[Table_Page]
跟踪分析|计算机
证券研究报告
计算机行业[Table_Title]
等保2.0,有望推动网络信息安全行业提速
行业评级[Table_Grade]
前次评级报告日期
买入
买入2019-01-05
核心观点:[Table_Summary]
相[Ta对ble市_Pi场cQu表ote现]
等保1.0全称为《信息安全等级保护管理办法》(公通字200743号文),发布于2007年,是过去十几年公安机关开展信息系统安全等级保护工作的主要依据。
或将出台的等保2.0,全称为《网络安全等级保护条例》,出台后将取代《信息安全等级保护管理办法》成为国内的信息系统安全等级保护工作的主要标准。
由于等保2.0尚未正式出台,下述等保2.0内容均出自征求意见稿。
相比1.0,等保2.0的三级覆盖对象范围增加,针对云计算等新技术新增大量扩展要求,同时有《网络安全法》为其落实提供法律保障,其实施有望推动行业投入力度加大。
部分领先公司先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。
预计深信服、启明星辰等公司有望受益于等保2.0的推出。
但等保2.0生效日期、过渡期存在不确定性,落地后对行业投入的促进作用难以量化。
12% 4%-5%01/1803/1805/1807/1809/1811/18 -13% -21% -29% 计算机 沪深300 [分Ta析ble师_A:uthor]刘雪峰 SAC执证号:S0260514030002SFCCENo.BNX004 02160750605gfliuxuefeng@ 等保2.0对行业投入的推动作用主要体现在以下三点:等保2.0三级覆盖面扩展,促进相应对象投入加大 在等保2.0中,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象,相应控制项要求显著增多。
且三级以上(包含三级)对象需每年开展一次网络安全等级测评,强制性高于二级。
等保2.0就新技术新增扩展要求,将带来增量市场 相比等保1.0,等保2.0在通用要求的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。
传统信息安全市场的典型客户是党政军、电信、金融、交通、教育等领域,新增扩展将新技术领域纳入监管范围,将带来增量市场。
等保2.0法规性更强,落地效果有望优于等保1.0 一是等保2.0制定依据的法律阶位及本身法规性,均高于1.0,法规性更强。
二是等保1.0推行期间,缺乏相关法律作为落实保障,强制性不足;2017年6月起《网络安全法》正式实施,为等保2.0的落实提供了法律支撑。
基于此,等保2.0推行的效果有望好于等保1.0。
风险提示 等保2.0生效日期、过渡期存在不确定性;等保2.0的落地对行业投入的促进作用大小难以量化,有不确定性。
[相Tab关le_研Do究cRe:port] 计算机行业2019年度投资策略:五年磨一剑、龙头公司引领产业创新落地周期 2018-12-07 [联Ta系ble人_C:ontacts庞]倩倩020-87555888pangqianqian@ 识别风险,发现价值 1/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 目录索引
一、等保2.0三级覆盖面扩展,促进相应对象投入加大.....................................................51、等保2.0三级对象覆盖范围扩展...........................................................................52、三级安全防范要求显著多于二级...........................................................................53、对三级对象的强制性要求高于二级.......................................................................6
二、等保2.0就新技术新增扩展要求,将带来增量市场.....................................................8三、等保2.0法规性更强,落地效果有望优于等保1.0......................................................9 识别风险,发现价值 2/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 图表索引 表1:等保2.0与等保1.0比的等级划分区别.......................................................5表2:等保1.0中二级、三级控制点、控制项对比................................................6 识别风险,发现价值 3/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 等保1.0全称为《信息安全等级保护管理办法》(公通字200743号文),出台于 2007年,是过去十几年公安机关开展信息系统安全的等级保护工作的主要依据。
