计算机应用行业深度研究：网络安全行业变革下新投资机遇-20190123-中信建投-35页.pdf

请参阅最后一页的重要声明 证券研究报告行业深度研究证券研究报告行业深度研究 网络安全行业变革下新投资机遇网络安全行业变革下新投资机遇在新需求、新政策、新技术的共同促进下，在新需求、新政策、新技术的共同促进下，2016 年以后网络安全行业摆脱以前纯粹合规性需求驱动而进入加速发展期，未来网络安全占信息化开支占比有望提升到年以后网络安全行业摆脱以前纯粹合规性需求驱动而进入加速发展期，未来网络安全占信息化开支占比有望提升到 5%以上。以上。2014 年开始政府和企业进行数字化转型、信息系统逐步上云过程中，企业网络边界逐渐消失，“云大物移”新场景驱动下网络安全在防护对象、防护思想和防护技术上均发生较大变化，网络安全产品种类也大幅增加，网络安全逐步做到与 IT 信息系统同步规划，促进信息安全占 IT 支出占比逐步提升至 5%以上。同时 2017 年2019 年网络安全法、等保 2.0 标准的推出，进一步扩大监管范围提升了监管标准，促进了网络安全市场整体加速增长尤其是态势感知类产品和主动防御市场的快速增长。新一代网络安全在大数据分析、人工智能技术新技术的发展使得网络安全防护思想、战略发生了变化，催生了网络安全行业新的投资机遇，促进态势感知、威胁情报、数据安全、身份认证与访问等网络安全新产品快速发展。2019 年预计中国网络安全市场规模将达到 602 亿，保持 21%的增长速度，IDC 预计 20182020 年中国网络安全市场年复合增速将超过 23%，新一代网络安全产品增长速度将远超传统边界安全产品。面对日益复杂的网络环境和层出不穷的网络攻击威胁，政府和企业需要构建“低、中、高”三位能力的信息安全系统，预计未来低位安全即传统边界安全、终端安全将保持平稳增长，而中位、高位安全产品将获得快速增长，因此未来拥有大数据能力、威胁情报能力，同时云安全产品、主动防御产品占比较高的网络安全公司能获得超过行业增速的增长速度。面对日益复杂的网络环境和层出不穷的网络攻击威胁，政府和企业需要构建“低、中、高”三位能力的信息安全系统，预计未来低位安全即传统边界安全、终端安全将保持平稳增长，而中位、高位安全产品将获得快速增长，因此未来拥有大数据能力、威胁情报能力，同时云安全产品、主动防御产品占比较高的网络安全公司能获得超过行业增速的增长速度。低位能力强调基础架构的防护和纵深防御，中高位能力强调网络安全企业对海量数据的建模与分析能力、安全运营和安全分析能力、云端威胁情报与分析能力，能对基础设施防护产品提供支撑和决策。目前中位和高位的安全能力是信息安全企业普遍欠缺的，传统企业安全公司相对落后，互联网公司和基于大数据与情报能力的创业公司在中高位防御能力上有一定优势。动防御和预测类安全产品如态势感知、威胁情报分析、安全运维服务管理、数据安全等细分领域在近年取得快速增长。尤其是态势感知平台，20172018 年政府部门监管侧态势感知平台、企业端主动防御用态势感知平台项目发展较快，几乎所有信息安全公司都参与到这个安全管理和监测平台建设中。网络安全行业正在经历一个快速变革期，除了需求、产品、防护理念变化，行业竞争格局也在经历重大改变，我们预计网络安全行业正在经历一个快速变革期，除了需求、产品、防护理念变化，行业竞争格局也在经历重大改变，我们预计20192022 年会逐步看到国内网络安全收入排名前年会逐步看到国内网络安全收入排名前 20 的公司发生变化，同时网络安全巨头走向生态化和平台化竞争。的公司发生变化，同时网络安全巨头走向生态化和平台化竞争。依靠资本加持，借助人才优势以及品牌力量，互联网巨头迅速在企业安全市场崛起。以 360、阿里巴巴、腾讯为代表的互联网公司网络安 调高调高 买入买入石泽蕤石泽蕤 18616092669 执业证书编号：S1440517030001 发布日期：2019 年 01 月 23 日 市场表现市场表现 相关研究报告相关研究报告-32%-22%-12%-2%8%18%2018/1/232018/2/232018/3/232018/4/232018/5/232018/6/232018/7/232018/8/232018/9/232018/10/232018/11/232018/12/23计算机应用沪深300计算机应用 计算机应用 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 全收入增长较快，且引发了行业人才争夺战并促进了行业工程师整体薪酬快速提升。