安全可控系列之一：等保2.0，催生网络安全.pdf

证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 未经许可，禁止转载 证 券 研 究 报 告 计算机 行业专题报告 推荐 （ 维持 ） 安全 可控 系列之 一：等保 2.0，催生网络安全新需求 网络安全等级保护 2.0 标准颁布在即 。 从 2015 年开始 ， 国家安标委开始启动等级保护 2.0 标准 的制定 。 2017 年 6 月 1 号开始实施的网络安全法第二十一条和第五十九条以网络安全领域基本法的形式确立了国家网络安全等级保护制度，规定了等级保护制度安全措施的基线要求并赋予强制力，同时第三十一条进一步要求关键信息基础设施必须落实国家安全等级保护制度，突出保护重点。 2018 年 6 月 27日，公安部发布网络安全等级保护条例 (征求意见稿 )。2018 年 11 月 9 日，公安部网络安全保卫局总工程师郭启全在 2018 合肥网络安全大会上提到，等保 2.0 标准已在国家安标委最终审批，不日出台。 等保 2.0 是网络安全的 一次 重大升级 。 等级保护 2.0 较 1.0 相比，主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面 。 从工作内容上来比较， 除了满足 等保 1.0 时代 定级、备案、建设整改、等级测评和监督检查五个规定动作以外，把风险评估、安全监测、通报预警、 案事件调查等方面的工作都纳入到等级保护的范围之内。另外，保护对象也从传统的网络和信息系统，向 “云大物智移”上扩展 。保护力度上，从原来等保 1.0 的十个安全控制域缩减为 2.0 的八个。总体控制要求，以三级为例控制数量从 290 个点，调整为 231 个点 。 这些诸多细粒度的变化，从制度层面给用户带来了一次知识更新的 要求，同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。 回溯等保 1.0 时代，等级保护政策极大促进了信息安全行业的发展 。 2007 年信息安全等级保护管理办法的发布，标志着等保 1.0 时代正式开启。 随后等级保护系列 配套 政策密集出台，推动信息安全行业 景气度快速提升。根据对启明星辰、绿盟科技、卫士通、北信源、蓝盾股份五家信息安全上市企业收入增速（中位数法）的统计，从 2008 到 2011 年我国信息安全厂商收入增速快速提升，我们认为等级保护政策是重要驱动因素之一。 等保 2.0， 料将 催生网络安全新需求 。 我们认为等保 2.0 给信息安全行业带来的增量空间主要来自两个方面： 1） 由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业， 为符合等保 2.0 时代国家网络安全等级保护政策的 新 要求，将进一步加大信息安全产品和服务的投入。 2）等保 2.0 把包括传统网络安全、云计算、物联网、移 动互联、工业控制、大数据等在内所有新技术纳入 监管 ， 比等保 1.0 拓展了一个维度 。 随着 等保 2.0 标准的逐步落实，国内信息安全市场 有望 迎来更大的发展。 投资建议： 等保 2.0 进入落地阶段，将助力网络安全行业景气度进一步提升，具有深厚攻 防等核心技术积累及完整解决方案的龙头厂商 有望 充分受益。推荐启明星辰、 深信服，关注 北信源、绿盟科技、卫士通。 风险提示： 政策落地不及预期；市场竞争加剧。 重点公司盈利预测、估值及投资评级 EPS（元） PE（倍） 简称 股价（元） 2018E 2019E 2020E 2018E 2019E 2020E PB 评级 启明星辰 21.18 0.65 0.84 1.07 32.58 25.21 19.79 6.06 强推 深信服 84.32 1.75 2.25 2.87 48.18 37.48 29.38 19.53 强推 北信源 3.23 0.10 0.12 0.15 32.3 26.92 21.53 2.12 绿盟科技 8.79 0.31 0.42 0.56 28.35 20.93 15.70 2.46 卫士通 19.18 0.20 0.48 0.70 95.9 39.96 27.4 3.74 资料来源： Wind，华创证券预测 （其中，北信源、绿盟科技、卫士通盈利预测来自 wind 一致预期） 注：股价为 2018 年 12 月 10 日 收盘价 证券分析师：陈宝健 电话： 010-66500984 邮箱： chenbaojianhcyjs 执业编号： S0360517060001 证券分析师：邓芳程 电话： 021-20572565 邮箱： dengfangchenghcyjs 执业编号： S0360518080001 联系人：刘逍遥 电话： 010-63214650 邮箱： liuxiaoyaohcyjs 占比 % 股票家数 (只 ) 203 5.69 总市值 (亿元 ) 16,437.41 3.24 流通市值 (亿元 ) 10,886.3 3.0 % 1M 6M 12M 绝对表现 -0.13 -21.88 -26.52 相对表现 0.58 -5.09 -5.07 计算机行业云计算与 AI 