即 将出台的等保2.0,全称为《网络安全等级保护条例》,将取代《信息安全等级保护 管理办法》成为国内的信息系统安全等级保护工作的主要依据。
由于等保2.0尚未正 式出台,下述等保2.0内容均出自征求意见稿。
相比等保1.0,等保2.0的推出有望推动信息安全行业投入加大。
原因在于:
等保2.0三级对象覆盖面扩展。
在等保2.0中,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象,相应控制项要求显著增多。
且三级以上(包含三级)对象需每年开展一次网络安全等级测评,强制性高于二级。
针对新技术新增扩展要求。
相比等保1.0,等保2.0在通用要求的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。
传统信息安全市场的典型客户是党政军、电信、金融、交通、教育等领域,新增扩展将新技术领域纳入监管范围,有望带来增量市场。
部分领先公司先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。
预计深信服、启明星辰等公司有望受益于等保2.0的推出。
等保2.0法规性更强,落地效果有望优于等保1.0。
一是等保2.0制定依据的法律阶位及本身法规性,均高于1.0。
二是等保1.0推行期间,缺乏相关法律作为落实保障,强制性不足。
2017年6月起《网络安全法》正式实施,为等保2.0的落实提供了法律支撑。
等保2.0推行的效果有望好于等保1.0。
我们预计等保2.0的出台有望对行业投入产生促进作用,但由于等保2.0生效日期、过渡期存在不确定性,落地后对行业投入的促进作用难以量化。
识别风险,发现价值 4/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机
一、等保2.0三级覆盖面扩展,促进相应对象投入加大 相比等保1.0,等保2.0中三级对象范围显著增加,且对三级及以上网络运营者要求的严格程度远高于二级对象,三级对象范围的扩展有望推动网络安全行业投入力度加大。
1、等保2.0三级对象覆盖范围扩展 三级对象覆盖范围大幅扩展。
等保2.0根据等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,将信息系统的安全保护等级分为5个等级。
相比等保1.0,等保2.0三级覆盖范围大幅扩展,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象。
等保2.0对网络系统的安全等级具体划分如下: 第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
表1:等保2.0与等保1.0比的等级划分区别受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级变为第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 数据来源:GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》、《网络安全等级保护条例》(征求意见稿)、广发证券 发展研究中心 识别风险,发现价值
2、三级安全防范要求显著多于二级
等保要求中的控制点是指所需防范的安全大类下的子类,如“网络和通信安全” 大类下包括网络架、通信传输、边界防护、入侵防范等8个控制点。
控制项是指安全点需要满足安全要求,如就控制点“入侵防范”提出“应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为”等若干项要求。
控制点多少代表需防范的 5/12 请务必阅读末页的免责声明 [Table_PageText] 安全面大小,控制项差异体现对安全防范的程度要求不同。
跟踪分析|计算机 不同的等级安全需防范的安全内容大致相同(控制点大致相同),但是对防范
力度的要求有较大差异(控制项数量存在区别)。
三级安全防范要求显著多于二级:以等保1.0为例,对二级、三级对象的安全的要求项分别175、290个。
表2:等保1.0中二级、三级控制点、控制项对比 数据来源:GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、广发证券发展研究中心 识别风险,发现价值
3、对三级对象的强制性要求高于二级 三级对象需要每年开展年检,强制性要求高于二级。
据《网络安全等级保护条例(征求意见稿)》第二十三条【等级测评】内容显示:“第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
” 除此之外,三级在安全保护义务、应急处置方面也有特别要求: 第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务(仅列出部分内容): 制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过。
落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全事件等进行动态监测分析,并与同级公安机关对接。
建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告。