同时以 360 企业安全、阿里云为代表的互联网巨头通过不断投资并购在细分领域有独特优势的网络安全企业建立自己的网络安全生态体系，增强自身竞争优势，未来网络安全市场巨头间竞争逐步演变为生态竞争。目前中国市场公有云和私有云渗透率在 2018 年达到 7%，随着越来越多的企业上公有云尤其是中小企业，公有云端安全产品未来将挤压传统线下企业网络安全市场。而私有云设备商如华为和新华三因为私有云产品线齐全、技术实力强，主打“云网融合”一体化解决方案，而网络安全作为混合云集成方案中重要模块进行销售，尤其在重视安全的政府、电信、教育、金融等领域取得了较高的安全市场份额。未来随着基础架构安全、被动防御市场增速逐步放缓，积极防御、威胁情报等产品迅速增长，基于积极防御类、大数据分析类安全产品的创业团队也获得快速增长。因此未来随着网络安全行业持续变革，网络安全公司、互联网公司、混合云提供商以及创业公司在规模和扩张速度上会逐步拉开差距，新白马和黑马投资机会都会涌现。投资建议投资建议：在行业高景气和快速变革时期，我们建议投资者颠覆以往对网络安全行业的认知，全面了解产业链发展情况选择研发投入、技术积累和解决方案布局能跟上网络安全新变化趋势的网络安全公司，尤其是拥有中位和高位能力、在积极防御和大数据能力上具有优势的网络安全企业，请投资者重点关注 360 企业安全集团、深信服、启明星辰、安恒信息、观安信息等。风险提示风险提示:1）网络安全行业在新技术和新场景驱动下迭代速度越来越快，对网络安全公司研发和技术要求越来越高，行业内公司研发费用率整体提升从而造成净利率有可能有下降风险；2）新一代网络安全技术发展较快，而传统边界安全产品增速放缓，造成以边界安全产品为主的公司收入增速会低于行业平均增速；3）行业内部分公司存在商誉减值风险。行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 目录目录 1.三大因素驱动中国网络安全市场变革，网络安全占信息化支出占比将逐步提升.1 1.1 国家、政府、企业面临的网络安全威胁日益增加，国家对网络安全重视程度提升.3 1.2 网络安全法规、政策近年密集出台，监管和处罚力度加大，下游被监管行业范围扩大，未来轨交和工控将成为信息安全市场潜力最大的下游行业.7 1.3“云大物移”等新场景和新技术促进信息安全防护理念变化，信息安全占 IT 开支比例未来有望提升至 5%以上.9 2.行业高景气和产业变革中，信息安全行业发展新趋势和投资机遇.11 2.1 构建完善的安全防护体系，需要“高中低”三位一体能力，未来中高位积极防御能力成为网络安全能力发展关键.11 2.2 伴随安全预测和积极防御类网络安全产品快速增长，安全运营服务市场增长迅速.16 2.3 大数据和人工智能技术成为第三代网络安全技术核心.17 3.行业需求变化和技术变革引发网络安全行业竞争格局分化.19 3.1 安全行业竞争格局之变 1：互联网巨头入局，投资并购协同生态发展，借助资本力量和数据优势获得爆发性增长.19 3.2 安全行业竞争格局之变 2：公有云安全压缩传统企业安全市场，私有云解决方案提供商安全业务增长迅速，市占率逐步提升.20 3.3 安全行业竞争格局之变 3：20162018 年全球信息安全融资额不断创记录，拥有高位和中位网络安全能力公司崛起，业务安全领域发展迅速.23 4.部分网络安全行业重点公司梳理.24 5.投资建议.29 6.风险提示.30 1 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 1.三大因素三大因素驱动中国网络安全市场驱动中国网络安全市场变革变革，网络安全占信息化支出占比网络安全占信息化支出占比将逐步提升将逐步提升 2015 年以前中国网络安全市场一直受到年以前中国网络安全市场一直受到等保等保标准标准和条例驱动，市场发展较为平稳和条例驱动，市场发展较为平稳，网络安全网络安全占占 IT 开支比开支比例不足例不足 2%。信息安全等级保护是我国信息安全保障的一项基本制度，是国家通过制定统一的信息安全等级保护管理规范和技术标准，对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。1994 年中华人民共和国计算机信息系统安全保护条例(国务院 147 号令)首次提出“计算机信息系统实行安全等级保护”的概念，此后 1999 年 计算机信息系统安全等级保护划分准则、2005 年重要信息系统灾难恢复指南、2007 年信息安全等级保护管理办法、2008 年信息安全等级保护基本要求、陆续发布，等保安全要求标准也逐步提高，涵盖的监管范围越来越完善，监管对象也逐步从政府各级部门、体制内企业扩展到全社会多个行业，如政府机关、金融行业、能源行业、电信行业、游戏行业、教育行业、电商行业、网贷行业、运输行业等。