网络信息安全行业专题报告深度技术革新的守门员20190909招商证券34页

技术革新的“守门员”刘玉萍liuyuping@cmschina.com.cnS1090518120002刘泽晶liuzejing@cmschina.com.cnS1090516040001——网络信息安全行业专题报告2019年9月9日2核心要点公司名称证券代码2018EPS2019EPS2020EPSPE（19）PE（20）PB市值（亿）美亚柏科300188.SZ0.380.390.5447.634.45.8149中新赛克002912.SZ1.922.794.0938.126.04.8113启明星辰002439.SZ0.630.790.9743.335.58.8308深信服300454.SZ1.501.682.1565.751.512.8446绿盟科技300369.SZ0.210.330.4352.640.44.5139数据来源：Wind、招商证券主要标的估值对比表网络信息安全从政策驱动向技术驱动演进。信息安全是计算机产业中技术敏感度最高的细分领域，但过去行业的发展主要受事件或者政策驱动，直到2017年《网络安全法》正式实施明确安全责任分担，安全需求才逐步从合规拉动向自发驱动转变。等保2.0不止是基于更高法律效力的一套安全防护对象扩充和内容深化的行政标准，更是新技术变革催生新安全需求的缩影，加速迭代的云计算、IoT、AI等新技术背景下，日益复杂的网络信息安全问题敦促企业安全防护意识的提升以及自发性信息安全刚需的增加。网络信息安全产业正在发生何种变化？传统被动防御已经难以应对全球数字化转型趋势下的网络安全保障需求，主动防御体系在全球已经成为主流的建设理念，G端的IT安全投入进一步增加，态势感知的普及，美亚大数据以及赛克业绩的爆发可作为佐证；云安全、数据安全、智能制造安全等新兴安全领域，软件和服务比例相比于硬件比例大幅提升，启明、深信服等已经开创性地迈出了第一步；伴随产业互联网发展的价值创造派生出丰富的增量安全需求，众多安全厂商已纷纷涉足布局，安全需求已在政府及特殊行业之外蓬勃生长。根据IDC的预测，未来几年我国的IT安全产业将以接近25%的CAGR领跑全球。行业三重拐点已现，关注龙头投资机会：2019H1多个安全细分龙头企业扣非净利润同比增速均出现不同程度的回升，草根调研部分安全责任主体预计等保2.0将带动约25%-35%的增量IT安全投入，技术变革+政策执行+业绩三重拐点叠加，我们判断行业将进入一个新的上升周期。强烈建议关注创新领先的安全龙头启明星辰（强烈推荐-A），G端收入占比大，下半年及明年业绩强弹性，创新城市级安全运营中心模式做大做强安全服务；继续强烈推荐网络可视化龙头中新赛克（强烈推荐-A），转型中的大数据社会治理专家美亚柏科（强烈推荐-A），以及股权变更带来持续边际改善的绿盟科技（强烈推荐-A）；建议持续关注极具渠道优势的云计算与安全融合发展龙头深信服。风险提示：企业在技术更迭中落后风险；新标准落地执行进度不达预期；人才流失风险。31、技术迭代+立法，网络安全上升战略高度2、网络信息安全产业发展趋势3、更进一步的自主可控4、重点安全标的5、投资建议41、技术迭代+立法，网络安全上升战略高度•1.1安全监管力度及标准不断提升•1.2云及产业互联网安全快速发展2、网络信息安全产业发展趋势3、更进一步的自主可控4、重点安全标的5、投资建议51、技术迭代+立法，网络安全上升战略高度•网络安全形势日益严峻：2019年全球已发生上百起影响较大的网络安全事件，根据国家互联网应急中心的报告数据，2018年我国“零日”漏洞数量持续走高，网络安全形势严峻。网络攻击频发、攻击多样化和隐蔽化成为全球网络攻击的主要特征。•云、IoT、AI新技术发展升级网络安全需求：信息安全是技术敏感度最高的领域。进入云计算时代，政府、企业、个体均与外部资源有更多的交互、共享和融合，攻击方也采用新技术提升攻击效果，新技术带来极大便利的同时也带来了更高的网络安全风险。技术迭代加速，安全成为良性发展愈发重要的必需品。•安全立法明确主体义务：2017年6月1日《网络安全法》正式生效，是我国网络安全法制化建设的里程碑，自此安全从行政规范上升为法律义务。关键信息基础设施保护、网络数据和个人信息保护、网络安全应急与监测等方面的安全需求有法必依。•安全已成为企业数字化转型最大挑战：IDC对全球500名CIO调研发现，网络安全已经成为全球企业数字化转型的最大挑战，严峻形势和法律合规要求下，越来越多的企业将网络安全建设提升到战略层面。网络安全成为全球企业数字化转型的最大挑战资料来源：IDC、《2018中国互联网网络安全态势综述》、深信服、招商证券我国“0day”安全漏洞数量持续增长2019年全球知名网络安全事件61.1安全监管力度及标准不断提升我国安全监管力度历史新高•安全监管力度不断加强：2014年我国成立国家安全委员会和中共中央网络安全和信息化领导小组，确立了我国网络信息安全的重要领导与决策机构。自此之后，国家陆续颁布系列关于维护国家网络信息安全的政策，以《网络安全法》为重要分水岭。•等级保护标准日益进阶：等保1.0：“等级保护”在1994年国务院令147号《计算机信息系统安全保护条例》中首次提出，后陆续发布系列信息安全等级保护标准，2007-2017年是等级保护1.0时代。2017年《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。等保2.0：由于云计算、大数据、物联网等新技术带来大量新应用及业务形态的出现，安全形势发生显著变化，原标准已不再适用于最新的安全要求。2018年6月公安部发布《网络安全等级保护条例（征求意见稿）》，标志着等保2.0时代到来。2019年5月13日，网络安全等级保护技术2.0版本正式公开发布，等保2.0增加了对云计算、大数据、移动互联、工控、物联网等方面的安全扩展性要求，丰富了防护内容和要求，为落实信息系统安全工作提供了方向和依据。