6/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 第三十二条【应急处置要求】第三级以上网络的运营者应当按照国家有关 规定,制定网络安全应急预案,定期开展网络安全应急演练。
识别风险,发现价值 7/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机
二、等保2.0就新技术新增扩展要求,将带来增量市场 等保2.0在等保1.0资产防护的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。
以云计算中的“网络和通信安全”子项“网络架构安全”为例,云计算扩展要求结合云架构实际情况提出实时监控、虚拟安全技术等要求,客户为满足扩展要求需采用新技术服务及产品。
网络和通信安全-网络架构安全云计算扩展安全要求为:a)应实现不同云租户之间网络资源的隔离,并避免网络资源的过量占用;b)应绘制与当前运行情况相符的虚拟化网络拓扑结构图,并能对虚拟化网络资源、网络拓扑进行实时更新和集中监控; c)应保证虚拟机只能接收到目的地址包括自己地址的报文;d)应保证云计算平台管理流量与云租户业务流量分离;e)应能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量; f)应根据承载的业务系统安全保护等级划分资源池,并实现资源池之间的隔离; g)应提供开放接口,允许接入第三方安全产品,实现云租户的网络之间、安全区域之间、虚拟机之间的网络安全防护; h)应根据云租户的业务需求定义安全访问路径。
部分领先安全公司在云安全、移动安全、工控安全等新兴领域均有所布局,此前先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。
预计深信服、启明星辰等公司有望受益于等保2.0的推出。
识别风险,发现价值 8/12 请务必阅读末页的免责声明 识别风险,发现价值 [Table_PageText] 跟踪分析|计算机
三、等保2.0法规性更强,落地效果有望优于等保1.0 相比等保1.0,等保2.0具有更强的法规性,执行力度、落地效果有望优于等保1.0。
等保2.0制定依据的法律阶位及本身法规性,均高于1.0 等保1.0配套的核心约束文件为《信息安全等级保护管理办法》,由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,依据的法律主要是:《中华人民共和国计算机信息系统安全保护条例》,属于行政法规文书范畴。
等保2.0配套的核心约束文件为《网络安全保护条例》,尚属征求意见稿阶段,依据的法律主要是:《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》,应当属于行政法规范畴。
据《常用经济应用文写作教程》2011版(“十二五”规划教材),条例是指国务院根据全国人民代表大会及其常务委员会的授权决定制定的一种行政法规(我国《行政法规制定程序条例》规定:国务院各部门和地方人民政府制定的规章不得称“条例”)。
办法是指国家机关、地方政府、企事业单位等根据国家有关法律、法规或条例,就某项工作的实施和具体做法而制定的行政法规文书。
办法与条例的区别在于:办法突出某一方面的工作内容、做法,条例则较全面、系统、原则,它针对整个工作的各个方面。
办法的法规性和约束力不及条例。
据此,《网络安全等级保护条例》应当属于行政法规范畴,且《网络安全等级保护条例》法规性、约束力高于《信息安全等级保护管理办法》。
等保1.0推行期间,缺乏相关法律作为落实保障,强制性不足。
2017年6月起《网络安全法》正式实施,为等保2.0的落实提供了法律支撑。
等保2.0推行的效果有望好于等保1.0。
等保2.0明确指出,对于违反有关规定,由相关部门依照《网络安全法》予以处理。
例如: 第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。
整体而言,相比等保1.0,等保2.0的三级覆盖对象范围增加,针对新技术新增大量扩展要求,同时有《网络安全法》为其落实提供法律保障,预计等保2.0的实施有望推动行业投入力度加大,相关公司有望受益。
但等保2.0生效日期、过渡期存在不确定性,落地后对行业投入的促进作用大小也难以量化。
9/12 请务必阅读末页的免责声明 风险提示 [Table_PageText] 跟踪分析|计算机 等保2.0生效日期、过渡期存在不确定性;等保2.0的落地对行业投入的促进作用大小难以量化,有不确定性。
识别风险,发现价值 10/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 广[Tab发le_R计esea算rchT机eam行]业研究小组 刘雪峰:首席分析师,东南大学工学士,中国人民大学经济学硕士,1997年起先后在数家IT行业跨国公司从事技术、运营与全球 项目管理工作。
2010年7月始就职于招商证券研究发展中心负责计算机组行业研究工作,2014年1月加入广发证券发展 研究中心。
王奇珏:分析师,上海财经大学信息管理学士,上海财经大学资产评估硕士,2015年进入广发证券发展研究中心。
郑楠:分析师,北京邮电大学计算机专业学士,法国巴黎国立高等电信大学移动通信硕士,2010年起就职于外资企业软件公司 从事研发、咨询顾问等工作,2015年加入广发证券发展研究中心。