双周报：腾讯首次披露云收入超市场预期，云战略地位持续强化 2018-11-28 计算机行业周报（ 20181126-20181130）：等保2.0，催生网络安全新需求 2018-12-02 计算机行业周报（ 20181203-20181207）：紧跟基本面，布局明年高景气 2018-12-09 -30%-16%-3%11%17/12 18/02 18/04 18/06 18/08 18/102017-12-12 2018-12-10 沪深 300 计算机 相关研究报告 相对指数表现 行业基本数据 华创证券研究所 专题 研究 计算机 2018 年 12 月 11 日 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 2 目 录 一、 初识等级保护：关于等级保护的六问六答 .4 二、 等级保护制度步入 2.0 时代，保护对象和技术手段等全面升级 .7 （一）网络安全等级保护 2.0 标准颁布在即 .7 （二）等保 2.0VS 等保 1.0，多方面进行重大升级 .8 三、等保 2.0 有望助力网络安全行业迈上新台阶 . 12 （一）回溯等保 1.0 时代，等级保护政策极大促进了信息安全行业的发展 . 12 （二）等保 2.0 时代，料将催生网络安全新需求 . 13 1、为满足等 保 2.0 新要求，政府及重点行业有望加大信息安全产品和服务的投入 . 13 2、等保 2.0 将“云大物智移”纳入监管，进一步拓展了市场空间 . 14 四、投资建议 . 17 五、风险提示 . 17 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 3 图表目录 图表 1 等级保护 2.0 工作流程图 .4 图表 2 等保测评等级分类 .5 图表 3 典型关键信息设施定级范例 .5 图表 4 2015 年我国信息安全下游行业需求分布 .6 图表 5 网络安全等级保护制度发展历程 .7 图表 6 新形势下的等级保护 .8 图表 7 等保 2.0 管理策略维度变化 .8 图表 8 等保 2.0 工作内容变化 .9 图表 9 等保 2.0 具 体对象 .9 图表 10 等级保护 2.0 标准体系 . 10 图表 11 等保 2.0 基本框架变化 . 10 图表 12 控制点 变化对比表 . 11 图表 13 要求项变化对比表 . 11 图表 14 等保 2.0 部分技术措施 . 11 图表 15 信息安全上市企业收入增速（中位数法） . 13 图表 16 近期部分典型等级保护整改、测评项目 . 13 图表 17 信息安全防御体系的变化趋势 . 15 图表 18 云服务商和云租户责任划分 . 15 图表 19 等保 2.0 物联网扩展要求 . 16 图表 20 物 联网安全防护体系 . 16 图表 21 工控安全控制项的变化 . 17 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 4 一、 初识等级保护：关于 等级保护 的六问六答 Q1： 什么是等级保护？ 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 Q2： 等级保护包括哪些流程？ 等保 1.0 时代的工作是五个规定动作，定级、备案、建设整改、等级测评和监督检查。在等保 2.0 时代，除了满足以上五个以外，把风险评估、安全监测、通报预警，案事件调查、数据防护、自主可控、供应 链安全、效果评价、综治考核等方面的工作都纳入到等级保护的范围之内 。 图表 1 等级保护 2.0 工作流程图 资料来源： e 安在线 网站 、华创证券 Q3： 安全保护等级如何划分？ 根据等保对象受到破坏时所侵害的客体和对客体造成侵害的程度，网络分为五个安全保护等级，五级是最高级别，系统等级越高，系统越重要，突发事故造成的损害越严重。 第一级， 自主保护级 。 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 5 会秩序和公共利益的一般网络。 第二级， 指导保护级 。 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。 第三级， 监督保护级 。 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。 第四级， 强制保护级 。 一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。 第五级， 专控保护级 。 一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。 图表 2 等保测评等级分类 等级 对象 侵害客体 侵害程度 各类系统定级参考 第一级 （自主保护等级） 一般系统 合法权益 损害 适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级 （指导保护等级） 合法权益 严重损害 适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 社会秩序和公共利益 损害 第三级 （监督保护等级） 重要系统 社会秩序和公共利益 严重损害 一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这些系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。 