智能身份认证信息安全行业分析报告文案.docx

1、智能身份认证信息安全行业分析报告文案智能身份认证信息安全行业分析报告一、行业管理体制 61、行业主管部门、监管体制 62、行业主要法律法规、政策及行业标准、行业认证 73、相关产业政策 104、行业准入标准的制定单位及行业准入管理模式、取得认证需具备的条件 14（1）行业准入管理模式 14（2）取得认证需具备的条件 15二、市场概述 171、信息安全业畴 172、身份认证信息安全市场概述 183、USB Key 身份认证信息安全产品市场 19（1）市场规模 20（2）市场结构 21（3）市场分布 22（4）未来发展趋势 224、OTP 动态令牌信息安全产品市场 23（1）动态令牌产品 23（2

2、）市场规模 24（3）未来发展趋势 255、加密锁市场 26（1）加密锁产品及工作原理 26（2）加密锁产品市场状况 276、智能卡及读写器市场 27（1）智能卡产品及其发展状况 27（2）磁条卡、IC 卡安全要求越来越高，将推动产品的升级和换代 28（3）智能卡技术发展趋势 29（4）EMV 迁移下，智能卡的巨大市场空间和发展机会 30（5）智能卡读写器市场容量与发展趋势 317、行业市场竞争格局和市场化程度 31（1）USB Key 产品 32（2）OTP 动态令牌产品 32（3）加密锁 32（4）智能卡及读写器市场 338、进入本行业的主要障碍 33（1）技术壁垒 33（2）资质壁垒 3

3、4（3）存在市场壁垒、准入门槛较高 34（4）资金壁垒 35三、行业未来发展趋势 351、网络安全诚信问题日益严峻，互联网及移动互联网信息安全急需加强 352、网上银行、电子支付快速发展，将推动身份认证信息安全产品的应用 363、身份认证信息安全产品的应用围将从银行业逐步扩展到其他各行各业 374、产品升级换代越来越快，拥有自主知识产权的产品竞争优势明显 385、加密算法升级换代、数字证书存在有效期、OTP 动态令牌产品电池寿命期有限，这均将推动存量市场的产品更新换代 396、行业市场集中度上升 41四、行业市场供求状况、利润水平及变动原因 411、网上银行可以大幅度节约运营成本，对传统柜台业

4、务的替代正日益提升 412、网上银行普及率还处于较低水平，还有较大的发展空间 423、安全要求的提升，推动第一代USB Key 向二代复核型产品升级 434、银行卡PBOC2.0/EMV 迁移将推动身份认证信息安全市场快速发展 445、行业利润水平的变动趋势及变动原因 45五、影响行业发展的有利因素和不利因素 461、有利因素 46（1）国庞大的网民数量和网上应用多元化必将推动身份认证信息安全市场迅速发展 46（2）国家产业政策大力支持 47（3）EMV 迁移带来的巨大市场机会 47（4）严格的技术要求，避免了行业的恶性竞争 47（5）海外市场需求迅猛增长提供了新的发展机遇 472、不利因素

5、48（1）行业发展环境还不完善 48（2）高端技术研发人才的短缺 48六、行业主要参与者、技术水平及技术特点 481、行业的主要参与者 482、行业技术水平和技术特点 49七、行业主要经营模式及特有的经营特点 501、行业的主要经营模式 502、行业特有的经营特点 513、国各大商业银行的采购决策和实际采购体系 52八、行业经营的周期性、季节性和地域性 531、行业的周期性 532、行业的季节性 533、行业的地域性 54九、行业与上下游行业之间的关联性及上下游行业发展状况对本行业及其发展前景的影响 54十、行业主要企业简要情况 551、USB Key 产品主要企业情况 55（1）握奇数据系统

