中国信息安全行业PEST环境分析
通讯yjbzj220152023/4/19
据中研产业研究院发布的《2023-2028年中国信息安全行业深度调研及发展策略研究报告》数据显示
第一节中国信息安全行业政策(Policy)环境分析
一、信息安全行业监管体系及机构介绍
1、信息安全行业主管部门
信息安全产品的应用具有一定的特殊性,其用户往往对保密要求较高(如政府、银行、军队等),分别受信息产业与安全主管部门的监管。相关管理部门及职责如下:
国家发改委:主要负责信息产业政策、产业规划的研究制定、行业的管理与规划等。
工信部:主要负责信息产业的规划、政策和标准的制定和实施、统筹推进国家信息化工作、国家产业扶持基金的管理和软件企业认证以及软件产品登记、系统集成资质认证等企业资格评估等工作。
公安部:主管全国计算机信息系统安全保护工作。
国家保密局:管理和指导保密技术工作,负责办公自动化和计算机信息系统的保密管理,指导保密技术产品的研制和开发应用,对从事涉密信息系统集成的企业资质进行认定。
国家密码管理局商用密码管理办公室:主管全国商用密码管理工作,包括认定商用密码产品的科研、生产、销售单位,批准生产的商用密码产品品种和型号等。
2、信息安全行业自律组织
信息安全产业还受国家标准化管理委员会全国信息技术标准化委员会信息安全技术分委员会以及国家质检总局直属的中国信息安全认证中心、国家质检总局授权的中国信息安全产品测评认证中心、公安部计算机信息系统安全产品质量监督检验中心以及国家信息安全产品认证管理委员会在安全标准和产品测评认证方面的管理。
中国信息产业商会信息安全产业分会作为工信部电子信息产品管理司指导下成立的行业协会,主要组织业内厂家开展各项活动和内部交流;发起分类安全标准的起草工作、研究抵制安全行业市场的不正当竞争、组织跨行业的安全大会。
同时也受到软件行业主管部门和行业组织的管理。软件行业的主管部门为工信部,行业组织为中国软件行业协会。
中国软件行业协会由从事软件研究开发、出版、销售、培训,从事信息化系统研究开发,开展信息服务,以及为软件产业提供咨询、市场调研、投融资服务和其他中介服务等的企事业单位与个人自愿结合组成,经国家民政部注册登记,是代表中国软件产业界并具有全国性一级社团法人资格的行业组织之一。
软件著作权登记的业务主管部门是国家版权局中国版权保护中心和中国软件登记中心。由国家版权局授权中国软件登记中心承担计算机软件著作权登记工作。
二、信息安全行业标准体系建设现状
1、信息安全标准体系建设
1、《产业结构调整指导目录(2011年本)》(国家发改委第9号令)
将"网管监控"、"信息安全产品、网络监察专用设备开发制造"列为"鼓励类"产业目录
2、《软件产品管理办法》(工信部令第9号)
明确了软件产品实行登记和备案制度,对软件产品的生产、销售和监督管理进行规范。
2、信息安全现行标准汇总
1、2022年3月9日,国家标准GB/T25069-2022《信息安全技术术语》发布
本标准界定了信息安全技术领域中基本或通用概念的术语和定义,并对这些条目进行分类,是信息安全领域的重要基础性标准,也是所有信息安全人员在信息安全领域中进行沟通交流、开展研究工作和项目实施的基本工具。
2、2022年3月9日,国家标准GB/T20278-2022《信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法》发布
本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法,其中安全技术要求分为基础级和增强级,内容包括安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求。
3、信息安全即将实施标准
3、2022年3月9日,国家标准GB/Z41290-2022《信息安全技术移动互联网安全审计指南》发布
本标准定义了移动互联网安全审计活动的概念,描述了移动互联网安全审计活动中的角色职责、审计范围和审计内容,给出了安全审计活动的框架、功能任务以及各功能任务的具体指南。
4、2022年3月9日,国家标准GB/Z41288-2022《信息安全技术重要工业控制系统网络安全防护导则》发布
本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。
三、信息安全行业发展相关政策规划汇总及解读
1、2022年2月10日,工信部发布《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)再次公开征集意见
《意见》是根据此前《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)收到的公开意见进行了修改完善,再次面向社会征求意见。此次发布的征求意见稿对数据定义、监管机构、重要数据和核心数据目录备案、主体责任、数据出境等诸多条款进行了调整。
2、2022年2月21日,工信部发布《工业和信息化部办公厅关于做好工业领域数据安全管理试点工作的通知》(工信厅网安函〔2022〕24号)
