网络安全法与信息安全行业分析报告Word格式.docx
- 文档编号:21279720
- 上传时间:2023-01-29
- 格式:DOCX
- 页数:21
- 大小:1.30MB
网络安全法与信息安全行业分析报告Word格式.docx
《网络安全法与信息安全行业分析报告Word格式.docx》由会员分享,可在线阅读,更多相关《网络安全法与信息安全行业分析报告Word格式.docx(21页珍藏版)》请在冰豆网上搜索。
(2)数据安全事件高发且危害严重,全球重视数据安全...........................................20
4、“可信身份战略”助推生物识别产业...............................................................23
(1)《网络安全法》有力支撑新技术研发,生物识别是未来重点...........................23
(2)我国生物识别市场以指纹识别为主,人脸识别潜力最大...................................24
5、“人才培养战略”带动职业培训.......................................................................26
四、重点企业:
聚焦六大关键词..........................................................29
1、启明星辰..........................................................................................................29
2、蓝盾股份..........................................................................................................31
3、绿盟科技..........................................................................................................32
4、卫士通..............................................................................................................32
5、南洋股份..........................................................................................................33
6、立思辰..............................................................................................................35
7、北信源..............................................................................................................36
8、汉王科技..........................................................................................................36
9、佳都科技..........................................................................................................37
10、中科创达........................................................................................................38
高合规要求,高安全风险催生巨大需求空间。
《网络安全法》扩大了严格监管的范围,即经营性和非经营性的网络服务提供者都必须承担网络安全保护的各项义务,不进行分类管理,对企业等机构的安全管理提出了更高的合规要求。
同时,中国企业面临不断增长的安全威胁,据普华永道《2017年全球信息安全状况调查》显示,仅2016年,中国企业检测到的信息安全事件平均数就高达2,577,较2014年飞升969%。
在此情况下,中国企业的网络依存度普遍较高,各行业均不低于80%,在信息安全领域的投入却严重不足,30%的企业尚未建立任何信息安全团队。
基于《网络安全法》等相关法律法规带来的硬性合规要求,企业的信息安全建设将成为一种刚需,市场需求空间巨大。
我们预计,电信业需求持稳,金融和IT等行业率先迸发大量需求,传统行业次之。