6、 55（2）天地融科技股份 552、OTP 动态令牌产品主要企业情况 56（1）集联信息安全技术 56（2）林果实业 563、加密锁产品主要企业情况 56（1）深思洛克软件技术股份 56一、行业管理体制1、行业主管部门、监管体制以智能身份认证为核心的信息安全产品的经营，分别受信息产业与安全主管部门的监管；公司产品用于金融行业时，同时还受金融主管部门的监管。相关管理部门及职责如下：国家发展和改革委员会、工业和信息化部：负责产业政策的研究制定、行业的管理与规划等；公安部：主管全国计算机信息系统安全保护工作；国家密码管理局商用密码管理办公室：主管全国商用密码管理工作，包括认定商用密码产品的科研、生产

7、、销售单位，批准生产的商用密码产品品种和型号等；中国人民银行、中国银监会：确保金融支付体系的安全、高效、稳定运行为政策目标，负责支付体系的建设和支付服务行业的监管；负责银行业务活动的监管，间接影响金融POS 交易、ATM 交易等银行卡电子支付设备的生产和技术服务；国家金卡工程办公室：制定智能卡的产业政策并监督执行，拟定智能卡发展规划、指导行业结构调整，参与行业体制改革、技术进步、技术改造和质量管理等工作；负责组织、协调金卡工程所涉及的有关标准化工作。除了上述行业主管部门监管以外，信息安全产业还要受到全国信息技术标准化委员会以及国家质检总局直属的中国信息安全认证中心、国家质检总局授权的中国信息安

8、全产品测评认证中心、公安部计算机信息系统安全产品质量监督检验中心以及国家信息安全产品认证管理委员会在安全标准和产品测评认证方面的管理。中国信息产业商会作为工业和信息化部指导下成立的行业协会的主要职责是组织业企业开展各项活动和部交流；发起分类安全标准的起草工作、研究抵制安全行业市场的不正当竞争、组织跨行业的安全大会；引导会员认真执行国家法规和政策、遵守行规、行约；协助会员企业开拓国际国市场，推动行业的发展。本行业已实现市场化竞争，各企业面向市场自主经营，由政府职能部门进行宏观调控，并由行业协会进行自律规。2、行业主要法律法规、政策及行业标准、行业认证信息安全行业的主要法律法规、政策及行业标准如下

9、表（在开展金融领域业务时需同时遵守金融领域所涉及的法规、政策）：信息安全行业具有一定的特殊性，需要通过相应的技术认证才有助于开展业务经营，其中主要技术认证如下表：3、相关产业政策2011 年6 月，国家发改委、科技部、工信部、商务部、国家知识产权局联合修订发布当前优先发展的高技术产业化重点领域指南（2011 年度）。该指南确定了当前应优先发展的高技术产业化重点领域。其中在第8 项“信息安全产品与系统”中明确将加解密设备和芯片，安全协议，公钥基础结构（PKI）系统，组合公钥（CPK）系统，安全支付系统，电子防伪系统以及网络安全监控系统，保障云计算、物联网、新一代信息网络等列为优先发展的重点领域。

10、2011 年3 月，我国国民经济和社会发展“十二五”规划纲要明确：“健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示和推广，加强信息网络监测、管控能力建设，确保基础信息网络和重点信息系统安全。推进信息安全基础设施建设，构建信息安全防护体系。加强互联网管理，确保国家网络与信息安全”。2011 年3 月，国家发改委颁布的产业结构调整指导目录（2011 年本）（国家发改委第9 号令）将“信息安全产品、网络监察专用设备开发制造”列为 “鼓励类”产业目录，对信息安全产业予以支持。2011 年3 月，中国人民银行发布

