【详解等保】安全可控系列之一:等保2.0,催生网络安全新需求

主要观点

网络安全等级保护2.0标准颁布在即。从2015年开始,国家安标委开始启动等级保护2.0标准的制定。2017年6月1号开始实施的《网络安全法》第二十一条和第五十九条以网络安全领域基本法的形式确立了国家网络安全等级保护制度,规定了等级保护制度安全措施的基线要求并赋予强制力,同时第三十一条进一步要求关键信息基础设施必须落实国家安全等级保护制度,突出保护重点。2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》。2018年11月9日,公安部网络安全保卫局总工程师郭启全在2018合肥网络安全大会上提到,等保2.0标准已在国家安标委最终审批,不日出台。

等保2.0是网络安全的一次重大升级。等级保护2.0较1.0相比,主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面。从工作内容上来比较,除了满足等保1.0时代定级、备案、建设整改、等级测评和监督检查五个规定动作以外,把风险评估、安全监测、通报预警、案事件调查等方面的工作都纳入到等级保护的范围之内。另外,保护对象也从传统的网络和信息系统,向“云大物智移”上扩展。保护力度上,从原来等保1.0的十个安全控制域缩减为2.0的八个。总体控制要求,以三级为例控制数量从290个点,调整为231个点。这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。

回溯等保1.0时代,等级保护政策极大促进了信息安全行业的发展。2007年《信息安全等级保护管理办法》的发布,标志着等保1.0时代正式开启。随后等级保护系列配套政策密集出台,推动信息安全行业景气度快速提升。根据对启明星辰、绿盟科技、卫士通、北信源、蓝盾股份五家信息安全上市企业收入增速(中位数法)的统计,从2008到2011年我国信息安全厂商收入增速快速提升,我们认为等级保护政策是重要驱动因素之一。

等保2.0,料将催生网络安全新需求。我们认为等保2.0给信息安全行业带来的增量空间主要来自两个方面:1)由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合等保2.0时代国家网络安全等级保护政策的新要求,将进一步加大信息安全产品和服务的投入。2)等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等在内所有新技术纳入监管,比等保1.0拓展了一个维度。随着等保2.0标准的逐步落实,国内信息安全市场有望迎来更大的发展。

投资建议:等保2.0进入落地阶段,将助力网络安全行业景气度进一步提升,具有深厚攻防等核心技术积累及完整解决方案的龙头厂商有望充分受益。推荐启明星辰、深信服,关注北信源、绿盟科技、卫士通。

风险提示:政策落地不及预期;市场竞争加剧。

目录
正文

一、初识等级保护:关于等级保护的六问六答

Q1:什么是等级保护?

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

Q2:等级保护包括哪些流程?

等保1.0时代的工作是五个规定动作,定级、备案、建设整改、等级测评和监督检查。在等保2.0时代,除了满足以上五个以外,把风险评估、安全监测、通报预警,案事件调查、数据防护、自主可控、供应链安全、效果评价、综治考核等方面的工作都纳入到等级保护的范围之内。

Q3:安全保护等级如何划分?

根据等保对象受到破坏时所侵害的客体和对客体造成侵害的程度,网络分为五个安全保护等级,五级是最高级别,系统等级越高,系统越重要,突发事故造成的损害越严重。

第一级,自主保护级。一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。

第二级,指导保护级。一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。

第三级,监督保护级。一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。

第四级,强制保护级。一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。

第五级,专控保护级。一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

总结来说,信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。另外,涉及到国家安全的,特别是全国性的系统定为四级。

Q4:等保测评周期一般多长?

等保工作是一个持续性工作,等保测评也是周期性工作。根据等保2.0最新要求,第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

Q5:等保测评的重点行业包括哪些?

根据智研咨询2015年公布的数据显示,政府、电信以及金融领域分别占据我国信息安全行业下游需求的前三位,合计占比59.3%,是需要进行等保测评的重点领域。另外由于能源行业的政策特殊性,也是进行等保测评的重点行业。

Q6:等级保护的主管部门是谁?