钱砾:研究助理,东南大学信息工程学士、生物医学工程医学电子影像方向硕士,先后在电子信息行业和医疗影像设备行业工作 超过6年,2017年加入广发证券发展研究中心。
庞倩倩:研究助理,华南理工大学管理学硕士,曾就职于华创证券,2018年加入广发证券发展研究中心。
广发证券—行业投资评级说明[Table_RatingIndustry] 买入:预期未来12个月内,股价表现强于大盘10%以上。
持有:预期未来12个月内,股价相对大盘的变动幅度介于-10%~+10%。
卖出:预期未来12个月内,股价表现弱于大盘10%以上。
广发证券—公司投资评级说明[Table_RatingCompany] 买入:预期未来12个月内,股价表现强于大盘15%以上。
增持:预期未来12个月内,股价表现强于大盘5%-15%。
持有:预期未来12个月内,股价相对大盘的变动幅度介于-5%~+5%。
卖出:预期未来12个月内,股价表现弱于大盘5%以上。
联系我们[Table_Address] 地址 广州市 广州市天河北路183号大都会广场5楼 邮政编码客服邮箱 510075gfyf@ 深圳市 深圳市福田区益田路6001号太平金融大厦31层518026 北京市 北京市西城区月坛北街2号月坛大厦18层 100045 上海市 上海市浦东新区世纪大道8号国金中心一期16楼200120 香港 香港中环干诺道中111号永安中心14楼1401-1410室 法律主体声明[Table_LegalDisclaimer] 本报告由广发证券股份有限公司或其关联机构制作,广发证券股份有限公司及其关联机构以下统称为“广发证券”。
本报告的分销依据不同国家、地区的法律、法规和监管要求由广发证券于该国家或地区的具有相关合法合规经营资质的子公司/经营机构完成。
广发证券股份有限公司具备中国证监会批复的证券投资咨询业务资格,接受中国证监会监管,负责本报告于中国(港澳台地区除外)的分销。
广发证券(香港)经纪有限公司具备香港证监会批复的就证券提供意见(4号牌照)的牌照,接受香港证监会监管,负责本报告于中国香港地区的分销。
本报告署名研究人员所持中国证券业协会注册分析师资质信息和香港证监会批复的牌照信息已于署名研究人员姓名处披露。
重要声明[Table_ImportantNotices] 识别风险,发现价值 11/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 广发证券股份有限公司及其关联机构可能与本报告中提及的公司寻求或正在建立业务关系,因此,投资者应当考虑广发证券股份有限公司及其 关联机构因可能存在的潜在利益冲突而对本报告的独立性产生影响。
投资者不应仅依据本报告内容作出任何投资决策。
本报告署名研究人员、联系人(以下均简称“研究人员”)针对本报告中相关公司或证券的研究分析内容,在此声明:
(1)本报告的全部分析
结论、研究观点均精确反映研究人员于本报告发出当日的关于相关公司或证券的所有个人观点,并不代表广发证券的立场;
(2)研究人员的部分或全部的报酬无论在过去、现在还是将来均不会与本报告所述特定分析结论、研究观点具有直接或间接的联系。
研究人员制作本报告的报酬标准依据研究质量、客户评价、工作量等多种因素确定,其影响因素亦包括广发证券的整体经营收入,该等经营收
入部分来源于广发证券的投资银行类业务。
本报告仅面向经广发证券授权使用的客户/特定合作机构发送,不对外公开发布,只有接收人才可以使用,且对于接收人而言具有保密义务。
广发证券并不因相关人员通过其他途径收到或阅读本报告而视其为广发证券的客户。
在特定国家或地区传播或者发布本报告可能违反当地法律, 广发证券并未采取任何行动以允许于该等国家或地区传播或者分销本报告。
本报告所提及证券可能不被允许在某些国家或地区内出售。
请注意,投资涉及风险,证券价格可能会波动,因此投资回报可能会有所变化,过 去的业绩并不保证未来的表现。
本报告的内容、观点或建议并未考虑任何个别客户的具体投资目标、财务状况和特殊需求,不应被视为对特定 客户关于特定证券或金融工具的投资建议。
本报告发送给某客户是基于该客户被认为有能力独立评估投资风险、独立行使投资决策并独立承担 相应风险。
本报告所载资料的来源及观点的出处皆被广发证券认为可靠,但广发证券不对其准确性、完整性做出任何保证。
报告内容仅供参考,报告中的 信息或所表达观点不构成所涉证券买卖的出价或询价。
广发证券不对因使用本报告的内容而引致的损失承担任何责任,除非法律法规有明确规 定。
客户不应以本报告取代其独立判断或仅根据本报告做出决策,如有需要,应先咨询专业意见。
广发证券可发出其它与本报告所载信息不一致及有不同结论的报告。
本报告反映研究人员的不同观点、见解及分析方法,并不代表广发证券的
立场。
广发证券的销售人员、交易员或其他专业人士可能以书面或口头形式,向其客户或自营交易部门提供与本报告观点相反的市场评论或交 易策略,广发证券的自营交易部门亦可能会有与本报告观点不一致,甚至相反的投资策略。
报告所载资料、意见及推测仅反映研究人员于发出 本报告当日的判断,可随时更改且无需另行通告。
广发证券或其证券研究报告业务的相关董事、高级职员、分析师和员工可能拥有本报告所提 及证券的权益。
在阅读本报告时,收件人应了解相关的权益披露(若有)。
权益披露
[Table_InterestDisclosure]
(1)广发证券(香港)跟本研究报告所述公司在过去12个月内并没有任何投资银行业务的关系。
