计算机行业:等保2.0 ,有望推动网络信息安全行业提速

栏目:为宝 来源:玩慈利网 时间:2019-06-22

       核心观点:

       等保 1.0 全称为《信息安全等级保护管理办法》(公通字 200743 号文),发布于 2007 年,是过去十几年公安机关开展信息系统安全等级保护工作的主要依据。或将出台的等保 2.0,全称为《网络安全等级保护条例》,出台后将取代《信息安全等级保护管理办法》成为国内的信息系统安全等级保护工作的主要标准。由于等保 2.0 尚未正式出台,下述等保 2.0 内容均出自征求意见稿。


       相比 1.0,等保 2.0 的三级覆盖对象范围增加,针对云计算等新技术新增大量扩展要求,同时有《网络安全法》为其落实提供法律保障,其实施有望推动行业投入力度加大。部分领先公司先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。预计深信服、启明星辰等公司有望受益于等保 2.0 的推出。


       但等保 2.0 生效日期、过渡期存在不确定性,落地后对行业投入的促进作用难以量化。等保 2.0 对行业投入的推动作用主要体现在以下三点:等保2.0  三级覆盖面扩展,促进相应对象投入加大在等保 2.0 中,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象,相应控制项要求显著增多。且三级以上(包含三级)对象需每年开展一次网络安全等级测评,强制性高于二级。


       等保2.0 就新技术新增扩展要求,将带来增量市场

        相比等保 1.0,等保 2.0 在通用要求的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。传统信息安全市场的典型客户是党政军、电信、金融、交通、教育等领域,新增扩展将新技术领域纳入监管范围,将带来增量市场。


       等保2.0法规性更强,落地效果有望优于等保1.0

       一是等保2.0 制定依据的法律阶位及本身法规性,均高于1.0,法规性更强。二是等保 1.0 推行期间,缺乏相关法律作为落实保障,强制性不足;

2017 年 6 月起《网络安全法》正式实施,为等保 2.0 的落实提供了法律支撑。基于此,等保 2.0 推行的效果有望好于等保 1.0。


       风险提示

       等保 2.0 生效日期、过渡期存在不确定性;等保 2.0 的落地对行业投入的促进作用大小难以量化,有不确定性。


       等保1.0全称为《信息安全等级保护管理办法》(公通字200743号文),出台于2007年,是过去十几年公安机关开展信息系统安全的等级保护工作的主要依据。即将出台的等保2.0,全称为《网络安全等级保护条例》,将取代《信息安全等级保护管理办法》成为国内的信息系统安全等级保护工作的主要依据。由于等保2.0尚未正式出台,下述等保2.0内容均出自征求意见稿。


        相比等保1.0,等保2.0的推出有望推动信息安全行业投入加大。原因在于:等保2.0 三级 对象 覆盖面扩展。在等保2.0中,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象,相应控制项要求显著增多。且三级以上(包含三级)对象需每年开展一次网络安全等级测评,强制性高于二级。


       针对新技术新增扩展要求。相比等保1.0,等保2.0在通用要求的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。传统信息安全市场的典型客户是党政军、电信、金融、交通、教育等领域,新增扩展将新技术领域纳入监管范围,有望带来增量市场。部分领先公司先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。预计深信服、启明星辰等公司有望受益于等保2.0的推出。


       等保2.0 法规性更强,落地效果有望优于等保1.0。一是等保2.0制定依据的法律阶位及本身法规性,均高于1.0。二是等保1.0推行期间,缺乏相关法律作为落实保障,强制性不足。2017年6月起《网络安全法》正式实施,为等保2.0的落实提供了法律支撑。等保2.0推行的效果有望好于等保1.0。我们预计等保2.0的出台有望对行业投入产生促进作用,但由于等保2.0生效日期、过渡期存在不确定性,落地后对行业投入的促进作用难以量化。


       一 、 等保 2.0  三级覆盖面扩展 ,促进相应对象投入加大

       相比等保1.0 ,等保2.0 中三级对象范围显著增加,且对三级及以上网络运营者要求的严格程度远高于二级对象,三级对象范围的扩展有望推动网络安全行业投入力度加大。


       1 、 等保2.0三级对象覆盖范围扩展

       三级对象覆盖范围大幅扩展。等保2.0根据等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,将信息系统的安全保护等级分为5个等级。相比等保1.0,等保2.0三级覆盖范围大幅扩展,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象。等保2.0对网络系统的安全等级具体划分如下:


       第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。


       第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。


       第三级, 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别 严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。


