网络安全等级保护(简称 "等保")是我国网络安全领域的核心制度和法定要求,已成为所有组织必须遵守的网络安全 "基本法"。等保 2.0 于 2019 年正式发布,2022 年《网络安全等级保护条例》施行,标志着我国网络安全保护进入系统化、法治化、常态化新阶段,数据销毁也进入有法可依的新阶段。本文从定义到落地,帮你彻底搞懂等保 2.0 的核心逻辑与实践路径。
一、等保2.0的定义和定位
等保2.0是中国网络安全等级保护制度的升级版本,以动态防御、主动防护为核心,通过技术与管理双重维度构建安全体系。其核心目标包括:
1、分级保护:将信息系统划分为五级安全保护等级(第一级至第五级),根据系统受破坏后的影响范围(公民权益、社会秩序、国家安全)逐级提升防护要求。
2、对象扩展:覆盖传统信息系统及云计算、物联网、工业控制等新兴技术场景,形成“通用要求+扩展要求”的灵活框架。
3、合规驱动:强制要求关键信息基础设施运营者落实等级保护,通过备案、定期测评、整改闭环等流程强化责任主体意识。
二、等级保护2.0标准体系
2017年,《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度。”(第21条)、“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”(第31条)。上述要求为网络安全等级保护赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。
随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施,确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。
等级保护2.0标准体系主要标准如下:
网络安全等级保护条例(总要求/上位文件)
计算机信息系统安全保护等级划分准则(GB 17859-1999)
(上位标准)
网络安全等级保护实施指南(GB/T25058-2020)
网络安全等级保护定级指南(GB/T22240-2020)
网络安全等级保护基本要求(GB/T22239-2019)
网络安全等级保护设计技术要求(GB/T25070-2019)
网络安全等级保护测评要求(GB/T28448-2019)
网络安全等级保护测评过程指南(GB/T28449-2018)
关键信息基础设施标准体系框架如下:
关键信息基础设施保护条例(征求意见稿)(总要求/上位文件)
关键信息基础设施安全保护要求(征求意见稿)
关键信息基础设施安全控制要求(征求意见稿)
关键信息基础设施安全控制评估方法(征求意见稿)
三、等保 2.0 vs 等保 1.0:四大核心升级
对比维度 | 等保 1.0 | 等保 2.0 |
|---|---|---|
保护对象 | 传统信息系统 | 扩展至云计算、大数据、物联网、工业控制系统、边缘计算等新兴领域 |
安全理念 | 被动防御、单点防护 | 主动免疫、动态防御、"一个中心三重防护" 体系 |
标准结构 | 单一标准 | "通用要求 + 扩展要求" 立体化体系,适配不同技术场景 |
测评体系 | 百分制(60 分合格) | 三级判定(符合 / 基本符合 / 不符合)+ 重大风险隐患判断 |
四、标准的框架结构
《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三个标准采取了统一的框架结构。例如,《GB/T 22239-2019》采用的框架结构如图所示。
安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。
五、安全通用要求
安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出,等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。
1
安全物理环境
针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。
2
安全通信网络
针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。
3
安全区域边界
针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
4
安全计算环境
针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
5
安全管理中心
针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
6
安全管理制度
针对整个管理制度体系提出的安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。
7
安全管理机构
针对整个管理组织架构提出的安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。
8
安全管理人员
针对人员管理提出的安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。
9
安全建设管理
针对安全建设过程提出的安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。
10
安全运维管理
针对安全运维过程提出的安全控制要求,涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。
六、安全扩展要求
安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。包括以下四方面:
1
云计算安全扩展
云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。
2
移动互联安全扩展
移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求,与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。
3
物联网安全扩展
物联网安全扩展要求是针对感知层提出的特殊安全要求,与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
4
工业控制系统安全扩展
工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求,它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
七、等级划分
等级 | 名称 | 核心特征 | 适用场景 | 监管要求 |
|---|---|---|---|---|
第一级 | 自主保护级 | 破坏后仅损害个人 / 组织权益,不影响国家安全和社会秩序 | 小微企业非敏感系统、普通展示网站 | 企业自主负责,年度自查 |
第二级 | 指导保护级 | 破坏后影响范围有限,不危害国家安全和社会公共利益 | 中小企业业务系统、电商平台、医院门诊系统 | 备案 + 每 2 年测评 1 次 |
第三级 | 监督保护级 | 破坏后危害国家安全、社会秩序或公共利益 | 政府部门、金融机构、能源企业核心系统、医疗 HIS 系统 | 备案 + 每年测评 1 次,重点监管 |
第四级 | 强制保护级 | 破坏后严重危害国家安全、社会秩序或公共利益 | 国家关键基础设施核心系统、军事指挥系统 | 特殊监管,实时监控 |
第五级 | 专控保护级 | 破坏后特别严重危害国家安全 | 国家最高机密信息系统 | 最高级别保护,专属管控 |
第一级(自主保护级)
适用对象:小微企业内部系统(无敏感数据),如非电商展示网站。
影响范围:破坏后仅损害公民或组织的合法权益,不影响国家安全、社会秩序。
措施要求:年检自查,无需备案。
第二级(指导保护级)
适用对象:处理普通信息的系统,如地方教育平台、连锁门店CRM系统。
影响范围:破坏会严重损害合法权益或轻微影响社会秩序。
措施要求:需向公安备案,每两年测评。
第三级(监督保护级)
适用对象:重要数据系统(如政务平台、医院HIS系统、金融分支机构)。
影响范围:破坏将严重损害社会秩序或公共利益,甚至威胁国家安全。
措施要求:每年强制测评,建立三级防护体系。
第四级(强制保护级)
适用对象:国家级核心系统(如央行清算、高铁调度系统)。
影响范围:破坏会特别严重损害国家安全或社会公共利益。
措施要求:动态防御体系,每半年渗透测试。
第五级(专控保护级)
适用对象:涉及国家安全的核心系统(如战略导弹控制、核电站网络)。
影响范围:破坏将导致国家安全极端损害。
措施要求:军事级防护,由国家直接管控。
八、等保 2.0 标准体系:你需要满足哪些要求?