国家安全 损害 第四级 （强制保护等级） 社会秩序和公共利益 特别严重损害 一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。 国家安全 严重损害 第五级 （专控保护等级） 极端重要系统 国家安全 特别严重损害 一般适用于国家重要领域 资料来源：江苏省等级保护测评微信公众号、华创证券 总结来说，信息系统涉及到工作秘密、敏感信息的，信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统，建议定到三级 ，其他系统定到二级。另外，涉及到国家安全的，特别是全国性的系统 定 为 四级 。 图表 3 典型关键信息设施定级范例 名称 等级 名称 等级 能量管理系统 四级 广东移动云 三级 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 6 光传送网国际传送网 四级 业务运营支撑系统 三级 中国移动信令网 四级 大额实时支付系统 三级 数据及数据管理系统 四级 网上银行系统 三级 统一权限管理平台 三级 手机银行系统 三级 网站群平台 三级 网上税务系统 三级 生产控制系统 三级 中国疾病预防控制信息系统 三级 中国联通移动通信网 三级 央广网 三级 河南省政务云 三级 北斗星物联网平台 三级 资料来源： e 安在线 网站 、华创证券 Q4： 等保测评 周期一般多长？ 等保工作是一个持续性工作，等保测评也是周期性工作。 根据等保 2.0 最新要求，第三级以上网络的运营者应当每年开展一次网络安全等级测评，发现并整改安全风险隐患，并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。 Q5： 等保测评的重点行业 包括哪些？ 根据智研咨询 2015 年公布的数据显示，政府、电信以及金融领域分别占据我国信息安全行业下游需求的前三位，合计占比 59.3%，是需要进行等保测评的重点领域。另外由于能源行业的政策特殊性，也是进行等保测评的重点行业。 图表 4 2015 年我国信息安全下游行业需求分布 资料来源：智研咨询、华创证券 Q6： 等级保护的主管部门是谁？ 中央网络安全和信息化领导机构 统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。 国务院公安部门 主管网络安全等级保护工作，负责网络安全等级保护工作的监督管理，依法组织开展网络安全保卫。 国家保密行政管理部门 主管涉密网络分级保护工作，负责网络安全等级保护工作中有关保密工作的监督管理。 国家密码管理部门 负责网络安全等级保护工作中有关密码管理工作的监督管理。 国务院其他有关部门 依照有关法律法规的规定，在各自职责范围内开展网络安全等级保护相关工作。 县级以上地方人民政府 依照本条例和有关法律法规规定，开展网络安全等级保护工作。 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 7 二、 等级保护 制度 步入 2.0 时代 ， 保护对象和技术手段等全面升级 （一） 网络安全等级保护 2.0 标准 颁布在即 回顾我国等级保护制度的发展，大致可分为以下三个阶段： 第一阶段：等级保护确立和探索阶段 。这个阶段从 1994 年确立计算机信息系统实行安全等级保护制度开始，到 2003年等级保护从一项计算机信息系统安全保护制度提升至国家信息安全保障基本制度。 2004 年至 2006 年，公安部联合四部委开展了涉及 6 万余家单位，共 11 万余信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点，探索开展等级保护工作领导、组织、协调的模式和办法，营造等级保护工作的政策环境，为全面开展等级保护工作奠定了坚实的基础。 第二阶 段：等级保护全面实施阶段 （等保 1.0 阶段） 。历经十多年的探索， 2007 年正式启动实施等级保护工作，陆续出台等级保护基本要求、安全设计和测评要求等一系列标准，实现了完善测评体系、开展三级以上系统测评、建设整改等有关等级保护工作的阶段性目标。 2010 年以后，金融、电力、教育、医疗、交通等行业监管部门和企事业单位陆续配套相关制度，全面贯彻执行等级保护工作，标志着我国信息安全等级保护工作全面展开，等级保护工作进入规模化推进阶段。 第三阶段：等级保护创新发展阶段 （等保 2.0 阶段） 。 我国网络安全威胁态势日益严峻，网络安 全新形势新变化对等级保护工作提出了新要求，云计算、物联网、移动互联、工控系统等新技术新应用的发展不断催生等级保护的模式创新 。 从 2015 年开始，国家安标委开始启动等级保护 2.0 标准的制定。 