资料来源：IDC、深信服、招商证券等保2.0相关落地进程71.1等保2.0与1.0的详细对比等保1.0等保2.0名称变化信息安全等级保护网络安全等级保护法律效力以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为立法依据，立法基础为行政法规以经过全国人大通过的《中华人民共和国网络安全法》为立法依据，《网络安全法》第21条“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。保护对象主要包括基础信息网络和信息系统将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业等全部纳入等级保护监管。控制措施分类技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。内容扩充五个规定性动作，包括定级、备案、建设整改、测评和监督检查增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。定级备案流程自主定级、自主保护专家评审,主管部门审核，将原有的30天内备案缩短为10个工作日，并明确了定级流程分为：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案等级测评要求要求60分基本符合测评达到75分以上才算基本符合资料来源：启明星辰官网、招商证券•等级保护对象范围扩大：等保2.0将云计算、移动互联、物联网、工业控制系统等列入了标准范围，也提高了社会各主体对于关键信息基础设施（能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等）的保护和保障。•安全保护内容大幅扩充：等保2.0增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等，相比于之前的等保1.0更侧重主动防御、安全可信、动态感知和全面审计。•法律效力提升：相比于基于行政法规的等保1.0，等保2.0的执行有《网络安全法》的法律依据，等保建设将是网络运营者必须履行的网络安全义务，国家也将对未履行义务或是出现重大安全事故的运营、使用单位进行严肃处理。等保2.0与等保1.0的多维度详细对比81.1等保2.0对云、大数据、IoT等安全要求•云安全保护等级不低于其支撑的业务系统等级：《定级指南》规定基础信息网络、云计算平台和大数据平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。•安全定级整体性原则提升整体防护要求：《定级指南》对云计算平台、大数据、物联网及工控系统定级的整体性要求较高，而这些新技术应用交互、共享和融合较多，单要素高安全需求将提升整体安全防护要求，整体安全需求将大幅增加。公有云：应确保云计算平台不承载高于其安全保护等级的业务应用系统；应确保云计算基础设施位于中国境内，如需出境应遵循国家相关规定……私有云：定级流程为云平台先定级测评，再将已定级应用系统向云平台迁移。云计算工控系统现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，不单独定级；生产管理要素可单独定级。包括室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等。大数据、物联网…•大数据系统应作为单独定级对象定级，安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。•物联网主要包括感知、网络传输和处理应用等特征要素，应将以上要素作为一个整体对象定级，各要素不单独定级；•在设计安全解决方案时，不仅要满足安全通用要求的共性安全需求，还要考虑大数据、物联网和云计算的扩展安全要求的个性安全需求。资料来源：启明星辰官网、招商证券91.2云安全、工业互联网安全形势严峻资料来源：国家互联网应急中心、《2018年中国互联网网络安全报告》、招商证券•云安全形势严峻：根据CNCERT/CC（国家互联网应急中心）监测数据，虽然国内主流云平台使用的IP地址数量仅占境内的7.7%，受木马或僵尸网络控制的IP地址数比例仅为1.3%，但云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改的网站数量占比超过50%，承载的恶意程序种类数量占比达53.7%，已成为网络攻击的重灾区。一方面因为云上承载业务和数据越来越多、越来越重要，使得针对云的攻击日益增多；另一方面相比传统企业，云用户对网络安全防护重视不够。•工业互联网高危漏洞频发：根据CNCERT/CC自主研发的工业互联网安全测试平台Acheron的安全入网抽检，2018年在35个国内外主流厂商的87个型号产品中共发现232个高危漏洞。攻击者利用这些漏洞可使工业控制设备宕机，甚至获取设备控制权限，可能对其它工业网络设备发起攻击。甚至在电力设备部分漏洞呈现同源性特征，原因是大多数电力设备厂商在实现IEC61850协议（电力系统最重要的通信协议之一）时都采用了美国SISCO公司的第三方开发套件，显示了较严重的产品供应链安全风险。•重点行业亦疏漏颇多：电力、石化等重点行业生产监控管理系统因存在网络配置疏漏等问题，可能会直接暴露在互联网上，一旦遭受网络攻击，影响巨大。2018年暴露相关健康管理系统的数量如下图，电力、城市公用工程和石油天然气三个行业的联网监控管理系统均存在高危漏洞隐患数量各自占比分别达到10%、28%和35%。2018年工业网络产品安全检测中发现的高危漏洞数量按类型分布2018年发现的重点行业联网监控管理系统漏洞数量101.2产业信息安全受技术拉动快速增长•工业信息安全需求随技术发展从外建安全向内嵌安全演进：工业运行过程中的各个领域环节均涉及信息安全，核心任务就是要确保工业信息化、自动化、网络化、智能化等基础设施的安全。早期工业自动化阶段，生产环