11、中国人民银行关于推进金融IC 卡应用工作的意见（以下简称“意见”），决定在全国围正式启动银行卡芯片迁移工作，“十二五”期间将全面推进金融IC 卡应用，以促进中国银行卡的产业升级和可持续发展。意见就金融IC 卡受理环境改造、商业银行发行金融IC卡提出了时间表。在受理环境改造方面，在2011 年6 月底前直联POS（销售点终端）能够受理金融IC 卡；全国性商业银行布放的间联POS、ATM（自动柜员机）的受理金融IC 卡的时间分别为2011 年底、2012 年底前；2013 年起实现所有受理银行卡的联网通用终端都能够受理金融IC 卡。在商业银行发行金融IC 卡方面，2011 年6 月底前工、农、中、

12、建、交和招商、邮储银行应开始发行金融IC 卡，2013 年1 月1 日起全国性商业银行均应开始发行金融IC 卡，2015 年1月1 日起在经济发达地区和重点合作行业领域，商业银行发行的、以人民币为结算账户的银行卡均应为金融IC 卡。意见要求金融IC 卡发卡与受理应注重技术创新和业务创新，重点加强在公共服务领域开展多应用，力争在“十二五”期间实现与公共服务领域2-3 个行业的合作。2010 年1 月，中国人民银行发布网上银行系统信息安全通用规（试行）（2010 年）指出，我国网上银行系统在客户端、认证介质、网银后台三个主要安全点均存在一些安全隐患，而将这三个安全点串联起来的交易传输网络也存在一定

13、的安全风险，由此形成整个网上银行系统的安全风险链。网上银行系统信息安全通用规（试行）在信息安全技术网上银行系统信息安全保障评估准则（GB/T 20983-2007）的基础上，结合网上银行系统的业务特点，通过分析已发生的网上银行系统信息安全事件和问题，对网上银行系统的技术、管理和业务三个方面提出安全要求，为网上银行系统信息安全保障的设计、实施、建设、测评和审核提供规的指导。2008 年12 月，证券期货业信息化工作领导小组办公室发出关于加强对投资者网上交易安全保护的通知，为切实保障投资者网上交易活动的安全，要求加强网上交易投资者的身份认证手段。网上交易除采用输入账户名、密码、验证码的身份认证方式

14、之外，各机构还应向客户提供一种以上强度更高的身份认证方式供客户选择采用。如客户端电脑或手机特征码绑定、软硬件证书、动态口令等身份认证方式，防止非法访问。2008 年1 月，国家金卡工程协调领导小组颁发国家金卡工程全国IC 卡应用（2008-2013 年）发展规划（国金卡200801 号文）。该规划指出了2008-2013年金卡工程发展目标、主要任务与发展重点，并对重点领域IC 卡应用提出了具体要求。主要任务与发展重点包括：实现IC 卡“一卡多用”，在发行“多功能卡”方面要有实质性突破，促进信息资源的整合与服务共享；加快银行卡芯片化进程，促进银行IC 卡与行业性IC 卡应用的结合与共同发展等。2

15、007 年6 月，中国银监会颁发关于做好网上银行风险管理和服务的通知（银监办发2007134 号）。该通知就商业银行做好网上银行风险管理和服务提出主要要求：加强用户身份验证管理。各商业银行最迟于2007 年12 月31 日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用，预先注册在银行的本人用户名及口令/密码；附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息（物理介质或电子设备等）。附加身份认证信息应不易被复制、修改和破解。商业银行应综合平衡经济效益和社会效益，不断降低网上银行客户

16、双重身份认证的使用成本，促进双重身份认证的推广普及。对于其他电子银行业务类型，商业银行可依据其安全程度自行确定是否参照网上银行管理，但应保证其他电子银行业务类型不构成网上银行的安全管理漏洞。4、行业准入标准的制定单位及行业准入管理模式、取得认证需具备的条件（1）行业准入管理模式生产、销售以身份认证为核心的信息安全产品，主要涉及三大方面的监管，一方面系对商用密码产品的监管，即对商用密码产品的型号、生产、销售活动的监管，主要由国家密码管理局负责；一方面系对信息安全专用产品的销售管理，主要由公安部公共信息网络安全监察局负责；此外还有对于IC 卡生产、服务提供机构的注册及生产许可，主要由国家集成电路卡

