5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。相比“等保1.0”只针对网络和信息系统的情况,“等保2.0”将云计算、大数据、物联网、工业控制系统等新业态也纳入了监管范畴,覆盖技术更全面,监管范围更广。
一、什么是等级保护?
早在1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)首次提出“计算机信息系统实行安全等级保护”概念,1999年发布《计算机信息系统 安全等级保护划分准则》(GB17859)强制性标准。
到了2007年,为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部联合国家保密局、国家密码管理局、国务院信息化工作办公室发布了《信息安全等级保护管理办法》(公通字[2007]43号),2008年《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)国家标准发布,正式开启了我国信息安全等级保护工作。
等级保护是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
国家信息安全等级保护将信息系统的安全保护等级由低到高分划为五级,主要依据是危害的范围和严重程度。根据调研,目前一级系统无需备案,不作统计,二级系统大概有50万个左右,三级系统大概5万个,四级系统大概1000个,五级系统极少。
表1 信息安全等级划分表
资料来源:《等级保护定级指南》
第一级:安全等级最低,只影响个人和组织内部。具体来说,第一级是指信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。这一等级由信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。这一等级除了需要信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护外,还需要国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
随着2013年斯诺登事件的爆发以及2014年中央网络安全与信息化领导小组的成立,网络安全上升到国家安全高度,《网络安全法》也于2017年开始正式实施。《网络安全法》明确规定:等级保护,是我国信息安全保障的基本制度……国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务——保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。国家通过制定统一管理规范和技术标准,把信息系统按照重要程度由低到高划分为5个等级,并且分级别实施不同的保护策略。从广义上来说,信息安全等级保护包含所有依据等级保护思想的信息安全标准、产品、系统;从狭义上来说只是指信息系统安全等级保护,主要包括安全技术和安全管理两个层面。
图2 信息安全等级保护的两种说法
同时,网络安全法也明确了等级保护工作的核心。主要包括:
(1)关键信息基础设施的定义
第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
(2)关键信息基础设施的安全保护义务
第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。
第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。
(3)敏感信息保存
第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估。
第六十六条 运营者违反规定的,没收违法所得,罚款5-50万元,吊销执照,直接责任人罚款1-10万元。
(4)风险检测评估
第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门。
二、“等保1.0”到2.0发生重大变化
1994年,国务院147号令第一次提出计算机信息系统实行安全等级保护,此后一直到2007年,等级保护制度在起步和探索阶段。2008年,出于维护国家安全的需要,依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定了GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》标志着等级保护制度的标准化,宣告着等保1.0时代的正式到来。
图3 等保发展的历程
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。中国工程院院士沈昌祥表示,等级保护由1.0 到2.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。早在2017年8月,公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并,形成《网络安全等级保护基本要求》一个标准。
图4 等级保护2.0标准体系
网络安全等级保护制度从2007年实施到现在,已经走过了十二年。从最初的“等保1.0”时代跨入“等保2.0”时代,等级保护制度取得了突破性的进展。“等保1.0”主要强调物理主机、应用、数据、传输,2.0版本将在云计算、大数据、物联网、工业控制系统等新技术新应用方面有涉及。“等保2.0”不仅在体系上发生了大升级,该标准制度也上升为法律,变得空前重要。赛博研究院根据1.0版本和2.0版本对比发现,两者差异主要体现在以下5个方面:
变化一:体系框架和保障思路的变化
原来“等保1.0”没有完整的体系思路,就是一个中心三重防护,以防为主。现在“等保2.0”变成了事前、事中、事后,防不住要审计,出现问题还可以事后溯源。
保障思路变化,由1.0防御审计的被动保障向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。
