2019年网络信息安全行业专题研究报告
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、网络信息安全产业发展趋势 3、更进一步的自主可控 4、重点安全标的 5、投资建议
22428369/36139/20190909 16:56
1、技术迭代+立法,网络安全上升战略高度
• 网络安全形势日益严峻:2019年全球已发生上百起影响较大的网络安全事件,根据国家互联网应急中心的报告数据,2018年 我国“零日”漏洞数量持续走高,网络安全形势严峻。网络攻击频发、攻击多样化和隐蔽化成为全球网络攻击的主要特征。
等保2.0与等保1.0的多维度详细对比
名称变化 法律效力 保护对象 控制措施分类 内容扩充 定级备案流程 等级测评要求
等保1.0
等保2.0
信息安全等级保护
以1994年国务院颁布的147号令《计算机信息系统 安全保护条例》为立法依据,立法基础为行政法规
主要包括基础信息网络和信息系统
技术要求分为物理安全、网络安全、主机安全、应 用安全、数据安全及备份恢复,管理要求分为安全 管理制度、安全管理机构、人员安全管理、系统建 设管理和系统运维管理。 五个规定性动作,包括定级、备案、建设整改、测 评和监督检查
• 云、IoT、AI新技术发展升级网络安全需求:信息安全是技术敏感度最高的领域。进入云计算时代,政府、企业、个体均与 外部资源有更多的交互、共享和融合,攻击方也采用新技术提升攻击效果,新技术带来极大便利的同时也带来了更高的网络安 全风险。技术迭代加速,安全成为良性发展愈发重要的必需品。
• 安全立法明确主体义务:2017年6月1日《网络安全法》正式生效,是我国网络安全法制化建设的里程碑,自此安全从行政规 范上升为法律义务。关键信息基础设施保护、网络数据和个人信息保护、网络安全应急与监测等方面的安全需求有法必依。
22428369/36139/20190909 16:56
1.1 安全监管力度及标准不断提升
• 安全监管力度不断加强:2014年我国成立国家安全委员会和中共中央网络安全和信息化领导小组,确立了我国网络信息安全 的重要领导与决策机构。自此之后,国家陆续颁布系列关于维护国家网络信息安全的政策,以《网络安全法》为重要分水岭。
2019年网络信息安全行业专题研究报告
1、技术迭代+立法,网络安全上升战略高度 2、网络信息安全产业发展趋势 3、更进一步的自主可控 4、重点安全标的 5、投资建议
22428369/36139/20190909 16:56
1、技术迭代+立法,网络安全上升战略高度
• 1.1 安全监管力度及标准不断提升 • 1.2来源:启明星辰官网、招商证券
22428369/36139/20190909 16:56
自主定级、自主保护
要求60分基本符合
网络安全等级保护
以经过全国人大通过的《中华人民共和国网络安全法》为立法依据, 《网络安全法》第21条“国家实行网络安全等级保护制度,要求网络运 营者应当按照网络安全等级保护制度要求,履行安全保护义务”。 将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物 联网、工控系统 、公众服务平台、互联网企业等全部纳入等级保护监管。
• 安全已成为企业数字化转型最大挑战:IDC对全球500名CIO调研发现,网络安全已经成为全球企业数字化转型的最大挑战, 严峻形势和法律合规要求下,越来越多的企业将网络安全建设提升到战略层面。
2019年全球知名网络安全事件
我国“0day”安全漏洞数量持续增长
网络安全成为全球企业数字化转型的最大挑战
资料来源:IDC、《2018中国互联网网络安全态势综述》、深信服、招商证券
技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算 环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安 全人员管理、安全建设管理和安全运维管理。
增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难 备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。 专家评审, 主管部门审核,将原有的30天内备案缩短为10个工作日,并 明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管 部门审核、公安机关备案
• 等级保护标准日益进阶:
等保1.0:“等级保护”在1994年国务院令147号《计算机信息系统安全保护条例》中首次提出,后陆续发布系列信息安全等级 保护标准,2007-2017年是等级保护1.0时代。2017年《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。
等保2.0:由于云计算、大数据、物联网等新技术带来大量新应用及业务形态的出现,安全形势发生显著变化,原标准已不再 适用于最新的安全要求。2018年6月公安部发布《网络安全等级保护条例(征求意见稿)》,标志着等保2.0时代到来。2019年 5月13日,网络安全等级保护技术2.0版本正式公开发布,等保2.0增加了对云计算、大数据、移动互联、工控、物联网等方面 的安全扩展性要求,丰富了防护内容和要求,为落实信息系统安全工作提供了方向和依据。
• 安全保护内容大幅扩充:等保2.0增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、 自主可控、供应链安全、效果评价、综治考核等,相比于之前的等保1.0更侧重主动防御、安全可信、动态感知和全面审计。
• 法律效力提升:相比于基于行政法规的等保1.0,等保2.0的执行有《网络安全法》的法律依据,等保建设将是网络运营者必 须履行的网络安全义务,国家也将对未履行义务或是出现重大安全事故的运营、使用单位进行严肃处理。
我国安全监管力度历史新高
等保2.0相关落地进程
资料来源:IDC、深信服、招商证券
22428369/36139/20190909 16:56
1.1 等保2.0与1.0的详细对比
• 等级保护对象范围扩大:等保2.0将云计算、移动互联、物联网、工业控制系统等列入了标准范围,也提高了社会各主体对 于关键信息基础设施(能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等)的保护和保障。