17、注册中心负责。具体如下：根据商用密码管理条例（国务院第273 号令，1999 年10 月7 日发布并实施）、商用密码产品生产管理规定（国家密码局5 号公告，2006 年1月1 日实施）、商用密码产品销售管理规定（国家密码局6 号公告，2006年1 月1 日实施），国家密码管理委员会及其办公室主管全国的商用密码管理工作，对商用密码产品的科研、生产、销售和使用实行专控管理；商用密码产品由国家密码管理机构指定的单位生产，商用密码产品由国家密码管理机构许可的单位销售；商用密码生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准。根据计算机信息系统安全专用产品检测和销售许可证管理办法（公安

18、部令第32 号，1997 年12 月12 日实施），公安部计算机管理监察部门负责用于保护计算机信息系统安全的专用硬件、软件产品的销售许可证的审批颁发工作，安全专用产品的生产者在其产品进入市场销售之前，必须申领计算机信息系统安全专用产品销售许可证。根据中华人民国工业产品生产许可证管理条例（国务院令第440号，2005 年9 月1 日实施）、集成电路卡注册管理办法（国家金卡工程协调领导小组，2001 年8 月9 日颁布实施）、集成电路卡及集成电路卡读写机产品生产许可证实施细则（2007、2011 版）等规定，IC 卡生产、发行和应用服务提供的机构，按照一定程序和要求，向国家IC 卡注册管理机构申请

19、，获得唯一注册标识号，并将其写入IC 卡；在中国境生产IC 卡及IC 卡读写机产品的，应当依法取得生产许可证，国家质量监督检验检疫总局负责IC 卡及IC 卡读写机产品生产许可证统一管理工作，全国工业产品生产许可证办公室负责IC 卡及IC 卡读写机产品生产许可证管理的日常工作。（2）取得认证需具备的条件商用密码产品生产定点单位证书商用密码产品生产定点单位必须具备独立的法人资格，具有与开发、生产商用密码产品相适应的技术力量和场所，具有确保商用密码产品质量的设备、生产工艺和质量保证体系，满足法律、行政法规规定的其他条件。商用密码产品销售许可证申请商用密码产品销售许可证的单位应当具备下列条件：A、有独

20、立的法人资格；B、有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障；C、有完善的销售服务和安全管理制度；D、法律、行政法规规定的其他条件。计算机信息系统安全专用产品销售许可证安全专用产品的生产者申领销售许可证，应当向公安部计算机管理监察部门提交以下材料：A、营业执照； B、安全专用产品检测结果报告；C、防治计算机病毒的安全专用产品须提交公安机关颁发的计算机病毒防治研究的备案证明。全国工业产品生产许可证企业申请工业产品生产许可证，应当符合下列条件：A、有营业执照，经营围覆盖申报的产品；B、有与所生产产品相适应的专业技术人员；C、有与所生产产品相适应的生产条件和检验手段；D、有与所生产

21、产品相适应的技术文件和工艺文件；E、有健全有效的质量管理制度和责任制度；F、产品符合有关国家标准、行业标准以及保障人体健康和人身、财产安全的要求；G、符合国家产业政策的规定，不存在国家明令淘汰和禁止投资建设的落后工艺、高耗能、污染环境、浪费资源的情况。申请 IC 卡制造机构标识申请 IC 卡制造机构标识号的机构，应满足以下条件：A、依法设立的法人单位；B、采用的IC 卡芯片应有IC 卡芯片提供机构标识号；C、具有规模生产能力和完善的质量与安全管理体系；D、制造的IC 卡应符合国家或行业标准；E、国家规定的其他条件。二、市场概述1、信息安全业畴信息安全的涵在不断地延伸，从最初的信息性发展到信息的

