国内安全市场“合规驱动力”的原点,是从1994年2月18日那天开始的。
《计算机信息系统安全保护条例(国务院147号令)》发布,确立了安全厂商需要“销售许可证”的行业准入制度和甲方企业需要“等级保护”的安全建设制度。
安全市场合规驱动力的“新奇点”产生于12年之后的2016年6月1日《网络安全法》的正式颁布。网络安全法规定了要建立制度、防护、分析、监测预警与应急处置的安全工作流程;提出了数据、个人信息、未成年人保护、漏洞、网络舆情、网络安全人才教育、风险评估等安全对象的管理机制。
《网络安全法》颁布5年后的2021年,有4部安全新法规诞生,这又是一个新的起点。咱们就自上而下将十部重要安全法规贯穿,看一看合规驱动力的演化逻辑和对未来的影响。
01 法规速览
法规在这里泛指法律、行政法规、司法解释、部门规章、规范性文件等立法文件。据不完全统计,跟网络相关的法规有100多件,从1994到2021的26年间,在安全行业里有着深远影响和重要地位的安全法规,有十个。
这十类法规共计489条6万余字,下面就以这十个法规为基础,来看一下安全立法的演化逻辑。
02 演化逻辑
我们把上述十个安全法规的关系抽离出来,形成了安全法规整体框架。
在这十个安全法规里,有上位法性质的法规有两个:《计算机信息系统安全保护条例》和《网络安全法》。虽然前者只是个条例,但是影响深远,是国内第一个较详细的安全合规规范。
从名称上就可以看出来:“计算机信息系统安全保护条例”是信息系统的安全顶层指导文件;“网络安全法”是网络的安全顶层指导文件。而《网络安全审查办法》可以近似认为是“网络安全法”的认定规范,不是建设指导。
上述两个顶层指导文件往下落地,可以分成“责任主体”和“安全对象”两大尺度。责任主体是IT视角下的分类,安全对象是安全视角下的分类。
站在“责任主体”的尺度上,整个法规体系约定了三类组织的安全建设指导:计算机信息系统运营者、网络运营者和关键信息基础设施的运营者。
计算机信息系统运营者的安全建设指导对应《信息安全等级保护管理办法》,同下面众多的技术规范就构成了“等保1.0”的安全合规体系。
网络运营者的安全建设指导对应《网络安全等级保护条例》,同下面众多的技术规范就构成了“等保2.0”的安全合规体系。
关键信息基础设施的运营者的安全建设指导对应《关键信息基础设施安全保护条例》,同下面众多的技术规范就构成了“关基”安全合规体系。
而下层的准则、指南、方法、要求等规范本质就是相关的安全建设指导文件。
站在“安全对象”的尺度,整个法规体系约定了三类安全对象:密码、数据和漏洞。
针对密码的保护,对应《密码法》,下面有一些密码管理和商用密码管理的规范。
针对数据的保护,对应《数据安全法》和《个人信息保护法》,前者偏重企业数据,后者关注个人数据。
针对漏洞的防护,对应马上要出台的《网络产品安全漏洞管理规定》,其中包括:网络产品(含硬件、软件)提供者、网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人三大类角色。
03 未来影响
站在资本的角度来看,大家非常清楚“合规驱动”是安全行业快速发展的一个非常重要的驱动力,事实上“等保1.0”也确实是安全行业的主要驱动力,那些传统安全厂商的营收,大部分都来自于这里。
但是大家都理解,以《信息安全等级保护管理办法》为上位法的“等保1.0”体系经过10年的释放,驱动力的效果在逐渐减弱,目前这类驱动力产生的营收已经从原来企业营收占比的三分之二下降到目前的三分之一左右。
于是,人们就有了这样的疑问:从“等保2.0”开始,这些新的安全法规到底能给安全市场带来多大的增量?这种合规驱动力带来的安全市场容量的释放,还需要多久?