等保测评提出了技术要求和管理要求两大类，涵盖了物理（机房）、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。因此过去中国的网络安全因此过去中国的网络安全市场增长主要依赖等保监管标准提升、覆盖范围扩大市场增长主要依赖等保监管标准提升、覆盖范围扩大，政府机关、企业按照等保要求，政府机关、企业按照等保要求部署相应的网络安全设备部署相应的网络安全设备和系统和系统，因此市场增速较为平稳，网络安全占，因此市场增速较为平稳，网络安全占 IT 开支比例不足开支比例不足 2%。图表图表1：按照等保三级要求进行产品配置的一套企业网络安全产品组合按照等保三级要求进行产品配置的一套企业网络安全产品组合 序序号号 建议功能或模块建议功能或模块 重要程度重要程度 主要依据主要依据 安全层面 三级分项 三级测评指标 权重 1 边界防火墙与区域防火墙 非常重要 网络安全 访问控制(G3)a)应在网络边界部署访问控制设备，启用访问控制功能；0.5(带宽管理模块)b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；1 网络安全 结构安全(G3)f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；0.5 g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。0.5 2 入侵防护系统 非常重要 网络安全 入侵防范(G3)a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等 1 b)当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间等，在发生严重入侵事件时应提供报警，及时进行处置。（落实）0.5 网络安全 访问控制(G3)c)应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制；1 3 防病毒网关 重要 网络安全 恶意代码防范(G3)a)应在网络边界处对恶意代码进行检测和清除 1 b)应维护恶意代码库的升级和检测系统的更新。0.5 4 WEB 应用防火墙 重要 数据管理安全 数据完整性(S3)a）应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措0.2 2 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 施；（或防篡改）应用安全 软件容错(A3)a）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；1 5 终端管理软件 重要 网络安全 边界完整性检查(S3)b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。1(补丁分发系统)主机安全 入侵防范(G3)c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。0.5 6 企业版杀毒软件 非常重要 主机安全 恶意代码防范(G3)a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；1 b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；0.5 c)应支持防恶意代码的统一管理。0.5 7 网络准入系统 重要 网络安全 边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；1 8 日志审计系统 非常重要 网络安全 安全审计(G3)a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；1 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。