计算机密码行业专题研究：合规+信创驱动国产密码加速成长

计算机密码行业专题研究：合规+信创驱动国产密码加速成长产业解密：密码技术是网络“主动”安全的核心支撑商用密码为主要市场，以加密保护、安全认证为主要功能商用密码用于保护不属于国家秘密的信息，应用场景广泛。根据《中华人民共和国密码法》，我国密码分为核心密码、普通密码、商用密码三大类，其中核心密码、普通密码用于保护国家秘密信息，商用密码用于保护国家秘密以外的信息类型。核心密码、普通密码的应用空间相对单一、技术更新要求相对较低、市场空间相对较小，商用密码为主要市场。1）核心密码：保护信息的最高密级为绝密级，多为中央绝密级文件；2）普通密码：保护信息的最高密级为机密级，多为党政军及政府内网文件；3）商用密码：对不涉及国家秘密的重要信息进行保护，公民、法人、其他组织均可以依法使用商用密码保护网络与信息安全。密码是采用特定的变换方法对信息等进行加密保护、安全认证的技术、产品和服务。密码学包括密码编码学和密码分析学两个相互对立的分支：1）密码编码学：研究对数据进行变换的原理、手段和方法，用于密码设计，主要包括包括序列密码编码技术、分组密码编码技术和公钥密码编码技术；2）密码分析学：研究如何破译密码算法，主要包括序列密码分析技术、分组密码分析技术和公钥密码分析技术。密码需要完成信息加密并解密的完整过程，一般包括明文（原始信息）、密文（加密后的信息）、加密算法、解密算法、密钥等五个部分。其中，密码算法（加密算法、解密算法）即密码进行加密、解密时遵循的数据变换规则；密钥配合密码算法使用，密钥长度决定了密钥空间的大小，密钥空间越大，暴力破解的难度越大。密码核心功能包含数据加密、身份认证、消息认证三大类。为了应对信息安全面对的窃听、篡改、伪装、否认等威胁，密码技术提供了数据加密、身份认证、消息认证三类典型功能。1）数据加密：即对重要信息通过密码算法进行加密保护，防止信息以明文形式泄漏，常用密码为对称密码、公钥密码；2）身份认证：即身份识别以及身份验证，用来确认访问者是谁和声称的访问者是否真实，防止身份信息被冒用，常用密码为数字签名；3）消息认证：即确认消息是否来自可信发送方及消息是否遭到修改、重放、延迟等，防止数据被篡改，常用密码为单向散列函数、消息认证码。根据功能场景，商用密码产品可进一步细分为7类。按照产品形态，商用密码产品可划分为软件、芯片、模块、板卡、整机、系统（由多个整机组成）等六类；按照功能场景，商用密码产品可划分为密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类、综合类等七类。其中密码算法类、证书管理类、密钥管理类可应用于各场景，数据加解密类主要实现数据加密功能，认证鉴别类、密码防伪类主要实现身份认证、消息认证功能，综合类多为其余六种功能（两种或两种以上）的组合。密码夯实网络安全基础，从“被动防御”到“主动免疫”密码技术是保障网络安全的核心技术，构筑网络“主动”安全。密码是构建网络信任体系的重要基石，在身份识别、安全隔离、信息加密、完整性保护、行为不可否认等方面具有不可替代的重要作用。主要的网络安全技术涵盖七大类：信息加密、数字签名、身份认证、数据完整性保护、访问控制、病毒检测与清除、安全检测与监控、安全审计、安全防护，其中访问控制、病毒检测与清除、安全检测与监控、安全审计、安全防护等技术多关注网络攻击的“被动防御”，即如何应对潜在的网络安全攻击；信息加密、数字签名、身份认证、数据完整性保护等技术更关注网络安全的“主动免疫”，是密码技术的深度应用。商用密码在网络安全市场中的规模占比有望持续提升。我国传统网安建设以实战化攻防演习为主要推动力，因此建设重点多为“被动防御”的攻防类产品。近年来随《网络安全法》、《数据安全法》、《个人隐私保护法》等法律颁布，“内生需求”成为网安建设的新动力。密码技术及产品作为推动网络从“被动防御”到“主动免疫”的重要因素，有望在网安“内生需求”的驱动下实现高速增长。