产业调研:等保测评升级,网安行业需求大提升 | 国君计算机
产业调研系列
— 作者:李沐华 —
1、等级保护制度的发展历程
早在1994年国务院147号令就首次提出了等级保护制度,2007年是等保1.0,2017年颁布了网络安全法。2019年实行了等保2.0的新标准。从这个过程来看,我们可以做一个判断,不做等保就有违国家法律。
这个过程中涉及几个角色。第一个是运营使用单位,决定了等保的市场有多大,几乎所有的能够对外提供服务的网站、系统国家都规定要过等保,大家可以设想一下日常使用的APP和网站有多少。第二个角色是GongAn机关,做监督检查的角色,除此之外,建设过程中还有两个角色,大型安全厂商是建设方,提供安全设备和能力,还有测评机构,承接定级咨询服务,以及做测评,这四个角色构成了等级保护的整体流程。
等级保护制度分为两个部分:等保有一个技术体系要求,还有一个管理体系要求。技术体系要求有五个组成部分,子项就是一些具体技术点了。管理体系又包括相关的管理制度,安全管理机构,明确安全管理人员,安全建设未来怎么管理,包括出现问题以后怎么运维。
回归到等保的目的,本身就是强制要求所有的运营单位必须做这个事情。发展到现在大家还会提HW,这个过程中有行业HW,也有国家级HW。为什么有了等保制度还要做HW呢。等级保护制度更加倾向于及格线,所有单位都要过这个东西,但是它只是网络安全的下限。导致很多小的机构,刚开始不重视网安,也必须要做这个事情。
2、等级保护测评的变化内容
回到第二个议题,等保测评的变化内容。GongAn部在今年6月17号组织了所有等保测评机构做线上培训,没有任何发文。等保类似于最基本的考试,等保测评模板改变意味着考试难度在变,它是默默给考场和考官提高难度。修订的有几个方面,第一个是技术方面发生了变化,第二个无关紧要是测评文件格式变了,第三个是引入了一个非常有前景的东西,就是数据资产也要列入等级保护的测评对象。
技术范围修订是测评得分的逻辑完全发生了改变,公式很复杂。这个东西代表了,之前是加分制,现在是减分制。以前达到六十分,七十分就够了,现在是扣分。有人说只不过是算法变了,但是这次扣分有个很大的变化,是扣分力度变大了,它定义了一般、重要和关键测评指标,如果是关键测评指标不满足,一次性扣三倍,重要指标一次性扣两倍,所以如果不符合是两倍三倍的扣,之前是你最多不得这一倍的分。GongAn部自己也做了一个测算,同样场景下,测出来的结果是啥呢,之前平均拿到八九十分的情况,新标准下只能拿到六七十分,平均差二十分。这个就有了差别了。
它在会议当中还讲了为什么要做这次调整,这次调整非常大。因为之前的测评有三个缺陷。第一个缺陷是,按照之前的测评要求来,综合得分偏高,都在八十分以上,到底谁是优良中差拉不开,它要拉开差距,提高对网安底线的要求。第二个缺陷是,之前大家可能更加重视技术层面,管理层面倾向于有文档,但是不执行,这次明确说了,技术和管理各占50%,这种情况下,安全管理体系的要求会提升。这也要求大家落实网络安全工作的时候,不仅仅是设备,要用起来,把发散的问题解决掉。第三个缺陷是无关紧要了——19年的公式计算量比较大,这次计算量小一点。
数据资产也要列入测评对象。包括重要数据,大数据等等,要针对不同类型的数据进行汇总和测评,需要对相应的数据做相应的保护,保证数据完整和保密性。我认为这一条跟前面的数据安全法比较相关。这次标志着数据安全迎来很大的风口,具体多长时间,我觉得一两年左右数据安全市场会有很大的发展。
3、这次变化有哪些影响?
第一点,测评要求提升了,各个单位对安全投资的力度会加大。如果说之前得分的设备不能过等保了,现在肯定要买一些设备,预算要增加,这个影响是产业层面的增长。
其次是数据安全层面验证了未来会成为很大的热点。但是这次没有明确说出怎么来保证,但是我自己推测,数据最根本承载的介质就是数据库,现在没有把数据库作为独立的测评对象来测评,未来是不是一个数据库或者一个数据库集来测评,是否要加数据库审计,数据库防火墙,数据库加密等等产品。
另外关键的一句话,国家建立数据安全分类分级保护制度。这个跟当年网络安全法提到的一句话,国家实行网络安全等级保护制度类似。未来是否会出现数据安全的等级保护制度,这个出来可能也有很大的市场。总结一下,就是安全市场盘子在变大,第二个是数据安全会成为很大的风口。
Q:什么时候能够看到需求的提升?