中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。

二、等级保护制度步入2.0时代,保护对象和技术手段等全面升级

(一)网络安全等级保护2.0标准颁布在即

回顾我国等级保护制度的发展,大致可分为以下三个阶段:

第一阶段:等级保护确立和探索阶段。这个阶段从1994年确立计算机信息系统实行安全等级保护制度开始,到2003年等级保护从一项计算机信息系统安全保护制度提升至国家信息安全保障基本制度。2004年至2006年,公安部联合四部委开展了涉及6万余家单位,共11万余信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点,探索开展等级保护工作领导、组织、协调的模式和办法,营造等级保护工作的政策环境,为全面开展等级保护工作奠定了坚实的基础。

第二阶段:等级保护全面实施阶段(等保1.0阶段)。历经十多年的探索,2007年正式启动实施等级保护工作,陆续出台等级保护基本要求、安全设计和测评要求等一系列标准,实现了完善测评体系、开展三级以上系统测评、建设整改等有关等级保护工作的阶段性目标。2010年以后,金融、电力、教育、医疗、交通等行业监管部门和企事业单位陆续配套相关制度,全面贯彻执行等级保护工作,标志着我国信息安全等级保护工作全面展开,等级保护工作进入规模化推进阶段。

第三阶段:等级保护创新发展阶段(等保2.0阶段)。我国网络安全威胁态势日益严峻,网络安全新形势新变化对等级保护工作提出了新要求,云计算、物联网、移动互联、工控系统等新技术新应用的发展不断催生等级保护的模式创新。从2015年开始,国家安标委开始启动等级保护2.0标准的制定。2017年6月1号开始实施的《网络安全法》第二十一条和第五十九条以网络安全领域基本法的形式确立了国家网络安全等级保护制度,规定了等级保护制度安全措施的基线要求并赋予强制力,同时第三十一条进一步要求关键信息基础设施必须落实国家安全等级保护制度,突出保护重点。2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》,正式宣告等保进入2.0时代。公安部网络安全保卫局总工程师郭启全在2018年11月9日技术论坛上谈到关于等保最新情况:等保2.0标准已在国家安标委最终审批,不日出台。

(二)等保2.0VS等保1.0,多方面进行重大升级

与等保1.0相比,等保2.0主要变化体现在以下方面:

1)《网络安全法》已经将等级保护制度上升为法律

原信息安全等保标准叫做“信息安全等级保护制度”,现在叫“网络安全等级保护制度”,与《中华人民共和国网络安全法》中的相关法律条文保持一致,等级保护从传统的信息系统层面上升到了网络空间安全的层面。

2)定级方式更加规范化

等保2.0的定级并不是1.0标准下的用户自主定级,而是要参照定级指南进行定级,等保工作更加规范化。

3)等级保护工作内容扩展

除了满足等保1.0时代定级、备案、建设整改、等级测评和监督检查五个规定动作以外,等保2.0把风险评估、安全监测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。

4)等级保护对象进一步扩展

等保进入2.0时代,保护对象从传统的网络和信息系统,向“云大物智移”上扩展,大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。

5) 等级保护体系升级

横向扩展了对云计算、移动互联、物联网、工业控制等新的安全要求;纵向延伸了对等保测评机构的规范管理。

6)控制措施分类结构变化

等保2.0依旧保留技术和管理两个维度,而具体要求由10个分类调整为8个分类。

7)标准控制点和要求项变化

等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。

以三级为例,在物理和环境安全控制类下,等保2.0控制点未发生变化,要求项由原来的32项调整为22项;在网络和通信安全类下,新标准减少了结构安全、边界完整性安全、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点,要求项总数还是33项,但内容有所变化。在设备和计算安全类下,新标准减少了剩余信息保护一个控制点,在测评对象上把网络设备、安全设备也纳入了此层面的测评范围,要求项由原来的32项调整为26项;新标准将应用安全、数据安全及备份恢复两个层面合并为应用和数据安全一个层面,减少了通信完整性、通信保密性、和抗抵赖三个控制点,增加了个人信息保护控制点,要求项则纳入了网络和通信安全层面的通信传输控制点,要求项由原来的39项调整为33项。

8) 技术保障体系升级

旧标准更偏重于对于防护的要求,而等保2.0标准,结合近些年网络与信息技术的新变化,补充提出了对云计算、物联网、移动互联网和工业控制系统的安全防护要求,更适应当前网络安全形势的发展,结合《网络安全法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。

这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。可以说,等级保护2.0是一次网络安全的重大升级。

三、等保2.0 有望助力网络安全行业迈上新台阶

(一)回溯等保1.0时代,等级保护政策极大促进了信息安全行业的发展

等保1.0给信息安全行业带来广阔市场空间。由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合国家信息安全等级保护政策,其必然要加大信息安全产品和服务的投入。根据卫士通的招股说明书中的阐述,“按照国家等级保护和分级保护相关政策要求,约有上万个等级、分级保护系统需要通过测评、认证和规划建设,这两个市场约有 100 亿以上的规模”。