据赛迪咨询统计，2016-2021年我国商用密码市场规模占网络安全整体市场规模的比重分别为45.10%、58.45%、57.15%、57.56%、62.20%、58.20%，2018-2020年稳步上升，2021年略有下降。我们认为，随着网络内生安全重要性逐步提升，商用密码市场增速有望高于网络安全市场总体增速的趋势有望延续。国密现状：国产商用密码高速发展，行业体系日趋完善发展复盘：政策、需求双轮驱动，产业进入高质量发展期国产商用密码实现跨越式发展，产业标准日益完善，应用领域逐步拓宽。我国商用密码发展起步于20世纪90年代，至今已经历二十余年发展，其发展历程大致可分为四个阶段：1）业务初探期（1996-2004年）：1996年7月，中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》，我国商用密码的研究与应用正式起步；1999年10月，国务院发布《商用密码管理条例》，标志着我国商用密码的发展和管理迈入法治化轨道；同时伴随九十年代“金字工程”的建设推进，商用密码在金融等行业实现初步应用；2）产业扩张期（2005-2010年）：2005年1月，国家密码管理局正式成立，密码管理体系建设正式开启；同年4月，《中华人民共和国电子签名法》正式实施，确立了电子签名的法律效力，我国PKI（PublicKeyInfrastructure，公钥密码基础设施）技术体系加速发展，截至2010年全国共有31家CA机构；商用密码在电子身份认证、数据传输加密等方面的重要性凸显，产品逐步覆盖政府、金融、通信、能源等多行业领域，我国商密产业初见规模；3）规范发展期（2011-2020年）：2011年10月，密码行业标准化技术委员会（CSTC）成立，我国商用密码进入标准化发展阶段，截至2021年10月，累计发布密码国家标准39项；2015年5月起，我国陆续向国际标准化组织ISO提出将SM2、SM3等密码算法纳入国际标准，国产密码由“国家标准”向“国际标准”进阶；2020年1月《中华人民共和国密码法》实施，填补了密码领域的法律空白，标志着我国商用密码迈入全新发展阶段；4）高质量发展期（2021年至今）：伴随信创产业全面推进，国产商用密码迎来新一轮加速发展期，以国产密码算法为核心的国密改造业务快速发展；2021年10月，GB-39786《信息安全技术信息系统密码应用基本要求》正式实施，成为指导商用密码应用与安全性评估工作的基础性标准，GB-39786标准确立后我国密评市场发展提速，商用密码安全评估机构数量从2020年的24家快速扩展到2021年的48家；2022年1月，国家密码管理局联合中央网信办等十部委联合发布《促进商用密码产业高质量发展的若干措施》，国产商用密码朝高质量发展目标稳步迈进。管理体系：国家密码管理局全面统筹，顶层设计持续加强四级密码管理部门分级协同，国家密码管理局全面统筹商密发展与应用。《中华人民共和国密码法》明确了国家、省、市、县四级分级负责的密码工作管理体制，“国家密码管理部门负责管理全国的密码工作、县级以上地方各级密码管理部门负责管理本行政区域的密码工作”，赋予了四级密码管理部门行政管理职责。国家密码管理局成立于2005年1月，2008年3月列入国务院部委管理的国家局序列，2018年3月国家密码管理局与中央密码工作领导小组办公室（一个机构两块牌子），列入中共中央直属机关的下属机构序列。顶层设计持续加强，五法三条例护航国密发展。国家层面自2005年开始，陆续颁布了《电子签名法》、《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》等五项法律文件，全力推进国家网络信息安全建设；基于法律文件的指导方向，公安部、国务院先后制定了《网络安全等级保护条例》、《关键信息基础实施保护条例》等多项规范性法律文件。除此之外，国家密码管理局作为全国密码的统筹管理部门，先后制定了《关于开展商用密码检测认证工作的实施意见》（2020-03-31）、《商用密码管理条例（修订草案征求意见稿）》（2020-08-20）、《国家密码管理局规章制定程序规定》（2021-12-23）等商密管理政策，全力推动国产商密的创新及标准化建设、检测认证体系建设、电子认证及进出口业务发展。