A:今年绝对能够看到需求变化,因为6月18号必须执行新标准,建设过程中的测评项目要按照新的标准来。中腰部这块市场会飞速变大,很多测评机构过去让大家过等保会推荐堡垒机,日志审计,VPN,数据库审计等基础产品,这次变化以后按照等保的新标准判断,达不到的点会扣关键分,比如APP检测,高级威胁检测,我觉得未来要过等保,态势感知也得再来一套。如果数据资产也成为单独的测评对象的话,数据库的产品也会成为等级保护的增量。按照我的经验,过等保三级可能会花50万,加一个态势感知,业内卖都得三十万左右,保守估计也是这个幅度。
Q:建设过程中等保测评要按新的来,已经建完的,建设过程中,没有建设的比例是多少?
A:等级保护制度条例明确规定了,三级系统每年至少做一次复测,二级系统两年至少做一次,四级系统半年要做一次。复测过程中都要按照新标准进行。头部的企业也在不断的增加业务系统,也会有这个需求。
Q:这次等保推进的节奏是先从政府,还是互联网大厂?
A:没有顺序,国内全部的测评机构都要实行新的方案。
Q:特殊项和关键项扣分比较多,他们这些企业肯定非常关注对吧,这些关键项对应到网络安全产品上,有哪些是关键项和特殊项?
A:我自己理解现在最大改变的还是态势感知类的产品,其次是其他的技术点用传统的堡垒机、日志审计,确实能够满足,倾向于拔高。未来可能会有一些更加牛逼的代码,垃圾邮件或者网关的产品,我觉得短期主要是态势感知。因为明确说了管理制度要提升,你不仅仅要有这个制度,还要有管理流程,安全服务的能力要提升。而且需要高效的工具来闭环,按照HW的要求,现在处理这些问题还是以态势感知为核心,发现,分析,处置。
Q:态势感知是不是针对被监管单位,监管单位本身的态势感知是否要提升?
A:等保当中不会涉及到监管单位的态势感知,但是确实像人行这种单位要对下级单位进行监测,它会在总部落地SOC加上态势感知。
Q:安全产品上,除了数据库以外,还有哪些产品?
A:数据库审计,数据库加密,数据库脱敏,数据库防火墙是最基本的四个产品,大家可以搜一下,上市公司涉及的有深信服,奇安信,安恒,绿盟等。一些头部银行和金融机构请了IBM做,花了很多钱,用人工方法打标签,匹配到相应的人员和权限,但是使用效果不是特别好。就引入了一个问题,谁的产品能够更加高效的帮助大家做分类分级的工作了,未来的数据流转,交易可能都需要这样的产品。
Q:我也聊过一些IT采购的下游客户,他们反映这两年很多安全政策出来,他们反映会随着新的政策在新领域投入多一点,在老的领域少投一点,是否就是态势感知和数据安全产品会比较好,老的防火墙会受损?
A:我觉得不会,您可以再跟一些头部客户聊聊,我接触的头部客户都是高投入的。比如头部的券商,银行等等。
Q:您刚刚提到了今年就会有比较大的提升,客户每年都有固定的安全预算,现在等保逻辑发生了变化,额外的钱从哪里来呢?
A:以我的经验,真正对预算卡得严的都是相对来说封闭和保守的行业,比如说头部金融机构,高校,政府,他们都是预算制的,申报的预算固定了,就得从其他地方找。但是预算每年都会向高了报,会有一部分的富余,大部分的行业未必实行预算制呀,相对来说比较灵活一些。
Q:受益的行业排序来看,大致受益的先后顺序怎么看?
A:全面开花,很难排序。
合规声明:本文内容节选自国君计算机团队2021年7月举办的专家电话会议,如需纪要全文,请后台留言。
网络安全相关报告
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)
22. Zscaler:云安全服务与接入领头羊(30页PPT)
23. Okta:身份认证独角兽(深度)
30.奇安信:创新业务实力强大,助推公司成为全球网安龙头(深度)
33.数据安全法带来的一些变化
欢迎加入产业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
法律声明
本订阅号发布内容仅代表作者个人看法,并不代表作者所属机构观点。涉及证券投资相关内容应以所属机构正式发布的研究报告内容为准。市场有风险,投资需谨慎。在任何情况下,本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前,如有需要,投资者务必向专业人士咨询并谨慎决策。本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容为原创。订阅人对本订阅号发布的所有内容(包括文字、影像等)进行复制、转载的,需明确注明出处,且不得对本订阅号所载内容进行任何有悖原意的引用、删节和修改。