22、完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。与一般的IT 产品不同，信息安全产品的应用具有一定的特殊性，其用户往往对性要求较高（如政府、银行、证券公司等），党的十六届四中全会更是把信息安全和政治安全、经济安全、文化安全并列为国家安全的四大畴之一。目前信息网络常用的基础性安全技术包括身份认证技术、加解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术和检测监控技术等方面。随着网络深入生活，信息安全已经成为人们工作与生活的必需品。国家“十二五”规划中明确新一代信息技术是国家未来重点

23、扶持的对象。随着银行EMV迁移、云计算、物联网、三网融合、移动互联、电子商务等新领域的爆发，信息安全市场将面临良好的发展机会。中国信息产业商会智能卡专业委员会的研究显示：2010 年中国信息安全市场规模为111.68 亿元，同比增长17.23%，2008-2010年期间年复合增速达到20.14%，远高于全球市场平均增速，预计未来仍能维持20%左右的增速；与欧美等发达国家的信息安全市场相比，我国的信息安全市场整体发展水平还不高，信息安全投入占IT 整体投入的比重较低。2007 年国信息安全市场规模仅占IT 市场规模的0.98%，远低于欧美市场8%-12%的比例，未来我国信息安全市场仍有巨大的发展

24、空间。信息系统的身份认证是信息安全防护的第一关口，越来越受到政府和用户的重视，并制定了相关的发展规划和规要求。我国公安部发布的信息安全等级保护管理办法（公通字200743 号）中规定，第三级以上信息系统产品的核心技术、关键部件应当选择使用具有我国自主知识产权的信息安全产品；密码保护产品必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采取国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。另外，2010 年美国政府提出网络空间可信任身份的国家策略（NationalStrategy for Trusted Identities in Cyber

25、space）（简称NSTIC），推动和建立本国以及国际间的网络战略。2、身份认证信息安全市场概述互联网的发展，带动了信息产业的发展，同时也带来了日益严重的信息安全问题，身份认证作为信息安全防护的第一关，承担了至关重要的作用。提高身份认证水平需要从认证技术和方法着手，采用更加先进的技术和方法。基于静态口令的认证方式是一种最常见的技术，但是存在严重的安全问题。他是一种单因素的认证，安全性依赖于口令，口令一旦泄露，用户即可被冒充。目前，双因素认证是信息安全市场主流的认证方式，可以有效保证身份认证的有效性。所谓双因素就是将两种认证方法结合起来，进一步加强认证的安全性，目前使用最为广泛的双因素有：动态口

26、令牌+静态密码、USB Key+静态密码、二层静态密码等等。目前，国外许多信息系统还仅仅使用用户名/密码的认证方法，所有知道网址的人都可以对信息进行查看、修改，这存在着极大的安全隐患。身份认证系统可以根据信息要求的不同，对不同的用户通过访问控制设置不同的权限，并采用多种身份认证方式（用户名/密码方式、USB Key、动态口令、IC 卡认证、生物特征认证）相结合的方法，与简单的用户名/密码的认证方式相比，安全风险大大降低。现在市场上比较先进的认证方法是采取PKI 架构的身份认证系统。目前，身份认证产品广泛应用于金融、证券、电子商务、电子政务及工商税务等领域，具体主要包括USB Key 市场、OT

27、P 动态令牌市场、软件加密锁市场（对正版软件的识别、保护）、智能卡市场（尤其是在EMV 迁移下金融IC 卡以及与金融IC 卡相关的读写器市场）。3、USB Key 身份认证信息安全产品市场USB Key 安全产品是目前信息安全领域用于身份认证的主导产品，被用作客户身份认证与电子签名的数字证书和私有密钥的载体，广泛用于网上银行、证券、电子政务（含工商税务）、电子商务等领域。（1）市场规模USB Key 产品作为网上银行成熟的安全保障产品，随着网上银行应用的逐步普及，日益深入到大众的日常生活中，目前，开通银行卡的网上银行功能，银行一般都赠送或是建议购买一个USB Key 产品，以确保网上银行的使用

