计算机网络安全行业分析报告15yWord文档格式.docx
《计算机网络安全行业分析报告15yWord文档格式.docx》由会员分享,可在线阅读,更多相关《计算机网络安全行业分析报告15yWord文档格式.docx(7页珍藏版)》请在冰豆网上搜索。
Q2:
等级保护包括哪些流程?
3
Q3:
安全保护等级如何划分?
Q4:
等保测评周期一般多长?
4
Q5:
等保测评的重点行业包括哪些?
Q6:
等级保护的主管部门是谁?
5
二、等级保护制度步入2.0时代,保护对象和技术手段等全面升级5
三、等保2.0有望助力网络安全行业迈上新台阶9
(一)回溯等保1.0时代,等级保护政策极大促进了信息安全行业的发展9
(二)等保2.0时代,料将催生网络安全新需求11
四、投资建议14
五、风险提示14
关于等级保护的六问六答
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等保1.0时代的工作是五个规定动作,定级、备案、建设整改、等级测评和监督检查。
在等保2.0时代,除了满足以上五个以外,把风险评估、安全监测、通报预警,案事件调查、数据防护、自主可控、供应链安全、效果评价、综治考核等方面的工作都纳入到等级保护的范围之内。
根据等保对象受到破坏时所侵害的客体和对客体造成侵害的程度,网络分为五个安全保护等级,五级是最高级别,系统等级越高,系统越重要,突发事故造成的损害越严重。
第一级,自主保护级。
一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
第二级,指导保护级。
一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
第三级,监督保护级。
一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
第四级,强制保护级。
一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
第五级,专控保护级。
一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
总结来说,信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。
另外,涉及到国家安全的,特别是全国性的系统定为四级。
等保工作是一个持续性工作,等保测评也是周期性工作。
根据等保2.0最新要求,第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
根据智研咨询2015年公布的数据显示,政府、电信以及金融领域分别占据我国信息安全行业下游需求的前三位,合计占比59.3%,是需要进行等保测评的重点领域。
另外由于能源行业的政策特殊性,也是进行等保测评的重点行业。
中央网络安全和信息化领导机构统一领导网络安全等级保护工作。
国家网信部门负责网络安全等级保护工作的统筹协调。
国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。
国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。
国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。
国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。
二、等级保护制度步入2.0时代,保护对象和技术手段等全面升级
(一)网络安全等级保护2.0标准颁布在即回顾我国等级保护制度的发展,大致可分为以下三个阶段:
第一阶段:
等级保护确立和探索阶段。
这个阶段从1994年确立计算机信息系统实行安全等级保护制度开始,到2003年等级保护从一项计算机信息系统安全保护制度提升至国家信息安全保障基本制度。
2004年至2006年,公安部联合四部委开展了涉及6万余家单位,共11万余信息系统的等级保护基础调查和等级保护试点工作。
通过摸底调查和试点,探索开展等级保护工作领导、组织、协调的模式和办法,营造等级保护工作的政策环境,为全面开展等级保护工作奠定了坚实的基础。
第二阶段:
等级保护全面实施阶段(等保1.0阶段)。
历经十多年的探索,2007年正式启动实施等级保护工作,陆续出台等级保护基本要求、安全设计和测评要求等一系列标准,实现了完善测评体系、开展三级以上系统测评、建设整改等有关等级保护工作的阶段性目标。
2010年以后,金融、电力、教育、医疗、交通等行业监管部门和企事业单位陆续配套相关制度,全面贯彻执行等级保护工作,标志着我国信息安全等级保护工作全面展开,等级保护工作进入规模化推进阶段。
第三阶段:
等级保护创新发展阶段(等保2.0阶段)。
我国网络安全威胁态势日益严峻,网络安全新形势新变化对等级保护工作提出了新要求,云计算、物联网、移动互联、工控系统等新技术新应用的发展不断催生等级保护的模式创新。
从2015年开始,国家安标委开始启动等级保护2.0标准的制定。
2017年6月1号开始实施的《网络安全法》第二十一条和第五十九条以网络安全领域基本法的形式确立了国家网络安全等级保护制度,规定了等级保护制度安全措施的基线要求并赋予强制力,同时第三十一条进一步要求关键信息基础设施必须落实国家安全等级保护制度,突出保护重点。
2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》,正式宣告等保进入2.0时代。