版权声明[Table_Copyright] 未经广发证券事先书面许可,任何机构或个人不得以任何形式翻版、复制、刊登、转载和引用,否则由此造成的一切不良后果及法律责任由私自翻版、复制、刊登、转载和引用者承担。
识别风险,发现价值 12/12 请务必阅读末页的免责声明
或将出台的等保2.0,全称为《网络安全等级保护条例》,出台后将取代《信息安全等级保护管理办法》成为国内的信息系统安全等级保护工作的主要标准。
由于等保2.0尚未正式出台,下述等保2.0内容均出自征求意见稿。
相比1.0,等保2.0的三级覆盖对象范围增加,针对云计算等新技术新增大量扩展要求,同时有《网络安全法》为其落实提供法律保障,其实施有望推动行业投入力度加大。
部分领先公司先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。
预计深信服、启明星辰等公司有望受益于等保2.0的推出。
但等保2.0生效日期、过渡期存在不确定性,落地后对行业投入的促进作用难以量化。
12% 4%-5%01/1803/1805/1807/1809/1811/18 -13% -21% -29% 计算机 沪深300 [分Ta析ble师_A:uthor]刘雪峰 SAC执证号:S0260514030002SFCCENo.BNX004 02160750605gfliuxuefeng@ 等保2.0对行业投入的推动作用主要体现在以下三点:等保2.0三级覆盖面扩展,促进相应对象投入加大 在等保2.0中,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象,相应控制项要求显著增多。
且三级以上(包含三级)对象需每年开展一次网络安全等级测评,强制性高于二级。
等保2.0就新技术新增扩展要求,将带来增量市场 相比等保1.0,等保2.0在通用要求的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。
传统信息安全市场的典型客户是党政军、电信、金融、交通、教育等领域,新增扩展将新技术领域纳入监管范围,将带来增量市场。
等保2.0法规性更强,落地效果有望优于等保1.0 一是等保2.0制定依据的法律阶位及本身法规性,均高于1.0,法规性更强。
二是等保1.0推行期间,缺乏相关法律作为落实保障,强制性不足;2017年6月起《网络安全法》正式实施,为等保2.0的落实提供了法律支撑。
基于此,等保2.0推行的效果有望好于等保1.0。
风险提示 等保2.0生效日期、过渡期存在不确定性;等保2.0的落地对行业投入的促进作用大小难以量化,有不确定性。
[相Tab关le_研Do究cRe:port] 计算机行业2019年度投资策略:五年磨一剑、龙头公司引领产业创新落地周期 2018-12-07 [联Ta系ble人_C:ontacts庞]倩倩020-87555888pangqianqian@ 识别风险,发现价值 1/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 目录索引
一、等保2.0三级覆盖面扩展,促进相应对象投入加大.....................................................51、等保2.0三级对象覆盖范围扩展...........................................................................52、三级安全防范要求显著多于二级...........................................................................53、对三级对象的强制性要求高于二级.......................................................................6
二、等保2.0就新技术新增扩展要求,将带来增量市场.....................................................8三、等保2.0法规性更强,落地效果有望优于等保1.0......................................................9 识别风险,发现价值 2/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 图表索引 表1:等保2.0与等保1.0比的等级划分区别.......................................................5表2:等保1.0中二级、三级控制点、控制项对比................................................6 识别风险,发现价值 3/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 等保1.0全称为《信息安全等级保护管理办法》(公通字200743号文),出台于 2007年,是过去十几年公安机关开展信息系统安全的等级保护工作的主要依据。
即 将出台的等保2.0,全称为《网络安全等级保护条例》,将取代《信息安全等级保护 管理办法》成为国内的信息系统安全等级保护工作的主要依据。
由于等保2.0尚未正 式出台,下述等保2.0内容均出自征求意见稿。
相比等保1.0,等保2.0的推出有望推动信息安全行业投入加大。
原因在于:
等保2.0三级对象覆盖面扩展。