0.5 c)应能够根据记录数据进行分析，并生成审计报表；1 d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等 0.5 主机安全 安全审计(G3)e)应保护审计进程，避免受到未预期的中断；0.5 9 数据库审计 重要 主机安全 安全审计(G3)a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；1 10 运维审计系统（堡垒机）重要 网络安全 网络设备防护(G3)d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；1 e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；1 主机安全 访问控制(S3)b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；0.5 11 网络管理系统 重要 主机安全 资源控制(A3)c)应对重要服务器进行监视，包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况；0.5 e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。0.2 12 异地备份方案 重要 数据管理安全 备份和恢复(A3)a)应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；0.5 b）应提供异地实时备份功能，利用通信网络将数据实时备份至灾难备份中心 0.5 资料来源：互联网资料整理，中信建投证券研究发展部 3 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 在新需求、新政策、新技术的共同促进下，在新需求、新政策、新技术的共同促进下，2016 年以后网络安全行业进入加速发展期年以后网络安全行业进入加速发展期。2014 年开始政府和企业进行数字化转型、信息系统逐步上云过程中，催生出了新的网络安全需求，同时 2016 年年底 网络安全法、等保 2.0 标准的推出，进一步扩大监管范围提升了监管标准，促进了网络安全市场整体快速增长尤其是态势感知类产品和主动防御市场的快速增长。大数据分析、人工智能技术新技术的发展也使得网络安全防护思想、战略发生了变化，催生了网络安全行业新的投资机遇，促进态势感知、威胁情报、数据安全、身份认证与访问等网络安全新产品快速发展。1.1 国家、政府、企业面临的网络安全威胁日益增加，国家对网络安全重视程度提升国家、政府、企业面临的网络安全威胁日益增加，国家对网络安全重视程度提升 网络安全威胁事件网络安全威胁事件频发频发，没有网络安全就没有国家安全，国家对网络安全重视程度进一步提高。，没有网络安全就没有国家安全，国家对网络安全重视程度进一步提高。2018 年 1月世界经济论坛最新发布的全球风险报告，阐述了全球企业所面临的风险，网络攻击和数据泄露排在最有可能发生的前五大风险第三位、第四位，首次进入前五大威胁。网络攻击、病毒爆发和数据泄露事件近年在全球范围内出现越来越频繁，造成的直接、间接经济损失也越来越高。FrostSullivan 和微软的研究表明，网络安全问题给全球造成的损失 2017 年高达 6000 亿美元，预计 2021 年将增至 1 万亿美元，遭受网络攻击数据泄露或者病毒勒索，造成的直接经济损失包括企业的收入、生产力、罚款、诉讼和补救措施;间接损失包括客户流失、声誉受损等。2015 年至今网络安全威胁事件层出不穷，从沙特民航系统被黑、美国遭史上最大规模 DDoS 攻击东海岸网站集体瘫痪、乌克兰电网被攻击、俄罗斯央行被黑客入侵造成 3100 万美元损失、WannaCry 病毒全球大爆发超 10 万机构组织被攻陷到中国社保系统被曝漏洞等等，从政府机关、金融、能源到互联网公司，各行业几乎都受到网络攻击、病毒的威胁。网络安全是经济全球化和社会信息化的前提，也是国家安全和社会稳定的基础，没有网络安全就没有国家安全，因此各国政府、企业都提高了对网络安全的重视。图表图表2：2018 年世界经济论坛将网络攻击年世界经济论坛将网络攻击、数据泄露首、数据泄露首次列入全球企业所面临前五大风险次列入全球企业所面临前五大风险 图表图表3：针对工业控制系统的新型攻击武器针对工业控制系统的新型攻击武器 Industroyer 的攻击的攻击路径路径 资料来源：财富杂志，中信建投证券研究发展部 资料来源：国家互联网应急中心，中信建投证券研究发展部 4 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 图表图表4：2015 年至今全球发生重大网络攻击、安全漏洞、病毒入侵案例年至今全球发生重大网络攻击、安全漏洞、病毒入侵案例 时间时间 事件名称事件名称 攻击方法（原因）和影响攻击方法（原因）和影响 2015 年 1 月 