“关键信息基础设施保护”赋利国内安全厂商。
关键信息基础设施保护的范围基本覆盖了国内的政府部门及事业单位、支撑社会经济运行的主要行业、各大媒体和大中型互联网公司等,这些机构将迸发出大量的安全产品和安全服务的需求。
其中,等级保护相关条例将促进等保第三方咨询、测评业务的增长,“国家队”背景的信息安全机构或具备相关资质的国内机构将获益;
安全审查相关条例从源头上设臵了国内市场的准入门槛,将关键行业的采购国产化定义为法律义务,加速自主可控战略的执行;
跨境数据管理相关条例促使数据本地化存储,国内云服务的市场爆发带动云安全服务的飞速增长。
“个人信息保护”推动数据安全业务。
近年来,数据安全事件在全球范围内呈高发态势,严重危害了个人和企业的经济利益、生命安全,甚至是国家的政治安全。
《网络安全法》从公民个人权益、国家安全、整体战略三个层面对个人信息保护做出了相关规定。
我们预计,数据安全将会成为信息安全行业发展强劲的细分领域。
由于数据安全防护常常涉及到关键敏感信息,国内的厂商更有可为。
“可信身份战略”助推生物识别产业。
《网络安全法》明确指出“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。
生物识别技术则是近年来最炙手可热并被寄予厚望的身份认证技术。
目前,在我国生物识别行业的市场结构单一,指纹识别技术占据绝对市场份额,但人脸识别技术呈现赶超态势,前景可期。
“人才培养战略”带动职业培训。
《网络安全法》提出了网络空间安全人才培养战略,加上__我国网络空间安全人才短缺,内部人员安全意识薄弱,就业培训需求增长等驱动因素,信息安全教育培训业务会迎来一段成长期。
信息安全的职业培训一般有四类:
常识教育、资格证书培训、攻防竞赛服务和技能提升课程。
目前,市场需求集中在专业从业人员资格证书的培训。
聚焦六大关键词。
投资应聚焦于六大关键词,即自主可控、等级保护、云安全、数据安全、生物识别和职业培训;
同时,由于云计算等业务的发展和安全态势的复杂化,信息安全责任主体未来需求的是综合性的安全产品和服务。
关注在多个领域具有优势的国内安全厂商或前沿领域深耕的专业公司:
启明星辰、绿盟科技、卫士通、南洋股份(天融信)、立思辰、汉王科技、佳都科技等。
一、《网络安全法》的前世今生
1、酝酿二十余载,今朝应运而生
《网络安全法》是我国第一部网络空间管辖的基本法,也是国家网络空间安全保障工作的总纲领。
《网络安全法》规范了网络空间多元主体的责任义务,以法律的形式催生一个维护国家主权、安全和发展利益的“命运共同体”;
从根本上填补了我国综合性网络信息安全基本大法、核心的网络信息安全法和专门法律的三大空白。
不过,《网络安全法》的出世并非一蹴而就,其间铺垫有二十余年。
2、六大亮点与时俱进,配套法规不断完善
《网络安全法》共7章79条,包含六大亮点:
1、明确了网络安全主权的原则;
2、明确了网络产品和服务提供者的安全义务;
3、明确了网络运营者的安全义务;
4、进一步完善了个人信息保护规则;
5、建立了关键信息基础设施安全保护制度;
6、确立了关键信息基础设施中数据跨境传输规则。
不仅如此,一些配套或相关的法规亦先后出台,包括《网络产品和服务安全审查办法(试行)》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《国家网络安全事件应急预案》、《互联网新闻信息服务管理规定》、《互联网新闻信息服务许可管理实施细则》和《互联网信息内容管理行政执法程序规定》等。
另外,《电子商务法(草案)》《个人信息和重要数据出境安全评估办法(征求意见稿)》和《关键信息基础设施安全保护条例(征求意见稿)》已公开向社会征询意见。
二、《网络安全法》驱动下的产业契机
1、高合规要求、高安全风险催生巨大需求空间
(1)《网络安全法》扩大严格监管范围,对企业提出更高合规要求
《网络安全法》既是一部网络空间的治理法,也是一部产业促进法,为网络安全的相关利益方有效提示法律责任,帮助企业规避相关风险。
那么,法条对基础概念范畴的厘定至关重要。
特别的是,在我国现行法律中,《网络安全法》首次提出了“网络运营者”的概念,第七十六条释义:
“网络运营者,是指网络的所有者、管理者和网络服务提供者。
”其中,网络所有者和管理者的指向较为明确清晰,如三大运营商等;
而网络服务提供者则囊括了依托于基础网络提供各种服务的主体。
相对于早先出台的《互联网信息服务管理办法》,《网络安全法》其实扩大了严格监管的范围,即经营性和非经营性的网络服务提供者都必须承担网络安全保护的各项义务,不进行分类管理。
例如,任一组织机构的门户网站也将在监管之列。
这对各类组织机构的网络安全保护工作提出了更高的合规要求。
(2)中国企业网络依存度普遍偏高,且面临高安全威胁
据腾讯2016年发表的《CTO企业信息安全调研报告》显示,中国94%的企业依赖网络开展业务,其中高度依赖网络的企业比例由2015年的66%提升至71%。
中国企业的网络依存度普遍较高,各行业均不低于80%,其中,金融、电信服务、IT/科技/互联网行业的网络依存度最高。
