查询等密钥服务, 以解决分布式应用环境中大规模密码技术应用所带来的
对不涉及国家秘密内容的信息进行加密保护或者安全认 证所使用的密码技术和密码产品
根据客户需求提供与信息安全相关的安全测评、技术支 持、安全管理咨询、系统维护、运营管理、安全培训、安 全托管等内容
一种参数,在明文转换为密文或将密文转换为明文的算法 中输入的数据,密钥分为两种:对称密钥与非对称密钥
后量子密码(Post Quantum Cryptography)是能够抵抗 量子计算机对现有密码算法攻击的新一代密码算法,也称 之为“抗量子密码”
ISO9000族标准所包括的质量管理体系核心标准之一。 ISO9000族标准是国际标准化组织(ISO)在1994年提出 的概念,由国际标准化组织质量管理和质量保证技术委员 会制定的国际标准
DevOps是Development和Operations的组合词,是一种 重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)” 之间沟通合作的文化、运动或惯例。通过自动化软件交付 和架构变更的流程,来使得构建、测试、发布软件能够更 加地快捷、频繁和可靠
DevSecOps 是“开发、安全和运维”的缩写,在软件开发 生命周期的每个阶段自动集成安全性从最初的设计到集 成、测试、部署直至软件交付
(一) 同时按照国际会计准则与按中国会计准则披露的财务报告中净利润和归属于上市公司股东的净资产差异情况
(二) 同时按照境外会计准则与按中国会计准则披露的财务报告中净利润和归属于上市公司股东的净资产差异情况
计入当期损益的政府补助,但与 公司正常经营业务密切相关,符 合国家政策规定、按照一定标准 定额或定量持续享受的政府补 助除外
企业取得子公司、联营企业及合 营企业的投资成本小于取得投 资时应享有被投资单位可辨认 净资产公允价值产生的收益
除同公司正常经营业务相关的 有效套期保值业务外,持有交易 性金融资产、衍生金融资产、交 易性金融负债、衍生金融负债产 生的公允价值变动损益,以及处 置交易性金融资产、衍生金融资 产、交易性金融负债、衍生金融 负债和其他债权投资取得的投 资收益
根据税收、会计等法律、法规的 要求对当期损益进行一次性调 整对当期损益的影响
对公司根据《公开发行证券的公司信息披露解释性公告第1号——非经常性损益》定义界定的非经常性损益项目,以及把《公开发行证券的公司信息披露解释性公告第1号——非经常性损益》中列举的非经常性损益项目界定为经常性损益的项目,应说明原因。
公司深入学习贯彻党的二十大精神,紧跟国家战略,加强整体规划,顺应数字经济快速发展的趋势,加快实现密码与国家重大战略深度融合,助力提升密码创新对国家创新驱动的推动作用,增强全社会应用密码保护网络安全的意识,着力在网络空间建立以密码技术为核心、多种技术相互融合的安全新体制,努力实现可信互联、安全互通、开放共享的安全新文明,为建设以密码基础设施为底层支撑、自主可控的中国式现代化数字安全产业新生态贡献智慧和力量。公司始终坚持以密码为基石,以身份为中心,不断基于国产密码技术和可信身份管理进行密码应用创新,为我国网络安全信任体系建设和党政机关、军工军队、公检法司、央企国企、金融机构等重要用户信息系统提供数字资产安全整体解决方案。
报告期内,以《密码法》为核心的政策持续完善,《个人信息保护法》《商用密码管理条例(修订版)》等法律法规的渐次出台,在顶层设计上激活了国内密码市场的潜力,打造出环环相扣的“法规链”和层层压实的“责任链”,为密码产业发展增添关键动力,有效推动新密码市场的加速形成。随着数据要素快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着生产方式、生活方式和社会治理方式。加快构建数据资源体系,能为数字中国建设注入强劲的创新动能,对促进数字政府建设、助推数字经济发展、加快数字社会建设步伐发挥至关重要作用。作为数据安全底座的密码受到了政策和市场的双重关注,成为推动信息安全产业发展重要抓手,迫切的合规和安全需求推动密码行业进入快车道。公司紧跟数字经济繁荣发展、数据安全需求增强、信创产业加速推进的行业趋势,在确保商用密码领域市场优势的基础上,进一步加大密码技术与产品在云计算、大数据、物联网、移动互联网、人工智能等多场景中的应用与推广,积极探索与推进密码技术在关基行业的应用和产品布局,积极开展数据要素、车联网、工业互联网、物联网、区块链、企业数字化转型等场景下的数据安全、密码应用、身份认证、隐私保护技术的研究与产品应用。同时,公司基于在商用密码核心技术领域的深厚积累,以及与信创产业链上下游厂商的深度合作,积极参与和推动党政领域信创改造建设,加速推进行业领域布局,为信创产业高质量发展和数据安全建设保驾护航。
