什么是等保 2.0?
网络安全等级保护(简称「等保」)是中国网络安全监管的基础性制度。2019 年 12 月 1 日起,GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》正式实施,标志着等保进入 2.0 时代——监管范围从传统信息系统扩展到云计算、物联网、移动互联网、工业控制系统、大数据等新形态。
等保的核心是「依据系统对国家、社会、公民的损害程度,定级为一至五级,并落实相应等级的安全保护措施」。所有「网络运营者」(含政府、事业单位、企业 IT 系统)依据《网络安全法》第二十一条均须履行此项法定义务。
政策与标准依据
三大政策依据
- 《中华人民共和国网络安全法》第二十一条 — 国家实行网络安全等级保护制度
- 《中华人民共和国计算机信息系统安全保护条例》
- 《信息安全等级保护管理办法》
八项现行国家标准
- GB 17859-1999计算机信息系统 安全保护等级划分准则
等级划分底层依据 - GB/T 22239-2019信息安全技术 网络安全等级保护基本要求
等保 2.0 核心标准 - GB/T 22240-2020信息安全技术 网络安全等级保护定级指南
系统定级方法 - GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求
安全建设设计依据 - GB/T 28448-2019信息安全技术 网络安全等级保护测评要求
测评机构执行依据 - GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南
测评过程方法学 - GB/T 36627-2018信息安全技术 网络安全等级保护测试评估技术指南
测试技术细节 - GB/T 25058-2019信息安全技术 网络安全等级保护实施指南
客户实施落地指南
等保 5 级划分
| 等级 | 定义 | 典型适用场景 |
|---|---|---|
| 第一级(自主保护) | 受到破坏后会对公民、法人和其他组织的合法权益造成损害 | 小型门户网站、低敏感度内部应用 |
| 第二级(指导保护) | 受到破坏后会对公民、法人和其他组织的合法权益造成严重损害,或对社会秩序、公共利益造成损害 | 企业内部办公 OA、银行内部业务系统(如贷后管理)、地方小型政务系统 |
| 第三级(监督保护) | 受到破坏后会对社会秩序、公共利益造成严重损害,或对国家安全造成损害 | 政务云平台、面向公众的政务服务、面向社会的大型互联网平台、金融核心交易系统 |
| 第四级(强制保护) | 受到破坏后会对社会秩序、公共利益造成特别严重损害,或对国家安全造成严重损害 | 国家级关键信息基础设施、央行支付系统等 |
| 第五级(专控保护) | 受到破坏后会对国家安全造成特别严重损害 | 军工、国家秘密相关系统(实际走分级保护体系) |
实际市场上,95% 以上的等保需求集中在二级和三级。一级很少正式做测评,四级及以上需特别审批。
等保 2.0 完整流程(6 步)
01 · 定级
系统责任单位组织内部评审、编制《等级保护定级报告》,邀请 3–5 名信息安全专家评审确定系统等级。依据 GB/T 22240-2020 定级指南,从「业务信息安全保护等级」和「系统服务安全保护等级」两个维度综合判定。
02 · 备案
责任单位携定级报告、专家评审意见到属地公安网安部门完成备案,提交备案表一/二/三/四等系列材料,最终获取《信息系统安全等级保护备案证明》。备案证明上的编号将出现在后续所有测评报告上。
03 · 差距分析
依据 GB/T 22239-2019 与 GB/T 28448-2019,对系统现状进行差距分析,结合漏洞扫描、渗透测试发现技术与管理层面的缺失项,形成《差距分析报告》。这一步决定了第 04 步整改的范围与预算。
04 · 安全建设整改
依据差距分析结论,补齐缺失的安全产品与管理制度。整改工作通常由系统集成商完成;按等保规定「整改机构 ≠ 测评机构」,避免既当裁判又当运动员。
05 · 等级测评
由具备公安部认可资质(等保测评机构推荐目录,资质 II 级及以上)的第三方测评机构现场测评,依据 GB/T 22239-2019、GB/T 28448-2019、GB/T 28449-2018 进行技术与管理双线测评,最终出具盖章的《网络安全等级保护测评报告》。测评机构推荐目录可在 www.djbh.net 查询。
06 · 监督检查
测评报告完成后 30 个工作日内须报属地公安网安部门备案。后续配合网监日常监督检查、应急响应、年度复评等持续合规活动。等保是「合规底线」不是「过一次就完」。
测评内容
等保 2.0 测评覆盖技术与管理两大类共 10 项控制点:
- 🔧 技术方面(5 项):安全物理环境 · 安全通信网络 · 安全区域边界 · 安全计算环境 · 安全管理中心
- 📋 管理方面(5 项):安全管理制度 · 安全管理机构 · 安全管理人员 · 安全建设管理 · 安全运维管理
二级 vs 三级硬件 / 软件配置清单
