智能身份认证信息安全行业分析报告Word文件下载.docx
《智能身份认证信息安全行业分析报告Word文件下载.docx》由会员分享,可在线阅读,更多相关《智能身份认证信息安全行业分析报告Word文件下载.docx(26页珍藏版)》请在冰豆网上搜索。
制定智能卡的产业政策并监督执行,拟定智能卡发展规划、指导行业结构调整,参与行业体制改革、技术进步、技术改造和质量管理等工作;
负责组织、协调金卡工程所涉及的有关标准化工作。
除了上述行业主管部门监管以外,信息安全产业还要受到全国信息技术标准化委员会以及国家质检总局直属的中国信息安全认证中心、国家质检总局授权的中国信息安全产品测评认证中心、公安部计算机信息系统安全产品质量监督检验中心以及国家信息安全产品认证管理委员会在安全标准和产品测评认证方面的管理。
中国信息产业商会作为工业和信息化部指导下成立的行业协会的主要职责是组织业内企业开展各项活动和内部交流;
发起分类安全标准的起草工作、研究抵制安全行业市场内的不正当竞争、组织跨行业的安全大会;
引导会员认真执行国家法规和政策、遵守行规、行约;
协助会员企业开拓国际国内市场,推动行业的发展。
本行业已实现市场化竞争,各企业面向市场自主经营,由政府职能部门进行宏观调控,并由行业协会进行自律规范。
2、行业主要法律法规、政策及行业标准、行业认证
信息安全行业的主要法律法规、政策及行业标准如下表(在开展金融领域业务时需同时遵守金融领域所涉及的法规、政策):
信息安全行业具有一定的特殊性,需要通过相应的技术认证才有助于开展业务经营,其中主要技术认证如下表:
3、相关产业政策
2011年6月,国家发改委、科技部、工信部、商务部、国家知识产权局联合修订发布《当前优先发展的高技术产业化重点领域指南(2011年度)》。
该指南确定了当前应优先发展的高技术产业化重点领域。
其中在第8项“信息安全产品与系统”中明确将加解密设备和芯片,安全协议,公钥基础结构(PKI)系统,组合公钥(CPK)系统,安全支付系统,电子防伪系统以及网络安全监控系统,保障云计算、物联网、新一代信息网络等列为优先发展的重点领域。
2011年3月,《我国国民经济和社会发展“十二五”规划纲要》明确:
“健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。
加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。
推进信息安全保密基础设施建设,构建信息安全保密防护体系。
加强互联网管理,确保国家网络与信息安全”。
2011年3月,国家发改委颁布的《产业结构调整指导目录(2011年本)》(国家发改委第9号令)将“信息安全产品、网络监察专用设备开发制造”列为“鼓励类”产业目录,对信息安全产业予以支持。
2011年3月,中国人民银行发布《中国人民银行关于推进金融IC卡应用工作的意见》(以下简称“《意见》”),决定在全国范围内正式启动银行卡芯片迁移工作,“十二五”期间将全面推进金融IC卡应用,以促进中国银行卡的产业升级和可持续发展。
《意见》就金融IC卡受理环境改造、商业银行发行金融IC卡提出了时间表。
在受理环境改造方面,在2011年6月底前直联POS(销售点终端)能够受理金融IC卡;
全国性商业银行布放的间联POS、ATM(自动柜员机)的受理金融IC卡的时间分别为2011年底、2012年底前;
2013年起实现所有受理银行卡的联网通用终端都能够受理金融IC卡。
在商业银行发行金融IC卡方面,2011年6月底前工、农、中、建、交和招商、邮储银行应开始发行金融IC卡,2013年1月1日起全国性商业银行均应开始发行金融IC卡,2015年1月1日起在经济发达地区和重点合作行业领域,商业银行发行的、以人民币为结算账户的银行卡均应为金融IC卡。
《意见》要求金融IC卡发卡与受理应注重技术创新和业务创新,重点加强在公共服务领域开展多应用,力争在“十二五”期间实现与公共服务领域2-3个行业的合作。
2010年1月,中国人民银行发布《网上银行系统信息安全通用规范(试行)》(2010年)指出,我国网上银行系统在客户端、认证介质、网银后台三个主要安全点均存在一些安全隐患,而将这三个安全点串联起来的交易传输网络也存在一定的安全风险,由此形成整个网上银行系统的安全风险链。
《网上银行系统信息安全通用规范(试行)》在《信息安全技术网上银行系统信息安全保障评估准则(GB/T20983-2007)》的基础上,结合网上银行系统的业务特点,通过分析已发生的网上银行系统信息安全事件和问题,对网上银行系统的技术、管理和业务三个方面提出安全要求,为网上银行系统信息安全保障的设计、实施、建设、测评和审核提供规范的指导。