22428369/36139/20190909 16:56
1、技术迭代+立法,网络安全上升战略高度
• 网络安全形势日益严峻:2019年全球已发生上百起影响较大的网络安全事件,根据国家互联网应急中心的报告数据,2018年 我国“零日”漏洞数量持续走高,网络安全形势严峻。网络攻击频发、攻击多样化和隐蔽化成为全球网络攻击的主要特征。
等保2.0与等保1.0的多维度详细对比
名称变化 法律效力 保护对象 控制措施分类 内容扩充 定级备案流程 等级测评要求
等保1.0
等保2.0
信息安全等级保护
以1994年国务院颁布的147号令《计算机信息系统 安全保护条例》为立法依据,立法基础为行政法规
主要包括基础信息网络和信息系统
技术要求分为物理安全、网络安全、主机安全、应 用安全、数据安全及备份恢复,管理要求分为安全 管理制度、安全管理机构、人员安全管理、系统建 设管理和系统运维管理。 五个规定性动作,包括定级、备案、建设整改、测 评和监督检查
• 云、IoT、AI新技术发展升级网络安全需求:信息安全是技术敏感度最高的领域。进入云计算时代,政府、企业、个体均与 外部资源有更多的交互、共享和融合,攻击方也采用新技术提升攻击效果,新技术带来极大便利的同时也带来了更高的网络安 全风险。技术迭代加速,安全成为良性发展愈发重要的必需品。
• 安全立法明确主体义务:2017年6月1日《网络安全法》正式生效,是我国网络安全法制化建设的里程碑,自此安全从行政规 范上升为法律义务。关键信息基础设施保护、网络数据和个人信息保护、网络安全应急与监测等方面的安全需求有法必依。
22428369/36139/20190909 16:56
1.1 安全监管力度及标准不断提升
• 安全监管力度不断加强:2014年我国成立国家安全委员会和中共中央网络安全和信息化领导小组,确立了我国网络信息安全 的重要领导与决策机构。自此之后,国家陆续颁布系列关于维护国家网络信息安全的政策,以《网络安全法》为重要分水岭。
2019年网络信息安全行业专题研究报告
1、技术迭代+立法,网络安全上升战略高度 2、网络信息安全产业发展趋势 3、更进一步的自主可控 4、重点安全标的 5、投资建议
22428369/36139/20190909 16:56
1、技术迭代+立法,网络安全上升战略高度
• 1.1 安全监管力度及标准不断提升 • 1.2来源:启明星辰官网、招商证券
22428369/36139/20190909 16:56
自主定级、自主保护
要求60分基本符合
网络安全等级保护
以经过全国人大通过的《中华人民共和国网络安全法》为立法依据, 《网络安全法》第21条“国家实行网络安全等级保护制度,要求网络运 营者应当按照网络安全等级保护制度要求,履行安全保护义务”。 将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物 联网、工控系统 、公众服务平台、互联网企业等全部纳入等级保护监管。
• 安全已成为企业数字化转型最大挑战:IDC对全球500名CIO调研发现,网络安全已经成为全球企业数字化转型的最大挑战, 严峻形势和法律合规要求下,越来越多的企业将网络安全建设提升到战略层面。
2019年全球知名网络安全事件
我国“0day”安全漏洞数量持续增长
网络安全成为全球企业数字化转型的最大挑战
资料来源:IDC、《2018中国互联网网络安全态势综述》、深信服、招商证券
技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算 环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安 全人员管理、安全建设管理和安全运维管理。
增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难 备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。 专家评审, 主管部门审核,将原有的30天内备案缩短为10个工作日,并 明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管 部门审核、公安机关备案
• 等级保护标准日益进阶:
等保1.0:“等级保护”在1994年国务院令147号《计算机信息系统安全保护条例》中首次提出,后陆续发布系列信息安全等级 保护标准,2007-2017年是等级保护1.0时代。2017年《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。
等保2.0:由于云计算、大数据、物联网等新技术带来大量新应用及业务形态的出现,安全形势发生显著变化,原标准已不再 适用于最新的安全要求。2018年6月公安部发布《网络安全等级保护条例(征求意见稿)》,标志着等保2.0时代到来。2019年 5月13日,网络安全等级保护技术2.0版本正式公开发布,等保2.0增加了对云计算、大数据、移动互联、工控、物联网等方面 的安全扩展性要求,丰富了防护内容和要求,为落实信息系统安全工作提供了方向和依据。
• 安全保护内容大幅扩充:等保2.0增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、 自主可控、供应链安全、效果评价、综治考核等,相比于之前的等保1.0更侧重主动防御、安全可信、动态感知和全面审计。
• 法律效力提升:相比于基于行政法规的等保1.0,等保2.0的执行有《网络安全法》的法律依据,等保建设将是网络运营者必 须履行的网络安全义务,国家也将对未履行义务或是出现重大安全事故的运营、使用单位进行严肃处理。
我国安全监管力度历史新高
等保2.0相关落地进程
资料来源:IDC、深信服、招商证券
22428369/36139/20190909 16:56
1.1 等保2.0与1.0的详细对比
• 等级保护对象范围扩大:等保2.0将云计算、移动互联、物联网、工业控制系统等列入了标准范围,也提高了社会各主体对 于关键信息基础设施(能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等)的保护和保障。