网络安全:等保2.0推动产业发展,疫情影响相对有限

2020-04-08 15:18:24 国金证券 127

  金融界网站上由国金证券发布的《国金证券:云计算和网络安全性价比凸显》的文章中的提到关于网络安全方面等保2.0相关服务业的发展。小编摘录转载了这一部分,供大家阅读,对于本文内容的有效性和时效性,万方安全无法查证,大家请自主辩证阅读哦。

网络安全:等保2.0推动产业发展,疫情影响相对有限

  网络安全行业持续高增长

  全球网络安全市场持续稳定增长,18年产业规模超过1100亿美元。2019年中国网络安全产业规模超过600亿元,年增长率超过20%,高于全球10%的平均增速。根据中国信通院数据显示,预计2021年中国网络安全市场规模将超过900亿元。

图片关键词

  与全球市场比,我国网络安全支出比例较低,市场潜力巨大。根据Gartner对全球IT支出及全球网络安全支出所做统计来看,网络安全支出占整个IT支出的比例不断提高,2019年全球网络安全支出占IT支出的比例为3.05%。与之对比,Gartner数据显示,中国在2019年的网络安全支出占IT支出比例仅为1.7%,相对于全球平均水平还有较大差距。假设中国网络安全支出比例达到全球平均水平3%,所对应的网络安全市场规模将达近千亿量级。

图片关键词

  政策频出推动网安需求

  网络安全相关法规、政策逐渐落地,推动行业整体发展。《网络安全法》出台,从法律层面明确提出国家实行网络安全等级保护制度。自2016年以来,公安部每年开展针对关键信息基础设施的实战攻防演习,被称为“护网行动”,随着等保2.0时代的到来,2019年“护网行动”涉及范围扩大至工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位,等保2.0落地给网络安全行业带来新成长动力。

图片关键词

  2019年5月13日,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》三项国家标准正式发布,并于2019年12月1日正式实施。

  上述三项政策构成我国网络安全等级保护2.0制度(简称等保2.0),等保2.0是我国网络安全领域的基本国策、基本制度。与等保1.0相比,等保2.0延续了五个级别的划分,五个级别依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

图片关键词

  网络安全等级保护工作包括定级、备案、安全建设、等级测评、监督检查五个步骤,相较于等保1.0,等保2.0的五个步骤里发生了较多变化。

图片关键词

  定级的变化:

  定级对象变化,等保1.0定级的对象是信息系统,等保2.0的定级对象向“云移物工大”扩展,基础网络、重要信息系统、互联网、大数据这些、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务器平台等都纳入了等保2.0的保护范围。

  定级级别的变化:公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0时代的的第二级调整到了第三级。

图片关键词

  定级流程的变化:不同于等保1.0定级原则“自主定级、自主保护”,等保2.0则采取了专家评审,主管部门审核的方式,定级过程将会变得更加规范,定级也会更加准确。原有的30天内备案缩短为10个工作日,并明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案。

  等级测评的变化:

  测评合规要求提高:相较于等保1.0,等保2.0测评的及格分从60分上调到了75分。

  安全要求扩展:安全要求由1.0时代的基本要求扩展成为安全通用要求+安全扩展要求,新增扩展要求包括云计算、移动互联网、物联网、工业控制、大数据安全。其中通用要求不管等级保护对象的形态如何均需要满足,而其他扩展要求针对不同的IT基础设施。

  测评周期变短:由原来的四级系统每半年需要测评一次改为三级以上系统一年测评一次。

  测评要求发生变化:以通用类要求为例,首先在要求分类上发生变化,安全管理要求被纳入技术要求中。

图片关键词

  其次对应具体的控制点和要求项也发生了变化,等保2.0对等保1.0的控制点和要求项进行了优化,删除或修订了过时的要求项,新增了对新型网络攻击行为防护和个人信息保护等内容。从数量上看,等保2.0的控制点和要求项相对于等保1.0都有所减少,但实际上2.0标准的覆盖面比1.0标准要更广,要求也要高得多。主要体现在:一方面等保2.0标准将原来1.0标准的不同层面的相同要求项进行了合并,如主机、数据库、网络设备的要求,所以新标准的一个要求项往往覆盖了老标准的多个要求项;另一方面很多要求项的要求更高了,覆盖面更大了,比如针对网络入侵防范,新规定明确要求对关键节点要具有内部和外部的攻击检测能力(1.0仅要求网络边界处的检测能力);同时如果定级对象使用了云计算、大数据等新技术,那么还需考虑扩展要求的内容。

图片关键词

  总体而言,新时期国家网络安全等级保护制度具有鲜明特点:一是覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会,除个人及家庭自建网络的全覆盖;二是覆盖所有保护对象,等级保护1.0的基本要求中只有普适性的安全要求,等级保护2.0则在满足共性安全保护需求的安全通用要求基础上,针对云计算、移动互联、物联网、工业控制等新技术、新领域提出了安全扩展要求;三是测评难度加大、测评工作量增加、测评标准更高,系统运营使用单位须在系统建设和整改过程中进一步提升安全防护能力;四是等保2.0标准采用了“一个中心、三重防护”的理念,从等保1.0标准被动防御的安全体系转变为等保2.0标准的事前预防、事中响应、事后审计的动态保障体系,注重全方位主动防御、安全可信、动态感知和全面审计,将有望带动威胁情报、态势感知等主动防御产品的需求增加。