2020网络安全行业市场发展趋势分析,政策引领景气度向上正式迈进等保2.0时代
我国网络安全产业发展景气度将持续向上。从需求来看,1)20年是十三五规划最后一年,规划要求有望加速兑现。重磅政策意见稿发布,提出到2025年,网络安全产业规模超过2000亿。2)等保2.0在12月已正式实施,合规驱动打开行业空间。3)IT技术演变催化出新的安全威胁,云计算、大数据等新兴技术领域带来增量市场空间。二、供给端:虽然当前市场依然呈碎片化,政策鼓励头部厂商做大做强,强调安全运营发展,优势向具备整体解决方案的头部厂商明显倾斜,重点布局安全运营的厂商具有先发优势。
1、政策推进景气度持续向上,等保2.0正式实施开启增量空间
十三五最后一年景气度持续向上,重磅征求意见稿发布鼓励行业高速发展十三五规划最后一年,网络安全产业持续保持高景气。整体来看每个五年计划中收入增速一般来说前两年为计划期,第三到五年为具体实施期。在“十二五”规划末期,信息安全产品收入增速达到了20%左右,十三五规划开始的16年信息安全产业明显下降,17年新增国家安全标准43个,比16年多增了13个,首次新增突破40个之后,18年信息安全产品同比增速维持在较高的水平,我们认为20年作为“十三五”规划最后的一年,信息安全产业有望整体提速。
重磅征求意见稿发布,鼓励行业高速发展。9月29日,工业和信息化部会同有关部门起草了《关于促进网络安全产业发展的指导意见(征求意见稿)》,面向社会公开征求意见。意见稿提出到2025年,网络安全产业规模超过2000亿。2018年网络安全产业规模为495.2亿,以2025年实现2000亿为目标,预计未来7年的复合增速为22%。
表:《关于促进网络安全产业发展的指导意见(征求意见稿)》主要任务
资料来源:公开资料整理
2.等保2.0已正式实施,合规开启百亿空间
12月1日起等保2.0开始实施,正式迈进2.0时代。等级保护于1994年在我国首次提出,2007年和2008年颁布实施《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。等保2.0相关国家标准于2019年5月10日正式发布,2019年12月1日开始实施。
表:等级保护制度演进过程
资料来源:公开资料整理
等保2.0扩容网络安全市场空间,合规性执行更加严格完善。等保2.0有5个运行步骤:确定定级对象、自主定级及书面论证、专家论证审定等。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。等保1.0中4级系统需每半年进行一次测评,等保2.0中,3级及以上系统则需每年测评一次;等保1.0的及格分数为60分(部分地区如上海有更高分数要求),而等保2.0将合格线提升至75分,预计整个等保2.0的市场规模在200亿左右。
图:等保2.0的具体定级流程及实施流程
等保1.0时代的信息安全以防火墙、堡垒机、IDS等被动防御为主,随着安全威胁的升级,等保2.0也提出了主动防御上的要求。这将有望带动态势感知、流量回溯、APT攻击检测与防护和SOC等主动防御产品的需求增加。
表:等保2.0重点新增要求项
资料来源:公开资料整理
相比等保1.0,等保2.0更加契合当今的网络安全形势,将“云计算、物联网、移动互联网、大数据和工业控制系统”纳入等保监管,互联网企业也将纳入等级保护管理。等保1.0保护的对象是计算机信息系统,而等保2.0上升为网络空间安全,除了计算机信息系统,还包含网络安全基础设施、“云、物、移、大、工控”等对象。等保由原来的规定上升到了法律,执行力度加大,等级保护2.0是一次网络安全的重大升级。
资料来源:锐观咨询整理
等保2.0由旧标准的10个分类调整为8个分类。管理要求方面,调整为安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理;技术要求方面,调整为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
图表:等保1.0与等保2.0通用要求框架对比
资料来源:锐观咨询整理
等级保护工作的基本流程落实到系统建设全生命周期的每个环节,每一环都需要系统运营、使用单位重点留意。等保工作包括系统定级、系统备案、整改实施、系统测评和运维检查五大步骤,其中最重要的环节是信息系统安全等级测评,它用来验证信息系统能不能满足相应安全保护等级,包含安全控制测评和系统整体测评两个层次。
资料来源:锐观咨询整理