三未信安科技股份有限公司
2022年年度报告摘要
公司代码:688489 公司简称:三未信安
第一节 重要提示
1本年度报告摘要来自年度报告全文,为全面了解本公司的经营成果、财务状况及未来发展规划,投资者应当到https://www.sse.com.cn网站仔细阅读年度报告全文。
2重大风险提示
公司已在本报告中详细阐述公司在经营过程中可能面临的各种风险,敬请查阅本报告第三节“管理层讨论与分析”中“风险因素”相关的内容
3本公司董事会、监事会及董事、监事、高级管理人员保证年度报告内容的真实性、准确性、完整性,不存在虚假记载、误导性陈述或重大遗漏,并承担个别和连带的法律责任。
4公司全体董事出席董事会会议。
5立信会计师事务所(特殊普通合伙)为本公司出具了标准无保留意见的审计报告。
6公司上市时未盈利且尚未实现盈利
□是 √否
7董事会决议通过的本报告期利润分配预案或公积金转增股本预案
经立信会计师事务所(特殊普通合伙)审计,截至2022年12月31日,合并报表归属于母公司股东的净利润为107,205,128.91元,期末母公司可供分配利润为人民币204,963,988.21元。经董事会决议,公司2022年年度拟以实施权益分派股权登记日登记的总股本为基数分配利润、转增股本。本次利润分配、公积金转增股本方案如下:
1.上市公司拟向全体股东每10股派发现金红利4.29元(含税)。截至审议本次利润分配及公积金转增股本方案的董事会召开日,公司总股本7,695.2268万股,以此计算合计拟派发现金红利33,000,000元(含税)。本年度公司现金分红比例为30.78%,不实施送股。
2.上市公司拟向全体股东以公积金转增股本每10股转增4.8股。截至审议本次利润分配及公积金转增股本方案的董事会召开日,公司总股本76,952,268股,合计转增36,937,088股。本次转增股本后,公司的总股本为113,889,356股。
8是否存在公司治理特殊安排等重要事项
□适用 √不适用
第二节 公司基本情况
1公司简介
公司股票简况
√适用 □不适用
■
公司存托凭证简况
□适用 √不适用
联系人和联系方式
■
2报告期公司主要业务简介
(一)主要业务、主要产品或服务情况
公司专注于密码技术的创新和密码产品的研发、销售及服务,为网络信息安全领域提供全面的商用密码产品和解决方案。公司作为国内主要的商用密码基础设施提供商,致力于用密码技术守护数字世界。
公司产品主要包括密码芯片、密码板卡、密码整机和密码系统。公司产品全面支持国产SM1、SM2、SM3、SM4、SM7、SM9、ZUC等密码算法,为各种信息系统提供数据加解密、数字签名等密码运算,并提供安全、完善的密钥管理机制,可实现各种应用场景的国产密码改造和数据安全保障,为关键信息基础设施和云计算、大数据、区块链、数字货币、物联网、V2X车联网、人工智能等新兴领域提供数据加密、数字签名、身份认证、密钥管理等密码服务。
公司主要产品的特点如下:
■
(二)主要经营模式
公司作为国内主要的商用密码基础设施提供商,处于网络信息安全行业上游,为PKI、IPSec VPN、SSL VPN等网络安全产品和解决方案厂商提供密码核心产品,由网络安全厂商将密码产品整合融入其解决方案,应用于电子政务、金融、证券、税务、电力、能源、海关、公安等行业客户。随着公司在底层密码技术的积累和重要行业客户的创新发展需求,公司正在逐步向同时服务厂商客户和最终客户的业务模式发展,形成间接需求和直接需求结合下双轮驱动的业务模式。
1.研发模式
公司始终坚持自主研发和自主创新的策略,以技术创新为驱动、市场需求为导向进行产品研发。2022年公司的研发体系通过CMMI-DEV ML-5级认证,采用标准的研发流程架构,主要分为需求分析阶段、设计阶段、实现阶段、测试验证阶段、发布阶段、项目管理与支持阶段6个阶段。
需求分析阶段:本阶段针对产品系统级的定义,由产品经理提出产品市场需求,对产品开发进行可行性分析与论证,经过评审确认产品可研后,项目经理或需求分析人员对市场需求进行调研、收集与分析形成产品研发需求并编写产品需求规格说明书,针对产品需求规格说明书对产品的整体设计,对需求进行分配;
设计阶段:设计人员针对需求规格说明书与总体设计分别对产品的结构、硬件、软件层面的详细设计包括外观设计、整机或密码板卡硬件设计、软件概要设计等;