报告期内,公司全体员工上下齐心,攻坚克难,努力缓解外部因素对公司经营造成的不利影响,确保了全年营业收入的基本稳定。同时,由于外部因素导致公司在密码业务上销售、实施和交付等环节受限较多,导致业务结构变化,加上员工人数增长导致费用增加,使得公司本年度利润出现下滑。2022年度,公司实现营业收入 65,952.07万元,较上年同期增长 7.93%;实现归属上市公司股东净利润-871.25万元。
“十四五”时期,我国数字经济将转向深化应用、规范发展、普惠共享的新阶段,密码作为保障信息安全最有效、最可靠、最经济的关键核心技术和基础支撑,将加速向数字经济社会的各领域渗透融合,与党的二十大报告中提出的“加快建设网络强国、数字中国”、“加强个人信息保护”的时代强音形成了同频共振,为市场发展增添了关键动力。公司紧密围绕国家战略发展规划,在数字经济、数字政府、数据安全、物联安全等领域积极探索,大力加强党政机关系统以及大型央企、国企等企业的安全建设,为广大客户提供基于身份与信任的密码安全、数据安全方面的完整解决方案。
报告期内,公司聚焦密码主业,依托自身密码能力,构建数据的密码基础算力,形成数据安全底座;围绕承载数据的基础设施的安全,构建了体系化的网络安全防护能力,进一步加大密码技术与产品在云、物、移、大、智等多场景中的应用与推广。公司加强北京总部建设,加速推进顶层布局,积极发挥北京总部的市场牵引作用,打造大协同模式,继续坚持“总部做强,区域做大;顶层做标杆,区域做复制”的市场策略,强化领导责任制和现场督导制,完善事业部与区域销售的业务共担考核制度,实现事业部和区域销售的上下融合与相互协作,持续构建坚强有力的市场开拓体系,为公司长期可持续发展提供有力支持。
公司在聚焦主业的基础上,着力发掘重点行业重要客户的需求,加强对重点行业的深入理解,通过标杆项目试点、行业龙头打样、参与标准研制、推动生态合作、不断迭代完善等步骤,锚定行业制高点,充分发挥先发优势和标杆地位,快速占领市场,实现对重点行业的突破,构建公司在密码业务端的优势领域。
报告期内,随着证券期货业的密改深入推进,公司在前期方案设计、产品改进、评审验收等环节的基础上成功拿下试点项目,从而在证券、期货等金融领域,占据先机,陆续签约和服务 20余家头部、次头部证券公司和 40余家期货公司,形成了细分行业市场优势。此外,公司还在医疗、教育等领域的信创业务中同样有所突破。
报告期内,公司继续保持技术研发投入力度,投入研发费用约 9,137.70万元。公司基于零信任体系,不断提升产品力。在密码技术服务化方面,公司自主研发的密码服务平台支持了更多的模式和场景,针对大数据中心和政务多租户的云环境建立了安全内生、责任共担的安全生态。在数据安全方面,公司进一步完善数据安全产品体系,发布了数据库加密系统、存储加密系统的新版本,推出了同时支持加密和特权账号管理的云原生数据安全密码解决方案。在身份安全方面,公司零信任智能策略中心发布新版本,覆盖数据访问的动态授权,并对机器身份和工控环境下的零信任安全开展了技术预研。在应用密码改造方面,公司创新性地推出了针对微信、钉钉小程序、公众号的密码模块和 Web容器,显著降低了 H5应用进行密码改造的成本。在技术研究方面,公司启动了后量子密码(PQC)迁移的技术储备工作。在研发体系建设方面,公司建立了研发生产效率数据平台,并在 DevOps的基础上开展 DevSecOps能力建设,将安全贯穿到整个研发运维过程中。
此外,公司在视频安全方面,以标准引领视频监控产品发展,在国家密码管理局立项通过一项视频监控安全产品标准,同时参与两项视频监控密码产品标准的编写。在车联网方面,公司正式推出了车联网数据脱敏、数据安全密码解决方案;同时,公司参与编写的《基于国产密码技术的车联网传输安全保护应用指南》和《车联网基础设施参考技术指南》正式发布。
