自主可控深度报告之四谈软件：信息安全刻不容缓

上市公司总家数销售收入(亿元)利润总额(亿元)上市公司总家数销售收入(亿元)利润总额(亿元)2016/122017/32017/62017/9-15%-6%2016/122017/32017/62017/9-15%-6%0700000600005000040000300002000010000成交金额(百万)计算机沪深300行业细分领域较多，龙头市占率低，行业集中度低，安全硬件产品的市场规模占比最大；行业细分领域较多，每种安全产品类别下均有各自的细分产品，产品数量多达几十种；行业集中国内企业信息安全事故近几年高速增长，信息安全事件日数据、云服务市场规模逐渐扩大，但信息安全问题的存在将桎梏我国网络的进一步发展。因此，国家日益重视立法保护信息云安全和工控安全领域技术的兴起，为行业带来了新的发展空间。海外云安全市场早已经兴起，增速高于云计算增速。国内云计算安全市场正处于高速发展期，预计未来随着云计算安全云服务的市场规模有望进一步扩大。近年来，工业控制领统联网数目持续增加，每年新增工控漏洞数也在增加。目前我础性工控安全的建设费用达到百万量级，工控市场规模可达到千亿量级。之后相关政策细则的落实，将成为工控安全市场空间增长的爆发点。是引起各界对信息安全的广泛关注。面对日益严峻的网络空间安全威胁，美国、德国、英国、法国等世界主要发达国家纷纷出台了国家网络安全战略，明确网络空间战略地位，并提出将采取包括外交、军事、经济等在内的多种手段保障网络空间安全。严峻的网络安全形势驱动国际安全市场的快速增长，但整计算、移动计算和物联网等技术的发展日益推动全球市场对信息安全的关注，而错综复杂、影响重大的高级针对性攻击也起中国长城（000066.sz）、中国软件（600536.sh）、浪潮信息蓝盾股份（300297.sz）、神州数码（000034.sz）、启明星辰美亚柏科（300188.sz）、卫士通（002268.sz）、任子行 5 5 5 7 7 8 92.3.1十九届中央国家安全委员会第一次会议召开，奠定了国家信息 92.3.2《网络安全法》等政策的实施推 5 6 6 6 7 8 ），快速增长态势。预计中国信息安全在未来几年仍将保资料来源：智研咨询、方正证券研究所件、软件和服务三大类。以2015年中国信息安全），），20.8%。安全服务市场规模为6.72亿美元（约44.4亿人民币占比25.0%。预计短时间内国内市场仍会被安全硬件资料来源：智研咨询、方正证券研究所资料来源：智研咨询、方正证券研究所硬件安全应用硬件防火墙/VPN防火墙、VPN网关等入侵检测入侵检测系统、APT未知攻击检测系统等入侵防御入侵防御系统、抗拒绝服务攻击系统等统一威胁管理统一威胁管理网管、下一代防火墙等安全内容管理上网行为管理、安全审计等硬件认证令牌、智能卡、生物识别令牌、指纹识别、虹膜识别等软件安全内容与威胁管理网络安全、终端安全、信息安全、Web安全防病毒软件、Web应用防火墙、反垃圾邮件系统、数据泄露防护系统、数据加密系统、终端安全管理软件等身份管理与控制访问PKI、SSO、增强认证、权限分配数字证书身份认证系统、身份管理与访问控制安全性与漏洞管理事件管理、漏洞管理、策略与合规安全评估系统、安全事件管理系统、安全管理平台等服务咨询、实施、运维、培训安全咨询、安全运维、安全培训等资料来源：IDC、方正证券研究所资料来源：智研咨询、方正证券研究所全状况调查》显示，仅2016年，中国内资料来源：普华永道，方正证券研究所增多的很大一部分原因是由于国内近几年网络安全事件频发造国家级重要信息系统和关键基础设施成为跨国网络攻击的主要目标2015年5月360公司“天眼实验室”发布报告曝光专门攻击中国政府的境外黑客组织“海莲花”（OceanLotus）。该组织自2012年4月以来，针对中国政府、海事机构、海域建设部门、科研院所等展开了长时间的高级持续性威胁（APT）攻击。