标准体系：商用密码标准持续完善，检测认证体系日益规范商用密码标准持续完善，国家标准、行业标准构筑体系基石。依照《中华人民共和国标准化法》，商用密码标注体系划分为国家标准、行业标准、团体标准、企业标准四个层级，其中由国务院主管部门及国家密码管理部门制定的国家标准与行业标注，是密码标准体系的基石，社会团体、企业可以利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。截至2021年10月，我国累计发布密码国家标准39项，密码行业标准131项，密码标准体系持续完善。根据《密码标准应用指南（2020）》，除去管理维度，商用密码标准体系还可根据技术维度、应用维度进行划分。1）从技术维度来看：可分为基础类（密码基础类标准、基础设施类标准、密码产品类标准）、应用类（应用支撑类标准、密码应用类标准）、检测类（密码检测类标准）、管理类（密码管理类标准）等四类标准，其中基础类为其他三类标准提供基础、共性支撑，应用类为上层产品、服务提供支持，检测类保障了基础类及应用类标准的合法检测，管理类则实现其他三类标准的统一管理；2）从应用维度来看：包含不同密码应用领域，如：金融行业密码应用、交通行业密码应用、云计算密码应用、物联网密码应用等。商用密码检测认证体系规范发展，产品认证目录不断扩充。伴随商用密码管理条例、商用密码检测类标准的不断完善，我国商用密码检测认证体系深入规范化发展。根据《商用密码产品认证规则》，商用密码产品认证流程包括认证委托、型式试验、初始工厂检查、认证评价与决定、获证后监督等五个环节。目前全国共有商用密码产品认证机构1家，为国家密码管理局商用密码检测中心；检测机构4家，分别为国家密码管理局商用密码检测中心、鼎铉商用密码测评技术（深圳）有限公司、智巡密码（上海）检测技术有限公司、豪符密码检测技术（成都）有限责任公司。商用密码产品认证目录不断扩充，截至目前共有28类产品通过国家认证，其中，2020年《商用密码产品认证目录（第一批）》共认证产品22类，2022年《商用密码产品认证目录（第二批）》增加了区块链密码模块等6类产品。产品体系：商用密码产品蓬勃发展，实现产业链条全覆盖产品品类覆盖全产业链，性能指标达国际先进水平。根据数观天下发布的《2021-2022商用密码行业分析报告》，截至2021年底我国现有商用密码产品达到3,000余款，其中有效期内的商用密码认证产品共2,205款，品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条，形成了完整的商用密码产品体系。同时伴随SM2、SM3、ZUC等国产密码算法的陆续公开，我国商用密码产品逐步实现基于国产密码算法的技术升级，自主创新能力持续增强，部分产品性能指标已达到国际先进水平。市场规模：密评合规加速产业发展，千亿级市场有望开启密评合规带动产业加速发展，贯穿信息系统全生命周期。“密评”即商用密码应用安全性评估，包括合规性、正确性、有效性三方面的检测和评估，覆盖信息系统规划、建设、运行的全生命周期。密评工作最早起步于2017年，国家密码管理局发布《关于开展密码应用安全性评估试点工作的通知》，率先在七省五行业开展密评试点；2021年10月，GB-39786《信息系统密码应用基本要求》发布，标志着密码应用成为信息系统建设的必选项，推动密评工作加速发展；密评工作已贯穿于信息系统规划、建设、运行的全生命周期，以《政务信息系统密码应用与安全性评估工作指南》为例，要求商用密码与政务信息系统“同步规划、同步建设、同步运行”。我们认为，密评合规的不断升级将带动密码产业高速发展。密评对象涵盖三大类，关基行业有望加速渗透。GB-39786《信息系统密码应用基本要求》明确了密评对象包括等保三级及以上的信息系统、关键信息基础设施及其他重要信息系统，从涵盖范围来看密评范围与等保测评范围有交叉，同时基本涵盖所有关基测评范围。