报告期内,公司以客户为中心进一步优化组织架构,构建健全的营销网络服务系统,实现行业和区域的全面覆盖。在行业市场营销网络方面,公司针对党政、国防、运营商、金融、能源、医疗、教育等关基行业设置有 10大行业部,铺设了覆盖全国各省、市、自治区及特别行政区的营销和服务网点。深挖各关键行业客户的需求,从规划全栈密码应用安全体系建设入手,利用公司核心技术、优势案例、经验优势,打通销售、产品、研发、服务等内部多环节,合理高效地调配资源,同时充分利用研发平台量产的优势,为客户提供全面的具有针对性强的密码产品和服务,更有针对性地解决客户的痛点和难点,深受行业客户认可。
随着密码在党政信创领域的成功示范,并进入常态化采购状态,信创产业正在加速向电信、金融、能源、交通、水利、教育、医疗等行业推进,信创市场空间快速释放,网络安全在信创市场中的占比进一步提升。
报告期内,公司基于在商用密码核心技术领域的深厚积累,以及与国产 CPU、操作系统、数据库、浏览器、中间件等信创产业链上下游厂商的深度合作,公司持续推进基于国产软、硬件架构的产品研发与适配工作,加速推进行业领域布局。截至报告期末,公司基于国产软硬件的系列国产化产品已有 28款、25个型号,在信创产品入围中保持品类与型号领先,目前产品与解决方案已在党政、国防、金融、政法、运营商以及能源等 20余个行业实现规模化应用。
近年来,公司基于国产密码技术和可信身份管理不断进行密码应用创新,构建了具有格尔特色的云密码服务体系、零信任安全架构以及数据安全解决方案,形成了“密码即服务,安全可内生”的综合服务能力,为我国网络安全信任体系建设和党政机关、军工军队、公检法司、国企央企、金融机构等重点行业和重要领域信息系统提供有力支撑。作为国家密码管理局基础设施组秘书成员单位,格尔软件牵头和参加相关标准 100多项,其中国家标准 10多项,先后 2次荣获国家科学技术进步奖二等奖,10多次荣获国家党政密码科技进步奖和省部级科学技术进步奖。2022年 9月获青海省人民政府颁发的青海省科学技术进步二等奖。2022年,公司部分项目和解决方案入选工信部和国家密码局评选的“工业和信息化领域商用密码典型应用方案”、IDC评选的“IDC《中国数字政府数据安全领导者实践》标杆案例”、上海市人民政府评选的“2022年上海市优秀信创解决方案”、中国信通院评选的“星河璀璨 2022大数据“星河”案例数据安全优秀案例”等。
报告期内,格尔被认定为”中国身份和数字信任软件市场份额“TOP 4”,中国云安全市场十强“TOP 6”、中国信创能力十强“TOP 7”、中国网络安全企业 100强“综合实力 TOP 14”、中国商密市场厂商资质“TOP 20”、中国金融信创领航企业“TOP 30”、IDC 2022年数字政府百强榜安全领域十强、2022中国零信任神兽方阵-科技标杆企业等荣誉称号。
2023年2月,中央、国务院印发了《数字中国建设整体布局规划》,明确数字中国建设按照“2522”整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”,为数字中国建设提供了顶层设计指导,标志着数字中国建设将迈入全面加速发展的新阶段。数据成为继土地、劳动力、资本、技术四大生产要素之后的第五大生产要素,已成为中国数字经济深化发展的核心引擎,是国家的战略资源与核心资产。数字中国的全面发展对信息安全保障能力提出了更高的标准和要求。
在数字化时代,构建以数据为中心的信息安全保障体系显得尤为重要。而密码是贯彻网络强国战略思想、落实国家网络空间安全战略、保障网络安全与数据安全的的关键核心技术和基础支撑,是保护国家利益的战略性资源,与党的二十大报告中提出的“加快建设网络强国、数字中国”、“加强个人信息保护”的时代强音形成了同频共振,将加速向数字经济社会的各领域渗透融合,为市场发展增添了关键动力。
报告期内,我国高度重视关键信息基础设施安全、数据安全、互联网信息服务等重点领域的保护,推进网络安全技术领域创新,强化相关标准体系建设,完善商用密码服务体系与技术规范。
