SeeData：网络信息安全行业专题报告(27页).pdf

1、网络安全行业专题报告网络安全行业专题报告20192019- -0909- -2525数数观天下观天下 1、技术迭代+立法 2、网络信息安全产业发展趋势 3、自主可控 4、重点安全企业网络安全形势日益严峻：2019年全球已发生上百起影响较大的网络安全事件，根据国家互联网应急中心的报告数据，2018年我国“ 零日” 漏洞数量持续走高，网络安全形势严峻。网络攻击频发、攻击多样化和隐蔽化成为全球网络攻击的主要特征。安全立法明确主体义务：2017年6月1日网络安全法正式生效，是我国网络安全法制化建设的里程碑，自此安全从行政规范上升为法律义务。关键信息基础设施保护、网络数据和个人信息保护、网络安全应急与监

2、测等方面的安全需求有法必依。安全已成为企业数字化转型最大挑战：IDC对全球500名CIO调研发现，网络安全已经成为全球企业数字化转型的最大挑战，严峻形势和法律合规要求下，越来越多的企业将网络安全建设提升到战略层面。网络安全成为全球企业数字化转型的最大挑战资料来源：IDC我国“0day”安全漏洞数量持续增长2019年全球知名网络安全事件技术迭代技术迭代资料来源：IDC、深信服等级保护标准日益进阶：等保1.0：“等级保护” 在1994年国务院令147号计算机信息系统安全保护条例中首次提出，后陆续发布系列信息安全等级保护标准，2007-2017年是等级保护1.0时代。2017年网络安全法第二十一条明

3、确规定“ 国家实行网络安全等级保护制度” 。等保2.0：由于云计算、大数据、物联网等新技术带来大量新应用及业务形态的出现，安全形势发生显著变化，用于最新的安全要求。2018年6月公安部发布网络安全等级保护条例（征求意见稿），标志着等保2.0时代到来。2019年5月13日，网络安全等级保护技术2.0版本正式公开发布，等保2.0增加了对云计算、大数据、移动互联、工控、物联网等方面的安全扩展性要求，丰富了防护内容和要求，为落实信息系统安全工作提供了方向和依据。我国安全监管力度历史新高等保2.0相关落地进程安全标准安全标准等保1.0等保2.0名称变化信息安全等级保护网络安全等级保护法律效力以1994年

4、国务院颁布的147号令计算机信息系统安全保护条例为立法依据，立法基础为行政法规以经过全国人大通过的中华人民共和国网络安全法为立法依据，网络安全法第21条“国 家 实行网 络安全等级保 护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。保护对象主要包括基础信息网络和信息系统将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业等全部纳入等级保护监管控制措施分类技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。技术要求分为

5、安全物理环境、安全通信边界、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。内容扩充五个规定性动作，包括定级、备案、建设整改、测评和监督检查增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。定级备案流程自主定级、自主保护专家评审,主管部门审核，将原有的30天内备案缩短为10个工作日，并明确了定级流程分为：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案等级测评要求要求60分基本符合测评达到75分以上才算基本符合资料来源：启明星辰官网

6、等级保护对象范围扩大：等保2.0将云计算、移动互联、物联网、工业控制系统等列入了标准范围，也提高了社会各主体对于关键信息基础设施（能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等）的保护和保障。安全保护内容大幅扩充：等保2.0增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等，相比于之前的等保1.0更侧重主动防御、安全可信、动态感知和全面审计。法律效力提升：相比于基于行政法规的等保1.0，等保2.0的执行有网络安全法的法律依据，等保建设将是网络运营者必须履行的网络安全义务，国家也将对未履行义务或是