大型互联网平台安全事故频发且影响重大2015年5月国内最大的网络支付平台支付宝出现网络故障瘫痪两个小时。2015年5月国内最大的在线旅游平台携程遭遇全线瘫痪并创下了国内互联网公司系统瘫痪12小时的新纪录。数据泄漏事件频发，网络黑产规模惊人。2015年1月机锋科技旗下机锋论坛被曝出存在高危漏洞，多达2300万用户的信息遭遇安全威胁。2015年2月漏洞盒子平台的安全报告指出，知名连锁酒店桔子、锦江之星、速八、布丁；高端酒店万豪酒店集团（万豪、丽思卡尔顿等）、喜达屋集团（喜来登、艾美、W酒店等）、洲际酒店集团（假日等）存在严重安全漏洞，房客开房信息一览无余。网易用户数据库疑似泄露，影响到网易163、126邮箱过亿数据，泄露信息包括用户名、密码、密码保密信息、登录IP以及用户生日等。新技术发展推动网络攻击方式的创新和升2015年9月苹果Xcode开发链被污染事件曝光，苹果应用商店超过3000个应用被感染。该事件采用了非官方供应链（工具链）污染的方式，颠覆了传统恶意代码传播方式的固化思维。黑客租用阿里云服务器“撞库”导致淘宝数据泄露。资料来源：上海社会科学信息研究所，方正证券研究所对中国进口的600亿美元商品增加关税，并表示这只是一个开议对清单上的中国产品征收额外25%的关税。产品涉及航空航天、信息和通信技术、机器人和机械等可能在“中国制造2025”审查和听证会完成后，USTR将对附加关税IOE、紫光系等事件等都体现了两国的冲突。在当今的信烟的战争。2013年，美国在“棱镜门”事件中利用网络信己制造。全国政协十二届一次会议科协、科技界委员联组讨论2013年3月现在，比较正常的技术引进也受到种种限制，过去你弱的时候谁都想卖技术给你，今天你发展了，谁都不愿卖技术给你，因为怕你做大做强。在引进高新技术上不能抱任何幻想，核心技术尤其是国防科技技术是花钱买不来的。人家把核心技术当“定海神针”、“不二法器”，怎么可能提供给你呢？只有把核心技术掌握在自己手中，才能真正掌握竞争和发展的主动权，才能从根本上保障国家经济安全、国防安全和其他安全。中国科学院考察工作2013年7月高端科技就是现代的国之利器。近代以来，西方国家之所以能称雄世界，一个重要原因就是掌握了高端科技。真正的核心技术是买不来的。正所谓“国之利器，不可以示人。”只有拥有强大的科技创新能力，才能提高我国国际竞争力。希望你们积极抢占科技竞争和未来发展制高点，突破关键核心技术，在重要科技领域成为领跑者，在新兴前沿交叉领域成为开拓者。听取科技部汇报2013年8月在国际上，没有核心技术的优势就没有政治上的强势。在关键领域、卡脖子的地方要下大功夫。军事上也是如此。视察中国商飞设计研发2014年5月我们要做一个强国，就一定要把装备制造业搞上去，把大飞机搞上去，起带动作用、标志性作用。中国是最大的飞机市场，过去有人说造不如买、买不如租，这个逻辑要倒过来，要花更多资金来研发、制造自己的大飞机。两院院士大会2014年6月只有把核心技术掌握在自己手中，才能真正掌握竞争和发展的主动权，才能从根本上保障国家经济安全、国防安全和其他安全。不能总是用别人的昨天来装扮自己的明天。不能总是指望依赖他人的科技成果来提高自己的科技水平，更不能做其他国家的技术附庸，永远跟在别人的后面亦步亦趋。视察中科院西安光机所2015年2月我们的科技创新同国际先进水平还有差距，当年我们依靠自力更生取得巨大成就。现在国力增强了，我们仍要继续自力更生，核心技术靠化缘是要不来的。十二届全国人大三次会议上海代表团审议2015年3月我国发展到现在这个阶段，不仅从别人那里拿到关键核心技术不可能，就是想拿到一般的高技术也是很难的，西方发达国家有一种教会了徒弟、饿死了师傅的心理，所以立足点要放在自主创新上。网络安全和信息化工作座谈会2016年4月互联网核心技术是我们最大的“命门”，核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国，供应链的“命门”掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。