俄罗斯约会网站泄露2000万用户数据 Topface 网站被黑客攻击，2000 万访客信息泄露；黑客可以使用这些账号来尝试获取银行、病例或其他敏感数据信息 2015 年 4 月 中国社保系统被曝漏洞，社保成为个人信息泄露“重灾区”卫生和社保系统出现高危漏洞；数千万用户的社保信息可能泄露 2015 年 7 月 意大利 HackingTeam 被黑，“互联网军火”泄露 黑客攻击；Hacking Team 掌握的大量漏洞和攻击工具泄露，并在网络上广泛流传 2015 年 10 月 美国全球数据服务集团益百利（Experian）公司遭到黑客入侵 黑客入侵；导致 1500 万用户个人信息泄露，包括用户姓名、出生日期、地址、社会安全号、ID 号码(护照号或驾照号码)，以及用户附加信息，如用于信用评估的加密方面资料等 2015 年 10 月 中国某电信系统出现重大漏洞 电信系统重大漏洞；通过该漏洞可以查询上亿用户信息，涉及姓名、证件号、余额，并可以进行任意金额充值、销户、换卡等操作 2015 年 11 月 中国香港伟易达 Learning Lodge 网站 500 万客户资料外泄 黑客入侵；全球大约 500 万客顾客账户以及儿童资料受到影响 2016 年 2 月 孟加拉国 SWIFT 黑客时间爆发，多家银行损失巨款 黑客攻击；失窃 8100 万美元 2016 年 6 月 欧洲全球银行业使用的恐怖嫌疑人数据库被泄露 数据库泄露；一个包含约 220 万条恐怖分子与“高风险个人及实体”记录的数据库被泄露在互联网上 2016 年 9 月 美国雅虎曝史上最大规模信息泄露，5 亿用户资料被窃 黑客入侵盗取用户信息；5 亿条用户信息被窃取，其中包括用户姓名、电子邮箱、电话号码、出生日期和部分登录密码 2016 年 10 月 美国遭史上最大规模 DDoS 攻击、东海岸网站集体瘫痪 恶意软件 Mirai 控制的僵尸网络发起的 DDoS 攻击；导致许多网站在美国东海岸地区宕机，如 GitHub、Twitter、PayPal 等，用户无法通过域名访问这些站点 2016 年 11 月 德国 90 万家庭断网，遭遇黑客蓄意入侵 德国电网遭到网络故障；2000 万固定网络用户中的大约 90 万路由器发生故障(约 4.5%)，并由此导致大面积网络访问受限 2016 年 12 月 俄罗斯央行遭遇黑客攻击，3100 万美元不翼而飞 央行电脑系统遭到黑客入侵，黑客通过伪造的用户证书进入账户；犯罪分子从银行的代理账户中窃走了 20 亿卢布(约合 3100 万美元)的资金 2017 年 2 月 印度麦当劳 220W 用户收据遭泄露，系因 API 未受保护 应用漏洞引发的数据泄露；McDelivery 应用泄露了 220 多万麦当劳用户的个人数据，包括：姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接 2017 年 2 月 中国黑产团伙长期贩卖公民信息，泄露数据达 50 亿条 犯罪团伙利用超级 SQL 注入工具、网站漏洞扫描软件，批量扫描网站程序漏洞，非法获取网站后台用户注册数据；大量个人信息包括多个邮箱、社交软件的账号和密码泄露 3 月 美国“7 号军火库”泄露 维基解密（WikiLeaks）网站公布美国 CIA 内部文件；美国 CIA 内部大量攻击技术泄露，包括 8761 份文件 2017 年 4 月 美国影子经纪人入侵NSA黑客武器库 影子经纪人（Shadow Brokers）公开了一大批 NSA（美国国家安全局）“方程式组织”(Equation Group)使用的极具破坏力的黑客工具；导致任何人都可以使用 NSA 的黑客武器系列攻击别人的电脑 2017 年 5 月 加拿大贝尔遇黑客勒索，勒索不成用户数据遭泄露 黑客入侵；约 190 万个使用中的电子邮件地址和约 1700 名客户的名字和使用的电话号码泄露 2017 年 5 月 WannaCry 病毒全球大爆发，超 10万机构、组织被攻陷 由 Windows 系统漏洞引发的勒索蠕虫病毒攻击；全球范围受到影响，大量机构和组织被攻陷、勒索 2017 年 6 月 美国 2 亿选民资料泄露马克龙深陷“邮件门”美国共和党全国委员会的承包商 Deep Robot Analytics 误配置数据库所导致信息泄露；约 2亿人的投票信息泄露，包括美国选民的个人信息，姓名、出生日期、家庭地址、电话号码、5 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 时间时间 事件名称事件名称 攻击方法（原因）和影响攻击方法（原因）和影响 选民登记详情等 2017 