等保2.0即將落地���,從產(chǎn)品端和服務端進行測算����,新增市場需求超過百億�����,行業(yè)迎來明顯邊際改善���,利好全產(chǎn)品線的行業(yè)頭部公司����。
摘要
· 等保即將進入2.0時代���,將推動信息安全行業(yè)需求集中爆發(fā)�����。為適應新技術的發(fā)展�,解決云計算�、物聯(lián)網(wǎng)、移動互聯(lián)和工控領域信息系統(tǒng)的等級保護工作的需要���,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作�����,等級保護正式進入2.0時代�。我們預計��,等保2.0標準即將正式發(fā)布���,整個信息安全行業(yè)需求將在2019年迎來重要的邊際改善�����。
· 我們預計等保2.0帶來的新增市場需求超過200億元��。產(chǎn)品端:新增安全產(chǎn)品市場空間193億元�。從邏輯上說����,等保2.0偏重于事后審計��、回溯����、分析�����,新增的產(chǎn)品多與此功能相關��,如APT�,流量回溯,堡壘機����,數(shù)據(jù)庫審計,集中日志審計���,態(tài)勢感知平臺等�����。服務端:新增服務市場空間59億元���。按照新增20%的單位選擇等保咨詢服務計算�����,對應的新增市場空間為59億元。此外���,還有云安全市場�����,物聯(lián)網(wǎng)市場的需求也將提升�����,因此整個等保2.0帶來的總新增市場需求達到271億元����。
· 等保2.0利好全產(chǎn)品線的信息安全頭部公司�。等保2.0的定級、備案�、安全建設和整改、測評、檢查全過程相對比較專業(yè)���,對于政府部門或企業(yè)IT人員而言��,自行處理存在一定的難度����,通過等保有不確定性��,為了降低風險�����,往往會選擇產(chǎn)品線比較全的信息安全頭部公司�,這些公司能夠滿足等保2.0對于新產(chǎn)品和全流程咨詢服務要求,如啟明星辰�����、360企業(yè)安全�、綠盟科技、天融信��、安恒信息等公司�。
· 投資建議:推薦全產(chǎn)品線的信息安全頭部公司�,具備某個細分領域優(yōu)勢的公司也將受益��。推薦標的:啟明星辰�����、綠盟科技���、南洋股份���,深信服��,受益標的:北信源�、衛(wèi)士通。
· 風險提示:信息安全行業(yè)發(fā)展不及預期的風險�����,行業(yè)競爭加劇的風險
目錄
正文
1. 等保2.0政策即將落地
1.1. 等級保護是中國信息安全的基本制度
《網(wǎng)絡安全法》規(guī)定:等級保護���,是我國信息安全保障的基本制度��。《網(wǎng)絡安全法》第二十一條規(guī)定:國家實行網(wǎng)絡安全等級保護制度�。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行下列安全保護義務——保障網(wǎng)絡免受干擾���、破壞或者未經(jīng)授權的訪問�����,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取����、篡改�����。國家通過制定統(tǒng)一管理規(guī)范和技術標準�����,把信息系統(tǒng)按照重要程度由低到高劃分為5個等級��,并且分級別實施不同的保護策略�����。從廣義上來說����,信息安全等級保護包含所有依據(jù)等級保護思想的信息安全標準����、產(chǎn)品�、系統(tǒng);從狹義上來說只是指信息系統(tǒng)安全等級保護����,主要包括安全技術和安全管理兩個層面。
網(wǎng)絡安全法明確了等級保護工作的核心��。主要包括:
(1)關鍵信息基礎設施的定義:
第三十一條 國家公共通信和信息服務��、能源��、交通����、水利���、金融���、公共服務��、電子政務等重要行業(yè)和領域��,以及一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露��,可能嚴重危害國家安全����、國計民生、公共利益的關鍵信息基礎設施�����,在網(wǎng)絡安全等級保護制度的基礎上����,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定���。
(2)關鍵信息基礎設施的安全保護義務
第三十四條 運營者設置專門機構和負責人����、網(wǎng)絡安全教育培訓、容災備份���、應急預案和演練等��。
第五十九條 運營者拒不改正或導致危害網(wǎng)絡安全的��,罰款10-100萬元����,直接責任人罰款1-10萬元����。
(3)敏感信息保存
第三十七條 境內(nèi)收集產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。確需向境外提供的��,應進行安全評估����。
第六十六條 運營者違反規(guī)定的����,沒收違法所得,罰款5-50萬元�,吊銷執(zhí)照�,直接責任人罰款1-10萬元���。
(4)風險檢測評估