公安部网络安全保卫局总工程师郭启全在2018年11月9日技术论坛上谈到关于等保最新情况:
等保2.0标准已在国家安标委最终审批,不日出台。
(2)等保2.0VS等保1.0,多方面进行重大升级
除了满足等保1.0时代定级、备案、建设整改、等级测评和监督检查五个规定动作以外,等保2.0把风险评估、安全监测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。
等级保护对象进一步扩展
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云大物智移”上扩展,大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
等级保护体系升级横向扩展了对云计算、移动互联、物联网、工业控制等新的安全要求;
纵向延伸了对等保测评机构的规范管理。
控制措施分类结构变化
等保2.0依旧保留技术和管理两个维度,而具体要求由10个分类调整为8个分类。
标准控制点和要求项变化
等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。
以三级为例,在物理和环境安全控制类下,等保2.0控制点未发生变化,要求项由原来的32项调整为22项;
在网络和通信安全类下,新标准减少了结构安全、边界完整性安全、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点,要求项总数还是33项,但内容有所变化。
在设备和计算安全类下,新标准减少了剩余信息保护一个控制点,在测评对象上把网络设备、安全设备也纳入了此层面的测评范围,要求项由原来的32项调整为26项;
新标准将应用安全、数据安全及备份恢复两个层面合并为应用和数据安全一个层面,减少了通信完整性、通信保密性、和抗抵赖三个控制点,增加了个人信息保护控制点,要求项则纳入了网络和通信安全层面的通信传输控制点,要求项由原来的39项调整为33项。
技术保障体系升级
旧标准更偏重于对于防护的要求,而等保2.0标准,结合近些年网络与信息技术的新变化,补充提出了对云计算、物联网、移动互联网和工业控制系统的安全防护要求,更适应当前网络安全形势的发展,结合《网络安全法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。
这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。
可以说,等级保护2.0是一次网络安全的重大升级。
三、等保2.0有望助力网络安全行业迈上新台阶
(一)回溯等保1.0时代,等级保护政策极大促进了信息安全行业的发展
等保1.0给信息安全行业带来广阔市场空间。
由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合国家信息安全等级保护政策,其必然要加大信息安全产品和服务的投入。
根据卫士通的招股说明书中的阐述,“按照国家等级保护和分级保护相关政策要求,约有上万个等级、分级保护系统需要通过测评、认证和规划建设,这两个市场约有100亿以上的规模”。
等级保护系列政策的密集出台,推动信息安全行业景气度提升。
2007年《信息安全等级保护管理办法》的发布,标志着等保1.0时代正式开启。
此后配套政策、文件与标准密集出台,对等级保护的要求,流程,甚至时间节点做出了规定。
例如2010出台的《关于推动信息安全等级保护测评体系和开展等级测评工作的通知》中,明确规定“2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底前完成第三级(含)以上信息系统的安全建设整改工作”。
随着等级保护系列政策的出台,信息安全行业的景气度也在快速提升。
根据对启明星辰、绿盟科技、卫士通、北信源、蓝盾股份五家信息安全上市企业收入增速(中位数法)的统计和分析,我们发现:
1)从2008到2011年我国信息安全厂商收入增速快速提升,我们认为等级保护政策是信息安全景气度提升的重要驱动因素之一。
2)2014-2015年信息安全行业再次迎来高速增长,一个重要原因就在于2013年斯诺登“棱镜门”事件爆发,“信息安全”和“自主可控”被提升到了国家战略高度,政府及企业对信息安全的重视程度空前,推动整个行业的高景气。
(二)等保2.0时代,料将催生网络安全新需求
随着等保2.0标准的逐步落实,国内信息安全产品市场将迎来更大的发展。
我们认为等保2.0给信息安全行业带来的增量空间主要来自两个方面:
1)第三级以上的信息系统为符合等保2.0时代国家信息安全等级保护政策的新要求,将进一步加大信息安全产品和服务的投入。
2)等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等新业态也纳入监管,实际上比等保1.0拓展了一个维度。
1、为满足等保2.0新要求,政府及重点行业有望加大信息安全产品和服务的投入等保2.0对于等级保护工作提出新的要求,第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合国家信息安全等保2.0的要求,需要对信息系统重新进行定级、备案、建设整改、等级测评和监督检查等工作,将加大信息安全产品和服务的投入。
据了解,目前已经有一些政府机构及重点行业企业针对等保2.0的要求进行等级保护整改、测评。
2、等保2.0将“云大物智移”纳入监管,进一步拓展
升级会员 