实现阶段:开发人员针对上一阶段的设计说明书或设计方案分别对软件进行详细设计、编码、代码走查、单元测试、模块集成及测试,对应硬件密码板卡或整机进行样卡、样机制作以及软硬件整体集成及测试;
测试验证阶段:在产品方案开发完成后,系统测试人员针对产品进行系统测试与验证;
产品发布:测试验证完成后执行产品的发版及产品发布,正式纳入公司产品线;
项目管理与支持:本过程从项目管理的角度在产品开发的整个生命周期对产品开发的范围、进度、成本、质量、风险、资源、相关方、沟通等方面进行有效控制从而促进产品的成功发布。分五大过程组,分别为启动、规划、执行、监控和收尾。在不同的过程对项目有针对性的进行管控。
2.采购模式
公司建立了采购及供应商管理制度,规范采购行为。公司根据供应商的资质证书、产品品质、价格、生产能力、交期、商誉、行业地位等情况对供应商进行综合评价,供应商通过评测后会被纳入《合格供方名录》。公司每年会对供应商进行年度评定,考核上一年度的质量、交期、价格、服务等情况,此外公司还会对供应商进行定期稽查,供应商年度评定及定期稽查的评定结果为通过时,则继续纳入《合格供方名录》,若不通过且复审仍不通过,则淘汰供应商。
3.生产模式
(1)密码产品生产模式
公司采取“自主生产+外协加工”的生产模式。其中,自主生产包括程序烧录、半成品测试、组装、成品测试、包装等核心环节;外协加工主要为贴片焊接。公司向外协厂商提供贴片焊接所需的配件,包括但不限于PCB板,阻容件,芯片等。
公司生产方式分为订单式生产和备货生产两种。其中,订单生产是指根据市场订单安排生产;备货生产是由于公司产品具有小批量、多规格、交期短等特征,公司会根据生产计划、客户交期、产品技术要求、历史数据及订单情况等,并结合长期合作客户情况,对于一些常规需求产品进行适当生产备货。
(2)密码技术服务模式
密码技术服务是指公司基于密码专业技术、技能和设施,根据客户的实际需求提供技术咨询、运行维护、质量保障等密码技术支持和保障的活动。
4.销售模式
公司盈利主要来源于密码产品销售,以及为客户提供密码技术服务。公司采用直销的销售模式。公司位于商用密码行业上游,产业链内分工协作体系较为完善,下游用户具有行业跨度大、地域分布广的特点,公司直接客户分为合作厂商和最终客户两类,报告期内公司对合作厂商销售占比较高。
公司早期不直接面对最终用户,将密码产品提供给国内网络安全产品与解决方案厂商,由合作厂商整合后交付给政府、行业单位和企业等最终用户。随着业务发展,公司逐渐开始直接面对重要行业的最终用户,缩短了公司直销的中间环节,加强了密码技术与应用的融合。
商用密码产品属于专业性较强的产品,客户选择公司产品之前,一般会提前对公司产品的各项指标进行测试,包括功能测试、适配性测试、稳定性测试、易用性测试、安全性测试和性能测试等。
公司的主要销售流程为:公司发现客户需求并与客户进行技术交流;根据客户需求制定并提供产品的测试方案;方案通过客户验证后双方达成合作意向;公司执行报价或投标等商务流程,并约定产品交付时间、交付地点及付款信用期等主要事项;双方签署框架合同或产品合同,并依据签署合同约定执行。
(三)所处行业情况
1.行业的发展阶段、基本特点、主要技术门槛
(1)行业发展阶段
密码是保障网络信息安全的核心技术和基础支撑,公司专注于密码技术创新和密码产品的研发、销售及服务,为用户提供全面的密码产品和解决方案,致力于用密码技术守护数字世界。公司所处行业为网络安全领域的商用密码行业,目前我国商用密码处于立法规范的发展阶段。
《密码法》正式发布并于2020年1月1日起施行。我国商用密码进入立法规范阶段,作为我国密码领域第一部法律,以立法形式来明确包括商用密码在内的密码管理和应用,体现了国家对于密码这一网络安全核心技术的高度重视,在《密码法》的引导下,我国各领域对商用密码技术和产品的需求明显增加,商用密码产业迎来长期且持续的发展机遇。《数据安全法》于2021年9月1日起施行。《数据安全法》是促进数字经济健康发展的重要举措,将极大地推动数据成为新的生产要素,密码作为数据安全的支撑技术,《数据安全法》赋予密码创新的巨大发展空间。以安全多方计算、同态加密、可搜索加密、联邦学习等为代表的新型密码技术,将成为保障数据安全的核心技术,全面赋能数字经济时代的创新发展。《中华人民共和国个人信息保护法》于2021年11月1日起施行。《个人信息保护法》作为个人信息保护领域的基础性法律,与《网络安全法》《密码法》《数据安全法》共同构建了我国的数据治理立法框架。《个人信息保护法》为个人信息的隐私保护提供了法律依据,以隐私计算、可信计算、机密计算、零信任为代表的密码技术和网络安全技术,将成为个人信息隐私保护的技术支撑。