年 6 月 Petya 勒索病毒变种肆虐 Petya 勒索病毒变种攻击；多家运营商、石油公司、零售商、机场、ATM 机等企业和公共设施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染 2017 年 10 月 中国新型 IoT 僵尸网络快速扩张 僵尸网络利用路由器、摄像头等设备漏洞攻击；很多厂商的公开漏洞都已经被 IoT_reaper病毒所利用，其中包括 Dlink(路由器)、Netgear(路由器)、Linksys(路由器)、Goahead(摄像头)、JAWS(摄像头)、AVTECH(摄像头)、Vacron(NVR)等共 9 个漏洞，感染量达到近 200万台设备，且每天新增感染量达 2300 多次 2017 年 12 月 Office 高危漏洞导致恶意邮件正大规模窃取隐私 利用 Office 漏洞（CVE-2017-11882）实施的后门攻击；通过恶意文档诱骗点击并窃取隐私 2018 年 2 月 美国安德玛事件 健康和健身追踪应用 MyFitnessPal 遭到黑客攻击；大约有 1.5 亿用户受到影响，泄露的信息包括用户名、电子邮件地址以及密码等 2018 年 3 月 美国大学事件 9 名伊朗黑客发动黑客攻击；渗透 144 所美国大学、其他 21 个国家的 176 所大学、47 家私营公司、联合国、美国联邦能源监管委员会以及夏威夷州和印第安纳州等其他目标，窃取了 31TB 的数据，以及预估价值 30 亿美元的知识产权信息 2018 年 3 月 美国 FACEBOOK 数据泄密，五千万用户数据遭滥用 Cambridge Analytica 获得了 Facebook 的用户数据并违规滥用；Facebook 上约有 8700 万用户受影响，欧盟声称 Facebook 确认 270 万欧洲人的数据被不当共享 2018 年 4 月 美国纳斯达克数据中心被声音“攻击”，北欧交易全线中断 用于火灾报警系统释放灭火气体产生的巨大声响导致瑞典 Digiplex 数据中心磁盘损坏；近三分之一的服务器意外关机，进而摧毁整个北欧范围内的纳斯达克业务 2018 年 5 月 美国恶意软件 VPNFilter 事件 俄罗斯黑客攻击活动传播 VPNFilter 的恶意软件创建大规模的僵尸网络；僵尸网络可用于多种用途，包括启动网络操作或垃圾邮件活动、窃取数据、制定有针对性的本地化攻击等 2018 年 8 月 台积电多个厂区电脑遭遇WannaCry 病毒袭击，造成停工 8 月 3 日傍晚台积电台积电多个厂区电脑遭遇 WannaCry 病毒感染造成宕机停工，据悉包括竹科（新竹科技园区）的晶圆 12 厂、中科（台中科技园区）晶圆 15 厂和南科（台南科技园区）晶圆 14 厂都受到此次电脑病毒感染影响，影响范围主要集中在 7 纳米制程。2018 年 8 月 华住酒店客人信息遭遇黑客盗取并在暗网出售 8 月 28 日暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为，该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等，有 1.23 亿条注册资料、1.3 亿人身份信息和 2.4 亿条开房记录在黑市以 8 个比特币（约等于人民币 35 万元）的价格公开叫卖。9 月 18 日华住酒店宣布暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案，其企图之交易未果 资料来源：互联网资料整理，中信建投证券研究发展部 境外境外 APT 攻击组织攻击组织对中国及“一带一路”国家对中国及“一带一路”国家发动攻击发动攻击趋于趋于频繁频繁，国家对抗的安全需求进一步提升国家对抗的安全需求进一步提升。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”，APT 攻击一般经过长期的经营与策划，具备高度的隐蔽性，是国家对抗或者组织间对抗的网络战的一种具体表现形式。APT 攻击类型主要分为六类：潜伏控制、潜伏窃密、通用破坏、工控破坏、政治影响和金钱利益。根据 360 2016 年发布的 APT 研究报告显示，2016 年被 APT 攻击国家依次是：中国、美国、印度、俄罗斯、乌克兰、巴基斯坦、伊朗、韩国、日本、以色列、土耳其、埃及和沙特阿拉伯这 13 国家。从攻击目标上看，攻击政府、外交、军事领域的 APT 组织最多，其次是金融领域，接下来是能源、电力、医疗、零售、电商等基础设施。