据IDC统计,中国2022全年涉及网络安全和数据安全的各项政策包括法规、技术标准、行业规章、产业报告等超190余项。相关政策法规的推出,提高了党政、金融、军工、教育、医疗、能源等各类客户对网络信息安全的合规要求,带动其在网络信息安全方面的投入提升,促进网络安全行业快速发展。
2022年1月,国务院发布《“十四五”数字经济发展规划》,推动提升重要设施设备的安全可靠水平,增强重点行业数据安全保障能力。支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。
2022年10月,国务院办公厅发布《全国一体化政务大数据体系建设指南》,提出《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规出台后,亟需建立完善与政务数据安全配套的制度,强化数据安全保障能力。
2022年12月,《中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)正式发布,从流通规则、交易市场、服务生态等方面加强数据流通交易顶层设计,建立数据流通准入标准规则,探索开展数据质量标准化体系建设,统筹优化全国数据交易场所规划布局,构建多层次市场交易体系。
2023年2月,中央、国务院印发了《数字中国建设整体布局规划》,提出到2025年,基本形成横向打通、纵向贯通、协调有力的一体化推进格局。数字基础设施高效联通,数据资源规模和质量加快提升,数据要素价值有效释放,数字经济发展质量效益大幅增强,政务数字化智能化水平明显提升,数字生态文明建设取得积极进展,数字安全保障能力全面提升,数字治理体系更加完善,数字领域国际合作打开新局面。
2023年4月,国务院常务会议,审议通过了《商用密码管理条例(修订草案)》,会议指出,近年来,商用密码应用愈发广泛,在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。会议强调,要全面贯彻总体国家安全观,进一步规范商用密码应用和管理,督促平台企业依法履行用户密码保护责任,确保个人隐私、商业秘密和政府敏感数据的安全。会议要求,要更好顺应数字经济快速发展趋势,建立健全商用密码科技创新促进机制,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。
政务领域,2022年1月,国家发展改革委发布《“十四五”推进国家政务信息化规划》,提到要坚持网络安全底线思维,强化网络安全和数据安全,严格保护商业秘密和个人隐私,落实信息安全和信息系统等级分级保护制度,全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力;2022年12月,最高人民法院发布《关于规范和加强人工智能司法应用的意见》,提出加强司法数据分类分级管理,强化重要数据和敏感信息保护,防范化解人工智能应用过程中的安全风险。
金融领域,2022年1月,中国银保监会发布《关于银行业保险业数字化转型的指导意见》,提出加强第三方数据合作安全评估,关注外部数据源合规风险,明确数据权属关系,加强数据安全技术保护,加强对外发布信息安全管理;2022年1月,中国人民银行等四部门联合发布《金融标准化“十四五”发展规划》,提出健全金融业网络安全与数据安全标准体系,加强金融网络安全能力,助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力;2022年4月,中国证监会发布《证券期货业网络安全管理办法(征求意见稿)》,规定核心机构和经营机构应当依法履行网络安全保护义务,对本机构网络安全负责。
医疗领域,2022年4月,国家药监局发布《药品监管网络安全与信息化建设“十四五”规划》,要求健全网络安全管理制度,建立网络安全责任体系,落实网络安全管理主体责任,升级信息系统安全建设、安全测评、容灾备份等保障措施;2022年8月,国家发展改革委发布《医疗卫生机构网络安全管理办法》,针对数据安全管理方面,规定各医疗卫生机构应按照有关法规标准,选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。