在等保2.0中,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象,相应控制项要求显著增多。
且三级以上(包含三级)对象需每年开展一次网络安全等级测评,强制性高于二级。
针对新技术新增扩展要求。
相比等保1.0,等保2.0在通用要求的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。
传统信息安全市场的典型客户是党政军、电信、金融、交通、教育等领域,新增扩展将新技术领域纳入监管范围,有望带来增量市场。
部分领先公司先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。
预计深信服、启明星辰等公司有望受益于等保2.0的推出。
等保2.0法规性更强,落地效果有望优于等保1.0。
一是等保2.0制定依据的法律阶位及本身法规性,均高于1.0。
二是等保1.0推行期间,缺乏相关法律作为落实保障,强制性不足。
2017年6月起《网络安全法》正式实施,为等保2.0的落实提供了法律支撑。
等保2.0推行的效果有望好于等保1.0。
我们预计等保2.0的出台有望对行业投入产生促进作用,但由于等保2.0生效日期、过渡期存在不确定性,落地后对行业投入的促进作用难以量化。
识别风险,发现价值 4/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机
一、等保2.0三级覆盖面扩展,促进相应对象投入加大 相比等保1.0,等保2.0中三级对象范围显著增加,且对三级及以上网络运营者要求的严格程度远高于二级对象,三级对象范围的扩展有望推动网络安全行业投入力度加大。
1、等保2.0三级对象覆盖范围扩展 三级对象覆盖范围大幅扩展。
等保2.0根据等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,将信息系统的安全保护等级分为5个等级。
相比等保1.0,等保2.0三级覆盖范围大幅扩展,“受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二级上升到三级对象。
等保2.0对网络系统的安全等级具体划分如下: 第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
表1:等保2.0与等保1.0比的等级划分区别受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级变为第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 数据来源:GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》、《网络安全等级保护条例》(征求意见稿)、广发证券 发展研究中心 识别风险,发现价值
2、三级安全防范要求显著多于二级
等保要求中的控制点是指所需防范的安全大类下的子类,如“网络和通信安全” 大类下包括网络架、通信传输、边界防护、入侵防范等8个控制点。
控制项是指安全点需要满足安全要求,如就控制点“入侵防范”提出“应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为”等若干项要求。
控制点多少代表需防范的 5/12 请务必阅读末页的免责声明 [Table_PageText] 安全面大小,控制项差异体现对安全防范的程度要求不同。
跟踪分析|计算机 不同的等级安全需防范的安全内容大致相同(控制点大致相同),但是对防范
力度的要求有较大差异(控制项数量存在区别)。
三级安全防范要求显著多于二级:以等保1.0为例,对二级、三级对象的安全的要求项分别175、290个。
表2:等保1.0中二级、三级控制点、控制项对比 数据来源:GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、广发证券发展研究中心 识别风险,发现价值
3、对三级对象的强制性要求高于二级 三级对象需要每年开展年检,强制性要求高于二级。
据《网络安全等级保护条例(征求意见稿)》第二十三条【等级测评】内容显示:“第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
” 除此之外,三级在安全保护义务、应急处置方面也有特别要求: 第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务(仅列出部分内容): 制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过。
落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全事件等进行动态监测分析,并与同级公安机关对接。
建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告。
6/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 第三十二条【应急处置要求】第三级以上网络的运营者应当按照国家有关 规定,制定网络安全应急预案,定期开展网络安全应急演练。
识别风险,发现价值 7/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机