站在更大的框架下看,“责任主体”下的法规体系是在“国家安全”的框架下制定的;而“安全对象”下的法规体系是在“数据经济”的框架下制定的,因此无论从接下来的执行层面还是从对安全市场驱动程度层面来看,都是不一样的。
咱们先看以《网络安全等级保护条例》为上位法的“等保2.0”体系。它面向的网络运营者,从主体定义上看范围更广,已经不限于党政、央企、大客户等典型行业,而是一个更加泛化的概念,这里面有两个变量需要讨论。
一是对于传统的等保企业来说,等保2.0是等保1.0的升级,大部分安全能力在等保1.0时代已经具备,因此带来的市场增量已经不大了。
二是等保2.0体系在等保1.0的基础上对云计算、移动互联、物联网和工业控制系统这四个新场景进行了要求。由于云计算是寡头市场,移动互联太小,物联网以OT网络为主、智能化程度不够,因此等保2.0目前对这三个场景的影响也不大。
剩下就是工业控制系统场景,因为该场景本来就是IT网络架构,很容易产生攻防需求,因此驱动力作用比较明显,未来每年可以释放十亿量级的市场份额,这也是今年大部分工控安全厂商融资比较容易的一个原因。
咱们再看以《关键信息基础设施安全保护条例》为上位法的“关基”体系。它面向的是关键信息基础设施的运营者,该角色的范围虽然包含在网络运营者之中,但是是从实战化的角度、从国家安全的层面,对制度、防护、分析、监测预警与应急处置的安全工作流程进行了规范,因此也是一个泛化的概念。
不仅仅是上面提到的传统等保单位,一些商业化公司也涵盖其中,因此这是未来比较大的合规驱动力,只不过从认定自己是否是“关基”,到进行“关基建设”还需要大致一年的准备期,在准备期结束后,估计每年可以释放数十亿的市场份额。
以上是从“责任主体”的维度来看合规对安全市场的影响,下面从“安全对象”的维度再看看相关法规对安全市场的影响。
密码、数据、漏洞都是从业务视角切入的新维度,它们最大的特点是已经脱离了具体的IT环境和具体的责任主体单位,是一种横向打穿的尺度,因此只能做为安全建设的“目的指导”规范,很难做为安全建设的“过程指导”规范。
因为这种尺度下的安全要求,很多时候并不能依赖某个安全产品、某种解决方案来解决,而是需要融入到企业的治理架构之中,是管理、技术、运营的综合考虑结果,这部分法规的解释和落地,具有很大的弹性,解决方案很难标准化,因此企业需要将安全做为企业战略的一部分来设计。
从国家层面来理解,这些法规的制定已经不是要求相关单位怎么做,而是如何安全保障数字经济,因此同样具有很大的“执行弹性”,而且采用了举报制度,只要被举报,就会面临相关的审查。因此,接下来的安全建设势必会从“能力建设”的尺度过度到“机制建设和体系建设”的尺度,这就对安全厂商的咨询规划能力提出了更高的要求。
从市场层面来看,这类市场的释放也是弹性的,它不会有明显的释放时间点和节奏,而是开始跟事件相关,只要有一些恶性的社会事件产生,就会在短时间内快速拉动安全建设需求。
对于甲方企业来说,未来最佳的方式,并不是采购某个安全厂商的产品、服务或解决方案,也不是将安全咨询服务外包给某个安全厂商,而是要首先把安全融入到企业战略之中,尽快建立自己的安全组织、产生自己的安全认知并设计自己的安全框架,然后在这个框架下进行相应的安全建设。
因此,未来的安全建设模式会从“安全厂商主导”模式演进到“甲方企业主导”的模式,因此未来对甲方企业的挑战不光是花钱的问题,还需要在安全上花费必要的时间。
参考资料:
【1】 国务院公报.中华人民共和国计算机信息系统安全保护条例,2011-01-08.http://www.gov.cn/gongbao/content/2011/content_1860849.htm
【2】 吉林省公安厅.信息安全等级保护管理办法(公通字[2007]43号),2012-05-30.http://gat.jl.gov.cn/zwgk/zcfg/wlgl/201205/t20120530_1215126.html
【3】 新华社.中华人民共和国网络安全法,2016-11-07.http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
【4】 公安部.公安部关于《网络安全等级保护条例(征求意见稿)》公开征求意见的公告,2018年06月27日.https://www.mps.gov.cn/n2254536/n4904355/c6159136/content.html
【5】 新华社.中华人民共和国密码法,2019-10-27.http://www.gov.cn/xinwen/2019-10/27/content_5445395.htm
【6】 网信办网站.网络安全审查办法,2020年04月13日.http://www.gov.cn/zhengce/zhengceku/2020-04/27/content_5506771.htm
【7】 国务院.中国政府法制信息网.关键信息基础设施安全保护条例,2021年7月30日.http://www.gov.cn/zhengce/2021-08/18/content_5631807.htm
【8】 新华社.中华人民共和国数据安全法,2021-06-11.http://www.gov.cn/xinwen/2021-06/11/content_5616919.htm
【9】 工业和信息化部.三部门关于印发网络产品安全漏洞管理规定的通知,2021年7月12日.http://www.gov.cn/zhengce/zhengceku/2021-07/14/content_5624965.htm
【10】新华社.中华人民共和国个人信息保护法,2021-08-20.http://www.gov.cn/xinwen/2021-08/20/content_5632486.htm
【11】 史中.浅黑科技周鸿祎提枪策马,带着他的360政企安全集团冲向巨人,2021-08-27.https://mp.weixin.qq.com/s/P819h7Gleki45Hu06EMTQQ
友情链接:
注:本文封面图片来自www.piqsels.com
本文来自锐安全。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/10441.html