2020信息安全行业市场发展趋势分析,等保政策升级促进网安市场新需求上升空
1、等级保护制度是国家网络安全保障的基本制度
网络安全等级保护是国家网络安全保障的基本制度、基本策略和基本方法。等级保护是指对国家安全、法人和其他组织及公民的专有信息、公开信息和信息系统(存储、传输、处理信息)分等级实行安全保护,并且对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。
自1994年“等级保护”概念提出以来,等级保护政策已经经过20多年的发展历程。1994年国务院第一次提出“计算机信息系统实行安全等级保护”的概念。1999年国家发布关于计算机信息系统安全保护等级划分准则强制性标准,标志着我国正式进入等级保护的起步与探索阶段。2007年,公安部发布信息安全等级保护管理办法,加快推进、规范管理等级保护建设工作。2008年等保1.0开始实施,明确对于各等级信息系统的安全保护基本要求。2017年,随着《网络安全法》的颁布和实施,我国等级保护制度已经上升到法律层面。2019年,等保2.0全面启动。
等级保护具体包括信息系统定级、备案、安全建设整改、等级测评和监督检查五个阶段。
(1)信息系统定级:按照《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级。对于拟确定为四级以上信息系统,还应经专家评审会评审。另外,申报系统在新建、改建、扩展立项时需要同时向立项审批部门提交定级报告。
(2)备案:在确定等级后到所在地市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已经运行的二级及以上信息系统在等级确定30日内备案。对于定级不准确的,应当重新定级、重新备案。对于重新定级的,公安机关一般会建议备案单位组织专家进行重新定级评审,并上报上级主管部门审批。
(3)安全建设和整改:根据整改方案开展信息系统安全建设和整改。运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,指定并落实安全管理制度。另外,对于未达到安全等级保护要求的,或者资料不齐全的,运营、使用单位应当进行整改,整改完成后将整改报告报公安机关备案。
(4)等级测评:运营、使用单位或者主管部门选择合规测评机构,定期对信息系统安全等级状况开展等级测评。等保1.0中规定,对于三级及以上信息系统至少每年进行一次等级测评,四级及以上信息系统至少每半年进行一次等级测评。等保2.0对此做出调整,规定对于三级及以上信息系统每年一次等级测评。
(5)监督检查:公安机关定期对信息系统进行安全检查。公安机关根据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查,接受检查的单位如实向公安机关提供有关材料。
图:等级保护的5个阶段
2、等保2.0对安全需求更加细化和升级企业安全投入有望持续加大
根据等级保护对象的重要程度以及遭到破坏后的危害程度,由低到高被划分为五个安全保护等级,网络越重要,对应的安全级别就越高。信息系统的安全保护等级由等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度两个定级要素决定的。这五个安全保护等级由低到高分别是:自助保护等级、指导保护等级、监督保护等级、强制保护等级和专控保护等级。前两个等级对应一般网络,等级随着网络的重要程度逐步上升,第五级对应极端重要网络,受到侵害将产生特别严重的危害。
图表:等保2.0定级标准
资料来源:公开资料整理
2019年5月13日下午,国家市场监督管理总局召开新闻发布会,正式发布了网络安全等级保护2.0(简称等保2.0)核心标准(《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》),网络安全等级保护正式进入2.0时代。
对比等保1.0版本,等保2.0在内容上有了更多的细化,对安全防范的需求也进一步升级。与等保1.0版本相比,等保2.0版本有了很多的变化,具体包括等保2.0上升到法律层面,把云计算、物联网、移动互联和工控领域等新技术纳入了监管,监管对象变成了全社会,强化了对信息安全服务供应商管理、安全测试、工程监理与运维的管理要求以及持续出台相应配套的政策法规,建立完整的保护体系等。整体而言,等保2.0对安全的要求有了明显的提升。
图:等保2.0政策的主要变化
等保2.0名称与《网络安全法》保持一致,从法规条例上升到法律层面,现在不开展等级保护等于违法。等保1.0依据的是《信息安全等级保护管理办法》,最高国家政策是《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》,而等保2.0依据的是《网络安全等级保护条例》,最高国家政策是《中华人民共和国网络安全法》。因此,等保2.0从自身法律效力或法律依据的效力均高于等保1.0,现在不开展等级保护就意味着违反法律。
图:等保2.0从法规条例上升到法律层面
资料来源:公开资料整理
等保2.0对定级对象进行更多细化,将云计算、物联网、移动互联、工业控制系统等新技术纳入政策当中,实现全面覆盖。等保1.0中仅把信息系统作为定级对象,缺少对新技术的安全要求。近年来,随着“云、大、物、智”和产业互联网等新技术、新场景的出现,网络与信息安全的种类和复杂程度不断加深。因此,等保2.0需要建立完整的保护体系,对网络安全对象的要求进行全面细化,实现定级对象的完整覆盖。
图:等保1.0和2.0定级对象对比
资料来源:公开资料整理
图:新兴技术产生新的安全需求
资料来源:公开资料整理
标准要求方面,等保2.0在对等保1.0标准基本要求进行优化的同时,针对云计算、移动互联、物联网和工业控制系统等都提出了新的要求规定。等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求。安全通用要求是不管等级保护对象的形态如何都必须满足的要求;安全扩展要求则是针对特殊技术场景所提出的特殊保护要求,使用新技术的信息系统需要同时满足安全通用要求和新技术的安全扩展要求。
图:等保2.0通用安全要求+新技术安全扩展要求
资料来源:公开资料整理
等保2.0加大政企考核力度,提高政企信息系统安全防护水平。在测评分数方面,等保2.0提高了测评分数,由原来的60分以上为基本符合要求提高到75分以上。与此同时,第三级以上系统每年要进行一次等级测评,并将对公民、法人和其他组织的合法权益造成特别严重损害由第二级升级到第三级,定级标准更加严格。此外,企业出现安全责任需自行承担,地方政府网信办、公安部门对违法企业处罚力度持续加强。
图表:等保1.0和2.0测评周期、分数对比
资料来源:公开资料整理
图表:等保2.0等级划分
资料来源:公开资料整理
现阶段我国对信息安全占IT投入的比值远低于美国以及国际水平,随着等保2.0政策的实施,未来安全投入比例有望上升。根据IDC的统计,2017年我国对于IT安全的投入占IT市场的比例为1.84%,不到全球水平的50%,仅为美国水平的40%左右。随着等保2.0政策正式实施,法律对违反安全法规的政企处罚力度加大。