二、等保2.0就新技术新增扩展要求,将带来增量市场 等保2.0在等保1.0资产防护的基础上,补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求。
以云计算中的“网络和通信安全”子项“网络架构安全”为例,云计算扩展要求结合云架构实际情况提出实时监控、虚拟安全技术等要求,客户为满足扩展要求需采用新技术服务及产品。
网络和通信安全-网络架构安全云计算扩展安全要求为:a)应实现不同云租户之间网络资源的隔离,并避免网络资源的过量占用;b)应绘制与当前运行情况相符的虚拟化网络拓扑结构图,并能对虚拟化网络资源、网络拓扑进行实时更新和集中监控; c)应保证虚拟机只能接收到目的地址包括自己地址的报文;d)应保证云计算平台管理流量与云租户业务流量分离;e)应能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量; f)应根据承载的业务系统安全保护等级划分资源池,并实现资源池之间的隔离; g)应提供开放接口,允许接入第三方安全产品,实现云租户的网络之间、安全区域之间、虚拟机之间的网络安全防护; h)应根据云租户的业务需求定义安全访问路径。
部分领先安全公司在云安全、移动安全、工控安全等新兴领域均有所布局,此前先后与阿里、腾讯等云计算厂商就云安全开展技术合作,深信服积极布局私有云安全。
预计深信服、启明星辰等公司有望受益于等保2.0的推出。
识别风险,发现价值 8/12 请务必阅读末页的免责声明 识别风险,发现价值 [Table_PageText] 跟踪分析|计算机
三、等保2.0法规性更强,落地效果有望优于等保1.0 相比等保1.0,等保2.0具有更强的法规性,执行力度、落地效果有望优于等保1.0。
等保2.0制定依据的法律阶位及本身法规性,均高于1.0 等保1.0配套的核心约束文件为《信息安全等级保护管理办法》,由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,依据的法律主要是:《中华人民共和国计算机信息系统安全保护条例》,属于行政法规文书范畴。
等保2.0配套的核心约束文件为《网络安全保护条例》,尚属征求意见稿阶段,依据的法律主要是:《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》,应当属于行政法规范畴。
据《常用经济应用文写作教程》2011版(“十二五”规划教材),条例是指国务院根据全国人民代表大会及其常务委员会的授权决定制定的一种行政法规(我国《行政法规制定程序条例》规定:国务院各部门和地方人民政府制定的规章不得称“条例”)。
办法是指国家机关、地方政府、企事业单位等根据国家有关法律、法规或条例,就某项工作的实施和具体做法而制定的行政法规文书。
办法与条例的区别在于:办法突出某一方面的工作内容、做法,条例则较全面、系统、原则,它针对整个工作的各个方面。
办法的法规性和约束力不及条例。
据此,《网络安全等级保护条例》应当属于行政法规范畴,且《网络安全等级保护条例》法规性、约束力高于《信息安全等级保护管理办法》。
等保1.0推行期间,缺乏相关法律作为落实保障,强制性不足。
2017年6月起《网络安全法》正式实施,为等保2.0的落实提供了法律支撑。
等保2.0推行的效果有望好于等保1.0。
等保2.0明确指出,对于违反有关规定,由相关部门依照《网络安全法》予以处理。
例如: 第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。
整体而言,相比等保1.0,等保2.0的三级覆盖对象范围增加,针对新技术新增大量扩展要求,同时有《网络安全法》为其落实提供法律保障,预计等保2.0的实施有望推动行业投入力度加大,相关公司有望受益。
但等保2.0生效日期、过渡期存在不确定性,落地后对行业投入的促进作用大小也难以量化。
9/12 请务必阅读末页的免责声明 风险提示 [Table_PageText] 跟踪分析|计算机 等保2.0生效日期、过渡期存在不确定性;等保2.0的落地对行业投入的促进作用大小难以量化,有不确定性。
识别风险,发现价值 10/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 广[Tab发le_R计esea算rchT机eam行]业研究小组 刘雪峰:首席分析师,东南大学工学士,中国人民大学经济学硕士,1997年起先后在数家IT行业跨国公司从事技术、运营与全球 项目管理工作。
2010年7月始就职于招商证券研究发展中心负责计算机组行业研究工作,2014年1月加入广发证券发展 研究中心。
王奇珏:分析师,上海财经大学信息管理学士,上海财经大学资产评估硕士,2015年进入广发证券发展研究中心。
郑楠:分析师,北京邮电大学计算机专业学士,法国巴黎国立高等电信大学移动通信硕士,2010年起就职于外资企业软件公司 从事研发、咨询顾问等工作,2015年加入广发证券发展研究中心。
钱砾:研究助理,东南大学信息工程学士、生物医学工程医学电子影像方向硕士,先后在电子信息行业和医疗影像设备行业工作 超过6年,2017年加入广发证券发展研究中心。
庞倩倩:研究助理,华南理工大学管理学硕士,曾就职于华创证券,2018年加入广发证券发展研究中心。
广发证券—行业投资评级说明[Table_RatingIndustry] 买入:预期未来12个月内,股价表现强于大盘10%以上。