《通知》要求试点地区工业和信息化主管部门加快提升行政执法能力,强化政策支持和资金投入,加强数据安全监测、风险报送、事件处置等技术能力建设,全面提升本地区数据安全监管能力。其中必选试点内容为数据安全管理、安全防护和安全评估,可选试点内容包括数据安全产品应用推广、数据安全监测、数据出境安全管理。
3、2022年3月5日,国务院总理李克强向第十三届全国人民代表大会第五次会议作《2022年政府工作报告》
《报告》指出,2022年,国务院将强化网络安全、数据安全和个人信息保护。促进数字经济发展;加强数字中国建设整体布局;建设数字信息基础设施,逐步构建全国一体化大数据中心体系,推进5G规模化应用,促进产业数字化转型,发展智慧城市、数字乡村;加快发展工业互联网,培育壮大集成电路、人工智能等数字产业,提升关键软硬件技术创新和供给能力。
4、2022年3月7日,工信部发布《车联网网络安全和数据安全标准体系建设指南》(工信厅科〔2022〕5号)
《指南》提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,支撑车联网产业安全健康发展。
5、2021年7月,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》
对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他涉及国家安全、国计民生、公共利益的重要网络设施、信息系统进行深层次的立法保护。
四、信息安全行业相关"十四五"规划解读
《"十四五"规划和2035年远景目标纲要》中涉及数据安全相关内容的章、节进行简要分析。
章节:
《第十一章建设现代化基础设施体系/第一节加快建设新型基础设施》
原文:
围绕强化数字转型、智能升级、融合创新支撑,布局建设信息基础设施、融合基础设施、创新基础设施等新型基础设施。建设高速泛在、天地一体、集成互联、安全高效的信息基础设施,增强数据感知、传输、存储和运算能力。
加快构建全国一体化大数据中心体系,强化算力统筹智能调度,建设若干国家枢纽节点和大数据中心集群,建设E级和10E级超级计算中心。积极稳妥发展工业互联网和车联网。打造全球覆盖、高效运行的通信、导航、遥感空间基础设施体系,建设商业航天发射场。加快交通、能源、市政等传统基础设施数字化改造。
解读:
在"十四五"期间,为加快数字经济转型,安全高效的信息基础设施必不可少。信息技术与各高精尖技术的发展深度融合,为了实现各领域的融合创新发展,需打好信息建设的"底座",以实现更高效、更智能的科技发展体系。
章节:
《第十五章打造数字经济新优势/第二节加快推动数字产业化》
原文:
培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,提升通信设备、核心电子元器件、关键软件等产业水平。构建基于5G的应用场景和产业生态,在智能交通、智慧物流、智慧能源、智慧医疗等重点领域开展试点示范。鼓励企业开放搜索、电商、社交等数据,发展第三方大数据服务产业。促进共享经济、平台经济健康发展。
解读:
为打造数字经济新优势,数据安全产业已经在国家政策层面确定会被进一步的"培育壮大",在未来的重点领域会开展试点示范,这意味着中国的数据安全产业规模会继续保持快速而稳健的增长。
章节:
《第十八章营造良好数字生态/第一节建立健全数据要素市场规则》
原文:
统筹数据开发利用、隐私保护和公共安全,加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。建立健全数据产权交易和行业自律机制,培育规范的数据交易平台和市场主体,发展数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系。加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估,推动数据跨境安全有序流动。
解读:
更为完善的数据安全法律规范、制度标准将被陆续制定并颁布执行。对重点领域的数据资源、信息资源等的保护也将会更为严格的依法治理。
关键信息基础设施的保护不仅关乎个体信息安全,更关乎国家政治安全。
大数据环境下的安全评估体系需要完善,对数据的分类、分级保护至关重要,有利于数据资源的长期维护与价值转化。
章节:
《第十八章营造良好数字生态/第三节加强网络安全保护》
原文:
健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。
解读:
数据的安全建设与治理需要加强重要领域的信息基础设施保护体系,提升信息系统的抗风险能力,通过技术的创新加强关键技术的研发,保护信息系统的安全。
相关宣传教育与人才培养收到重视,未来信息安全保护人才的需求可能会扩大。
章节:
《第五十二章加强国家安全体系和能力建设》
原文:
坚持政治安全、人民安全、国家利益至上有机统一,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、科技、文化、社会安全为保障,不断增强国家安全能力。完善集中统一、高效权威的国家安全领导体制,健全国家安全法治体系、战略体系、政策体系、人才体系和运行机制,完善重要领域国家安全立法、制度、政策。巩固国家安全人民防线,加强国家安全宣传教育,增强全民国家安全意识,建立健全国家安全风险研判、防控协同、防范化解机制。健全国家安全审查和监管制度,加强国家安全执法。坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设,切实维护新型领域安全,严密防范和严厉打击敌对势力渗透、破坏、颠覆、分裂活动。
解读:
数据安全作为新型领域,其保障体系和能力建设同时关乎国家安全,数据安全是对国家安全的有力维护。
章节:
《第五十三章强化国家经济安全保障/第三节实施金融安全战略》
原文:
加强人民币跨境支付系统建设,推进金融业信息化核心技术安全可控,维护金融基础设施安全。
解读:
金融科技进入安全发展的新时代,创新成果层出不穷。与此同时,相关监管、安全问题也需要重视,金融基础设施安全作为金融风险防控体系中的重点,对金融科技的发展起着举足轻重的作用。
数据安全基础软件未来可期
站在中华民族伟大复兴和世界百年未有之大变局的高度,《"十四五"规划和2035年远景目标纲要》从数字产业、经济生态、国家安全战略等层面,强调了数据的重要。推进数据安全基础设施建设,加强数据产业与其他产业的创新融合,是现代产业体系的重要一环,关系到"十四五"时期经济社会发展全局。未来,英方软件将紧跟国家战略,为"培育壮大"数字经济贡献力量,助力现代化经济体系和新发展格局的建设。
六、政策环境对信息安全行业发展的影响分析
政策环境是指作用和影响公共政策的外部条件的总和。它涉及诸多因素,从人到物,从自然到社会,从历史到文化,几乎无所不包。政策与环境的互动可视为一个生态系统。
政策环境对一个行业的影响是巨大的,没有一个好的政策环境,任何一个行业的发展都将会是艰难的。政策环境会从本质上影响相关行业的利润结构,一个好的政策环境对任何一个行业都将会产生巨大的促进作用,信息安全行业是一个产业关联性极强的产业,极易受到政策变化带来的冲击。
第二节中国信息安全行业经济(Economy)环境分析
一、中国宏观经济发展现状
1、国民经济运行情况GDP
初步核算,2022全年国内生产总值1210207亿元,比上年增长3.0%。其中,第一产业增加值88345亿元,比上年增长4.1%;第二产业增加值483164亿元,增长3.8%;第三产业增加值638698亿元,增长2.3%。第一产业增加值占国内生产总值比重为7.3%,第二产业增加值比重为39.9%,第三产业增加值比重为52.8%。全年最终消费支出拉动国内生产总值增长1.0个百分点,资本形成总额拉动国内生产总值增长1.5个百分点,货物和服务净出口拉动国内生产总值增长0.5个百分点。全年人均国内生产总值85698元,比上年增长3.0%。国民总收入1197215亿元,比上年增长2.8%。全员劳动生产率为152977元/人,比上年提高4.2%。
2、全国居民收入情况
2022全年全国居民人均可支配收入36883元,比上年增长5.0%,扣除价格因素,实际增长2.9%。全国居民人均可支配收入中位数31370元,增长4.7%。按常住地分,城镇居民人均可支配收入49283元,比上年增长3.9%,扣除价格因素,实际增长1.9%。城镇居民人均可支配收入中位数45123元,增长3.7%。农村居民人均可支配收入20133元,比上年增长6.3%,扣除价格因素,实际增长4.2%。农村居民人均可支配收入中位数17734元,增长4.9%。城乡居民人均可支配收入比值为2.45,比上年缩小0.05。按全国居民五等份收入分组,低收入组人均可支配收入8601元,中间偏下收入组人均可支配收入19303元,中间收入组人均可支配收入30598元,中间偏上收入组人均可支配收入47397元,高收入组人均可支配收入90116元。全国农民工人均月收入4615元,比上年增长4.1%。全年脱贫县农村居民人均可支配收入15111元,比上年增长7.5%,扣除价格因素,实际增长5.4%。
二、中国宏观经济发展展望
虽然当前中国经济面临需求收缩、供给冲击、预期转弱三重压力,但今年宏观经济稳中向好的趋势没有变。持续降低的失业率、基本稳定的价格水平、稳中有降的宏观杠杆率、持续强化的科技创新、不断提升的国际竞争力、全面强化的人力资本都决定了中国经济增长潜能在不断强化,2022年我国经济仍有望保持较快增长。
从中长期看,我们对中国经济发展潜力的信心依旧。当前中国经济发展确实面临一些挑战。但中央经济工作会议提出"稳字当头、稳中求进",着重强调"以经济建设为中心",说明政策层面已经做了比较充分的准备。中长期看,随着"十四五"规划纲要部署的重要改革开放任务纵深推进,新发展格局加快构建,我国经济的活力将持续增强,实现质的稳步提升和量的合理增长。
第三节中国信息安全行业社会(Society)环境分析
一、中国人口市场分析
2022年末全国人口141175万人,比上年末减少85万人,其中城镇常住人口92071万人。全年出生人口956万人,出生率为6.77‰;死亡人口1041万人,死亡率为7.37‰;自然增长率为-0.60‰。