同时,中国企业面临的信息安全威胁不断攀升,据普华永道《2017年全球信息安全状况调查》显示,从2014年到2016年,中国内地及香港企业检测到的信息安全事件平均数虽然要低于全球水平,但仅2016年,中国企业检测到的信息安全事件平均数就高达2,577,较2014年飞升969%,是2015年的两倍。
全球平均水平反而略微有降。
(3)中国企业在信息安全领域投入严重不足
基于高网络依存度、高安全威胁的局面,加上《网络安全法》带来的高合规要求,中国企业在信息安全领域的投入显得严重不足。
腾讯2016年的《CTO企业信息安全调研报告》称,30%的企业尚未建立任何信息安全团队,而建立安全团队是安全建设最基本的环节。
按照国际惯例,信息安全的投入比例要占到企业IT建设投入的15%,最基本的投入比例红线是5%,而投入比例在5%以上的企业也为数不多。
电信服务行业拥有信息安全团队的比例最高(96%),金融和IT/科技/互联网行业次之,分别为77%和75%。
信息安全建设的低投入将导致企业越来越难以应对外部的安全威胁和《网络安全法》等相关法律法规带来的硬性合规要求,从而影响企业的正常运行和商业声誉。
换言之,企业的信息安全建设将成为一种刚需。
(4)电信业需求持稳,金融和IT等行业率先迸发大量需求,传统行业次之
结合各行业网络依存的企业比例数和各行业拥有信息安全团队的企业比例数来看,电信服务行业在信息化发展和信息安全并重方面明显优异于其他行业,未来信息安全的建设需求将集中在提升和优化上。
金融和IT/科技/互联网行业仍显不足,信息安全建设急需补足。
金融行业承担了我国经济社会运行稳定的功能,其信息系统不容有失;
IT/科技/互联网行业已渗透大众生活的方方面面且积攒了大量的个人信息数据,其信息系统也是至关重要。
我们预计,在《网络安全法》实施和日益严峻的安全态势的推动下,金融和IT/科技/互联网行业在现有的投入基础上,将率先释放出大量的信息安全建设需求。
制造、交运等传统行业呈现出信息化程度与信息安全建设严重不匹配的状态,这些行业的信息安全意识相对薄弱。
但随着物联网的蓬勃发展和传统行业的互联网化,这些企业也将逐渐面临安全威胁和法律合规的压力。
另外,《网络安全法》第三十三条规定:
“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
”那么,拥有工控网络的关键基础制造业以及交运、水利等敏感行业在对企业进行信息化改造的同时就必须把安全建设考虑在内。
目前,国内信息安全市场正处于以合规驱动为主,合规驱动向需求驱动渐变的阶段。
各行业未来将催生一大波信息安全建设的需求。
2、“关键信息基础设施保护”赋利国内安全厂商
《网络安全法》站在国家安全的高度,着重规范了关键信息基础设施安全保护的责任和义务,从第三十一条至第三十九条都在描述关键信息基础设施的运行安全,第五十二条和第五十三条规定了关键信息基础设施保护的其他义务;
第五十九、六十五、六十六、七十五条则阐明了关键信息基础设施的运营者和破坏者的法律责任。
而“关键信息基础设施”的具体范围则首次在2017年7月10日国家网信办发布的《关键信息基础设施安全保护条例(征求意见稿)》中出现。
作为《网络安全法》的配套法规,《意见稿》进一步细化了责任主体和各项责任,其中关键信息基础设施保护的范围包括:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
不难发现,以上五个方面基本覆盖了国内的政府部门及事业单位、支撑社会经济运行的主要行业、各大媒体和大中型互联网公司等。
待到《关键信息基础设施安全保护条例》正式落地,这些机构将迸发出大量的安全产品和安全服务的需求。
《网络安全法》的相关法条和《关键信息基础设施安全保护条例(征求意见稿)》的内容是一脉相承的,围绕关键信息基础设施所提出的法律义务均包含了较为常规的团队建设、通报监测、应急演练、容灾备份、业务建设“三同步”等,这些多涉及企业内部制度的构建和IDC建设/托管方的基准服务,但还有三个至关重要且具有开创性的部分或带来新的市场空间,即等级保护、安全审查、跨境数据。
(1)等级保护利好国内第三方咨询测评公司
等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
《网络安全法》第三十一条提到:
“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
关键信息基础设施的具体范围和安全保护办法由国务院制定。
”该条例说明了,等级保护是关键信息基础设施保护的基础。
不仅如此,等级保护机制在我国由来已久。
1994年,国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(147号令)就开始提出等保措施。
等级保护采用五级制,对信息系统的安全等级进行划分,然后针对不同等级的系统开展安全保护措施:
等级保护的实施一般分为四个步骤:
定级、备案、建设整改和等级测评。
