当前位置:文档之家› 2019-2020网络安全行业研究报告

2019-2020网络安全行业研究报告

等保2.0:由于云计算、大数据、物联网等新技术带来大量新应用及业务形态的出现,安全形势发生显 著变化,用于最新的安全要求。2018年6月公安部发布《网络安全等级保护条例(征求意见稿)》,标志 着等保2.0时代到来。2019年5月13日,网络安全等级保护技术2.0版本正式公开发布,等保2.0增加了对 云计算、大数据、移动互联、工控、物联网等方面的安全扩展性要求,丰富了防护内容和要求,为落实 信息系统安全工作提供了方向和依据。
2019-2020网络安全行业研究报告
2019-09-25
1、技术迭代+立法 2、网络信息安全产业发展趋势 3、自主可控 4、重点安全企业
技术迭代
网络安全形势日益严峻:2019年全球已发生上百起影响较大的网络安全事件,根据国家互联网应急中心 的报告数据,2018年我国“ 零日” 漏洞数量持续走高,网络安全形势严峻。网络攻击频发、攻击多样化 和隐蔽化成为全球网络攻击的主要特征。
安全立法明确主体义务:2017年6月1日《网络安全法》正式生效,是我国网络安全法制化建设的里程碑 ,自此安全从行政规范上升为法律义务。关键信息基础设施保护、网络数据和个人信息保护、网络安全 应急与监测等方面的安全需求有法必依。
安全已成为企业数字化转型最大挑战:IDC对全球500名CIO调研发现,网络安全已经成为全球企业数字 化转型的最大挑战,严峻形势和法律合规要求下,越来越多的企业将网络安全建设提升到战略层面。
技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算 环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安 全人员管理、安全建设管理和安全运维管理。
增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难 备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。 专家评审,主管部门审核,将原有的30天内备案缩短为10个工作日,并 明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管 部门审核、公安机关备案
现场采集/执行、现场控制和过程控制 等要素应作为一个整体对象定级,不单 独定级;生产管理要素可单独定级。包 括室外控制设备防护、工业控制系统 、网络架构安全、拨号使用控制无线使 用控制、控制设备安全、漏洞和风险管 理、恶意代码防范管理等。
公有云:应确保云计算平台不承载高于 其安全保护等级的业务应用系统;应确 保云计算基础设施位于中国境内,如需 出境应遵循国家相关规定…… 私有云:定级流程为云平台先定级测评 ,再将已定级应用系统向云平台迁移。
法律效力提升:相比于基于行政法规的等保1.0,等保2.0的执行有《网络安全法》的法律依据,等保建设 将是网络运营者必须履行的网络安全义务,国家也将对未履行义务或是出现重大安全事故的运营、使用单 位进行严肃处理。等保2.0与等保1.0的多维度详细对比
名称变化 法律效力 保护对象 控制措施分类 内容扩充 定级备案流程 等级测评要求
云计算 工控系统
大数据、物联网…
• 大数据系统应作为单独定级对象定级,安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。 • 物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级; • 在设计安全解决方案时,不仅要满足安全通用要求的共性安全需求,还要考虑大数据、物联网的个性安全需求。
自主定级、自主保护
要求60分基本符合
网络安全等级保护
以经过全国人大通过的《中华人民共和国网络安全法》为立法依据, 《网络安全法》第21条“国 家 实 行 网 络 安 全 等 级 保 护 制 度 ,要 求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务” 。 将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物 联网、工控系统、公众服务平台、互联网企业等全部纳入等级保护监管
测评达到75分以上才算基本符合
等级保护
云安全保护等级不低于其支撑的业务系统等级:《定级指南》规定基础信息网络、云计算平台和大数据平 台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等 级保护对象的安全保护等级。
安全定级整体性原则提升整体防护要求:《定级指南》对云计算平台、大数据、物联网及工控系统定级的 整体性要求较高,而这些新技术应用交互、共享和融合较多,单要素高安全需求将提升整体安全防护要求 ,整体安全需求将大幅增加。
等保1.0
等保2.0
信息安全等级保护
以1994年国务院颁布的147号令《计算机信息系统 安全保护条例》为立法依据,立法基础为行政法规
主要包括基础信息网络和信息系统
技术要求分为物理安全、网络安全、主机安全、应 用安全、数据安全及备份恢复,管理要求分为安全 管理制度、安全管理机构、人员安全管理、系统建 设管理和系统运维管理。 五个规定性动作,包括定级、备案、建设整改、测 评和监督检查
2019年全球知名网络安全事件
我 国 “0day”安全漏洞数量持续增长
网络安全成为全球企业数字化转型的最大挑战
安全标准
等级保护标准Biblioteka 益进阶: 等保1.0:“ 等级保护” 在1994年国务院令147号《计算机信息系统安全保护条例》中首次提出,后陆续 发布系列信息安全等级保护标准,2007-2017年是等级保护1.0时代。2017年《网络安全法》第二十一条明 确规定“ 国家实行网络安全等级保护制度” 。
我国安全监管力度历史新高
等保2.0相关落地进程
等级保护
等级保护对象范围扩大:等保2.0将云计算、移动互联、物联网、工业控制系统等列入了标准范围,也提高 了社会各主体对于关键信息基础设施(能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会 保障、公用事业等)的保护和保障。
安全保护内容大幅扩充:等保2.0增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难 备份、应急处置、自主可控、供应链安全、效果评价、综治考核等,相比于之前的等保1.0更侧重主动防 御、安全可信、动态感知和全面审计。
相关主题