变化二:定级对象的变化
“等保1.0”定级的是信息系统,“等保2.0”定级的对象是基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。如云平台和大数据平台这种承载数据平台必须定级,定级的等级不能低于上面承载的系统。在定级的流程上,以前是自主定级,等保二级不要专家评审,现在都要专家评审。
变化三:测评的变化
以往四级系统半年测评一次,现在三级以上系统每年做一次。合规标准从“等保1.0”的60分到“等保2.0”的75分。
变化四:等保要求的组合变化
“等保2.0”根据等保要求进行组合变化,拆分成1个通用要求和5个安全扩展要求。通用要求为共性安全要求,涉及新技术的信息系统在使用通用要求的基础上,需要选择对应的扩展要求。
变化五:控制点和要求项的变化
与“等保1.0”相比,“等保2.0”控制点基本持平,要求项大量减少(对冗余项进行了删减)。“等保2.0”要求中新增的重要要求项有:
1、入侵防范:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
2、恶意代码防范:应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
3、安全审计:应确保审计记录的留存时间符合法律法规要求;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
4、集中管控:应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;应对分散在各个设备上的审计数据进行收集汇总和集中分析;应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;应能对网络中发生的各类安全事件进行识别、报警和分析。软件容错:在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。个人信息保护:应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息。
——资料:赛博研究院通过公开资料搜集整理
三、等保2.0新增百亿级市场
众所周知,信息安全行业两大驱动因素——政策+安全事件。等保2.0的落地属于安全政策的变化,影响力可能超过去年的网络安全法。根据等保2.0的新增要求,其对应的产品类型和服务领域也有所增加,市场容量也随之扩大。本次计算主要考虑新增市场,而非传统增速下的全部市场空间,因此关注点应该是产品和服务在“等保2.0”相对于“1.0”的增量需求(见图5)。由于传统边界防护设备、安全培训、渗透测试等基础性安全产品服务增长及云计算、物联网、工控、移动安全等领域的市场增量的定量预测较难,因此结合国泰君安研究团队的估算方法,调整计算公式为:
“等保2.0”增量空间=新增安全产品的平均价值×用户数量×渗透率+新增安全服务的平均价值×用户数量×渗透率
1、产品类型:“等保2.0”偏重于事后审计、回溯、分析,新增的产品主要集中在这类细分市场。
表3 等保2.0新增要求项对应的产品表
根据市场调研数据显示,这几个产品的平均单价分别为APT 20万,流量回溯 15万,堡垒机15万,数据库审计12万,集中日志审计20万,态势感知平台的价格相对较高(数百万),但是目前只有工行等超大型机构进行了部署(公安部的态势感知平台1000万+),预计渗透率不会太高。目前中国等保三级的系统约为五万个,二级系统数十万个(按50万个测算),但是一个单位内部可能有多个系统,可以共用一些安全产品(APT可以部署在核心交换机上,旁路部署)。考虑到不同参数,不同渠道的产品价格不一,本研究也只是做了均价上的处理和要求。根据市场调研数据可得,APT在等保三级里面新增渗透率假定为36%,流量回溯40%,堡垒机、数据库审计、集中日志审计在等保二级里面新增渗透率假定为2%,4%,4%。
表4 等保2.0对应产品端新增的市场空间,资料来源:国泰君安研究,朝内小研等
2、服务端:随着“等保2.0”的实施,安全服务项目得到加强,等保咨询服务体量将暴增,包括等保测评服务、等保咨询服务、常规安全服务(渗透、漏扫、配置核查)、重保服务、云端SaaS服务。这些安全服务以往每年都要做(等保测评工作每年都有固定要求,而且有专门的测评机构,跟信息安全公司没有直接关系),“等保2.0”落地以后显著增加的应该是等保咨询服务。
目前市场上等保测评服务为二级8万元,三级16万元,等保咨询服务的价格为二级5万左右,三级8万~10万元(按9万计算)。按照新增20%的单位选择等保咨询服务计算,对应的新增市场空间为59亿元。
表5 等保2.0对应产品端新增的市场空间,资料来源:国泰君安研究,朝内小研等
3、哪些上市公司受益更多
“等保2.0”落地实施之后,主要的安全厂商都将受益于行业的景气度提升。现有格局下,安全厂商的竞争已经比较激烈,“等保2.0”可为部分厂商带来优势。根据“等保2.0”要求,其定级、备案、安全建设和整改、测评、检查过程相对更专业,对于政府部门或企业IT人员而言,单方达成合规条件较难,因此会选择产品线比较全的信息安全类龙头企业,通常这类企业具有能实现通过“等保2.0”所需的新产品和全流程咨询服务能力。
综上,赛博研究院认为“等保2.0”将促进整个信息安全行业发展,主要包括云安全、大数据中心(数据安全)和公众服务平台安全优先、传统安全与物联网、工控安全等。“等保2.0”正式启动后,直接受益对象包括目前A股市场上行业龙头企业启明星辰、深信服、紫光股份、绿盟科技、卫士通、南洋股份等,成长性的公司为美亚柏科、太极股份、迪普科技、中科曙光、格尔软件;间接影响的A股上市公司为:浪潮信息、任子行、北信源、中孚信息、中国长城、中国软件,影响范围也会覆盖科创板的公司为安博通、安恒信息、山石网科、恒安嘉新。
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院官网。
更多精彩内容请关注“赛博研究院”公众号。