根据赛迪统计数据,近年来我国商用密码行业规模不断扩大,产业规模整体呈上升趋势,预计2023年商用密码行业规模有望达到937.5亿元。
(2)基本特点
《密码法》颁布,对密码给予更加明确的定义,密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。《密码法》明确我国密码分为核心密码、普通密码和商用密码三大类。其中,核心密码、普通密码用于保护国家秘密信息。商用密码是指对不属于国家秘密内容的信息进行加密保护、安全认证所使用的密码技术、密码产品和密码服务。
商用密码行业是政策引导型的网络空间安全关键基础行业。网络与信息安全是国家安全的重要组成部分,密码是保障网络与信息安全的核心技术和基础支撑,密码工作直接关系国家政治安全、经济安全、国防安全和信息安全,直接关系公民、法人和其他组织的切身利益。商用密码行业具有特殊的信息安全要求,同时受到信息产业和安全主管部门的监管,并且具有很强的政策引导特点。商用密码行业是知识密集型的高技术行业。密码技术是保障网络信息安全的核心技术,从功能上看,主要包括加密保护技术和安全认证技术;从内容上看,主要包括密码算法、密钥和密码协议。常用密码技术包括对称加密、公钥加密、哈希、数字签名等。密码在网络空间中对于身份鉴别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用,可实现信息的机密性、真实性、数据的完整性和行为的不可否认性。商用密码产业链上游主要为工控机、服务器、存储器、芯片及操作系统、数据库等软硬件厂商。产业链上游市场竞争充分,产品更新快,产量充足,产品价格相对稳定,且产品性价比呈上升趋势,上游行业的波动对所处行业的影响较小。中游为提供安全产品、安全服务、安全集成的厂商。为对信息安全具有较高要求的应用行业,主要包括政府、军队、军工、央企、科研院所、金融、能源等行业,以及云计算、物联网等领域的各级用户。下游行业总体的信息化进程仍处于快速发展阶段,信息化发展促进了信息安全及密码产品、集成及服务需求持续增长。
(3)主要技术门槛
商用密码行业作为知识密集型的高技术行业,技术的不断创新和新产品的持续研发是公司的核心竞争力,技术壁垒较高。此外,随着大数据、人工智能、物联网、区块链等新兴领域的高速发展,以及客户日益增多的个性化、定制化需求,对商用密码技术的前瞻性研究、创新应用能力和产品研发能力等均提出了更大的挑战。商用密码下游不同应用领域的业务环境和要求不同,需要商用密码企业对不同应用场景有着较深的理解和技术积累,并且需要企业在不同应用领域有一定的案例和经验。
商用密码作为国家安全的重要行业,产品的资质门槛相对较高。商用密码厂商取得的商用密码产品的资质情况一定程度可以反映商用密码厂商的研发能力和技术水平。商用密码的产品资质主要为商用密码产品认证证书,对于依法列入网络关键设备和网络安全专用产品目录等重点行业和关键信息基础设施领域的密码产品,需要由具备资格的机构检测认证合格后,方可销售或者提供。《商用密码产品认证规则》中对于商用密码产品认证包括产品型式试验、初始工厂检查等环节。产品型式试验阶段需要严格遵循相关密码产品标准,对产品认证文档进行审查,需要经过检测工具检测合格;初始工厂检查环节按照GM/T0065《商用密码产品生产和保障能力建设规范》进行现场检查,对主要技术人员数量、产品知识产权、生产测试能力、质量保障能力、安全保障能力、服务保障能力等有较高的要求,需要满足相关标准,检测合格后才可发放证书。下游客户在采购商用密码产品时基于相关密码应用技术标准对商用密码产品的合规性要求,一般会采购经具备资格的机构检测认证合格并取得产品型号证书的商用密码产品。
2.公司所处的行业地位分析及其变化情况
公司是国内主要的商用密码基础设施提供商,专注于密码技术创新和密码产品的研发、销售及服务,为用户提供全面的密码产品和解决方案,致力于用密码技术守护数字世界。公司的市场地位、产品研发能力、标准制定、国际影响力等行业综合地位等情况在报告期内未发生重大变化,目前属于第一梯队的商用密码厂商。
(1)国内市场地位