2008年12月,证券期货业信息化工作领导小组办公室发出《关于加强对投资者网上交易安全保护的通知》,为切实保障投资者网上交易活动的安全,要求加强网上交易投资者的身份认证手段。
网上交易除采用输入账户名、密码、验证码的身份认证方式之外,各机构还应向客户提供一种以上强度更高的身份认证方式供客户选择采用。
如客户端电脑或手机特征码绑定、软硬件证书、动态口令等身份认证方式,防止非法访问。
2008年1月,国家金卡工程协调领导小组颁发《国家金卡工程全国IC卡应用(2008-2013年)发展规划》(国金卡[2008]01号文)。
该规划指出了2008-2013年金卡工程发展目标、主要任务与发展重点,并对重点领域IC卡应用提出了具体要求。
主要任务与发展重点包括:
实现IC卡“一卡多用”,在发行“多功能卡”方面要有实质性突破,促进信息资源的整合与服务共享;
加快银行卡芯片化进程,促进银行IC卡与行业性IC卡应用的结合与共同发展等。
2007年6月,中国银监会颁发《关于做好网上银行风险管理和服务的通知》(银监办发[2007]134号)。
该通知就商业银行做好网上银行风险管理和服务提出主要要求:
加强用户身份验证管理。
各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。
双重身份认证由基本身份认证和附加身份认证组成。
基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令/密码;
附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。
附加身份认证信息应不易被复制、修改和破解。
商业银行应综合平衡经济效益和社会效益,不断降低网上银行客户双重身份认证的使用成本,促进双重身份认证的推广普及。
对于其他电子银行业务类型,商业银行可依据其安全程度自行确定是否参照网上银行管理,但应保证其他电子银行业务类型不构成网上银行的安全管理漏洞。
4、行业准入标准的制定单位及行业准入管理模式、取得认证需具备的条件
(1)行业准入管理模式
生产、销售以身份认证为核心的信息安全产品,主要涉及三大方面的监管,一方面系对商用密码产品的监管,即对商用密码产品的型号、生产、销售活动的监管,主要由国家密码管理局负责;
一方面系对信息安全专用产品的销售管理,主要由公安部公共信息网络安全监察局负责;
此外还有对于IC卡生产、服务提供机构的注册及生产许可,主要由国家集成电路卡注册中心负责。
具体如下:
①根据《商用密码管理条例》(国务院第273号令,1999年10月7日发布并实施)、《商用密码产品生产管理规定》(国家密码局5号公告,2006年1月1日实施)、《商用密码产品销售管理规定》(国家密码局6号公告,2006年1月1日实施),国家密码管理委员会及其办公室主管全国的商用密码管理工作,对商用密码产品的科研、生产、销售和使用实行专控管理;
商用密码产品由国家密码管理机构指定的单位生产,商用密码产品由国家密码管理机构许可的单位销售;
商用密码生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准。
②根据《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部令第32号,1997年12月12日实施),公安部计算机管理监察部门负责用于保护计算机信息系统安全的专用硬件、软件产品的销售许可证的审批颁发工作,安全专用产品的生产者在其产品进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》。
③根据《中华人民共和国工业产品生产许可证管理条例》(国务院令第440号,2005年9月1日实施)、《集成电路卡注册管理办法》(国家金卡工程协调领导小组,2001年8月9日颁布实施)、《集成电路卡及集成电路卡读写机产品生产许可证实施细则》(2007、2011版)等规定,IC卡生产、发行和应用服务提供的机构,按照一定程序和要求,向国家IC卡注册管理机构申请,获得唯一注册标识号,并将其写入IC卡;
在中国境内生产IC卡及IC卡读写机产品的,应当依法取得生产许可证,国家质量监督检验检疫总局负责IC卡及IC卡读写机产品生产许可证统一管理工作,全国工业产品生产许可证办公室负责IC卡及IC卡读写机产品生产许可证管理的日常工作。