截至到 2018 年 10 月，360 威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外 APT 组织 38个，攻击范围遍布国内 31 个省级行政区。且针对中国境内的攻击活动在 2018 年异常频繁，活跃的攻击组织包括海莲花、蔓灵花、白象、DarkHotol 等。中国周边的国家以及中国的一带一路国家，也成为 APT 组织重点关注的对象。6 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 图表图表5：网络安全层次划分网络安全层次划分和分类和分类 资料来源：360企业安全，中信建投证券研究发展部 网络空间战日益成为大国战略博弈的新战场网络空间战日益成为大国战略博弈的新战场，国家安全作为网络安全中最重要的组成部分国家安全作为网络安全中最重要的组成部分，加强网络安全，加强网络安全能力建设和投入才能匹配能力建设和投入才能匹配我国的我国的大国地位大国地位。无论是发动 APT 攻击，还是披露 APT 攻击，均成为了现代国际关系中，大国政治与战略博弈的重要棋子，而整个网络空间就是大国战略博弈的新战场。美俄两国，特别是美国，非常善于通过公开威胁事件及情报共享等方式，提高国内机构与企业的整体安全防护水平，同时借此对其他国家施加政治压力。要对抗 APT 攻击需要网络安全企业拥有以下几种能力：1）充分的历史安全大数据储备能力；2）本地多维大数据的协同分析与处理能力；目前国内绝大多数安全企业提供的安全产品普遍缺乏数据联动分析能力，同时也严重缺乏多维度数据综合收集与处理的计算能力；3）具有云端威胁情报能力，目前在国内能够实现稳定商业运营的威胁情报中心厂商也非常少。未来国家必须要加强网络安全能力建设和投入才能匹配现在的大国地位。图表图表6：2016 年年 360 威胁情报中心监测到威胁情报中心监测到 APT 攻击情况攻击情况 被攻击目标国家被攻击目标国家 所属地区所属地区 相关报告数量相关报告数量 攻击组织数量攻击组织数量 主要被攻击领域主要被攻击领域 中国 亚洲 26 9 政府、基础设施、教育、科研、大型企业 美国 北美 15 9 政府、金融、基础设施、大型企业 印度 亚洲 15 7 政府、军事、商业组织 俄罗斯 欧洲 15 6 政府、能源、军事、外交、金融 乌克兰 欧洲 14 5 政府、军事、电力、金融 巴基斯坦 亚洲 13 3 政府、军事、外交、能源、教育、科研 伊朗 亚洲 12 3 政府、外交、能源 韩国 亚洲 8 4 政府、大型企业 日本 亚洲 3 3 基础设施、组织机构、大型企业 以色列 亚洲 3 3 政府、军事、金融 土耳其 亚洲 3 2 政府、军事 沙特阿拉伯 亚洲 2 2 军事、金融 埃及 非洲 2 2 政府、军事、金融 资料来源：360安全研究院，中信建投证券研究发展部 7 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 图表图表7：2016 年年遭受遭受 APT 攻击后攻击后感染专用木马用户最多的感染专用木马用户最多的省级行政区依次是：广东、北京、浙江、江苏省级行政区依次是：广东、北京、浙江、江苏，也和我国企，也和我国企业信息化程度相关业信息化程度相关 图表图表8：2018 年中国境内遭受年中国境内遭受 APT 攻击的行业分布攻击的行业分布 资料来源：360网络安全研究院，中信建投证券研究发展部 资料来源：360网络安全研究院，中信建投证券研究发展部 1.2 网络安全法规、政策网络安全法规、政策近年近年密集出台密集出台，监管和处罚力度加大，监管和处罚力度加大，下游被监管行业范围扩大，下游被监管行业范围扩大，未来未来轨交和工控将成为轨交和工控将成为信息安全市场潜力最大的下游行业信息安全市场潜力最大的下游行业 20142017 年，国家密集出台加强网络安全建设的法规和政策，促进网络安全行业加速发展。年，国家密集出台加强网络安全建设的法规和政策，促进网络安全行业加速发展。2014 年 2 月27 日中央网络安全和信息化领导小组宣告成立并在北京召开第一次会议，中共中央总书记、国家主席、中央军委主席习近平亲自担任组长，李克强、刘云山任副组长。2015 年十八届五中全会将“网络强国战略”纳入“十三五”规划。2016 年 12 月国家互联网信息办公室国家网络空间安全战略，明确国家网络空间安全工作的战略任务是坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9 个方面。