28、安全。近几年，个人网上银行和企业网上银行用户数量的快速增长，网上银行交易规模也迅速增加。为了确保网上交易安全，中国银监会要求网上银行必须采用双因素认证方式。目前，各大银行主要采用USB Key 作为认证工具，对交易操作进行身份认证，受此拉动，中国USB Key 市场规模进一步扩大，销售量及销售额都实现大幅度增长。据中国信息产业商会智能卡专业委员会统计，2011 年，国USB Key 市场销量为8,000 万支左右，市场规模约20-30 亿元，到2015 年将达到1.5 亿支左右，市场规模约50-60 亿元，销量年均复合增长率将保持在20%左右。此外，中国USB Key 网上银行解决方案向海外市

29、场的推广也将为中国USBKey 市场的增长提供支持。另外，USB Key 存储的数字证书一般有效期为1-3 年，证书到期后必须更换数字证书，否则就无法使用。对于预置证书的USB Key 产品更换证书需要去银行柜台办理，后置证书的USB Key 产品可以直接在网络上更新，但手续繁琐、存在安全隐患，而且随着时间的推移，加解密技术的进步，原产品可能已经被要求更新换代了。所以更换证书也是产品换代的好机会，这将带来USB Key 安全产品存量市场的更新需求。（2）市场结构随着互联网的发展，专门针对网上银行服务的欺诈和病毒攻击现象与日俱增，网络安全问题日益严峻，除银行业外，其他证券、税务、电子政务、电子商

30、务等信息安全要求较高的领域同样陆续采用USB Key 来进行身份认证和信息安全保护。据中国信息产业商会智能卡专业委员会研究显示，2010 年各领域市场份额如下图所示：由于银行业对信息安全要求较高，网上银行使用围日益扩大，越来越多的用户开始将网上银行作为其工作和生活不可或缺的金融服务手段，因此，目前银行领域USB Key 市场占比超过50%，但随着其他领域信息安全意识的增强，其他领域市场占比将呈现逐步增加的趋势。（3）市场分布目前，USB Key 市场主要集中在对信息安全要求较高的领域，如银行、证券、税务、电子政务、电子商务等领域。基于网点数量、客户规模、技术实力和资金实力等因素，USB Key

31、 市场重点集中在银行领域，尤其是工农建三大银行和其他股份制商业银行，占USB Key 市场份额的使用量的40%以上。地域分布则重点集中在东部沿海经济较为发达，网络应用较为活跃的地区，例如华南、华东、华北地区，2011 年国个人网银用户前述三个区域占比超过60%，具体分布如下：（4）未来发展趋势作为转账和支付工具，网上银行的快捷便利逐渐得到人们的认可。但同时， “网上银行安全”也成为网上银行进一步发展的主要瓶颈。中国金融认证中心（CFCA）调查显示，有75%的非网上银行用户由于担心安全性而不愿尝试，而网上银行安全问题通常出在用户端。未来，随着技术的进步，科学知识的普及和产品的成熟，网上银行安全性

32、将得到有效的保证，市场有望继续保持较高的扩展速度。据中国金融认证中心（CFCA）发布的2011 中国电子银行调查报告显示，2011 年个人网上银行用户发展态势呈连年持续增加状态，全国城镇人口中个人网上银行活跃用户的比例为27.6%；随着电子银行功能的不断优化和日趋完善，个人对网上银行的使用深度不断增加，企业网上银行柜台业务替代率超过60%；同时新兴的手机银行业务也展现出巨大潜力，业务的安全性也日益受到用户的重视，58.5%的受访用户表示安全性是其选择手机银行品牌时核心的考虑因素。随着网上银行的高速发展，USB Key 市场将保持较高的增长速度。4、OTP 动态令牌信息安全产品市场当前，网上银行、银行、手机银行以及AT