能源领域,2022年11月,国家能源局发布《电力行业网络安全管理办法》、《电力行业网络安全等级保护管理办法》,要求第二级网络应当每两年进行一次等级保护测评,第三级及以上网络应当每年进行一次等级保护测评。新建的第三级及以上网络应当在通过等级保护测评后投入运行。
社会发展形态的进步伴随着新型生产要素的诞生,2019年10月,《中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》中,首次将数据作为生产要素提出,数据是当前信息社会的新型生产要素,是数字经济深化发展的核心引擎。
数据实现要素化的第一步是资源化,获取一定规模原始数据并进行加工,使其成为高质量的数据;第二步是资产化,将高质量数据与具体业务深度融合产生商业价值,使其具备同不动产、物产一样有归属权、可计量的资产属性;第三步在资产化的基础上实现资本化,以价值化、证券化的要素资源为基础,通过市场化租赁经营、参股控股、交易转让等各种途径进行优化配置,提高资本运营的效益和效率,促进经济组织实现报酬递增。经过多年的探索与发展,我国数字经济基本完成了支撑业务系统运转与转型的原始数据积累、实现数据加工整合支撑业务智能化决策分析的技术积累,即将迎来数据要素破壁流通、普惠赋能产业的新阶段。
2015年4月,中国第一个大数据交易平台贵阳大数据交易所正式挂牌运营,近年北京、上海、深圳等地也陆续成立数据交易平台作为牵引,正激发新一轮发展热潮。根据数据交易网统计,我国至今累计成立数据交易中心(所)已有超过50余家,其中2021年和2022年成立的数量占总数的三分之一以上,各地数据交易平台的设立为数据要素的流通交易活动提供了规范有序的承载环境。
2022年12月,“数据二十条”发布,作为首部从生产要素高度部署数据要素价值释放的国家级专项政策文件,建立合规高效、场内外结合的数据要素流通和交易制度,从规则、市场、生态、跨境等四个方面构建适应我国制度优势的数据要素市场体系,是数据价值未能全面开发的强有力的政策响应。2023年3月,国家数据局成立,打通数据孤岛,统筹推进数字中国、数字经济、数字社会规划和建设,使得我国的数据经济发展迈向更高层次。根据国家工业信息安全发展研究中心数据,2021年我国数据要素市场规模达 704 亿元,预测2022年我国数据要素市场规模中数据交易的市场规模达到120亿元、数据服务的市场规模达到85亿元。
伴随着数字经济的迅猛发展以及云计算、大数据、物联网、移动互联网、人工智能、5G等新兴技术的广泛应用,我国的数据量呈现出指数级增长的趋势。根据IDC数据显示,2022年中国产生的数据量达到23.3ZB,占全球总量的23%,预计到2026年将超越美国,成为全球数据产量最大的国家。数字经济发展需要大量的数据支撑,而这些数据如果没有得到有效的保护,将会带来重大的安全风险,威胁数字经济的可持续发展。数据安全旨在保护数据资产,通过实施必要的措施,确保数据得到有效的保护和合法的使用,同时具备持续维护安全状态的能力。根据IBM发布的《2022年数据泄露成本报告》,数据泄露的成本已达历史新高,平均成本高达435万美元。我国高度重视数据安全问题,近年来持续出台《数据安全法》《个人信息保护法》《数据出境安全评估办法》等一些列政策措施和促进数据安全行业的发展。2023年1月,工业和信息化部等16个部门联合发布了《关于促进数据安全产业发展的指导意见》,设定了2025年数据安全产业基础能力和综合实力显著增强的目标,产业规模迅速扩大,数据安全产业规模预计超过1500亿元,年复合增长率达到30%以上。
隐私计算和轻量化数据安全改造成为数据安全有望成为数据安全未来发展的主流趋势。隐私计算技术可以保证数据的不透明、不泄露,实现数据的“可用不可见”。我国企业布局隐私计算时间较晚,自2016年我国开始独立的隐私计算商业项目,随着对合规数据流通的需求日益强烈,金融、保险等行业等行业客户率先尝试部署,应用于风控、智慧医疗及精准营销等多个领域。根据艾瑞咨询的预测,2023年我国隐私计算市场规模有望达到36.5亿元,预计到2025年市场规模将突破100亿元。同时,政府和企业对数据安全的重视程度提升明显,补齐数据安全建设短板需求增加。除了对新增信息系统进行安全建设,还需对存量应用系统进行改善。由于存量数据应用系统基数大、所需成本和精力重,因此轻量化改造实现路径或将成为趋势。
