网络安全行业专题报告 2019-09-25 数观天下  ?1、技术迭代+立法 ?2、网络信息安全产业发展趋势 ?3、自主可控 ?4、重点安全企业  技术迭代 ?网络安全形势日益严峻：2019年全球已发生上百起影响较大的网络安全事件，根据国家互联网应急中心 的报告数据，2018年我国“零日”漏洞数量持续走高，网络安全形势严峻。网络攻击频发、攻击多样化 和隐蔽化成为全球网络攻击的主要特征。 ?安全立法明确主体义务：2017年6月1日《网络安全法》正式生效，是我国网络安全法制化建设的里程碑 ，自此安全从行政规范上升为法律义务。关键信息基础设施保护、网络数据和个人信息保护、网络安全 应急与监测等方面的安全需求有法必依。 ?安全已成为企业数字化转型最大挑战： IDC对全球500名CIO调研发现，网络安全已经成为全球企业数字 化转型的最大挑战，严峻形势和法律合规要求下，越来越多的企业将网络安全建设提升到战略层面。 2019年全球知名网络安全事件 我国“0day”安全漏洞数量持续增长 网络安全成为全球企业数字化转型的最大挑战 资料来源：IDC  安全标准 ?等级保护标准日益进阶： ?等保1.0：“等级保护”在1994年国务院令147号《计算机信息系统安全保护条例》中首次提出，后陆续 发布系列信息安全等级保护标准，2007-2017年是等级保护1.0时代。2017年《网络安全法》第二十一条明 确规定“国家实行网络安全等级保护制度”。 ?等保2.0：由于云计算、大数据、物联网等新技术带来大量新应用及业务形态的出现，安全形势发生显 著变化，用于最新的安全要求。2018年6月公安部发布《网络安全等级保护条例（征求意见稿）》，标志 着等保2.0时代到来。2019年5月13日，网络安全等级保护技术2.0版本正式公开发布，等保2.0增加了对 云计算、大数据、移动互联、工控、物联网等方面的安全扩展性要求，丰富了防护内容和要求，为落实 信息系统安全工作提供了方向和依据。 我国安全监管力度历史新高 等保2.0相关落地进程 资料来源：IDC、深信服  等级保护 ?等级保护对象范围扩大：等保2.0将云计算、移动互联、物联网、工业控制系统等列入了标准范围，也提高 了社会各主体对于关键信息基础设施（能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会 保障、公用事业等）的保护和保障。 ?安全保护内容大幅扩充：等保2.0增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难 备份、应急处置、自主可控、供应链安全、效果评价、综治考核等，相比于之前的等保1.0更侧重主动防 御、安全可信、动态感知和全面审计。 ?法律效力提升：相比于基于行政法规的等保1.0，等保2.0的执行有《网络安全法》的法律依据，等保建设 将是网络运营者必须履行的网络安全义务，国家也将对未履行义务或是出现重大安全事故的运营、使用单 位进行严肃处理。等保2.0与等保1.0的多维度详细对比 等保1.0 等保2.0 名称变化 法律效力 保护对象 信息安全等级保护 网络安全等级保护 以经过全国人大通过的《中华人民共和国网络安全法》为立法依据， 《网络安全法》第21条“国家实行网络安全等级保护制度，要求 网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。 以1994年国务院颁布的147号令《计算机信息系统 安全保护条例》为立法依据，立法基础为行政法规 将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物 联网、工控系统、公众服务平台、互联网企业等全部纳入等级保护监管 主要包括基础信息网络和信息系统 技术要求分为物理安全、网络安全、主机安全、应 用安全、数据安全及备份恢复，管理要求分为安全 管理制度、安全管理机构、人员安全管理、系统建 设管理和系统运维管理。 技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算 环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安 全人员管理、安全建设管理和安全运维管理。 控制措施分类 内容扩充 五个规定性动作，包括定级、备案、建设整改、测 评和监督检查 增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难 备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。 专家评审,主管部门审核，将原有的30天内备案缩短为10个工作日，并 定级备案流程 等级测评要求 自主定级、自主保护 明确了定级流程分为：确定定级对象、初步确定等级、专家评审、主管 部门审核、公安机关备案 要求60分基本符合 测评达到75分以上才算基本符合 资料来源：启明星辰官网