2017 年 6 月 1 号开始实施的 网络安全法第二十一条和第五十九条以网络安全领域基本法的形式确立了国家网络安全等级保护制度，规定了等级保护制度安全措施的基线要求并赋予强制力，同时第三十一条进一步 要求关键信息基础设施必须落实国家安全等级保护制度，突出保护重点 。 2018 年 6 月 27 日，公安部发布网络安全等级保护条例 (征求意见稿 ) ，正式宣告等保进入 2.0 时代。公安部网络安全保卫局总工程师郭启全在 2018 年 11 月 9 日技术论坛上谈到关于等保最新情况： 等保 2.0 标准已在国家安标委最终审批，不日出台。 图表 5 网络安全等级保护制度发展历程 时间 事件 1994 年 国务院颁布中华人民共和国计算机信息系统安全保护条例（国务院令 147 号），首次提出“计算机信息系统实行安全等级保护”概念 2003 年 中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327号） 2007 年 公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室等四部委发布了信息安全等级保护管理办法，将信息安全等级保护工作写入法规中 2007 年 浙江省发布了浙江省信息安全等级保护管理办法，细化信息安全等级保护工作要求 2008 年 发布 GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求，简称为等保 1.0，明确对于各等级信息系统的安全保护基本要求 2015 年 发布公共安全业务连续性管理体系指南，针对企业实施业务连续性管理体系中的方法和步骤给出了详细的指导 2016 年 全国人民代表大会常务委员发布中华人民共和国网络安全法，标志着网络空间安全治理方面从此有法可依 2017 年 信息安全等级保护制度改为网络安全等级保护制度 2018年 6月 公安部向社会发布了网络安全等级保护条例（征求意见稿）公开征求意见 资料来源：深信服 官网 、西部数码 官网 、华创证券 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 8 （二） 等保 2.0VS 等保 1.0，多方面 进行重大升级 图表 6 新形势下的等级保护 资料来源：深信服官网、华创证券 与等保 1.0 相比，等保 2.0 主要变化体现在以下方面 ： 网络安全法已经将等级保护制度上升为法律 原信息安全等保标准叫做 “ 信息安全等级保护制度 ” ，现在 叫“ 网络安全等级保护制度 ” ，与中华人民共和国网络安全法中的相关法律条文保持一致 ， 等级保护从传统的信息系统层面上升到了网络空间安全的层面。 定级方式 更加规范化 等保 2.0 的定级并不是 1.0 标准下的用户自主定级，而是要参照定级指南进行定级，等保工作更加规范化。 图表 7 等保 2.0 管理策略维度变化 资料来源： e 小安 微信公众号 等级保护 工作内容扩展 除了满足等保 1.0 时代定级、备案、建设整改、等级测评和监督检查五个规定动作以外， 等保 2.0 把风险评估、安全监测、通报预警、案事件调查等 措施都将全部纳入等级保护制度并加以实施。 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 9 图表 8 等保 2.0 工作内容变化 资料来源： 张振锋 ， 等级保护 2.0 时代的云等保合规与云安全基本要求解读 、 华创证券 等级保护对象进一步扩展 等保进入 2.0 时代，保护对象从传统的网络和信息系统，向“云大物智移”上扩展，大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台 等都纳入了等级保护的范围 。 图表 9 等保 2.0 具体对象 资料来源： e 小安 微信公众号 等级保护体系升级 横向扩展了对云计算、移动互联、物联网、工业控制等新的安全要求；纵向延伸了对等保测评机构的规范管理。 计算机 行业专题报告 证监会审核华创证券投资咨询业务资格批文号：证监许可（ 2009） 1210 号 10 图表 10 等级保护 2.0 标准体系 资料来源：华创证券 整理 控制措施分类结构变化 等保 2.0 依旧保留技术和管理两个维度，而具体要求由 10 个分类调整为 8 个分类。 图表 11 等保 2.0 基本框架变化 资料来源：深信服官网 标准控制点和要求项变化 等保 2.0 在控制点要求上并没有明显增加，通过合并整合后相对旧标准略有缩减。 以三级为例， 在物理和环境安全控制类下， 等保 2.0 控制点未发生变化，要求项由原来的 32 项调整为 22 项； 在网络和通信安全类下， 新标准减少了结构安全、边界完整性安全、网络设备防护三个控制点，增加了网络架构、通信传输、边界防护、集中管控四个控制点，要求项总数还是 33 项，但内容有所变化。 在设备和计算安全类下， 新标准减少了剩余信息保护一个控制点，在测评对象上 把 网络设备、安全设备也纳入了此层面的测评范围，要求项由原来的 32 项调整为 26 项； 新标准将应用安全、数据安全及备份恢复两个层面合并为应用和数据安全一个层面， 减少了通信完整性、通信保密性、和抗抵赖三个控制点，增加了个人信息保护控制点，要求项则纳入了网络和通信安全层面的通信传输控制点，要求项 由原来的 39 项调整为 33 项。