我们要掌握我国互联网发展主动权，保障互联网安全、国家安全，就必须突破核心技术这个难题，争取在某些领域实现“弯道超车”。十八届中央政治局第三十六次集体学习我们大力发展核心技术，加强关键信息基础设施安全保障，完善网络治理体系。要紧紧牵住核心技术自主创新这个“牛鼻子”，抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术，加快推进国产自主可控替代计划，构建安全可控的信息技术体系。要改革科技研发投入产出机制和科研成果转化机制，实施网络信息领域核心技术设备攻坚战略，推动高性能计算、移动通信、量子通信、核心芯片、操作系统等研发和应用取得重大突破。资料来源：央视新闻，方正证券研究所全球信息安全形势和国内信息安全现状，2012年，党的十八大洋安全、太空安全置于同一战略高度。2013年，党的十八届三管理领导体制，确保国家网络和信息安全”。2014年，中央网发展提供了有力保障。谋划、设计和部署谋划、设计和部署2014年8月《关于加强电信和互联网行业网络安全工作的指导意见》工信部提升网络安全保障能力，完善网络安全保障体系，提高网络基础设施和业务系统安全防护水平，增强网络安全技术2014年10月《关于进一步加强进队信息安全工作的意见》中央军委加快构建以防护策略为核心、先进技术为基础、法律法规为支撑、人才队伍为关键、安全管理为保证的军队信息安全防护体系。2016年11月《中华人民共和国网络安全法》全国人大全国人民代表大会常务委员会通过《中华人民共和国网络能源、交通、电子政务等行业在网络安全等级保护制度的2016年12月《国家网络空间安全战略》国家互联网信息办公室我国第一次向全世界系统、明确地宣示和阐述对于网络空间发展和安全的立场和主张。2017年1月《信息通信网络与信息安全规划（2016-2020工信部紧扣“十三五”期间行业网络与信息安全工作面临的重大问题，对“十三五”期间行业网络与信息安全工作进行统资料来源：智研咨询、方正证券研究所、政府机构和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单国防科工、大型装备、化工、食品药品等行业领域科研生产单位广播电台、电视台、通讯社等新闻单位其他重点单位资料来源：《网络安全法》、方正证券研究所队建设、通报监测、应急演练、容灾备份、业务建设“三同步”等规定，更主要的是新提出了等级保护和安全审第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序公共利益。第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利造成损害，但不损害国家安全。第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级信息系统受到破坏后，会对国家安全造成特别严重损害。资料来源：《网络安全法》、方正证券研究所全行业国产化。目前国内大概有46亿被国外产品服务或安全即服务（SecurityasaServi种目前主流的服务之后出现的一种新的云服务类型。资料来源：公司公告、方正证券研究所资料来源：Wind、方正证券研究所降低至最小，提高了企业安全维护的效率。资料来源：Wind、方正证券研究所资料来源：Wind、方正证券研究所度将进一步加强，安全云服务的市场规模有望进一步场被攻击事件以及第一款可在PLC之间传播的“工击的目标。随着工业2025计划落地，我制系统的具体等级保护标准并没有正式出台。但在201的决心。目前我国工控安全的市场规模约2.25亿，2016年5月公安部首次将工控系统纳入国家安全执法工作。2016年5月《国务院关于深化制造业与互联网融合发展的指导意见》对提高工业信息系统安全做出要求。