       第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。


       第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。


表 1 : 等保 2.0  与等保 1.0  比的等级划分区别


       2 、三级安全防范要求显著多于二级

       等保要求中的 控制点是指所需防范的安全大类下的子类 ,如“网络和通信安全”大类下包括网络架、通信传输、边界防护、入侵防范等8个控制点。 控制项是指安全点需要满足安全要求,如就控制点“入侵防范”提出“应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为”等若干项要求。控制点多少代表需防范的安全面大小,控制项差异体现对安全防范的程度要求不同。不同的等级安全需防范的安全内容大致相同(控制点大致相同),但是对防范力度的要求有较大差异(控制项数量存在区别)。三级安全防范要求显著多于二级:以等保1.0 为例, 对二级、三级对象的安全的要求项分别175 、 290 个。


表 2 : 等保1.0 中二级、三级控制点、 控制项对比


        3 、对三级对象的强制性要求高于二级

       三级对象需要每年开展年检,强制性要求高于二级。据《网络安全等级保护条例(征求意见稿)》第二十三条【等级测评】内容显示:“第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。”除此之外,三级在安全保护义务、应急处置方面也有特别要求:第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务(仅列出部分内容):


       制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过。


       落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全事件等进行动态监测分析,并与同级公安机关对接。


      建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告。


       第三十二条【应急处置要求】第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。


        二 、等保 2.0  就 新技术 新增扩展要求 , 将带来增量市场

       等保2.0在等保1.0资产防护的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。


        以云计算中的“网络和通信安全”子项“网络架构安全”为例,云计算扩展要求 结合云架构实际情况提出 实时监控、虚拟安全技术等要求,客户为满足扩展要求需采用新技术服务及产品。


       网络和通信安全- 网络架构安全云计算扩展安全要求为:

       a) 应实现不同云租户之间网络资源的隔离,并避免网络资源的过量占用;

       b) 应绘制与当前运行情况相符的虚拟化网络拓扑结构图, 并能对虚拟化网络资源、网络拓扑进行实时更新和集中监控;

       c) 应保证虚拟机只能接收到目的地址包括自己地址的报文;

       d) 应保证云计算平台管理流量与云租户业务流量分离;

       e) 应能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量;

       f) 应根据承载的业务系统安全保护等级划分资源池,并实现资源池之间的隔离;

       g) 应提供开放接口,允许接入第三方安全产品,实现云租户的网络之间、安全区域之间、虚拟机之间的网络安全防护;

      h) 应根据云租户的业务需求定义安全访问路径。


        部分领先安全公司在云安全、移动安全、工控安全等新兴领域均有所布局,此前先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。预计 深信服、启明星辰等公司有望受益于等保2.0


         三 、 等保 2.0  法规性更强,落地效果有望优于等保 1.0

        相比等保1.0 ,等保2.0 具有更强的法规性,执行力度、落地效果有望优于等保1.0 。


       等保2.0 制定依 据的法律阶位及本身法规性,均高于1.0

       等保1.0配套的核心约束文件为《信息安全等级保护管理办法》,由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,依据的法律主要是:《中华人民共和国计算机信息系统安全保护条例》,属于行政法规文书范畴。


        等保2.0配套的核心约束文件为《网络安全保护条例》,尚属征求意见稿阶段,依据的法律主要是:《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》,应当属于行政法规范畴。


        据《常用经济应用文写作教程》2011 版(“十二五”规划教材),条例是指国务院根据全国人民代表大会及其常务委员会的授权决定制定的一种行政法规(我国《行政法规制定程序条例》规定:国务院各部门和地方人民政府制定的规章不得称“条例”)。办法是指国家机关、地方政府、企事业单位等根据国家有关法律、法规或条例,就某项工作的实施和具体做法而制定的行政法规文书。办法与条例的区别在于:办法突出某一方面的工作内容、做法,条例则较全面、系统、原则,它针对整个工作的各个方面。办法的法规性和约束力不及条例。 据此,《 网络安全等级保护条例 》应当属于行政法规范畴, 且《 网络安全 等级保护条例 》法规性、约束力高于《信息安全等级保护管理办法》。


        等保1.0 推行期间,缺乏相关法律作为落实保障,强制性不足。2017 年6 月起《网络安全法》正式实施,为等保2.0 的落实提供了法律支撑。 等保2.0 推行的效果有望好于等保1.0 。等保2.0明确指出,对于违反有关规定,由相关部门依照《网络安全法》予以处理。例如:第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。


       第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。


        整体而言,相比等保1.0 ,等保2.0 的三 级覆盖对象范围增加,针对新技术新增大量扩展要求,同时有《网络安全法》为其落实提供法律保障,预计等保2.0 的实施有望推动行业投入力度加大, 相关公司有望受益。 但等保2.0 生效日期、过渡期存在不确定性,落地后对行业投入的促进作用大小也难以量化。


       风险提示

       等保2.0生效日期、过渡期存在不确定性;

       等保2.0的落地对行业投入的促进作用大小难以量化,有不确定性。


公司地址:河南省郑州市东风南路创业路交叉口绿地之窗景峰座1079 室

TEL:0371 -55356595


相关文章
评论
新版评论功能开发中
头条推荐
最新资讯