二、教育环境分析
2022全年研究生教育招生124.2万人,在学研究生365.4万人,毕业生86.2万人。普通、职业本专科招生1014.5万人,在校生3659.4万人,毕业生967.3万人。中等职业教育招生650.7万人,在校生1784.7万人,毕业生519.2万人。普通高中招生947.5万人,在校生2713.9万人,毕业生824.1万人。初中招生1731.4万人,在校生5120.6万人,毕业生1623.9万人。普通小学招生1701.4万人,在校生10732.0万人,毕业生1740.6万人。特殊教育招生14.6万人,在校生91.9万人,毕业生15.9万人。学前教育在园幼儿4627.5万人。九年义务教育巩固率为95.5%,高中阶段毛入学率为91.6%。
三、科学技术环境分析
2022全年研究与试验发展(R&D)经费支出30870亿元,比上年增长10.4%,与国内生产总值之比为2.55%,其中基础研究经费1951亿元。国家自然科学基金共资助5.19万个项目。
截至年末,正在运行的国家重点实验室533个,纳入新序列管理的国家工程研究中心191个,国家企业技术中心1601家,大众创业万众创新示范基地212家。
国家科技成果转化引导基金累计设立36支子基金,资金总规模624亿元。国家级科技企业孵化器1425家,国家备案众创空间2441家。全年授予专利权432.3万件,比上年下降6.0%;PCT专利申请受理量7.4万件。截至年末,有效专利1787.9万件,其中境内有效发明专利328.0万件。每万人口高价值发明专利拥有量9.4件。
全年商标注册617.7万件,比上年下降20.2%。全年共签订技术合同77万项,技术合同成交金额47791亿元,比上年增长28.2%。我国公民具备科学素质的比例达到12.93%。
第四节中国信息安全行业技术(Technology)环境分析
一、物理安全技术的基本内容及定位
信息系统的物理安全设计到整个系统的配套部件、设备和设施安全的性能、所处环境安全以及整个系统可靠运行等三方面,是信息系统安全运行的基本保障。
硬件的抗电磁干扰能力、防电磁信息泄露能力、电源保护能力以及设备振动、碰撞、冲击适应性等安全性能直接决定了信息系统的保密性、完整性、可用性。
信息系统所处物理环节的优劣,如机房防火、防水、防雷、防静电、防盗防毁能力,供电能力、通信线路安全等,直接影响了信息系统的可靠性。
二、密码技术的基本内容及定位
密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是将隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。
传统的加密方法是加密、解密使用同样的密钥,由发送者和接收者分别保存,在加密和解密时使用,采用这种方法的主要问题是密钥的生成、注入、存储、管理、分发等很复杂,特别是随着用户的增加,密钥的需求量成倍增加。在网络通信中,大量密钥的分配是一个难以解决的问题。
例如,若系统中有n个用户,其中每两个用户之间需要建立密码通信,则系统中每个用户须掌握(n-1)/2个密钥,而系统中所需的密钥总数为n*(n-1)/2个。对10个用户的情况,每个用户必须有9个密钥,系统中密钥的总数为45个。对100个用户来说,每个用户必须有99个密钥,系统中密钥的总数为4950个。这还仅考虑用户之间的通信只使用一种会话密钥的情况。如此庞大数量的密钥生成、管理、分发确实是一个难处理的问题。
三、身份鉴别技术的基本内容及其定位
身份识别技术采用密码技术(尤其是公钥密码技术)设计出安全性高的协议。
(1)口令方式:口令是应用最广的一种身份识别方式,一般是长度为5~8的字符串,由数字、字母、特殊字符、控制字符等组成。用户名和口令的方法几十年来一直用于提供所属权和准安全的认证来对服务器提供一定程度的保护。
(2)标记方式:标记是一种个人持有物,它的作用类似于钥匙,用于启动电子设备,标记上记录着用于机器识别的个人信息。
四、访问控制技术的基本内容及其定位
访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的,访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。
访问控制包括三个要素:主体、客体和控制策略。
(1)主体S(Subject)。是指提出访问资源具体请求。是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程、服务和设备等。
(2)客体O(Object)。是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体,也可以是网络上硬件设施、无限通信中的终端,甚至可以包含另外一个客体。
(3)控制策略A(Attribution)。是主体对客体的相关访问规则集合,即属性集合。访问策略体现了一种授权行为,也是客体对主体某些操作行为的默认。
-
关注公众号
免费获取更多报告节选
免费咨询行业专家
