新聞資訊NEWS
當前位置︰首頁 > 行業資訊 > 等保2.0帶來的新增市場需求超過200億元
等保2.0帶來的新增市場需求超過200億元
發布日期︰2019-04-03 瀏覽次數︰2598


等保2.0帶來的新增市場需求超過200億元

等保2.0即將落地,從產品端和服務端進行測算,新增市場需求超過百億,行業迎來明顯邊際改善,利好全產品線的行業頭部公司。

摘要

? 等保即將進入2.0時代,將推動信息安全行業需求集中爆發。為適應新技術的發展,解決雲計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入2.0時代。我們預計,等保2.0標準即將正式發布,整個信息安全行業需求將在2019年迎來重要的邊際改善。

? 我們預計等保2.0帶來的新增市場需求超過200億元。產品端︰新增安全產品市場空間193億元。從邏輯上說,等保2.0偏重于事後審計、回溯、分析,新增的產品多與此功能相關,如APT,流量回溯,堡壘機,數據庫審計,集中日志審計,態勢感知平台等。服務端︰新增服務市場空間59億元。按照新增20%的單位選擇等保咨詢服務計算,對應的新增市場空間為59億元。此外,還有雲安全市場,物聯網市場的需求也將提升,因此整個等保2.0帶來的總新增市場需求達到271億元。

? 等保2.0利好全產品線的信息安全頭部公司。等保2.0的定級、備案、安全建設和整改、測評、檢查全過程相對比較專業,對于政府部門或企業IT人員而言,自行處理存在一定的難度,通過等保有不確定性,為了降低風險,往往會選擇產品線比較全的信息安全頭部公司,這些公司能夠滿足等保2.0對于新產品和全流程咨詢服務要求,如啟明星辰、360企業安全、綠盟科技、天融信、安恆信息等公司。

? 投資建議︰推薦全產品線的信息安全頭部公司,具備某個細分領域優勢的公司也將受益。推薦標的︰啟明星辰、綠盟科技、南洋股份,深信服,受益標的︰北信源、衛士通。

? 風險提示︰信息安全行業發展不及預期的風險,行業競爭加劇的風險

目錄

正文

1. 等保2.0政策即將落地

1.1. 等級保護是中國信息安全的基本制度

《網絡安全法》規定︰等級保護,是我國信息安全保障的基本制度。《網絡安全法》第二十一條規定︰國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務——保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。國家通過制定統一管理規範和技術標準,把信息系統按照重要程度由低到高劃分為5個等級,並且分級別實施不同的保護策略。從廣義上來說,信息安全等級保護包含所有依據等級保護思想的信息安全標準、產品、系統;從狹義上來說只是指信息系統安全等級保護,主要包括安全技術和安全管理兩個層面。


網絡安全法明確了等級保護工作的核心。主要包括︰

1)關鍵信息基礎設施的定義︰

第三十一條 國家公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。

2)關鍵信息基礎設施的安全保護義務

第三十四條 運營者設置專門機構和負責人、網絡安全教育培訓、容災備份、應急預案和演練等。

第五十九條 運營者拒不改正或導致危害網絡安全的,罰款10-100萬元,直接責任人罰款1-10萬元。

3)敏感信息保存

第三十七條 境內收集產生的個人信息和重要數據應當在境內存儲。確需向境外提供的,應進行安全評估。

第六十六條 運營者違反規定的,沒收違法所得,罰款5-50萬元,吊銷執照,直接責任人罰款1-10萬元。

4)風險檢測評估

第三十八條 運營者每年至少組織一次安全風險檢測評估,並評估情況和改進措施報相關部門。

等保工作大致需要經過定級、備案、建設和整改、等級測評、檢查五個步驟。其中最重要的環節就是信息系統安全等級測評,它用來驗證信息系統能不能滿足相應安全保護等級,包含安全控制測評和系統整體測評兩個層次︰由于信息安全等級保護要求不同安全等級的信息系統應該具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的控制措施來實現;另一方面這些不同的安全控制措施,共同作用于信息系統,使得信息系統的整體安全功能與信息系統的結構以及不同安全層級之間的關系密切相關。

信息系統的安全保護等級由低到高分為五級。根據公安部發布的《信息安全等級保護管理辦法》(公通字[2007]43 ),信息系統的安全保護等級由低到高分為五級,主要劃分依據是危害的範圍和嚴重程度。根據我們草根調研的結果,目前一級系統不需要備案,因為影響程度很小,五級系統基本沒有,只是安全概念。二級系統大概50萬個左右,三級系統大概5萬個,四級系統大概1000個(如中央電視台播出系統)。