①技术层面
领域 | 核心要求 | 关键控制点 |
|---|---|---|
安全通信网络 | 网络架构安全、通信传输加密 | 网络分区、访问控制、传输加密、流量控制 |
安全区域边界 | 边界防护、入侵检测、恶意代码防范 | 防火墙、WAF、IDS/IPS、防病毒、数据脱敏 |
安全计算环境 | 主机安全、应用安全、数据安全 | 身份认证、权限管理、漏洞管理、数据备份、日志审计 |
安全管理中心 | 集中管控、安全审计、应急响应 | 安全管理平台、日志收集分析、态势感知、应急演练 |
②管理层面
安全管理制度:制定安全方针、策略、程序和记录
安全管理机构:设立安全管理部门,明确岗位职责和权限
人员安全管理:人员录用、离岗、培训、考核全流程管控
系统建设管理:从规划、采购、开发到测试的安全管控
系统运维管理:日常运维、变更管理、应急处置、安全事件响应
③标准特点
通用+扩展要求:基础安全要求适用于所有系统,扩展要求适配特定技术场景。
对象全覆盖:保护范围从传统信息系统扩展至云计算平台、大数据中心、工业控制等新型对象。
九、等保 2.0 实施全流程:四步走合规路径
等保实施遵循 "先定级别,再做防护,定期测评,持续改进" 的核心逻辑,标准流程分为四个阶段:
1. 定级(关键第一步)
成立定级小组:最高管理者牵头,技术、业务、法务等部门参与
确定定级对象:按业务系统划分,避免 "一刀切"
开展业务影响分析:评估系统重要性和破坏后的影响程度
撰写定级报告:明确系统名称、等级、业务描述、承载数据等
专家评审与备案:三级及以上系统需提交公安部门备案
2. 备案(法定程序)
登录当地公安网安部门等保备案系统
提交定级报告、系统拓扑图、安全管理制度等材料
获得备案证明,作为后续测评和监管的依据
3. 建设整改(核心落地环节)
差距分析:对照等保标准,识别现有系统安全短板
制定整改方案:技术整改(设备采购、配置优化)+ 管理完善(制度建设、流程规范)
分步实施:优先解决高危风险,如身份认证、数据加密、日志审计等关键控制点
系统试运行:确保整改措施有效落地,记录运行数据
4. 等级测评(合规验证)
选择测评机构:必须是具备国家认可资质的第三方测评机构
开展测评工作:现场访谈 + 技术检测(漏洞扫描、配置核查、渗透测试)+ 文档审查
整改不符合项:对测评发现的问题制定纠正措施,形成闭环
获取测评报告:作为系统合规的正式证明文件
5. 持续改进(长期合规)
定期开展内部安全评估和应急演练
按监管要求进行年度 / 每 2 年测评
系统变更时重新评估安全等级和防护措施
建立安全态势感知机制,及时响应新威胁
十、常见误区与避坑指南
1. 误区一:等保就是 "买设备、拿证书"
危害:只追求形式合规,忽视安全管理和持续改进,形成 "两张皮" 现象
解决方案:将等保要求融入日常业务流程,建立安全文化,技术与管理并重
2. 误区二:系统定级越高越好
危害:过度防护导致成本浪费,资源错配
解决方案:基于业务实际和风险评估,科学合理定级,平衡安全与成本
3. 误区三:测评通过就一劳永逸
危害:忽视安全威胁的动态变化,系统可能面临新的安全风险
解决方案:建立持续改进机制,定期开展安全评估,及时更新防护措施
4. 误区四:等保只针对技术部门
危害:安全责任不明确,无法形成全员参与的安全体系
解决方案:最高管理者承担安全第一责任,明确各部门安全职责,开展全员安全培训
十一、不同行业实施重点
行业 | 核心关注点 | 关键防护措施 |
|---|---|---|
政府机构 | 数据安全、访问控制、审计追溯 | 堡垒机、网闸、集中身份认证、日志审计系统 |
金融行业 | 交易安全、数据加密、业务连续性 | 加密机、入侵防御、灾备系统、应急响应机制 |
医疗行业 | 患者隐私保护、系统可用性 | 数据脱敏、访问控制、漏洞管理、定期备份 |
制造业 | 工业控制系统安全、生产连续性 | 工控防火墙、态势感知、漏洞扫描、安全审计 |