(2)取得认证需具备的条件
①商用密码产品生产定点单位证书
商用密码产品生产定点单位必须具备独立的法人资格,具有与开发、生产商用密码产品相适应的技术力量和场所,具有确保商用密码产品质量的设备、生产工艺和质量保证体系,满足法律、行政法规规定的其他条件。
②商用密码产品销售许可证
申请《商用密码产品销售许可证》的单位应当具备下列条件:
A、有独立的法人资格;
B、有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障;
C、有完善的销售服务和安全保密管理制度;
D、法律、行政法规规定的其他条件。
③计算机信息系统安全专用产品销售许可证
安全专用产品的生产者申领销售许可证,应当向公安部计算机管理监察部门提交以下材料:
A、营业执照;
B、安全专用产品检测结果报告;
C、防治计算机病毒的安全专用产品须提交公安机关颁发的计算机病毒防治研究的备案证明。
④全国工业产品生产许可证
企业申请工业产品生产许可证,应当符合下列条件:
A、有营业执照,经营范围覆盖申报的产品;
B、有与所生产产品相适应的专业技术人员;
C、有与所生产产品相适应的生产条件和检验手段;
D、有与所生产产品相适应的技术文件和工艺文件;
E、有健全有效的质量管理制度和责任制度;
F、产品符合有关国家标准、行业标准以及保障人体健康和人身、财产安全的要求;
G、符合国家产业政策的规定,不存在国家明令淘汰和禁止投资建设的落后工艺、高耗能、污染环境、浪费资源的情况。
⑤申请IC卡制造机构标识
申请IC卡制造机构标识号的机构,应满足以下条件:
A、依法设立的法人单位;
B、采用的IC卡芯片应有IC卡芯片提供机构标识号;
C、具有规模生产能力和完善的质量与安全管理体系;
D、制造的IC卡应符合国家或行业标准;
E、国家规定的其他条件。
二、市场概述
1、信息安全业范畴
信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
与一般的IT产品不同,信息安全产品的应用具有一定的特殊性,其用户往往对保密性要求较高(如政府、银行、证券公司等),党的十六届四中全会更是把信息安全和政治安全、经济安全、文化安全并列为国家安全的四大范畴之一。
目前信息网络常用的基础性安全技术包括身份认证技术、加解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术和检测监控技术等方面。
随着网络深入生活,信息安全已经成为人们工作与生活的必需品。
国家“十二五”规划中明确新一代信息技术是国家未来重点扶持的对象。
随着银行EMV迁移、云计算、物联网、三网融合、移动互联、电子商务等新领域的爆发,信息安全市场将面临良好的发展机会。
中国信息产业商会智能卡专业委员会的研究显示:
2010年中国信息安全市场规模为111.68亿元,同比增长17.23%,2008-2010年期间年复合增速达到20.14%,远高于全球市场平均增速,预计未来仍能维持20%左右的增速;
与欧美等发达国家的信息安全市场相比,我国的信息安全市场整体发展水平还不高,信息安全投入占IT整体投入的比重较低。
2007年国内信息安全市场规模仅占IT市场规模的0.98%,远低于欧美市场8%-12%的比例,未来我国信息安全市场仍有巨大的发展空间。
信息系统的身份认证是信息安全防护的第一关口,越来越受到政府和用户的重视,并制定了相关的发展规划和规范要求。
我国公安部发布的《信息安全等级保护管理办法》(公通字[2007]43号)中规定,第三级以上信息系统产品的核心技术、关键部件应当选择使用具有我国自主知识产权的信息安全产品;
密码保护产品必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采取国外引进或者擅自研制的密码产品;
未经批准不得采用含有加密功能的进口信息技术产品。
另外,2010年美国政府提出《网络空间可信任身份的国家策略(NationalStrategyforTrustedIdentitiesinCyberspace)》(简称NSTIC),推动和建立本国以及国际间的网络身份证战略。
2、身份认证信息安全市场概述
互联网的发展,带动了信息产业的发展,同时也带来了日益严重的信息安全问题,身份认证作为信息安全防护的第一关,承担了至关重要的作用。
提高身份认证水平需要从认证技术和方法着手,采用更加先进的技术和方法。
基于静态口令的认证方式是一种最常见的技术,但是存在严重的安全问题。
他是一种单因素的认证,安全性依赖于口令,口令一旦泄露,用户即可被冒充。