1)第一級安全等級最低,只影響個人和組織內部。具體來說,第一級是指信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。這一等級由信息系統運營、使用單位依據國家有關管理規範和技術標準進行保護。

2)第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。這一等級除了需要信息系統運營、使用單位依據國家有關管理規範和技術標準進行保護外,還需要國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。

3)第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。

4)第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。信息系統運營、使用單位應當依據國家有關管理規範、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。

5)第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。信息系統運營、使用單位應當依據國家管理規範、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。

1.2. 等保1.02.0發生重要變化

等級保護制度已經發展約20年。1994年,國務院147號令第一次提出計算機信息系統實行安全等級保護,此後一直到2007年,等級保護制度在起步和探索階段。2008年,出于維護國家安全的需要,依據《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和《信息安全等級保護管理辦法》(公通字[2007]43號),制定了GB/T 22239-2008《信息安全技術信息系統安全等級保護基本要求》標志著等級保護制度的標準化,等保1.0時代正式到來。

等保1.0實施過程中遇到一些問題,已經逐漸開始不適應網絡環境的變化。隨著新技術的不斷發展,網絡安全威脅不斷演變,等級保護工作從1.0開始以來在實際開展中遇到了一些新問題和新情況,具體包括︰

1)新技術平台的等級保護規範缺乏。隨著國家智慧城市戰略的推進,雲計算、物聯網、工業控制系統、移動互聯網逐步在信息系統中得到推廣和應用,等級保護對象的範圍進一步擴大,原有的等級保護1.0標準體系只針對通用系統環境,缺乏針對這些新技術平台的定級流程規範及相關的技術要求,如規範定級、安全建設整改和等級測評工作等。

2)等級保護內容不夠完善。等級保護1.0工作主要包括定級、備案、安全建設整改、等級測評、監督檢查五個環節的工作。但是在網絡安全新形勢下已經不能完全滿足等級保護工作的需要,風險評估、安全監測、通報預警,應急處置等也都是重要的網絡安全工作,因而等級保護工作的內涵需要進一步地豐富和完善。

3)等級保護體系不夠健全。隨著等級保護對象和工作內容的進一步擴大,等級保護體系需要在現有體系的基礎上進一步完善和健全,重點建立和完善政策、標準、測評、技術、服務等體系,為構建一體化安全保衛體系提供有力支撐。

等保即將進入2.0時代。為適應新技術的發展,解決雲計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入了2.0時代。中國工程院院士沈昌祥表示,等級保護由1.0 2.0是被動防御變成主動防御的變化,依照等級保護制度可以做到整體防御、分區隔離;積極防護、內外兼防;自身防御、主動免疫;縱深防御、技管並重。早在20178月,公安部評估中心就根據網信辦和信安標委的意見將等級保護在編的5個基本要求分冊標準進行了合並,形成《網絡安全等級保護基本要求》一個標準。我們預計,等保2.0標準即將正式發布。

從等保1.0到等保2.0,變化體現在多個方面。前文已經提到,等保1.0在應用上有各種問題,等保2.0的出現就是為了解決這些問題,等保2.0跟等保1.0之間的差異主要體現在︰

1) 體系框架和保障思路的變化︰原來等保1.0沒有完整的體系思路,就是一個中心三重防護,以防為主。現在等保2.0變成了事前,事中,事後,防不住要審計,出現問題還可以事後溯源。保障思路上,由1.0防御審計的被動保障向感知預警、動態防護、安全檢測、應急響應的主動保障體系轉變。

2)定級對象的變化︰等保1.0定級的是信息系統,等保2.0定級的對象是基礎信息網絡、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平台。比如雲平台和大數據平台這種承載數據平台必須定級,定級的等級不能低于上面承載的系統。在定級的流程上,以前是自主定級,等保二級不要專家評審,現在都要專家評審。

3)測評的變化︰以前四級系統半年測評一次,現在三級以上系統每年做一次。等保1.0里面60分以上算及格,現在75分才算及格。

4)等保要求的組合變化︰等保2.0存在等保要求的組合變化,拆分成1個通用要求和5個安全擴展要求。通用要求為共性安全要求,涉及新技術的信息系統在使用通用要求的基礎上,需要選擇對應的擴展要求。