根据2022年8月国务院发布的《关键信息基础设施安全保护条例》，关键信息基础设施运营者需要在开展等级保护测评工作、关键信息基础设施安全检测评估和风险评估的基础上，开展商用密码应用安全性评估，有望带动公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关基行业的密码建设加速渗透。商用密码市场规模高速增长，千亿级市场有望开启。得益于法律法规等顶层政策文件的持续出台以及商用密码应用安全性评估的加速推进，我国商用密码市场近年来实现高速增长，根据赛迪研究院网络安全研究院统计，我国商用密码市场总体规模从2018年的283.0亿元增长至2021年的539.4亿元，三年复合增长率为23.99%。据赛迪预测，2022我国商用密码市场规模有望达到707.64，同比增长36.14%，2023年有望达985.85亿元，同比增长39.32%。我们认为，随网络安全景气度提升，商用密码建设有望持续推进，预计2024年我国商用密码市场规模将突破千亿。信创安全：改造、新建同步推进，产业黄金期加速到来国密改造：以国产密码算法为核心，更新全业务体系国密改造是基于国产密码算法的全业务更新，覆盖技术、产品、服务三大环节。伴随国产商用密码技术、标准、产品、服务的高速发展，以国产密码算法为核心的国密改造加速推进。根据GB-39786《信息系统密码应用基本要求》中的密码技术应用要求（物理和环境的安全、设备和计算的安全、网络和通信的安全、应用和数据的安全），国密改造不仅需要完成单一信息系统改造，更需要完成覆盖技术、产品、服务全业务体系的生态改造。目前国产密码算法已贯通密码算法、密码设备支撑、密码服务、密码应用四个层级，实现了在密码芯片、密码板卡、密码模块、密码软件、密码征集、密码系统等方面的应用推广。国产密码算法发展成熟，国密改造底层基础基本夯实。为实现密码技术的全面自主可控，我国持续加强国产密码建设，实现了对称加密算法、非对称加密算法、杂凑算法等算法类型的全面自研，形成了包括SM1、SM2、SM3、SM4、SM7、SM9等SM（商密）系列算法、祖冲之ZUC算法在内的国产密码算法体系，其中SM1、SM7算法对外不公开需通过加密芯片的接口调用。同时我国积极推动国产密码算法的国际标准化，SM2、SM3、SM4、SM9、ZUC均通过ISO批准成为ISO/IEC国际标准。伴随国产密码算法体系的发展成熟，国密改造的底层基础已基本夯实。国密算法与国际算法完整对应，具备全面替代能力。面向密码技术应用的三大场景，国产密码算法已完成和国际算法的一一对应。1）数据加密：在数据加密传输、加密存储方面，主要通过国产的对称加密算法SM4替换DES/AES等国际算法；2）身份认证：在防止身份信息被篡改、冒用方面，主要通过国产的非对称加密算法SM2替换RSA等国际算法；3）消息认证：在保证数据完整性、防止消息被篡改方面，主要通过国产哈希函数算法SM3替换MD5/SHA-256等国际算法。除此之外，SM1算法安全保密强度及相关软硬件实现性能与AES相当，主要实现芯片领域的国密替换，ZUC算法主要用于移动通信加密。信创催化：从密评合规到信创安全，改造、新建同步加速密码高筑信创“护城墙”，信创安全成为国密建设又一重要助推。信创（信息技术应用创新体系）积极构建国产信息系统的软硬件底层架构以及全周期安全生态，产业链涵盖CPU、GPU、服务器等硬件环节，操作系统、数据库、中间件等基础软件，OA、ERP、办公软件等应用软件以及边界安全产品、终端安全产品等网络安全软硬件。密码作为网络安全的核心技术支撑，有望成为贯穿信创全生态的重要安全基础。我们认为，密码技术或将重构安全防护边界，推动信创安全体系实现从以网络安全为中心向以数据安全为中心深化转型，同时，国密产品将实现信创软硬件体系的全面适配，产品应用深度与广度均有望提升。行业信创有望带动重点行业国密改造加速。我国信创建设大致可分为党政、行业、商业三个阶段：1）党政信创：中央、省市层面的党政信创最先启动，第一轮建设已于2022年6月30日全面验收完成，后续将推进区县党政信创建设；2）行业信创：2022年是行业信创元年，八大行业（金融、电信、石油、电力、交通、航空航天、教育、医疗）的累计信创市场规模约为党政的三倍，其中金融、电力、电信等重点行业信创建设已率先开启；3）商业市场：随着产品性能与生态体系逐步完善，信创产品有望实现商业化推广。