数据的安全需求体现在数据自身、处理主体、处理行为三个方面,需要采取身份鉴别、传输加密、数字签名和密钥管理等多种技术措施以实现全方位保障。密码技术在其中起着至关重要的作用,能够保障数据的真实性、保密性、完整性和不可否认性。因此,密码技术是数据安全的基石,是纵向高强度加密保护技术。随着信息技术的发展,传统网安防护思路与措施无法满足当下数据安全的防护需求,以PKI为核心的数据安全应用能够有效满足数据安全需求,有效防范数据泄露、数据篡改等安全事件发生。
2020年《密码法》正式实施,对商用密码提出了明确的应用要求,将密评与等保结合,密码产业进入有法可依的快速发展阶段,并有密评和信创作为政策抓手。随着数据要素市场化成为大势所趋,传统以网络为中心的安全建设,将转向以“数据为中心、结合网络边界防护”的双轴驱动,密码将嵌入在数据要素和数据安全各个环节;同时数据交易所需要的隐私计算也是密码技术的前沿方向,密码产业将长期保持稳定成长。《商用密码应用安全性评估管理办法(试行)》要求涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用需实施密评。重要领域网络和信息系统主要包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、依据等保制度测评网络安全等保第三级及以上信息系统。《商用密码管理条例(修订草案)》明确了监管机构、强制要求密评、设立处罚机制。密评覆盖括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理等多个技术点,根据不同的系统级别要求VPN、密码机、电子签章、证书等相应产品的部署。
同时,国密算法在信创产业中扮演着重要的角色。由于国密算法相比国际算法具备一定优势, 且在政务信息化项目和其他基础设施行业中已经成为刚需,国密应用和改造将得到进一步推广和 普及。随着行业信创进入快速推进期,密码板卡、整机、证书、PKI等上下游产品均会受益。信 创市场进入行业推进期,其容量和节奏将进一步提升。根据海比研究院测算,2022年信创产业规 模达9220亿元,其中由IT基础设施和基础软件构成的核心市场达2392亿元占比约26%。国密算 法成为全IT产业的底层支撑,会受益于信创发展。在当前IT国产化背景下,国密应用在芯片、 操作系统、PC和服务器、网络通信、应用软件等多个领域均需要进行升级改造,是信创不可或缺 的环节。随着关键信息基础设施行业持续加大安全投入,未来整个IT产业中国密应用渗透将大幅 提升,拉动国密产业需求快速增长。根据赛迪咨询预测,商密行业在2023年有望达到986亿元, 同比增速39%。未来随着政策合规需求推进及信创产业加速,市场规模有望进一步提升。 (五)新业态、新技术,密码技术衍化展望
以密码技术为核心、多种安全技术相互融合来解决多种复杂场景的安全问题或将成为主流。
同时,密码技术和理念也将更加深入的融入各类信息产品和应用服务当中,实现网络安全防御体系中多种要素的整合。未来的密码应用场景将会从传统的政务办公、电子商务等领域,扩展到物联网、区块链、人工智能、数字货币等领域。从整体上看,这种密码新业态将衍生出云化平台服务模式,从单次项目交付向持续云化服务转变,同时也将孕育和涵盖模块化,从而形成“平台化+模块化”的供给,就像搭积木一样实现可拆可分可解。
与此同时,面向数字资产安全共享的完全同态加密技术以及面向量子霸权威胁的抗量子密码算法应用或将成为新的热点。虽然目前同态加密的整体市场不算大,但是完全同态加密作为一种新型的密码学,与人工智能、云计算、区块链等快速发展业务的关系非常密切,市场前景依然非常广阔。而在量子通信的国际竞争中,我国走在前列;但在抗量子密码算法领域,我国与国外相比仍有较大差距。抗量子算法旨在抵御未来量子计算机的攻击,后者能够破解我们今天所依赖的数字系统(量子霸权),如网上银行和电子邮件软件等。抗量子密码体系在过去10年中得到了广泛关注,或将成为构建密码高质量供给体系和实现高水平科技自立自强的一个重要的研究方向和新兴产业。
