计算机行业：等保2.0标准发布，信息安全产业进一步迎来合规市场增量空间

请参阅最后一页的重要声明 证券研究报告·行业动态 等保 2.0 标准发布，信息安全产业进一步迎来合规市场增量空间 5 月 13 日下午，国家市场监督管理总局召开新闻发布会，正式发布“等保 2.0”。据悉，等保 2.0 将于 2019 年 12 月 1 日正式实施。中国信息安全基本制度于 2016 年 11 月 7 日发布，自 2017 年 6月 1 日起施行的《网络安全法》规定：等级保护，是我国信息安全保障的基本制度。 等保 2.0 与等 1.0 五大主要区别：①名称：等保 2.0 将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。②定级对象：等保 1.0 的定级对象是信息系统，现在 2.0更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。③安全要求：基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。④控制措施分类结构：等保 2.0 依旧保留技术和管理两个维度。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。⑤内容：从等保 1.0 的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。 进入等保 2.0 时代后，安防企业应提前检测安防终端设备的安全威胁，重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护，确保关键信息基础设施安全，实现提前防御，化被动为主动，提供更加完备的安全防护能力。这也会充分发挥测评机构、服务机构、科研院所等方面的作用和力量，推动安防行业整个网络安全等级保护制度的落实，进一步加强整体安全防护。在企业方面，安防企业对网络安全的投入将进一步增加，拥有技术优势和完备产品服务的企业将迎来发展良机；而对于行业而言，等保 2.0 在通用要求的基础上，补充提出对云计算、物联网、移动互联网和工业控制系统的安全防护要求，传统信息安全市场的典型客户是党政军、电信、金融、交通、教育等领域，新增扩展将新技术领域纳入监管范围，等保 2.0 无疑会推动整个信息安全行业的发展，预计至少达开百亿级的增量的市场空间。 投资建议：重点推荐：恒生电子、广联达、卫宁健康、视源股份、四维图新、三联虹普、启明星辰；建议重点关注：中新赛克、恒安嘉新（科创板）、安恒信息（科创板） 维持 买入 石泽蕤 shizerui@csc.com.cn 18616092669 执业证书编号：S1440517030001 发布日期： 2019 年 05 月 20 日 市场表现 相关研究报告 -35%-25%-15%-5%5%15%2018/4/92018/5/92018/6/92018/7/92018/8/92018/9/92018/10/92018/11/92018/12/92019/1/92019/2/92019/3/9计算机上证指数计算机 20803641/36139/20190520 16:48 1 计算机 行业动态研究报告 请参阅最后一页的重要声明 等保 2.0 新国家标准发布，信息安全产业进入加速发展阶段 5 月 13 日下午，国家市场监督管理总局召开新闻发布会，正式发布“等保 2.0”。据悉，等保 2.0 将于 2019年 12 月 1 日正式实施。中国信息安全基本制度于 2016 年 11 月 7 日发布，自 2017 年 6 月 1 日起施行的《网络安全法》规定：等级保护，是我国信息安全保障的基本制度。 等保 2.0 新标准出台，提出移动互联安全扩展要求 2007 年和 2008 年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》被称为“等保 1.0”。网络安全法的实施，强制要求等级保护工作，强调关键基础设施三同步。根据网络安全法的规定，等级保护是我国信息安全保障的基本制度。但是“等保 1.0”不仅缺乏对一些新技术和新应用的等级保护规范，比如云计算、大数据和物联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。 等保等级由低到高分为五级，主要依据系统受破坏后危害的范围和严重程度。目前 1 级系统因影响小，基本不需备案；5 级系统目前还不存在，只是理想状态。这里主要介绍 2-4 级： 表1 ：等保不同级别内容 等级 内容 2 级 受到破坏，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。需国家信息安全监管部门对该级信息系统信息安全等保工作进行指导。 3 级 受到破坏，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。需国家监管部门进行监督、检查。 4 级 受到破坏，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。需国家监管部门进行强制监督、检查。 资料来源：中信建投研究发展部 等保 2.0 将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致，是指对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高，安全保护能力就越强。等保筑起了我国网络和信息安全的重要防线。一方面通过开展等保工作，发现相关机构、单位和企业网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足；另一方面，通过安全整改，提高网络安全防护能力，降低系统被各种攻击的风险。 20803641/36139/20190520 16:48 2 计算机 行业动态研究报告 请参阅最后一页的重要声明 图1：等保 2.0 安全框架 资料来源：中信建投证券研究发展部 等保 2.0 与等 1.0 五大主要区别 ①名称：等保 2.0 将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。②定级对象：等保 1.0 的定级对象是信息系统，现在2.0 更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。③安全要求：基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。④控制措施分类结构：等保 2.0 依旧保留技术和管理两个维度。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。⑤内容