持有:预期未来12个月内,股价相对大盘的变动幅度介于-10%~+10%。
卖出:预期未来12个月内,股价表现弱于大盘10%以上。
广发证券—公司投资评级说明[Table_RatingCompany] 买入:预期未来12个月内,股价表现强于大盘15%以上。
增持:预期未来12个月内,股价表现强于大盘5%-15%。
持有:预期未来12个月内,股价相对大盘的变动幅度介于-5%~+5%。
卖出:预期未来12个月内,股价表现弱于大盘5%以上。
联系我们[Table_Address] 地址 广州市 广州市天河北路183号大都会广场5楼 邮政编码客服邮箱 510075gfyf@ 深圳市 深圳市福田区益田路6001号太平金融大厦31层518026 北京市 北京市西城区月坛北街2号月坛大厦18层 100045 上海市 上海市浦东新区世纪大道8号国金中心一期16楼200120 香港 香港中环干诺道中111号永安中心14楼1401-1410室 法律主体声明[Table_LegalDisclaimer] 本报告由广发证券股份有限公司或其关联机构制作,广发证券股份有限公司及其关联机构以下统称为“广发证券”。
本报告的分销依据不同国家、地区的法律、法规和监管要求由广发证券于该国家或地区的具有相关合法合规经营资质的子公司/经营机构完成。
广发证券股份有限公司具备中国证监会批复的证券投资咨询业务资格,接受中国证监会监管,负责本报告于中国(港澳台地区除外)的分销。
广发证券(香港)经纪有限公司具备香港证监会批复的就证券提供意见(4号牌照)的牌照,接受香港证监会监管,负责本报告于中国香港地区的分销。
本报告署名研究人员所持中国证券业协会注册分析师资质信息和香港证监会批复的牌照信息已于署名研究人员姓名处披露。
重要声明[Table_ImportantNotices] 识别风险,发现价值 11/12 请务必阅读末页的免责声明 [Table_PageText] 跟踪分析|计算机 广发证券股份有限公司及其关联机构可能与本报告中提及的公司寻求或正在建立业务关系,因此,投资者应当考虑广发证券股份有限公司及其 关联机构因可能存在的潜在利益冲突而对本报告的独立性产生影响。
投资者不应仅依据本报告内容作出任何投资决策。
本报告署名研究人员、联系人(以下均简称“研究人员”)针对本报告中相关公司或证券的研究分析内容,在此声明:
(1)本报告的全部分析
结论、研究观点均精确反映研究人员于本报告发出当日的关于相关公司或证券的所有个人观点,并不代表广发证券的立场;
(2)研究人员的部分或全部的报酬无论在过去、现在还是将来均不会与本报告所述特定分析结论、研究观点具有直接或间接的联系。
研究人员制作本报告的报酬标准依据研究质量、客户评价、工作量等多种因素确定,其影响因素亦包括广发证券的整体经营收入,该等经营收
入部分来源于广发证券的投资银行类业务。
本报告仅面向经广发证券授权使用的客户/特定合作机构发送,不对外公开发布,只有接收人才可以使用,且对于接收人而言具有保密义务。
广发证券并不因相关人员通过其他途径收到或阅读本报告而视其为广发证券的客户。
在特定国家或地区传播或者发布本报告可能违反当地法律, 广发证券并未采取任何行动以允许于该等国家或地区传播或者分销本报告。
本报告所提及证券可能不被允许在某些国家或地区内出售。
请注意,投资涉及风险,证券价格可能会波动,因此投资回报可能会有所变化,过 去的业绩并不保证未来的表现。
本报告的内容、观点或建议并未考虑任何个别客户的具体投资目标、财务状况和特殊需求,不应被视为对特定 客户关于特定证券或金融工具的投资建议。
本报告发送给某客户是基于该客户被认为有能力独立评估投资风险、独立行使投资决策并独立承担 相应风险。
本报告所载资料的来源及观点的出处皆被广发证券认为可靠,但广发证券不对其准确性、完整性做出任何保证。
报告内容仅供参考,报告中的 信息或所表达观点不构成所涉证券买卖的出价或询价。
广发证券不对因使用本报告的内容而引致的损失承担任何责任,除非法律法规有明确规 定。
客户不应以本报告取代其独立判断或仅根据本报告做出决策,如有需要,应先咨询专业意见。
广发证券可发出其它与本报告所载信息不一致及有不同结论的报告。
本报告反映研究人员的不同观点、见解及分析方法,并不代表广发证券的
立场。
广发证券的销售人员、交易员或其他专业人士可能以书面或口头形式,向其客户或自营交易部门提供与本报告观点相反的市场评论或交 易策略,广发证券的自营交易部门亦可能会有与本报告观点不一致,甚至相反的投资策略。
报告所载资料、意见及推测仅反映研究人员于发出 本报告当日的判断,可随时更改且无需另行通告。
广发证券或其证券研究报告业务的相关董事、高级职员、分析师和员工可能拥有本报告所提 及证券的权益。
在阅读本报告时,收件人应了解相关的权益披露(若有)。
权益披露
[Table_InterestDisclosure]
(1)广发证券(香港)跟本研究报告所述公司在过去12个月内并没有任何投资银行业务的关系。
版权声明[Table_Copyright] 未经广发证券事先书面许可,任何机构或个人不得以任何形式翻版、复制、刊登、转载和引用,否则由此造成的一切不良后果及法律责任由私自翻版、复制、刊登、转载和引用者承担。
识别风险,发现价值 12/12 请务必阅读末页的免责声明
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