第三十八條 運營者每年至少組織一次安全風險檢測評估�,并評估情況和改進措施報相關部門����。
等保工作大致需要經(jīng)過定級、備案���、建設和整改�、等級測評���、檢查五個步驟��。其中最重要的環(huán)節(jié)就是信息系統(tǒng)安全等級測評��,它用來驗證信息系統(tǒng)能不能滿足相應安全保護等級����,包含安全控制測評和系統(tǒng)整體測評兩個層次:由于信息安全等級保護要求不同安全等級的信息系統(tǒng)應該具有不同的安全保護能力�,一方面通過在安全技術和安全管理上選用與安全等級相適應的控制措施來實現(xiàn);另一方面這些不同的安全控制措施�����,共同作用于信息系統(tǒng),使得信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結構以及不同安全層級之間的關系密切相關�����。
信息系統(tǒng)的安全保護等級由低到高分為五級����。根據(jù)公安部發(fā)布的《信息安全等級保護管理辦法》(公通字[2007]43 號),信息系統(tǒng)的安全保護等級由低到高分為五級��,主要劃分依據(jù)是危害的范圍和嚴重程度�����。根據(jù)我們草根調(diào)研的結果����,目前一級系統(tǒng)不需要備案,因為影響程度很小�,五級系統(tǒng)基本沒有,只是安全概念�。二級系統(tǒng)大概50萬個左右���,三級系統(tǒng)大概5萬個�,四級系統(tǒng)大概1000個(如中央電視臺播出系統(tǒng))。
(1)第一級安全等級最低�����,只影響個人和組織內(nèi)部����。具體來說,第一級是指信息系統(tǒng)受到破壞后���,會對公民�、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益���。這一等級由信息系統(tǒng)運營、使用單位依據(jù)國家有關管理規(guī)范和技術標準進行保護。
(2)第二級���,信息系統(tǒng)受到破壞后,會對公民��、法人和其他組織的合法權益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害�,但不損害國家安全。這一等級除了需要信息系統(tǒng)運營�����、使用單位依據(jù)國家有關管理規(guī)范和技術標準進行保護外���,還需要國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導����。
(3)第三級����,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害�,或者對國家安全造成損害。信息系統(tǒng)運營�、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督�����、檢查���。
(4)第四級��,信息系統(tǒng)受到破壞后����,會對社會秩序和公共利益造成特別嚴重損害�����,或者對國家安全造成嚴重損害���。信息系統(tǒng)運營���、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護��。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督�����、檢查����。
(5)第五級��,信息系統(tǒng)受到破壞后��,會對國家安全造成特別嚴重損害�。信息系統(tǒng)運營��、使用單位應當依據(jù)國家管理規(guī)范���、技術標準和業(yè)務特殊安全需求進行保護�。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督����、檢查。
1.2. 等保1.0到2.0發(fā)生重要變化
等級保護制度已經(jīng)發(fā)展約20年�����。1994年�,國務院147號令第一次提出計算機信息系統(tǒng)實行安全等級保護,此后一直到2007年�,等級保護制度在起步和探索階段。2008年���,出于維護國家安全的需要��,依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)�����、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)����、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和《信息安全等級保護管理辦法》(公通字[2007]43號)���,制定了GB/T 22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》標志著等級保護制度的標準化����,等保1.0時代正式到來�����。
等保1.0實施過程中遇到一些問題�,已經(jīng)逐漸開始不適應網(wǎng)絡環(huán)境的變化。隨著新技術的不斷發(fā)展�,網(wǎng)絡安全威脅不斷演變,等級保護工作從1.0開始以來在實際開展中遇到了一些新問題和新情況��,具體包括:
(1)新技術平臺的等級保護規(guī)范缺乏���。隨著國家智慧城市戰(zhàn)略的推進���,云計算�、物聯(lián)網(wǎng)����、工業(yè)控制系統(tǒng)、移動互聯(lián)網(wǎng)逐步在信息系統(tǒng)中得到推廣和應用����,等級保護對象的范圍進一步擴大,原有的等級保護1.0標準體系只針對通用系統(tǒng)環(huán)境�,缺乏針對這些新技術平臺的定級流程規(guī)范及相關的技術要求,如規(guī)范定級��、安全建設整改和等級測評工作等��。
(2)等級保護內(nèi)容不夠完善�。等級保護1.0工作主要包括定級、備案���、安全建設整改����、等級測評、監(jiān)督檢查五個環(huán)節(jié)的工作�。但是在網(wǎng)絡安全新形勢下已經(jīng)不能完全滿足等級保護工作的需要,風險評估���、安全監(jiān)測��、通報預警����,應急處置等也都是重要的網(wǎng)絡安全工作�,因而等級保護工作的內(nèi)涵需要進一步地豐富和完善���。
(3)等級保護體系不夠健全��。隨著等級保護對象和工作內(nèi)容的進一步擴大��,等級保護體系需要在現(xiàn)有體系的基礎上進一步完善和健全�,重點建立和完善政策����、標準、測評�����、技術、服務等體系���,為構建一體化安全保衛(wèi)體系提供有力支撐�。
等保即將進入2.0時代�����。為適應新技術的發(fā)展����,解決云計算、物聯(lián)網(wǎng)��、移動互聯(lián)和工控領域信息系統(tǒng)的等級保護工作的需要�����,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作���,等級保護正式進入了2.0時代����。中國工程院院士沈昌祥表示,等級保護由1.0 到2.0是被動防御變成主動防御的變化���,依照等級保護制度可以做到整體防御���、分區(qū)隔離;積極防護����、內(nèi)外兼防;自身防御�、主動免疫;縱深防御���、技管并重��。早在2017年8月,公安部評估中心就根據(jù)網(wǎng)信辦和信安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并�����,形成《網(wǎng)絡安全等級保護基本要求》一個標準�。我們預計,等保2.0標準即將正式發(fā)布��。
從等保1.0到等保2.0,變化體現(xiàn)在多個方面�����。前文已經(jīng)提到��,等保1.0在應用上有各種問題�,等保2.0的出現(xiàn)就是為了解決這些問題,等保2.0跟等保1.0之間的差異主要體現(xiàn)在:
(1) 體系框架和保障思路的變化:原來等保1.0沒有完整的體系思路����,就是一個中心三重防護,以防為主?����,F(xiàn)在等保2.0變成了事前���,事中����,事后��,防不住要審計,出現(xiàn)問題還可以事后溯源��。保障思路上����,由1.0防御審計的被動保障向感知預警、動態(tài)防護��、安全檢測�����、應急響應的主動保障體系轉變�。
(2)定級對象的變化:等保1.0定級的是信息系統(tǒng),等保2.0定級的對象是基礎信息網(wǎng)絡�����、工業(yè)控制系統(tǒng)�、云計算平臺、物聯(lián)網(wǎng)���、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺��。比如云平臺和大數(shù)據(jù)平臺這種承載數(shù)據(jù)平臺必須定級,定級的等級不能低于上面承載的系統(tǒng)�����。在定級的流程上��,以前是自主定級�����,等保二級不要專家評審��,現(xiàn)在都要專家評審����。
(3)測評的變化:以前四級系統(tǒng)半年測評一次,現(xiàn)在三級以上系統(tǒng)每年做一次���。等保1.0里面60分以上算及格���,現(xiàn)在75分才算及格。
(4)等保要求的組合變化:等保2.0存在等保要求的組合變化����,拆分成1個通用要求和5個安全擴展要求�。通用要求為共性安全要求���,涉及新技術的信息系統(tǒng)在使用通用要求的基礎上�����,需要選擇對應的擴展要求�。
(5)控制點和要求項的變化:與等保1.0相比�,等保2.0控制點基本持平,要求項大量減少(對冗余項進行了刪減)���。等保2.0征求意見稿通用要求中新增的重要要求項有:1����、入侵防范:應在關鍵網(wǎng)絡節(jié)點處檢測�、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為;應采取技術措施對網(wǎng)絡行為進行分析����,實現(xiàn)對網(wǎng)絡攻擊特別是新型網(wǎng)絡攻擊行為的分析。2�、惡意代碼防范:應在關鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新���。3��、安全審計:應確保審計記錄的留存時間符合法律法規(guī)要求����;應能對遠程訪問的用戶行為���、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析����。