2017 年 2 月，国家互联网信息办公室官网公布网络产品和服务安全审查办法（征求意见稿），宣布将成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，党政部门及重点行业优先采购通过审查的网络产品和服务，不得采购审查未通过的网络产品和服务，同时金融、电信、能源等重点行业主管部门，组织开展本行业、本领域网络产品和服务的安全审查工作。2017 年年 6 月月网络安全法网络安全法正式实施正式实施后，后，对违法网络安全法规的政府机关、企业对违法网络安全法规的政府机关、企业处罚处罚力度增加力度增加，促进企业，促进企业合规性采购需求增加，合规性采购需求增加，2019 年等保年等保 2.0 将正式发布，将正式发布，进一步进一步促进促进 2019 年年2020 年年信息安全市场快速增长。信息安全市场快速增长。2008年发布的 GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 及其配套政策文件和标准统称为等保 1.0。等保 1.0 在经历了多年的试点、推广、行业标准制定、落实工作后，由于新技术、新应用、新业务形态的大量出现，尤其是人工智能、大数据、物联网、云计算、全数字化仪控系统等的快速发展，安全趋势和形势的急速变化，原来发布的标准已经不再适用于当前安全要求，从 2015 年开始，等级保护的安全要求逐步开始制定 2.0 标准，包括 5 个部分：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求，丰富了防护内容和要求，通用要求中精简了多余或者不适用的内容，增加了无线网络、网络集中监控等的要求。2017 年 6 月 1 日期中华人民共和国网络安全法正式开始实施，其中第政府16%金融16%外交12%军队12%能源11%国防7%科研7%医疗3%传媒3%电信3%电子商务3%工业3%其他8%8 行业深度研究报告 计算机应用计算机应用 请参阅最后一页的重要声明 二十一条明确：国家实行网络安全等级保护制度。在过去一年多的法律实践中，各地都陆续出现未落实等保的企业被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚，因此地方政府网信办、公安部门对违法企业处罚力度的加大也促进了政府网络安全等级保护条例即等保网络安全等级保护条例即等保 2.0 标准已在国家安标委最终审批，将在近标准已在国家安标委最终审批，将在近期正式出台。期正式出台。图表图表9：2017 年年2018 年部分地方政府对企业未履行网络安全法要求的职责进行的较为严重的处罚案例统计年部分地方政府对企业未履行网络安全法要求的职责进行的较为严重的处罚案例统计 时间时间 处罚行为处罚行为 处罚对象处罚对象 处罚措施处罚措施 执法机关执法机关 处罚依据处罚依据 2017.7.22 未进行定级备案、等级测评，存在高危漏洞，造成网站发生被黑客攻击入侵 四川省宜宾市翠屏区“教师发展平台”网站 对直接负责的主管人员罚款 5000，机构罚款 10000 元 四川省宜宾市网安部门 网络安全法 第 21条、第 59 条第 1 款 2017.8.12 未进行网络安全等级保护定级备案、等级测评 安徽省蚌埠怀远县教师进修学校网站 约谈学校法定代表人、怀远县人民政府分管副县长；对学校处以巧15000 罚款，对负有直接负责的主管人员处到 5000 罚款 安徽省公安厅网络安全保卫总队；安徽省蚌埠市局网安支队 网络安全法 第 21条、56 条、第 59 条。2017.8.30 未按照网络安全等级保护制度的要求落实网络安全主体责任，存在高危安全漏洞并被黑客攻击入侵，造成严重后果 哈尔滨方正县农业技术推广中心设立的“方正农业社会化服务平台”责令整改，并处罚 款 20000 元 黑龙江省哈尔滨市公安局网安支队 网络安全法 第 21条、第 59 条、第 59条第 1 款 2017.7.21 未实名认证、未建立安全保护管理制度和安全保护技术措施 上海初生网络科 技有限公司（热拉）停机整顿 6 个月 上海公安网安部门 计算机信息网络国际联安网安全护萨办法第 10 条、第 11 条 2017.9 未落实实名制 深圳市三人网络科技有限公司 停业整顿，关闭网站 广东省通信管理局 网络安全法 第 24条、第 61 条 2017.8.17 未落实实名制 蘑菇互动网、虾米音乐网 暂停新用户注册 7 天 浙江网信办 网络安全法 第 24条、第 61 条 2018.1.10 未履行个人信息保护义务 支付宝、芝麻信用 约谈支付宝、芝麻信用有关负责人，要求加强专项整顿 国家网信办网络安全协调局 网络安全法 第 22条、第 41、42、43条、第 64 条 2018.1.11 未履行