信息安全行业报告：强者愈强（36页）

十三五期间，政府对信息安全的重视程度、战略定位大幅提升。先后于2017年 6月实施《网络安全法》（首次立法）、于2017年7月发布《关键信息基础设施安全 保护条例（征求意见稿）》，于2019年5月发布《信息安全技术网络安全等级保护 基本要求》（等保2.0）。未来几年，由于《网络安全法》及相关条例落地、等保2.0 的实施，客户对安全愈加重视，行业投入加大是趋势。短期的变化体现在： 《中央企业负责人经营业绩考核办法》于19年4月1日实施，将网络安全纳 入央企负责人考核内容，可以理解成安全责任从信息部主任提升到央企一 把手，重视程度提升会带来相关投入的增加（来源：国资委官网）。 2019年广泛开展护网行动，实战攻防、漏洞发现让客户对安全愈发重视， 虽然护网行动本身带来的服务收入增量有限，但对客户后续追加产品采购 有很大积极作用。护网行动始于16年，范围从16年的公安部、民航局、国 家电网，到17年部分政府加入，到18年部分国企加入，再到19年工信、安 全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等行业广泛 加入。  等保2.0于19年12月1日实施，会在明年带来较大的整改投入，行业景气度 会进一步提升，头部公司业绩提速确定性较强（来源：人民网）。

从头部公司的收入增速来看，已有所反应行业提速，深信服安全业务、启 明星辰 18H1/19H1 的收入增速分别是 24%/30%、7%/19%（来源：公司 财报）。 行业重要规范等保2.0的影响：相比等保1.0（GB/T 22239-2008 《信息安全技 术 信息系统安全等级保护基本要求》），等保2.0中高标准的覆盖范围更广、增加 对新场景的安全要求、本身法规性更强，会推动行业投入加大： 等保2.0三级对象覆盖范围增加，三级安全防范要求显著多于二级 相比等保1.0，等保2.0中三级对象范围显著增加，且对三级及以上网络运营者 要求的严格程度远高于二级，三级对象范围的扩展有望推动网络安全行业投入力度 加大。 三级对象覆盖范围大幅扩展。等保2.0根据等级保护对象受到破坏时所侵害的客 体和对客体造成侵害的程度，将信息系统的安全保护等级分为5个等级。相比等保1.0， 等保2.0三级覆盖范围大幅扩展，“受到破坏会对相关公民、法人和其他组织的合法权 益造成特别严重损害的重要网络”从二级上升到三级对象。

相比二级对象，等保2.0对三级监管对象有定期开展测评的要求，被监管对象的 重视程度更高，会有更多安全投入。且三级对象安全防范要求显著多于二级：以等 保1.0为例，对二级、三级对象的安全的要求项分别175、 290个。【不同的等级安 全需防范的安全内容大致相同（控制点大致相同），但是对防范力度的要求有较大 差异（控制项数量存在区别）。】等保2.0在等保1.0资产防护的基础上，就云计算、物联网、移动互联网和工业 控制系统提出安全防护要求。扩展要求就新技术领域提出针对性要求，部分领先公 司积极布局云安全、移动互联网安全及工控安全领域，先后与阿里、腾讯等云计算 厂商就云安全开展技术合作，深信服积极布局私有云安全。预计深信服、启明星辰 等公司有望受益于等保2.0的推出。相比1.0，等保2.0法规性更强，执行力度、落地效果有望优于1.0 等保2.0执行的强制力度有望优于1.0。等保1.0推行期间，缺乏相关法律作为落 实保障，2017年6月起《网络安全法》正式实施，为等保2.0的落实提供了法律支撑。 整体而言，相比1.0，等保2.0的三级覆盖对象范围增加。