我们认为，当前国密改造的市场渗透空间主要体现党政环节的电子政务（政务外网）领域以及广阔的行业信创市场，2022年行业信创的全面启动，有望带动重点行业的国密改造加速推进。重点行业的密码相关政策基本明确，密码护航信创成为共识。从政策发布情况来看，党政、金融、医疗、教育的密码相关政策数量较多且起步时间较早（2020年之前均已启动信息系统密码建设），拥有较大的存量替换空间；近年来随《政务信息系统密码应用与安全性评估工作指南》（电子政务）、《中国银保监会监管数据安全管理办法（试行）》（金融）、《“十四五”全民健康信息化规划》（医疗）、《教育部关于加强新时代教育管理信息化工作的通知》（教育）政策颁布，信息系统密码建设持续推进；考虑到金融、医疗、教育作为信创重点行业的建设先发性，我们认为，金融、医疗、教育等行业的国密改造有望率先全面推进。获益于数字经济加速各行业渗透、隐私保护升级，能源、航空航天、交通、电信等行业信息系统的密码建设也呈现加速状态，后续有望随信创推进实现业务突破。我们认为，密码护航信创已成为各行业共识，密码的建设动力从“单一的密评合规”向“密评合规+信创安全+实战安全”逐步转化，建设动力更加充足，产业发展趋势有望持续向好。传统行业市场、新安全市场全面开启，国产密码改造、新建业务同步推进。从2022年密码项目招投标情况来看，国产密码建设市场可分为传统行业市场与新安全市场两大类。1）传统行业市场：包括密码应用安全性评估、国产密码改造两类业务，从中标情况来看，密码安全性评估业务多集中在政府、金融领域，平均中标单价27.13万元；国密改造业务多集中在政府、教育、医疗领域，平均中标单价196.45万元；2）新安全市场：主要为云、大数据、车联网、物联网、工业互联网等新安全场景的密码新建业务，新建系统通常涵盖硬件、软件、服务等全业务体系，中标单价最高，平均中标单价735.22万元。从数量统计来看，目前密码应用安全性评估项目多为年度项目（每年开展），项目数量占比最高；国产密码改造业务、新安全场景密码新建业务2022年快速增长，未来有望保持增长态势。市场展望：关注三大建设需求，国密改造或贡献最大市场空间关注密评、密改、新安全密码三大建设需求。考虑到密码建设仍处于以密评合规主要驱动的加速渗透期，我们认为未来2-3年密码行业主要关注密码应用安全性评估、国产密码应用改造、新安全场景下密码平台建设等三大建设需求。我们预计，从市场空间来看，2022-2027年国密改造合计市场空间最大，约为582亿元，新安全场景密码项目合计市场空间次之，约为200-300亿元，密码评估合计市场空间再次之，约为109亿元。需求一：国产密码改造加速，密码成为信创安全共识国密改造节奏与信创推进节奏相符，先党政后重点行业。信创成为国产密码建设的重要切口，从招投标情况来看，目前国产密码改造已经在党政行业广泛开展，招标机构层级多为部委级、省级单位，同时金融、医疗、教育等行业国密改造业务在2022年批量启动与重点行业信创推进节奏基本一致。我们认为，国产密码在信创安全中的基石地位已成为各行业共识，同时参考密评合规文件的升级趋势，信创合规有望在未来加速体现，国密改造将与党政及各行业信创同频推进。密码建设需要实现全生态适配，市场空间约582亿。国密改造业务伴随信息系统升级同步进行，涉及信息系统从硬件到上层应用的全生态适配，根据招投标情况来看，小的应用级系统改造费用在100万元左右，大的省市级业务系统改造费用在200-300万元，少量平台级系统改造费用在千万级。据我们测算全国约有3万个三级等保信息系统，现有等保三级系统国密改造预计于2027年全部完成，以平均改造单价200万元（以2022年部分项目中标均价为参考）测算，2022-2027年合计市场空间约582亿元。需求二：密评市场初具规模，随渗透率提升有望贡献长效增长密评每年一次，渗透率有望持续提升。根据GB-39786《信息系统密码应用基本要求》（新建系统遵循“三同步一评估”，已建系统依据规范升级），等保三级以上信息系统每年在进行网络安全等级保护测评同时，还应进行密码应用安全性测评，但目前密评渗透率仍处于较低水平。