目前,双因素认证是信息安全市场主流的认证方式,可以有效保证身份认证的有效性。
所谓双因素就是将两种认证方法结合起来,进一步加强认证的安全性,目前使用最为广泛的双因素有:
动态口令牌+静态密码、USBKey+静态密码、二层静态密码等等。
目前,国内外许多信息系统还仅仅使用用户名/密码的认证方法,所有知道网址的人都可以对信息进行查看、修改,这存在着极大的安全隐患。
身份认证系统可以根据信息保密要求的不同,对不同的用户通过访问控制设置不同的权限,并采用多种身份认证方式(用户名/密码方式、USBKey、动态口令、IC卡认证、生物特征认证)相结合的方法,与简单的用户名/密码的认证方式相比,安全风险大大降低。
现在市场上比较先进的认证方法是采取PKI架构的身份认证系统。
目前,身份认证产品广泛应用于金融、证券、电子商务、电子政务及工商税务等领域,具体主要包括USBKey市场、OTP动态令牌市场、软件加密锁市场(对正版软件的识别、保护)、智能卡市场(尤其是在EMV迁移下金融IC卡以及与金融IC卡相关的读写器市场)。
3、USBKey身份认证信息安全产品市场
USBKey安全产品是目前信息安全领域用于身份认证的主导产品,被用作客户身份认证与电子签名的数字证书和私有密钥的载体,广泛用于网上银行、证券、电子政务(含工商税务)、电子商务等领域。
(1)市场规模
USBKey产品作为网上银行成熟的安全保障产品,随着网上银行应用的逐步普及,日益深入到大众的日常生活中,目前,开通银行卡的网上银行功能,银行一般都赠送或是建议购买一个USBKey产品,以确保网上银行的使用安全。
近几年,个人网上银行和企业网上银行用户数量的快速增长,网上银行交易规模也迅速增加。
为了确保网上交易安全,中国银监会要求网上银行必须采用双因素认证方式。
目前,各大银行主要采用USBKey作为认证工具,对交易操作进行身份认证,受此拉动,中国USBKey市场规模进一步扩大,销售量及销售额都实现大幅度增长。
据中国信息产业商会智能卡专业委员会统计,2011年,国内USBKey市场销量为8,000万支左右,市场规模约20-30亿元,到2015年将达到1.5亿支左右,市场规模约50-60亿元,销量年均复合增长率将保持在20%左右。
此外,中国USBKey网上银行解决方案向海外市场的推广也将为中国USBKey市场的增长提供支持。
另外,USBKey存储的数字证书一般有效期为1-3年,证书到期后必须更换数字证书,否则就无法使用。
对于预置证书的USBKey产品更换证书需要去银行柜台办理,后置证书的USBKey产品可以直接在网络上更新,但手续繁琐、存在安全隐患,而且随着时间的推移,加解密技术的进步,原产品可能已经被要求更新换代了。
所以更换证书也是产品换代的好机会,这将带来USBKey安全产品存量市场的更新需求。
(2)市场结构
随着互联网的发展,专门针对网上银行服务的欺诈和病毒攻击现象与日俱增,网络安全问题日益严峻,除银行业外,其他证券、税务、电子政务、电子商务等信息安全要求较高的领域同样陆续采用USBKey来进行身份认证和信息安全保护。
据中国信息产业商会智能卡专业委员会研究显示,2010年各领域市场份额如下图所示:
由于银行业对信息安全要求较高,网上银行使用范围日益扩大,越来越多的用户开始将网上银行作为其工作和生活不可或缺的金融服务手段,因此,目前银行领域USBKey市场占比超过50%,但随着其他领域信息安全意识的增强,其他领域市场占比将呈现逐步增加的趋势。
(3)市场分布
目前,USBKey市场主要集中在对信息安全要求较高的领域,如银行、证券、税务、电子政务、电子商务等领域。
基于网点数量、客户规模、技术实力和资金实力等因素,USBKey市场重点集中在银行领域,尤其是工农建三大银行和其他股份制商业银行,占USBKey市场份额的使用量的40%以上。
地域分布则重点集中在东部沿海经济较为发达,网络应用较为活跃的地区,例如华南、华东、华北地区,2011年国内个人网银用户前述三个区域占比超过60%,具体分布如下:
(4)未来发展趋势
作为转账和支付工具,网上银行的快捷便利逐渐得到人们的认可。
但同时,“网上银行安全”也成为网上银行进一步发展的主要瓶颈。
中国金融认证中心(CFCA)调查显示,有75%的非网上银行用户由于担心安全性而不愿尝试,而网上银行安全问题通常出在用户端。
未来,随着技术的进步,科学知识的普及和产品的成熟,网上银行安全性将得到有效的保证,市场有望继续保持较高的扩展速度。