国内市场方面,据赛迪统计,2021年国内商用密码的市场规模为585亿元,商用密码的市场规模统计不仅包含以密码为核心功能的密码产品,同时包括含有密码技术的下游网络信息安全产品,因此该等统计市场规模会远大于商用密码产品的实际市场规模。商用密码行业较为分散,尚未形成产业集群优势。在市场占有率方面,公司作为商用密码行业民营企业的代表,聚焦密码技术和密码基础产品,在国内市场取得了较好的市场占有率。
(2)产品研发能力
在产品体系和综合服务能力方面,公司聚焦商用密码技术创新和产品研发,形成了完备的拥有自主知识产权的商用密码产品体系,包括自研密码安全芯片、密码板卡、密码整机和密码系统产品。产品研发能力可以一定程度上从商用密码产品认证数量和安全等级三级密码产品数据上体现。在商用密码产品认证数量方面,国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码产品的认证数量情况一定程度可以反映商用密码厂商的研发能力和技术水平。
(3)标准制定
在商用密码领域标准制修定方面,我国商用密码的快速发展离不开密码标准体系的重要支撑,密码标准体系是促进密码产业发展、保障密码产品质量、规范密码技术应用的重要保障。参与标准的制修订工作是密码厂商把握标准要求、掌握新技术动向的重要途径,是密码厂商技术实力的重要体现。截至2022年12月31日,公司牵头或参与了7项商用密码国家标准和18项商用密码行业标准。
(4)国际市场及影响力
在国际市场和影响力方面,公司积极参与国际市场开拓,通过FIPS 140-2 Level3(美国联邦信息处理标准3级)安全认证,是国内首款通过认证、符合NISTSP800-38C、SP800-38D、SP800-38E标准的密码机产品,满足中国企业在一带一路等国际市场的需求,推动了公司与Visa、花旗、渣打、国付宝等知名外企的合作。
3.报告期内新技术、新产业、新业态、新模式的发展情况和未来发展趋势
(1)密评持续推动密码应用加速发展
报告期内,密评需求逐步增长,持续推动密码应用加速发展。为了发挥密码在系统安全建设中的支撑作用,2021年国家市场监管总局、国家标准化管理委员会在2021年正式发布GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。“十四五”时期,是数字化引领密评高质量发展的重要机遇期,密评在金融、政务、教育、电信、水利等行业将实现规模化布局,为数字经济高速发展构建安全屏障。报告期内,伴随政策和标准要求不断明晰,各领域积极推动密评试点,密评进入加速推广期,进一步推动商用密码应用加速发展。
(2)商用密码应用领域不断扩大
报告期内,各个关键行业均加强密码应用落地。2022年,国务院《“十四五”数字经济发展规划》加强了密码在各行业应用。政务、金融、交通、能源、水利、医疗等各领域主管部门,均提出了密码应用明确的要求,制定了总体规划和方案。
金融领域,2022年11月25日《金融行业信息系统商用密码应用》系列标准发布,包括《金融行业信息系统商用密码应用基本要求》、《金融行业信息系统商用密码应用测评要求》和《金融行业信息系统商用密码应用测评过程指南》三项,从通用要求、技术要求和管理要求三方面提出了金融行业信息系统不同密码应用级别的基本要求,规定了金融行业信息系统不同等级密码应用的测评要求、测评过程。
交通领域,2022年11月4日,交通运输部印发《道路运输电子证照运行服务规范(试行)》,《通知》提出省级交通运输主管部门应落实网络安全等级保护第三级要求,建立系统网络安全管理制度体系和技术防护体系,建立定期系统网络安全巡检制度,每年开展第三方网络安全评估工作,加强网络安全管理;要落实《密码法》相关要求,加强商用密码应用和安全性评估。能源领域,2022年11月16日,国家能源局发布《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》,明确密码应用要求。《电力行业网络安全管理办法》指出,电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、商用密码应用安全性评估和网络安全审查等工作。《电力行业网络安全等级保护管理办法》提出,电力企业采用密码进行等级保护,应当遵照网络安全等级保护密码技术标准执行;运用密码技术进行网络安全等级保护建设与整改时,应当采用商用密码检测、认证机构检测认证合格的商用密码产品和服务。