据《中国密评市场分析报告》显示，2020年、2021年我国密评市场规模分别为3,154万、9,000万，以10万元的费用单价估算，2020、2021参与密评的等保三级系统个数仅为315、900个，密评渗透率仍处于较低水平。趋势显著向好，市场规模有望高增。伴随《密码法》、《信息系统密码应用基本要求》出台，密评市场呈现高速增长态势，2022年1-7月市场规模达1.4亿，预计《中国密评市场分析报告》预测2022年底将超2亿元，2020-2022年复合增长率为161.70%。考虑到新建系统“三同步一评估”的必要性以及已建系统的密评与密改同步进行，我们认为参与密评的等保三级系统个数有望持续高增，随密码建设复杂性提升，业务单价有望同步提升。据我们估计新完成国密改造的信息系统，需要参与次年的密码应用安全性评估，以此为基准，测算得到2022-2027年密码应用安全性评估合计市场空间约为109亿元。需求三：新安全场景密码建设加速，数据要素深化内生需求数字经济带动新安全场景加速涌现，项目规模多为千万级。数字中国建设全面推进，带动以数据为驱动的数字经济高速发展，考虑到数据要素在新场景下的重要性，我们认为车联网、工业互联网、云安全等新安全场景在合规需求的基础上具备较强的内生建设动力，密码项目建设的复杂性与技术难度也处于较高水平，平均中标价格多在500万元以上，规模较大的项目价格在1,000万元以上。我们认为未来3-5年商用密码有望在工业互联网、物联网、车联网等领域加速应用，新建项目数约为2,000-3,000个，市场空间200-300亿。投资分析：重点关注以密码为核心技术的安全厂商数字经济提出安全新挑战，密码技术优势凸显网络安全向“以数据为中心”的安全体系转型，密码技术重要性或将凸显。2020年4月，国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，明确了数据的生产要素属性；“十四五”期间，我国数字经济建设全面发力，产业数字化与数字产业化的快速发展，让网络安全边界呈现易变化、复杂化、模糊化的特征，对以边界防护为主要思想的传统网安架构提出巨大挑战。为解决数字经济时代的安全挑战，网络安全正向“以数据为中心”的安全体系转型，有望在传统网络安全提供的有效边界防御基础上，围绕数据全生命周期构建全新的数据安全体系。从网络安全到数据安全，密码作为数据加密、身份认证、消息认证的重要技术支撑，有望在新的网络安全体系建设中发挥更大的优势。传统网安厂商入局密码市场，重点关注以密码为核心技术的安全厂商。伴随密码技术的重要性逐步提升，启明星辰、安恒信息、奇安信等传统网安头部厂商纷纷布局密码市场。我们认为，传统网安厂商的加速入局，是对密码技术重要性以及广阔市场空间的重要验证，考虑到密码产品的技术壁垒较高，我们判断，短期内以密码为核心技术的安全厂商的市场空间不会被过度挤压，相关企业有望凭借技术优势与深厚的行业经验扩大市场份额。竞争格局分散，传统与新兴密码厂商各具优势以密码技术为核心的安全厂商多完成全产业链布局。梳理商用密码的产业链可以看到，上游为密码芯片、密码服务器的研发设计，中游为密码软件、密码系统、密码整机等密码产品及服务，下游多为政府、电信、金融、医疗等行业客户。我们看到，以密码技术为核心的安全厂商基于对密码技术的深厚理解，重视商用密码的全产业链布局，以卫士通为例，公司既可以提供上游密码芯片，又可以作为中游的电子认证产品生厂商，为CA中心提供电子认证系统及服务，同时还可以为下游行业用户提供商用密码的产品及技术的解决方案。商用密码厂商主要分为传统和新势力厂商两大类。1）传统厂商：多为《密码法》颁布前就已经开展密码业务的传统密码企业，主要包括卫士通、格尔软件、吉大正元等，传统厂商过去主要提供CA系统、身份认证、数字证书等商用密码产品，其中卫士通作为中国电科的控股子公司，也涉及部分普通密码业务；2）新势力厂商：多为《密码法》颁布后开展商用密码业务延伸的新企业，主要包括信安世纪、三未信安、数字认证等，新势力厂商在《密码法》颁布之前多为CA中心，主要利用上游厂商的发证系统提供CA认证服务，《密码法》颁布后，新势力厂商迅速拓展原有产品线，加快密码产品的全产业链布局。