本报告导读
等保2.0即将落地,从产品端和服务端进行测算,新增市场需求超过百亿,行业迎来明显边际改善,利好全产品线的行业头部公司。
摘要
-
等保即将进入2.0时代,将推动信息安全行业需求集中爆发。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。我们预计,等保2.0标准即将正式发布,整个信息安全行业需求将在2019年迎来重要的边际改善。
-
我们预计等保2.0带来的新增市场需求超过200亿元。产品端:新增安全产品市场空间193亿元。从逻辑上说,等保2.0偏重于事后审计、回溯、分析,新增的产品多与此功能相关,如APT,流量回溯,堡垒机,数据库审计,集中日志审计,态势感知平台等。服务端:新增服务市场空间59亿元。按照新增20%的单位选择等保咨询服务计算,对应的新增市场空间为59亿元。此外,还有云安全市场,物联网市场的需求也将提升,因此整个等保2.0带来的总新增市场需求达到271亿元。
-
等保2.0利好全产品线的信息安全头部公司。等保2.0的定级、备案、安全建设和整改、测评、检查全过程相对比较专业,对于政府部门或企业IT人员而言,自行处理存在一定的难度,通过等保有不确定性,为了降低风险,往往会选择产品线比较全的信息安全头部公司,这些公司能够满足等保2.0对于新产品和全流程咨询服务要求,如启明星辰、360企业安全、绿盟科技、天融信、安恒信息等公司。
-
投资建议:推荐全产品线的信息安全头部公司,具备某个细分领域优势的公司也将受益。推荐标的:启明星辰、绿盟科技、南洋股份,深信服,受益标的:北信源、卫士通。
-
风险提示:信息安全行业发展不及预期的风险,行业竞争加剧的风险
目录
正文
1. 等保2.0政策即将落地
1.1. 等级保护是中国信息安全的基本制度
《网络安全法》规定:等级保护,是我国信息安全保障的基本制度。《网络安全法》第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务——保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。国家通过制定统一管理规范和技术标准,把信息系统按照重要程度由低到高划分为5个等级,并且分级别实施不同的保护策略。从广义上来说,信息安全等级保护包含所有依据等级保护思想的信息安全标准、产品、系统;从狭义上来说只是指信息系统安全等级保护,主要包括安全技术和安全管理两个层面。
网络安全法明确了等级保护工作的核心。主要包括:
(1)关键信息基础设施的定义:
第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
(2)关键信息基础设施的安全保护义务
第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。
第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。
(3)敏感信息保存
第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估。
第六十六条 运营者违反规定的,没收违法所得,罚款5-50万元,吊销执照,直接责任人罚款1-10万元。
(4)风险检测评估
第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门。
等保工作大致需要经过定级、备案、建设和整改、等级测评、检查五个步骤。其中最重要的环节就是信息系统安全等级测评,它用来验证信息系统能不能满足相应安全保护等级,包含安全控制测评和系统整体测评两个层次:由于信息安全等级保护要求不同安全等级的信息系统应该具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的控制措施来实现;另一方面这些不同的安全控制措施,共同作用于信息系统,使得信息系统的整体安全功能与信息系统的结构以及不同安全层级之间的关系密切相关。
信息系统的安全保护等级由低到高分为五级。根据公安部发布的《信息安全等级保护管理办法》(公通字[2007]43 号),信息系统的安全保护等级由低到高分为五级,主要划分依据是危害的范围和严重程度。根据我们草根调研的结果,目前一级系统不需要备案,因为影响程度很小,五级系统基本没有,只是安全概念。二级系统大概50万个左右,三级系统大概5万个,四级系统大概1000个(如中央电视台播出系统)。
(1)第一级安全等级最低,只影响个人和组织内部。具体来说,第一级是指信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。这一等级由信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护。
(2)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。这一等级除了需要信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护外,还需要国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
(3)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
(4)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
(5)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
1.2. 等保1.0到2.0发生重要变化
等级保护制度已经发展约20年。1994年,国务院147号令第一次提出计算机信息系统实行安全等级保护,此后一直到2007年,等级保护制度在起步和探索阶段。2008年,出于维护国家安全的需要,依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定了GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》标志着等级保护制度的标准化,等保1.0时代正式到来。
等保1.0实施过程中遇到一些问题,已经逐渐开始不适应网络环境的变化。随着新技术的不断发展,网络安全威胁不断演变,等级保护工作从1.0开始以来在实际开展中遇到了一些新问题和新情况,具体包括:
(1)新技术平台的等级保护规范缺乏。随着国家智慧城市战略的推进,云计算、物联网、工业控制系统、移动互联网逐步在信息系统中得到推广和应用,等级保护对象的范围进一步扩大,原有的等级保护1.0标准体系只针对通用系统环境,缺乏针对这些新技术平台的定级流程规范及相关的技术要求,如规范定级、安全建设整改和等级测评工作等。