公司专注于信息安全产业领域,主要从事以公钥基础设施PKI(Public Key Infrastructure)为核心的商用密码软硬件产品的研发、生产和销售及服务业务,为用户提供基于PKI的信息安全系列产品、安全服务和信息安全整体解决方案。
公司以密码技术为核心,面向政务、金融、军工、企业提供基于密码的可信身份认证及可信数据保障等多层次、全方位的综合性安全解决方案,为其信息系统提供关键的安全支撑与保障。
公司产品主要以 PKI技术为基础。PKI系统一般由数字证书认证系统(CA)、证书注册系统(RA)、密钥管理系统(KM)、目录服务系统(LDAP)及在线证书状态验证系统(OCSP)等核心部分组成,具体情况如下图所示:
目前,公司产品范围覆盖PKI系统和安全应用,已形成完整的信息安全产品体系,主要包括PKI基础设施产品、PKI安全应用产品和通用安全产品三类。
PKI基础设施产品是构建网络信任体系的基础,主要是由数字证书认证系统、证书注册系统、密钥管理系统等组合而成的信息安全基础设施,为信息安全提供密钥管理、数字证书生命周期管理及发布服务。它是保障信息在各种场景应用过程中的保密性、完整性、真实性和不可抵赖性的重要基础。
PKI安全应用产品是建立在PKI基础设施产品发放的数字证书以及PKI密码技术之上,为用户提供多元化的安全服务及应用的信息系统,可以满足各种网络应用可信身份认证、数据加密、操作不可抵赖及数据的完整性等一系列信息安全需求。它实现了数据的保密性、完整性、真实性和不可抵赖性。
通用安全产品是基于非密码技术的信息安全产品,是对PKI相关安全产品的补充,主要为用户提供更加完整的安全解决方案,主要包括网络审计系统以及其他系统集成产品。其中,其他系统集成产品主要指为用户配置不同层面的非PKI相关的通用安全软硬件设施设备,如防火墙、防病毒、入侵检测等。
公司主要从事以PKI公钥基础设施为核心的商用密码软件产品的研发、生产和销售及服务业务,并形成了完备的以PKI为核心的信息安全产品和服务体系。公司PKI基础设施产品、PKI安全应用产品以及通用安全产品三大类产品的采购模式、生产模式、销售模式和服务模式基本相同,具体情况如下:
公司根据客户需求和市场情况制定采购计划。采购计划报公司审核批准后,由采购部门实施采购;同时,采购部门根据综合评定结果选择优质供应商进行原材料等物品的采购。
对于涉及新产品开发、产品重大升级以及重要信息安全解决方案类项目中第三方软硬件产品及服务等方面的采购,公司组织品质管理、技术、采购等相关职能部门依照“TQRDC评估”标准开展合格供方评价工作,以选择符合相关条件的合格供应商。公司对于合格供方评价工作通常结合询价和招投标等市场化方式予以实施。
采购工作完成后,公司依据分类技术要求和验证规定对到货物资进行验收入库;若供方出现供应产品不合格或到货时间延误等情形,公司将相关信息列入供方供货记录,用于后续供方综合评定工作。
公司生产模式采用MTS(Make To Stock)与ATO(Assemble To Order)两种具体方式。MTS生产模式指公司根据市场需求情况,按照公司质量控制规范,生产一定数量的标准化产品并进行库存储备,后续结合各营销中心的市场需求反馈结果及产品库存数量情况,确定下一批次产品的生产时间与数量。ATO生产模式指针对客户对部分参数或产品的某些功能项提出的具体定制要求,公司技术研发中心先行确定技术可行性后,再与负责客户管理的相应营销中心明确研发周期及供货时间,然后在标准化产品的基础上进行定制化生产以满足客户需求。对于此类产品,公司通常不进行库存储备。
公司信息安全类产品的销售对象包括国家部委、地方政府部门、金融机构、军工、大中型企事业单位,以及其它各类信息安全用户。同时,公司销售的信息安全类产品具有如下主要特点:产品技术升级换代快,用户需求差异较大,系统安装调试、使用维护等方面的操作专业性较强,技术支持和服务要求较高。因此,针对前述用户和产品特点,为了更好地满足客户需求,公司在销售模式上采取不同的策略:对于最终用户或具有定制化需求的用户的安全产品与安全服务业务,公司通常直接面向客户开展业务,此亦为公司产品的主要销售模式;对于部分安全产品,则由系统集成商类客户向公司进行采购后,用于其系统集成项目或再行销售给其他客户。(未完)