市场竞争格局相对分散，行业龙头有望加速诞生。根据数观天下发布的《2021-2022商用密码行业分析报告》统计，国产商用密码厂商数量众多，营收体量相对较小，行业集中度CR5为25%，CR9为40.4%，市场竞争格局相对分散。以身份与数字信任软件细分市场为例，据IDC发布的《2022年上半年中国IT安全软件市场跟踪报告》，2022H1身份与数字信任软件市场份额前五名分别为亚信安全、数字认证、吉大正元、格尔软件、信安世纪，市场占有率分别为8.0%、6.6%、6.3%、6.0%、3.8%，合计市占率仅为30.7%。为深入理解公司之间的差异化优势，可以从营收规模、估值水平、股东背景、优势客户四个维度对公司进行拆分，我们共选取数字认证、卫士通、格尔软件、吉大正元、信安世纪等5家上市公司及三未信安1家拟上市公司进行了深入对比，具体情况如下：1）营收规模：与我国商用密码市场规模（539亿元，2021年）相比，商用密码安全厂商的营收体量尚处于较小规模，其中卫士通营收体量最大，2021年实现营收27.89亿元；数字认证排名第二，2021年实现营收10.26亿元；吉大正元、格尔软件、信安世纪、三未信安2021年分别实现营收8.16、6.11、5.25、2.70亿元。2）估值水平：除三未信安未上市、数字认证暂无Wind一致预测（180天内）外，PE预测截至2022年11月15日，四家公司2023PE均值为35.24x，其中卫士通估值水平高于均值水平，2023PE为51.74x，信安世纪、格尔软件、吉大正元估值水平低于均值水平，2023PE分别为31.09x、29.34x、28.82x。3）股东背景：除信安世纪、三未信安外，数字认证、卫士通、格尔软件、吉大正元的股东结构中均有国资背景股东参股，其中卫士通、格尔软件均为中国电科控股公司，中国电科在卫士通持股合计占比为36.02%（中国电科信息安全32.95%、中国电科投资3.07%），在格尔软件持股占比为1.17%（中国电科投资）；吉大正元为国家开发投资集团控股公司，国投集团通过国投高科技投资公司持份4.54%；数字认证为北京市政府控股公司，北京市政府通过北京国有资产经营有限责任公司持股26.24%。4）优势客户：五家公司业务均涉及政府、金融领域，其中数字认证在医疗行业具备较强的客户优势，卫士通在互联网、能源领域具备领先优势，卫士通、信安世纪在金融、交通等行业的客户优势较为突出。吉大正元吉大正元以以密码安全、身份与信任、数据安全产品为核心，打造数字世界和数字经济的安全基座。公司成立于1999年2月，深耕密码安全领域二十余年，公司以密码技术为核心，打造了密码与身份安全、数据安全、物联网安全、网络与系统安全等丰富的安全产品体系和行业解决方案。公司通过持续技术研发，积累了数字证书、数字加密、数字签名、身份认证、访问控制等关键技术，并实现了电子认证领域的多项突破，是国内主要的公钥基础设施（PKI）产品供应商，国家重大活动的安全保障者。公司业务遍及政府、军队、能源、互联网、交通等领域。1）军工军队：公司坚持自主研发，实现多个型号项目的突破，实现多个军种的市场拓展；2）金融：公司金融国密改造业务实现全国范围的积极推广；3）车联网：公司在车云安全、车际安全、视频安全等方面积极拓展，2021年签约10余个车厂；4）信创：公司依托吉林省市场，签约多个信创集成项目。公司归母净利持续增长，22年前三季度业绩承压。2018-2021年公司营收复合增长率为26.83%，归母净利润复合增长率为18.84%，其中2021年公司营收8.16亿元，同比增长33.72%，归母净利润1.46亿元，同比增长36.12%。受项目签单、实施、交付、验收工作迟延影响，公司2022年前三季度业绩承压，实现营收2.91亿元，同比减少26.46%，归母净利润亏损0.65亿元，同比减少314.58%。格尔软件格尔软件以PKI技术为基础，形成以PKI为核心的信息安全产品和服务体系。