据中国金融认证中心(CFCA)发布的《2011中国电子银行调查报告》显示,2011年个人网上银行用户发展态势呈连年持续增加状态,全国城镇人口中个人网上银行活跃用户的比例为27.6%;
随着电子银行功能的不断优化和日趋完善,个人对网上银行的使用深度不断增加,企业网上银行柜台业务替代率超过60%;
同时新兴的手机银行业务也展现出巨大潜力,业务的安全性也日益受到用户的重视,58.5%的受访用户表示安全性是其选择手机银行品牌时核心的考虑因素。
随着网上银行的高速发展,USBKey市场将保持较高的增长速度。
4、OTP动态令牌信息安全产品市场
当前,网上银行、电话银行、手机银行以及ATM机的犯罪活动越来越猖獗,静态密码作为一种传统的安全身份认证方法,逐步显示出了其安全性不足、容易被截取、猜测、攻击和破解的缺陷。
(1)动态令牌产品
动态令牌(One-TimePassword,简称OTP)是客户手持用来生成动态密码的终端,主流产品是基于时间同步方式,每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行“一次一密”的方式认证,同时还有事件型和挑战应答型的令牌。
通过OTP动态令牌可以实现“一次一密”,解决客户密码被盗的问题。
由于使用起来非常便捷,操作简单,同时在非互联网环境下也可以使用,OTP动态令牌广泛应用在网上银行、ATM机、POS机、手机银行、电子政务、电子商务、VPN、企业OA办公系统等领域,是国外市场应用最为广泛的身份认证产品。
目前,大多国外银行和少数国内银行在网上银行应用中采用动态令牌的方式实现双因素身份认证。
(2)市场规模
动态令牌使用方便,一次一密,解决了客户密码被盗的问题,已经被市场接受,且有很多企事业单位使用。
国内OTP动态令牌大规模应用从中国银行2009年下半年招标开始,目前,其他一些银行也开始使用,例如工商银行、招商银行、民生银行、大连银行和宁夏银行等。
2010年1月28日,中国人民银行印发的《网上银行系统信息安全通用规范(试行)》(银发[2010]19号)中,把OTP动态令牌列为网上银行专用安全辅助设备,进一步推动了OTP动态令牌的使用和推广。
尽管如此,目前OTP动态令牌市场仍处于起步阶段,考虑其他行业需求,预计目前国内市场容量近4-5亿元。
未来,随着OTP动态令牌市场应用的逐步增加,其简便的操作、环境适应性广的特点将受到用户的认可,其市场容量将快速增加。
由于OTP动态令牌产品具有①脱机产品,可以摆脱电脑环境操作,客户端无需安装;
②拓展性好,广泛适用于手机银行、电话银行和网上银行,多个系统可以共享一个OTP动态令牌;
③OTP动态令牌对用户电脑知识要求较低,具有便于操作和维护等特点。
发达国家普遍采用OTP作为身份认证产品,世界500强中85%以上的企业内部采用动态令牌作为身份认证和密码保护产品,国外网上银行身份认证也较多的采用OTP动态令牌产品,因此,OTP动态令牌产品海外市场容量远高于国内市场。
另外,USBKey、OTP动态令牌均用于密码保护,均属于《网上银行系统信息安全通用规范(试行)》(银发[2010]19号)中规定的网上银行专用安全辅助设备,具有一定的替代性,可减少公司对单一品种或产品的依赖。
(3)未来发展趋势
电话银行、手机银行由于处于脱网状态,OTP动态令牌是最恰当的双因素认证产品。
中国银行业协会发布的《2010年度中国银行业服务改进情况报告》显示,中国银行业注重电子服务渠道建设,2010年中国银行业共有网上银行个人客户27,194.11万户,网上银行企业客户574.41万户,网上银行的用户大幅增加;
电话银行个人客户和企业客户的数量分别达33,556.5万户和385.23万户;
手机银行个人客户和企业客户数量则分别达7,256.34万户和1.22万户,其中手机银行、电话银行用户数超过了网上银行用户数,身份认证市场对OTP动态令牌产品的潜在需求较高。
另外,动态令牌产品需要安装电池以提供能源,一般电池使用寿命仅有3年左右,由于电池嵌入在产品中,无法单独更换电池,到期必须整体更换,因此,OTP动态令牌市场有望继续保持较高的发展速度。
5、加密锁市场
在国内,软件的开发和销售离不开加密,因为我国的软件保护法规还不够健全,人们的法制观念也比较淡薄,盗版行为还比较普遍;
并且因为软件是一种非常特殊的商品,很容易复制,就其功能来讲,正版和盗版的区别很小,如果开发出来的软件不进行加密的话,市场开拓将受到较大的影响,因此软件开发商有必要使用一些加密产品和技术来保护其利益,防止软件被盗版。
(1)加密锁产品及工作原理
加密锁(Dong
升级会员 