一般涉及咨询和测评两块业务。
在等保咨询方面,启明星辰、南洋股份、蓝盾股份、卫士通、深信服、圣博润、安博通等公司开展了相关业务。
在等保测评方面,根据公安部印发的《信息安全等级保护管理办法》,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
该项业务一般由第三方测评机构完成,而安全测评公司若想参与其中,就必须获得国家信息安全等级保护工作协调小组办公室颁发的资质。
在公安部公开的“全国等级保护测评机构推荐目录”中,全国一共有157家机构获得等保测评的资质,多数为部委或地方政府的相关事业单位、信息化类国企和高校。
资质至今仍有效的上市公司仅8家,且多在三板,具体如下:
另外,国家标准《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)正由公安部开展修订工作,预计2019年完成。
值得注意的是:
一,该标准为适应技术的时代变化而增添了新兴领域的内容,包括云计算、物联网、工控网络等。
这意味着,等级保护的广度和深度进一步扩大,需要进行测评的信息系统和测评条目增多;
二,《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施也提出了安全评估和测评的要求,包括运营方自评和政府部门组织的监督评审。
我们预计,第三方咨询、测评业务将得到一定增长,且“国家队”背景的信息安全机构或具备相关资质的国内机构将获益。
(2)安全审查加速自主可控
随着中国在国际经济舞台上的话语权逐渐增强,中美在政治、经济方面的博弈也越发激烈。
近年来双方掣肘不断,从TPP协定的谋划到重返南海争端,从国内去IOE的高潮到紫光系、华润系收购美国半导体公司受阻,再从中兴、华为事件到针对亚投行、“一带一路”战略的各种设障。
美国对我国资本输出和收购核心技术专利的诉求进行了一系列反制,信息产品自主可控战略已经走到了前台。
《网络安全法》和与其同步实施的《网络产品和服务安全审查办法(试行)》都秉持了此战略原则。
《网络安全法》第二十三条规定:
“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
”第三十五条又规定:
“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
”
对国内信息安全厂商而言,这里面包含了两个好消息:
一是网络产品和服务的安全审查机制从源头上设臵了国内市场的准入门槛;
二是金融、电信、电力、交运等关键行业的采购国产化不再是有弹性的战略执行,而是依法办事,必行不可。
国内信息安全厂商的订单在未来几年内将会有大幅增长。
根据2015年IDC的测算,在中国市场,约有46亿被国外产品占据的市场规模可以被国产化产品替代,且国内安全厂商已具备了相应的全产业链设计生产能力。
(3)跨境数据管理为国内云安全市场加码
在数字经济时代,“数据”俨然成为重要资产和关键生产要素。
无论是《“十三五”规划纲要》还是国务院印发的《促进大数据发展行动纲要》,两者都指出“数据已成为国家基础性战略资源”。
随着云计算、大数据、分布式系统和国际数字贸易的飞速发展,跨境数据管理问题成为数字经济国际规则的聚焦点。
近年来最有代表性的事件是欧盟法院于2015年10月认定《安全港协议》无效。
该协议在2000年由美国与欧盟签定,是一项调整美国企业出口以及处理欧洲公民个人数据的协议,总体确立了折衷处理的框架,却留下了隐患:
欧洲公民个人数据可不经个人授权而转移或出口至美国。
2016年初,欧委会与美国达成了对个人数据保护更严苛的《隐私盾协议》。
2016年4月,欧盟正式颁布《一般数据保护条例》(GDPR),直接要求数据本地化存储。
据统计,目前全球有超过60个国家和地区提出了数据出境控制的要求,超过20多个国家直接要求数据本地化存储,包括中国。
另外,《电子商务法(草案)》作为规范数字经济最重要的法律已在去年12月经过了初审。
《网络安全法》第三十七条规定:
“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;
法律、行政法规另有规定的,依照其规定。
”第六十六条规范了相关的法律责任:
“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;
对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
考虑到数据本地化以赢得中国市场的竞争优势,7月12日,苹果公司宣布投资10亿美元与云上贵州大数据产业发展有限公司合作建立iCloud数据中心。
如此一来,苹果公司才便于在合规的前提下继续开展云服务、大数据等关键信息基础服务和附着其上的各类应用。
在这样的背景下,相信国际互联网巨头会纷纷效仿以加快布局中国市场,云服务的热潮再次掀起。
从已有
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 安全法 信息 安全 行业 分析 报告