公司成立于1998年，自成立以来始终专注于PKI领域，主要从事以PKI为核心的商用密码软件产品的研发、生产和销售及服务业务，主要产品包括PKI基础设施产品、PKI安全应用产品、通用安全产品三大类。公司业务覆盖政府、金融、军工、中大型企业等重要信息系统领域，参与承建了我国多个第三方数字认证中心系统，并实现了电子商务、互联网网络实名、金融电子支付、云计算平台等新安全领域的业务拓展。2021年公司业务取得突破进展。在新客户开拓方面，公司2021年成功拓展5大部委、4大央企顶层的身份认证平台、密码服务平台规划与建设，为公司进一步拓展业务范围奠定了良好基础；在信创安全领域，公司承建的上海政务信创云一体化密码服务平台已全面稳定运行近半年，为各市直属委办局和部分区600多个应用系统提供一体化密码服务能力；在物联网安全领域，公司积极攻克核心系统技术难点，完成行业顶层规划，未来业务有望在安防、车联网、工业互联网等领域全面铺开。营收维持高速增长，22Q3利润承压。2018-2021年公司营收复合增长率为25.51%，归母净利润复合增长率为4.06%，其中2021年公司实现营收6.11亿元，同比增长37.38%，归母净利润7970.8万元，同比增长39.65%。受公司业务拓展导致人员费用增加影响，2022年前三季度公司利润承压，2022Q1-Q3公司实现营收4.66亿元，同比增长61.80%，其中22Q3营收1.70亿元，同比增长53.18%；前三季度归母净利润亏损0.51亿元，同比增亏121.57%，其中22Q3归母净利润亏损253万元，21Q3归母净利润盈利205万元。信安世纪信安世纪以密码技术为基础支撑，布局身份安全、通信安全和数据安全。公司成立于2001年8月，经过二十多年的自主研发和持续创新，逐步形成了身份安全、通信安全、数据安全、移动安全、云安全和平台安全六大产品系列。公司的产品和解决方案广泛应用于金融、政府和中大型企业等重要领域，其中公司金融领域业务覆盖网上银行、支付清算、二代征信、证券登记结算、电子保单等重要金融业务系统，2021年公司在金融行业的营收同比增长28.33%；公司政府领域业务覆盖交通、人社、烟草、海关、税务、政法等数十个行业，2021年政府行业营收同比增长37.84%。并购整合企业优势，企业或将加速成长。2021年公司围绕车联网、密码安全监管、密码安全运营等方向，陆续发布了多款新产品，完善了云计算、车联网等新安全领域的密码解决方案。2021年公司完成了对华耀科技的并购，华耀科技作为应用交付与虚拟专网的产品与解决方案供应商，有望与信安世纪实现在研发、市场等方面的优势整合。营收维持高速增长，22Q3业绩表现亮眼。2018-2021年公司营收复合增长率为24.97%，归母净利润复合增长率为25.45%，其中，2021年公司营收5.25亿元，同比增长26.02%；金融行业同比增长28.33%；政府行业同比增长37.84%；归母净利润1.54亿元，同比增长43.63%。2022年前三季度，公司实现营收3.11亿元，同比增长20.61%；归母净利润0.54亿元，同比增长9.87%，其中22Q3单季度业绩表现优异，公司22Q3实现营收1.41亿元，同比增长34.78%；单季度归母净利润0.29亿元，同比增长44.12%。数字认证数字认证以电子认证服务为依托实现身份安全、数据安全的产业布局。公司成立于2001年2月，是北京市国有资产经营有限责任公司控股的国有企业。公司主要业务包括电子认证产品及服务、网络安全产品及服务两大类。公司业务覆盖政府、金融、医疗、大型企业等多个领域。公司重视产品更新与技术研发，2021年技术预研和生态合作进展顺利。1）云战略：公司积极推进产品云化升级，密码、签名、签章、认证、核验等产品云服务体系建设逐步完善，云服务注册用户数增长迅速，新增用户数超百万；2）零信任：公司攻克零信任关键技术，推出了零信任网络安全解决方案，成功实现互联网医院的场景落地；3）车联网：公司牵头密标委标准《C-V2X车联网证书策略与认证业务声明框架》编制工作，参与全国智能运输系统标委会《车路协同路侧设施证书认证技术规范