等级保护系列政策的密集出台,推动信息安全行业景气度提升。2007年《信息安全等级保护管理办法》的发布,标志着等保1.0时代正式开启。此后配套政策、文件与标准密集出台,对等级保护的要求,流程,甚至时间节点做出了规定。例如2010出台的《关于推动信息安全等级保护测评体系和开展等级测评工作的通知》中,明确规定“2010 年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底前完成第三级(含)以上信息系统的安全建设整改工作”。随着等级保护系列政策的出台,信息安全行业的景气度也在快速提升。根据对启明星辰、绿盟科技、卫士通、北信源、蓝盾股份五家信息安全上市企业收入增速(中位数法)的统计和分析,我们发现:1)从2008到2011年我国信息安全厂商收入增速快速提升,我们认为等级保护政策是信息安全景气度提升的重要驱动因素之一。2)2014-2015年信息安全行业再次迎来高速增长,一个重要原因就在于2013年斯诺登“棱镜门”事件爆发,“信息安全”和“自主可控”被提升到了国家战略高度,政府及企业对信息安全的重视程度空前,推动整个行业的高景气。

(二)等保2.0时代,料将催生网络安全新需求

随着等保2.0标准的逐步落实,国内信息安全产品市场将迎来更大的发展。我们认为等保2.0给信息安全行业带来的增量空间主要来自两个方面:1)第三级以上的信息系统为符合等保2.0时代国家信息安全等级保护政策的新要求,将进一步加大信息安全产品和服务的投入。2)等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等新业态也纳入监管,实际上比等保1.0拓展了一个维度。

1、为满足等保2.0新要求,政府及重点行业有望加大信息安全产品和服务的投入

等保2.0对于等级保护工作提出新的要求,第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合国家信息安全等保2.0的要求,需要对信息系统重新进行定级、备案、建设整改、等级测评和监督检查等工作,将加大信息安全产品和服务的投入。据了解,目前已经有一些政府机构及重点行业企业针对等保2.0的要求进行等级保护整改、测评。

2、等保2.0将“云大物智移”纳入监管,进一步拓展了市场空间

1) 云安全等级保护

等级保护工作进入2.0时代,等级保护对象从原来单纯的信息系统拓展到了很多个领域,其中云计算系统是等级保护重点要关注的领域。

云等保框架下,尤其需要对云计算环境中的安全责任进行明确。IaaS服务下,云服务方责任硬件及虚拟化层的防护;云租户负责虚拟化以上的客户机的安全防护,数据库防护以及中间件和应用及数据的防护。PaaS服务模式下,客户虚拟机的安全防护责任交给了云服务商,云租户负责软件开发平台中间件以及应用和数据本身的安全防护。SaaS服务模式下,责任进一步上移,云租户只需要关心一些应用的简单的安全配置相关以及数据安全的防护。而数据安全防护,无论IaaS、PaaS到SaaS,对于云租户来讲,是始终要面对的重要问题。

2)物联网安全等级保护

等保2.0物联网部分主要扩展了感知层的安全要求,在物理和环境安全、网络和通讯安全、设备和计算安全,以及应用和数据安全做了扩展要求。

等保2.0物联网扩展要求,大部分条款是针对感知节点,然而,标准强调物联网系统定级的整体性。因此,物联网安全需要体系化建设,需要涵盖物联网的感知层、平台层、应用层和网络层。物联网安全防护体系,既包括等保2.0中所要求的传统安全,也能涵盖扩展后对感知设备层面的安全要求。

3)工控安全等级保护

工业控制系统安全扩展要求:1)物理和环境安全:增加了对室外控制设备的安全防护要求,如放置控制设备的箱体或装置以及控制设备周围的环境;

2)网络和通信安全:增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求,增加了拨号使用控制和无线使用控制的要求;

3)设备和计算安全:增加了对控制设备的安全要求,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备,如PLC、DCS控制器等;

4)安全建设管理:增加了产品采购和使用和软件外包方面的要求,主要针对工控设备和工控专用信息安全产品的要求,以及工业控制系统软件外包时有关保密和专业性的要求;

5)安全运维管理:调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求,更加适配工业场景应用和工业控制系统。

四、投资建议

等保2.0进入落地阶段,将助力网络安全行业景气度进一步提升,具有深厚攻防等核心技术积累及完整解决方案的龙头厂商有望充分受益。推荐启明星辰、深信服,关注北信源、绿盟科技、卫士通。

五、风险提示

政策落地不及预期;市场竞争加剧。

(内容来源:健谈计算机)

(0)

相关推荐