医疗、通信等领域2022年处于商用密码改造试点阶段,2023年有望大规模推广。2022年国家卫健委发文要求医院4大核心业务(HIS\LIS\RIS\PACS)涉及数据的传输、存储的相关应用及数据库,需完成国产密码适配改造、数据分级分类等工作;10月,上海卫健委再次发文强调,要求上海所有医院尽快完成国密改造。此外,通信领域明确提到商用密码的应用管理办法、强调国产密码适配改造。
此外,信息技术领域的新技术、新应用持续为商用密码行业提供新的发展动力。量子计算机的出现对传统的密码算法带来挑战,基于格的抗量子密码算法和密码产品将是一个重要的研究方向和新兴产业。随着大数据和数字经济时代的来临,数据资产面临的网络环境和攻击手段日趋复杂,对海量数据进行安全防护以及个人隐私的保护需要在安全多方计算技术、支持隐私保护的密码技术、具有同态性质的加密算法、大数据溯源与安全共享技术等方面进行技术创新,研发适应大数据、人工智能、区块链、物联网等新产业的密码产品和系统,为数字经济新时代注入新的发展动力。
(3)信创加速行业渗透,促进国密改造需求
报告期内,信创市场进入行业推进期,容量和节奏进一步提升。密码是信创建设中不可或缺的重要一环。任何网络信息系统建设都离不开底层密码应用,随着信创推广,密码从芯片、板卡、整机均需要支持国密体系,并完成替换和改造。截止2022年,信创产业在党政领域已经初见规模,应用和生态逐步落地;重点行业中,金融行业推进速度最快,电信紧随其后,能源、交通、航空航天、教育、医疗也在逐步进行政策推进和试点。国密生态的全面替代已在多个行业信创建设中铺开,如金融、电力、医疗等个行业的国密改造。2022年国家信创政策要求央国企2023-2027年进行基础软硬件的国产替代,并进行国产密码新增或改造。基础设施国产化有望成为密码重要驱动力,随着信创行业加速推进,国产密码改造是市场发展必然方向,且空间更为广阔。
(4)商用密码标准体系不断完善
报告期内,国家标准委和国家密码管理局发布多项密码标准,2022年11月20日,国家密码管理局发布9项密码行业标准,9项密码行业标准自2023年6月1日起实施。标准主要包括GM/T0117-2022《网络身份服务密码应用技术要求》、GM/T0118-2022《浏览器数字证书应用接口规范》、GM/T0120-2022《基于云计算的电子签名服务技术实施指南》、GM/T0122-2022《区块链密码检测规范》、GM/T0123-2022《时间戳服务器密码检测规范》等。目前国家标准委发布的商用密码国家标准以及国家密码管理局发布商用密码行业标准覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域,形成了较为齐全完备的商用密码标准体系,基本满足了我国社会各行业在构建信息安全保障体系时的应用需求。
3公司主要会计数据和财务指标
3.1近3年的主要会计数据和财务指标
单位:元 币种:人民币
■
3.2报告期分季度的主要会计数据
单位:元 币种:人民币
■
季度数据与已披露定期报告数据差异说明
□适用 √不适用
4股东情况
4.1普通股股东总数、表决权恢复的优先股股东总数和持有特别表决权股份的股东总数及前 10 名股东情况
单位: 股
■
存托凭证持有人情况
□适用 √不适用
截至报告期末表决权数量前十名股东情况表
□适用 √不适用
4.2公司与控股股东之间的产权及控制关系的方框图
√适用 □不适用
■
4.3公司与实际控制人之间的产权及控制关系的方框图
√适用 □不适用
■
4.4报告期末公司优先股股东总数及前10 名股东情况
□适用 √不适用
5公司债券情况
□适用 √不适用
第三节 重要事项
1公司应当根据重要性原则,披露报告期内公司经营情况的重大变化,以及报告期内发生的对公司经营情况有重大影响和预计未来会有重大影响的事项。
2022年公司实现营业收入33,976.43万元,较上年同期增长25.69%;归属于上市公司股东的净利润10,720.51万元,较上年同期增长43.52%;归属于上市公司股东的扣除非经常性损益的净利润9,879.80万元,较上年同期增长37.12%。
2公司年度报告披露后存在退市风险警示或终止上市情形的,应当披露导致退市风险警示或终止上市情形的原因。
□适用 √不适用