2016年7月半年为期5个月的关键基础设施大检查包括工控安全领域。2016年10月《工业控制系统信息安全防护指南》将工控安全作为业务发展的重要组成部分。2016年10月《工业自动化和控制系统网络安全》6项推荐性国标出台。资料来源：Wind、方正证券研究所是引起各界对信息安全的广泛关注。网络攻击从最初的自发式、2013年6月棱镜门棱镜计划是美国2007年起实施的绝密电子监听计划，要求威瑞森公司提供私人电话记录，另外包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。2014年1月韩国信用卡信息被盗由于受到黑客攻击，韩国至少2000万银行和信用卡用户的个人信息数据被泄露，这是韩国历史上最严重的数据泄漏事件，波及40%人口。2014年4月心脏出血(Heartbleed)这一漏洞让任何人都能读取系统的运行内存通过读取网络服务器内存，攻击者可以访问敏感数据，从而危及服务器及用户的安全。2014年9月iCloud“艳照门”黑客利用苹果iCloud云盘系统漏洞，非法盗取众多全球当红女星的裸照，在网络论坛上发布。2014年10月摩根大通客户数据泄露由于受到黑客攻击，美国资产规模最大的银行摩根大通7600万个人及700万企业客户相关信息被泄露。2014年11月索尼影业被黑索尼影业系统被黑客挟持，要求索尼影业满足其“条件”，否则将公布其秘密2015年2月医疗机构Anthem被攻击Anthem被攻击是美国有史以来最大医疗机构泄露事件，Anthem泄露了8000万个人信息。2015年10月TalkTalk数据泄露英国宽带服务提供商TalkTalk约400多万用户的隐私数据被泄露。2017年5月Wannacry勒索软件全球爆发新型“蠕虫式”勒索软件WannaCry爆发，席卷了全球包括中国在内的99个国家。中国部分行业企业内网、教育网规模化感染，教学系统、校园一卡通系统等瘫痪。英国多家医院中招，病人资料威胁外泄。此外，俄罗斯以及整个欧洲均受到影响。该病毒要求只有缴纳高额赎金（有的要比特币）才能解密资料和数据。资料来源：央视新闻、方正证券研究所明美国已高度认识到网络身份安全在保障网络空间安全中的重应对未来有可能发生的网络战争。美国《提升关键基础设施网络安全行政命令》行政命令要求美国联邦政府部门与其安全供应商之间维持良好的信息共享机制。《2013年边境巡逻员薪资改革法案》提升网络安全专家薪资待遇，提升政府部门和私营机构网络安全人才的收入水平。《2014年国家网络安全保护法》奠定联邦政府和私营机构网络安全威胁信息共享的法理基《2014年网络安全框架》行政命令加强政府和私营机构合作，发挥安全企业在保障关键基础设施安全方面的重要作用。《2014年增强网络安全法》明确企业等私营部门在联邦网络安全研究和发展计划中的作用，加强公私合作；明确提出通过设立奖学金、开展竞赛等方式优化安全人才培养机制。《2015年网络安全战略》战略强调政府与私营部门，尤其是IT企业合作的主旨不变。《2015年网络空间行动计划》行政命令要求政府定期对各企业的安全技术团队进行能力培训和测英国《2011年英国网络安全战略》战略鼓励技术创新，帮助企业拓展海外市场。欧盟《安全网络计划》计划信息安全意识普及和安全人才培养。《2013年网络安全战略》战略明确产业发展目标，要求政府采购，市场规模翻倍，信息安全人才缺口减半。澳大利亚《网络安全战略》战略将“企业-政府伙伴关系”列为重点战略措施。资料来源：Wind、方正证券研究所移动计算和物联网等技术的发展日益推动全球市场对信息安全资料来源：IDC、方正证券研究所2015年，全球信息安全产业中安全服务、安全软件与安全资料来源：上海社会科学信息研究所、方正证券研究所资料来源：智研咨询、方正证券研究所了分拆上市，将公司分成安全软件和数据存储两家公司。公司40多个国家，500强企业大多是其客户。进入成熟期