5)控制點和要求項的變化︰與等保1.0相比,等保2.0控制點基本持平,要求項大量減少(對冗余項進行了刪減)。等保2.0征求意見稿通用要求中新增的重要要求項有︰1、入侵防範︰應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為;應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析。2、惡意代碼防範︰應在關鍵網絡節點處對垃圾郵件進行檢測和防護,並維護垃圾郵件防護機制的升級和更新。3、安全審計︰應確保審計記錄的留存時間符合法律法規要求;應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。4、集中管控︰應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;應對分散在各個設備上的審計數據進行收集匯總和集中分析;應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;應能對網絡中發生的各類安全事件進行識別、報警和分析。軟件容錯︰在故障發生時,應自動保存易失性數據和所有狀態,保證系統能夠進行恢復。個人信息保護︰應僅采集和保存業務必需的用戶個人信息;應禁止未授權訪問和非法使用用戶個人信息。

2. 等保2.0帶來的新增需求達到百億量級

整個等保2.0跟市場需求之間的關系可以總結為︰新要求——新產品——滿足等級保護測評分數——備案成功。從下表中可以看到新增要求項集中在入侵防範、惡意代碼防範、集中管控、安全審計等方面。

產品端︰新增安全產品市場空間193億元。從邏輯上說,等保2.0偏重于事後審計、回溯、分析,新增的產品多與此功能相關。根據草根調研數據,這幾個產品的平均單價分別為APT 20萬,流量回溯 15萬,堡壘機15萬,數據庫審計12萬,集中日志審計20萬,態勢感知平台的價格相對較高(數百萬),但是目前只有工行等超大型機構進行了部署(公安部的態勢感知平台1000+),預計滲透率不會太高。這里要注意,不同參數,不同渠道的產品售價天差地別,比如運營商集采的價格就非常低,此處我只是按照均價進行了估計。目前中國等保三級的系統約為五萬個,二級系統數十萬個(按50萬個測算),但是一個單位內部可能有多個系統,可以共用一些安全產品(APT可以部署在核心交換機上,旁路部署)。產品的單價和假設的新增數量在下面的圖中︰APT在等保三級里面新增滲透率假定為36%,流量回溯40%,堡壘機、數據庫審計、集中日志審計在等保二級里面新增滲透率假定為2%4%4%

服務端︰原來的安全服務項目得到加強,等保咨詢服務體量將暴增,新增市場空間59億元。包括等保測評服務、等保咨詢服務、常規安全服務(滲透、漏掃、配置核查)、重保服務、雲端SaaS服務。這些安全服務以往每年都要做(等保測評工作每年都有固定要求,而且有專門的測評機構,跟信息安全公司沒有直接關系),等保2.0落地以後顯著增加的應該是等保咨詢服務。目前市場上等保測評服務為二級8萬元,三級16萬元,等保咨詢服務的價格為二級5萬左右,三級8~10萬元(按9萬計算)。按照新增20%的單位選擇等保咨詢服務計算,對應的新增市場空間為59億元。

等保2.0帶來新增市場空間271億。2018年中國信息安全市場空間約為500億元,因此等保2.0帶來的市場增量約為54.27%。此處尚未考慮以前沒有定級的系統,新增定級需要采購的產品和服務數量,因為不好估計。

3. 投資建議

等保2.0利好全產品線的信息安全頭部公司。等保2.0的定級、備案、安全建設和整改、測評、檢查全過程相對比較專業,對于政府部門或企業IT人員而言,自行處理存在一定的難度,通過等保有不確定性,為了降低風險,往往會選擇產品線比較全的信息安全頭部公司,這些公司能夠滿足等保2.0對于新產品和全流程咨詢服務要求,如啟明星辰、360企業安全、綠盟科技、天融信、安恆信息等公司。推薦標的︰啟明星辰、綠盟科技、南洋股份,深信服,受益標的︰北信源、衛士通。

4. 風險提示

1)信息安全行業發展不及預期的風險

信息安全行業收入主要來自于政府和大型企業,安全投入並不產生效益,如果客戶收縮安全投入,將導致行業景氣度下降。

2)行業競爭加劇的風險

信息安全行業目前存在產品趨同,低價競標的現象,行業競爭加劇將導致行業內公司盈利水平下降。返回搜狐,查看更多

本文轉載自計墨社

作者楊墨,李沐華


網站導航NAVIGATION
聯系我們CONTACT US
皖ICP備17005130號-1 技術支持︰啟邁科技
平台 2022年05月31日 21:14