(2)等级保护内容不够完善。等级保护1.0工作主要包括定级、备案、安全建设整改、等级测评、监督检查五个环节的工作。但是在网络安全新形势下已经不能完全满足等级保护工作的需要,风险评估、安全监测、通报预警,应急处置等也都是重要的网络安全工作,因而等级保护工作的内涵需要进一步地丰富和完善。
(3)等级保护体系不够健全。随着等级保护对象和工作内容的进一步扩大,等级保护体系需要在现有体系的基础上进一步完善和健全,重点建立和完善政策、标准、测评、技术、服务等体系,为构建一体化安全保卫体系提供有力支撑。
等保即将进入2.0时代。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。中国工程院院士沈昌祥表示,等级保护由1.0 到2.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。早在2017年8月,公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并,形成《网络安全等级保护基本要求》一个标准。我们预计,等保2.0标准即将正式发布。
从等保1.0到等保2.0,变化体现在多个方面。前文已经提到,等保1.0在应用上有各种问题,等保2.0的出现就是为了解决这些问题,等保2.0跟等保1.0之间的差异主要体现在:
(1) 体系框架和保障思路的变化:原来等保1.0没有完整的体系思路,就是一个中心三重防护,以防为主。现在等保2.0变成了事前,事中,事后,防不住要审计,出现问题还可以事后溯源。保障思路上,由1.0防御审计的被动保障向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。
(2) 定级对象的变化:等保1.0定级的是信息系统,等保2.0定级的对象是基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。比如云平台和大数据平台这种承载数据平台必须定级,定级的等级不能低于上面承载的系统。在定级的流程上,以前是自主定级,等保二级不要专家评审,现在都要专家评审。
(3)测评的变化:以前四级系统半年测评一次,现在三级以上系统每年做一次。等保1.0里面60分以上算及格,现在75分才算及格。
(4) 等保要求的组合变化:等保2.0存在等保要求的组合变化,拆分成1个通用要求和5个安全扩展要求。通用要求为共性安全要求,涉及新技术的信息系统在使用通用要求的基础上,需要选择对应的扩展要求。
(5)控制点和要求项的变化:与等保1.0相比,等保2.0控制点基本持平,要求项大量减少(对冗余项进行了删减)。等保2.0征求意见稿通用要求中新增的重要要求项有:1、入侵防范:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。2、恶意代码防范:应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。3、安全审计:应确保审计记录的留存时间符合法律法规要求;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。4、集中管控:应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;应对分散在各个设备上的审计数据进行收集汇总和集中分析;应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;应能对网络中发生的各类安全事件进行识别、报警和分析。软件容错:在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。个人信息保护:应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息。
2. 等保2.0带来的新增需求达到百亿量级
整个等保2.0跟市场需求之间的关系可以总结为:新要求——新产品——满足等级保护测评分数——备案成功。从下表中可以看到新增要求项集中在入侵防范、恶意代码防范、集中管控、安全审计等方面。
产品端:新增安全产品市场空间193亿元。从逻辑上说,等保2.0偏重于事后审计、回溯、分析,新增的产品多与此功能相关。根据草根调研数据,这几个产品的平均单价分别为APT 20万,流量回溯 15万,堡垒机15万,数据库审计12万,集中日志审计20万,态势感知平台的价格相对较高(数百万),但是目前只有工行等超大型机构进行了部署(公安部的态势感知平台1000万+),预计渗透率不会太高。这里要注意,不同参数,不同渠道的产品售价天差地别,比如运营商集采的价格就非常低,此处我只是按照均价进行了估计。目前中国等保三级的系统约为五万个,二级系统数十万个(按50万个测算),但是一个单位内部可能有多个系统,可以共用一些安全产品(APT可以部署在核心交换机上,旁路部署)。产品的单价和假设的新增数量在下面的图中:APT在等保三级里面新增渗透率假定为36%,流量回溯40%,堡垒机、数据库审计、集中日志审计在等保二级里面新增渗透率假定为2%,4%,4%。
服务端:原来的安全服务项目得到加强,等保咨询服务体量将暴增,新增市场空间59亿元。包括等保测评服务、等保咨询服务、常规安全服务(渗透、漏扫、配置核查)、重保服务、云端SaaS服务。这些安全服务以往每年都要做(等保测评工作每年都有固定要求,而且有专门的测评机构,跟信息安全公司没有直接关系),等保2.0落地以后显著增加的应该是等保咨询服务。目前市场上等保测评服务为二级8万元,三级16万元,等保咨询服务的价格为二级5万左右,三级8万~10万元(按9万计算)。按照新增20%的单位选择等保咨询服务计算,对应的新增市场空间为59亿元。
等保2.0带来新增市场空间271亿。2018年中国信息安全市场空间约为500亿元,因此等保2.0带来的市场增量约为54.27%。此处尚未考虑以前没有定级的系统,新增定级需要采购的产品和服务数量,因为不好估计。
3. 投资建议
等保2.0利好全产品线的信息安全头部公司。等保2.0的定级、备案、安全建设和整改、测评、检查全过程相对比较专业,对于政府部门或企业IT人员而言,自行处理存在一定的难度,通过等保有不确定性,为了降低风险,往往会选择产品线比较全的信息安全头部公司,这些公司能够满足等保2.0对于新产品和全流程咨询服务要求,如启明星辰、360企业安全、绿盟科技、天融信、安恒信息等公司。推荐标的:启明星辰、绿盟科技、南洋股份,深信服,受益标的:北信源、卫士通。
4. 风险提示
1)信息安全行业发展不及预期的风险
信息安全行业收入主要来自于政府和大型企业,安全投入并不产生效益,如果客户收缩安全投入,将导致行业景气度下降。
2)行业竞争加剧的风险
信息安全行业目前存在产品趋同,低价竞标的现象,行业竞争加剧将导致行业内公司盈利水平下降。