4����、集中管控:應劃分出特定的管理區(qū)域,對分布在網(wǎng)絡中的安全設備或安全組件進行管控�����;應能夠建立一條安全的信息傳輸路徑�����,對網(wǎng)絡中的安全設備或安全組件進行管理��;應對網(wǎng)絡鏈路、安全設備��、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測�;應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析;應對安全策略���、惡意代碼�、補丁升級等安全相關事項進行集中管理�����;應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別��、報警和分析���。軟件容錯:在故障發(fā)生時�����,應自動保存易失性數(shù)據(jù)和所有狀態(tài)�,保證系統(tǒng)能夠進行恢復����。個人信息保護:應僅采集和保存業(yè)務必需的用戶個人信息����;應禁止未授權訪問和非法使用用戶個人信息�����。
2. 等保2.0帶來的新增需求達到百億量級
整個等保2.0跟市場需求之間的關系可以總結為:新要求——新產(chǎn)品——滿足等級保護測評分數(shù)——備案成功�。從下表中可以看到新增要求項集中在入侵防范�����、惡意代碼防范���、集中管控����、安全審計等方面�����。
產(chǎn)品端:新增安全產(chǎn)品市場空間193億元�。從邏輯上說,等保2.0偏重于事后審計���、回溯���、分析�����,新增的產(chǎn)品多與此功能相關�����。根據(jù)草根調(diào)研數(shù)據(jù)����,這幾個產(chǎn)品的平均單價分別為APT 20萬����,流量回溯 15萬,堡壘機15萬��,數(shù)據(jù)庫審計12萬��,集中日志審計20萬���,態(tài)勢感知平臺的價格相對較高(數(shù)百萬)�����,但是目前只有工行等超大型機構進行了部署(公安部的態(tài)勢感知平臺1000萬+)��,預計滲透率不會太高�����。這里要注意��,不同參數(shù)�����,不同渠道的產(chǎn)品售價天差地別���,比如運營商集采的價格就非常低,此處我只是按照均價進行了估計���。目前中國等保三級的系統(tǒng)約為五萬個�����,二級系統(tǒng)數(shù)十萬個(按50萬個測算)���,但是一個單位內(nèi)部可能有多個系統(tǒng)�,可以共用一些安全產(chǎn)品(APT可以部署在核心交換機上�,旁路部署)。產(chǎn)品的單價和假設的新增數(shù)量在下面的圖中:APT在等保三級里面新增滲透率假定為36%�����,流量回溯40%�,堡壘機、數(shù)據(jù)庫審計�����、集中日志審計在等保二級里面新增滲透率假定為2%���,4%��,4%�����。
服務端:原來的安全服務項目得到加強���,等保咨詢服務體量將暴增�,新增市場空間59億元��。包括等保測評服務�、等保咨詢服務、常規(guī)安全服務(滲透�����、漏掃�、配置核查)、重保服務�、云端SaaS服務。這些安全服務以往每年都要做(等保測評工作每年都有固定要求����,而且有專門的測評機構���,跟信息安全公司沒有直接關系)���,等保2.0落地以后顯著增加的應該是等保咨詢服務。目前市場上等保測評服務為二級8萬元�,三級16萬元,等保咨詢服務的價格為二級5萬左右,三級8萬~10萬元(按9萬計算)���。按照新增20%的單位選擇等保咨詢服務計算���,對應的新增市場空間為59億元。
等保2.0帶來新增市場空間271億�����。2018年中國信息安全市場空間約為500億元����,因此等保2.0帶來的市場增量約為54.27%。此處尚未考慮以前沒有定級的系統(tǒng)�����,新增定級需要采購的產(chǎn)品和服務數(shù)量�,因為不好估計。
3. 投資建議
等保2.0利好全產(chǎn)品線的信息安全頭部公司��。等保2.0的定級�、備案、安全建設和整改����、測評���、檢查全過程相對比較專業(yè),對于政府部門或企業(yè)IT人員而言�,自行處理存在一定的難度,通過等保有不確定性��,為了降低風險���,往往會選擇產(chǎn)品線比較全的信息安全頭部公司���,這些公司能夠滿足等保2.0對于新產(chǎn)品和全流程咨詢服務要求,如啟明星辰�����、360企業(yè)安全���、綠盟科技、天融信��、安恒信息等公司�。推薦標的:啟明星辰�����、綠盟科技�、南洋股份���,深信服���,受益標的:北信源、衛(wèi)士通����。
4. 風險提示
1)信息安全行業(yè)發(fā)展不及預期的風險
信息安全行業(yè)收入主要來自于政府和大型企業(yè),安全投入并不產(chǎn)生效益����,如果客戶收縮安全投入,將導致行業(yè)景氣度下降����。
2)行業(yè)競爭加劇的風險
信息安全行業(yè)目前存在產(chǎn)品趨同,低價競標的現(xiàn)象���,行業(yè)競爭加劇將導致行業(yè)內(nèi)公司盈利水平下降�。返回搜狐,查看更多
本文轉載自計墨社
作者楊墨�,李沐華
