软件与服务-信息安全行业动态点评:等保2.0国家标准落地 信息安全行业将加速成长

类别:行业 机构:国信证券股份有限公司 研究员:熊莉/于威业 日期:2019-05-15

事项:

    2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019 年12 月1 日开始实施。

    国信计算机观点:等保2.0 国家标准落地,对比等保1.0 在保护范围、法律效力、技术标准、安全体系、定级流程、定级指导等方面均发生变化,信息安全系统改造在即。等保2.0 做出对关键信息基础设施“定级原则上不低于三级”的指导,测评分数的要求由60 分提升至75 分以上,且第三级及以上信息系统每年或每半年就要进行一次测评。国家重点行业将带头加大信息安全产品和咨询服务的持续投入。回顾我国信息安全产业曾在等保1.0 以及“棱镜门”事件的影响下进入加速发展期,我们预计等保2.0 将继续带动行业大发展,至少打开百亿级以上增量市场空间。重点推荐深信服、启明星辰。

    评论:

    等保2.0 保护范围拓宽,而且在法律效力、技术标准、安全体系、定级流程、定级指导等方面均发生变化

    继2017 年6 月《网络安全法》正式施行后,2018 年6 月公安部发布《网络安全等级保护条例(征求意见稿)》,2018 年11 月等保2.0 标准在国家安标委最终审批,2019 年5 月13 日等保2.0 国家标准正式发布,将于2019 年12 月1 日开始实施,标志着等保2.0 的正式落地。

    网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法,等保2.0 标准在1.0 标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。除了保护范围拓宽以外,等保2.0 在法律效力、技术标准、安全体系、定级流程、定级指导等方面均发生变化。

    等级保护的概念自1994 年提出后,经过20 多年的发展和演进,在2.0 时代发生以上变化,但等级保护的五个等级不变、主体职责也不变。

    保护级别方面唯一改变的是公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0 的第二级调整到了第三级。

    安全体系重构,等保2.0 测评分数的要求由60 分提升至75 分以上,将加大信息安全产品和咨询服务的投入

    应对以上变化,等保2.0 需求建立新的安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

    以前的等保测评分数及格线是60 分,等保2.0 新的及格线是75 以上,对等级保护工作提出新的要求。根据定级指导,第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业。国家重点行业需要对信息系统重新进行定级、备案、建设整改、等级测评和监督检查等工作,将加大信息安全产品和咨询服务的投入。等保2.0 要求第三级的信息系统应当每年至少进行一次等级测评,第四级的信息系统应当每半年至少进行一次等级测评,将带来持续的产品投入和咨询服务需求。

    我国信息安全产业曾在等保1.0 以及“棱镜门”事件的影响下进入加速发展期,等保2.0 将继续带动行业大发展

    回顾2007 年等保1.0 发布以及2012 年“棱镜门”事件,均对信息安全产业产生积极影响,相关上市公司收入增速均有明显加快。

    目前我国信息安全产业投入占IT 总投入比重显著偏小,行业增速有望持续提升。信息安全投入占我国IT 总投入约2%,与美国、欧洲等发达国家和地区5%左右的投入占比有所差距。受到等保2.0 的影响,行业增速预计将进一步提升。据智研咨询数据,信息安全市场规模2018 年约为500 亿元,至2020 年可达766.19 亿元,2017 至2020 年的年均复合增长率为23.5%。

    等保2.0 至少打开百亿级增量市场空间。等保2.0 偏重于事后审计、回溯、分析,涉及新增的产品如APT、流量回溯、堡垒机、数据库审计、集中日志审计、态势感知平台等。根据评测要求,分数由60 分提升到75 分,提高比例为25%。

    以此为依据粗略假设产品端增量市场空间为25%,以2018 年500 亿信息安全市场规模为基数,推算增量市场空间为125亿元。此外,等级保护2.0 内容的变化将打开等保咨询端的市场空间,预计为数十亿量级。

    投资建议:

    等保2.0 国家标准落地,对比等保1.0 在保护范围、法律效力、技术标准、安全体系、定级流程、定级指导等方面均发生变化,信息安全系统改造在即。等保2.0 做出对关键信息基础设施“定级原则上不低于三级”的指导,测评分数的要求由60 分提升至75 分以上,且第三级及以上信息系统每年或每半年就要进行一次测评。国家重点行业将带头加大信息安全产品和咨询服务的持续投入。回顾我国信息安全产业曾在等保1.0 以及“棱镜门”事件的影响下进入加速发展期,我们预计等保2.0 将继续带动行业大发展,至少打开百亿级以上增量市场空间。重点推荐深信服、启明星辰。

    风险提示

    1、等保2.0 实施进程低于预期;2、市场竞争加剧。