依据 GB/T 22239-2019 与高风险判定指引,二级与三级系统在物理、通信、边界、计算、管理 5 个维度的最低配置差异显著。三级系统在关键链路上需冗余部署,并增加准入控制、上网行为管理、堡垒机、WAF、数据库审计、集中管控等专项设备。
安全物理环境
| 类别 | 二级系统 | 三级系统 |
|---|---|---|
| 访问控制 | 防盗报警系统(电子门禁 / 视频监控 / 24 小时专人值守 三选一) | 防盗报警系统(电子门禁 + 视频监控 同时) |
| 消防 | 灭火设备 或 火灾自动消防报警系统 | 火灾自动消防报警系统 |
| 防水防潮 | 防漏水措施 | 防漏水措施 + 漏水检测报警系统(水敏感检测元件) |
| 温湿度控制 | 精密空调 | 精密空调 |
| 电力 | UPS 备用电源 | UPS 备用电源 |
| 区域隔离 | — | 彩钢板或防火门进行区域隔离 |
| 电磁防护 | — | 电磁屏蔽柜 |
安全通信网络
| 类别 | 二级系统 | 三级系统 |
|---|---|---|
| 数据完整性 | 数字签名、PKI / CA 证书 | 数字签名、PKI / CA 证书 |
| 数据保密性 | — | SSL / VPN(应用系统、主要设备须采用 HTTPS / VPN 安全登录) |
安全区域边界
| 类别 | 二级系统 | 三级系统 |
|---|---|---|
| 边界防护 | 防火墙 | 防火墙 |
| 入侵防范 | IPS 或 IDS | IPS(具备主动阻断能力) |
| 恶意代码防范 | 防毒墙 / 防病毒网关 / 主机防病毒软件 | 防毒墙 / 防病毒网关 / 主机防病毒软件 |
| 准入控制 | — | 准入控制系统(控制外到内) |
| 上网行为管理 | — | 上网行为管理(控制内到外) |
| 垃圾邮件防护 | — | 防垃圾邮件 |
| Web 应用防护 | — | WAF(涉互联网系统必需,纯内网可不部署) |
| 冗余部署 | — | 关键链路网络设备(核心交换机)、安全设备(边界防火墙)冗余部署,保证高可用 |
安全计算环境
| 类别 | 二级系统 | 三级系统 |
|---|---|---|
| 日志审计 | 日志审计(6 个月以上存储) | 日志审计(云上需结合 SLS + OSS 长期存储;SLS 默认 7 天,OSS 保存 6 个月以上) |
| 主机防护 | 主机防恶意代码软件 | 主机版防恶意代码软件 |
| 数据备份 | 数据库备份 | 数据库备份 |
| 准入控制 | — | 准入控制设备(控制外到内) |
| 上网行为管理 | — | 上网行为管理设备 |
| 运维堡垒 | — | 堡垒机(云上可用云安全中心) |
| 数据库审计 | — | 数据库审计(强烈建议配备) |
安全管理中心
| 类别 | 二级系统 | 三级系统 |
|---|---|---|
| 系统管理 | 堡垒机、虚拟化平台、SOC 平台 | 堡垒机、虚拟化平台、SOC 平台 |
| 审计管理 | 日志审计、数据库审计 | 日志审计、数据库审计 |
| 安全管理 | — | 集中安全管理系统 |
| 集中管控 | — | 态势感知平台、堡垒机管理系统、综合安全审计、综合数据库审计、综合管理系统 |
注:上表「—」表示二级系统无该项最低强制要求,但根据系统重要性可酌情部署。
如何选择等保测评机构?
等保测评必须由具备公安部认可资质的第三方测评机构出具报告。选择测评机构看以下要点:
- 资质核验:测评机构需在公安部第三研究所发布的「等保测评机构推荐目录」内,可在 www.djbh.net 查询;三级测评必须由资质 II 级及以上的机构承担
- 独立性:选择与整改建设方无利益关系的测评机构,避免「既当裁判又当运动员」
- 避免「保证通过」承诺:合规测评机构不能保证通过率,只能客观评估
- 报告格式:报告内容应符合 GB/T 28448-2019《网络安全等级保护测评要求》规定的格式
- 属地协调能力:测评机构能否协助报告备案、解答公安网安部门复审问题
适用对象
- 政府部门 / 事业单位的政务系统(建议三级及以上)
- 关键信息基础设施(电力、金融、交通、医疗、教育等)
- 大型互联网平台(用户量百万级或涉及个人信息)
- 央企国企内部业务系统、生产管理系统
- 面向公众的 SaaS 应用与移动互联网应用
新亿诚在等保工作中能提供什么?
新亿诚专注软件测评(依据 GB/T 25000.51-2016)的第三方技术服务,在客户开展等保 2.0 工作时,可在以下环节提供配套支持:
- 软件层质量测评:依据 GB/T 25000.51-2016 对业务系统功能性、性能效率、可靠性、信息安全性等 9 大维度测评,形成软件层的合规支撑材料
- 定级与备案材料协助:协助客户准备定级报告、备案表、专家评审意见、工作小组名单、域名调研表等系列材料
- 测评机构对接:协助客户对接公安部认可资质的合作测评机构完成等级测评
- 整改建议与跟进:基于差距分析结论协助客户与系统集成商对接整改方案
等保测评报告由具备公安部认可资质的合作机构盖章出具。联系新亿诚顾问 了解针对你的系统的具体配置方案。
常见问题
系统定级要做几级?
党政机关核心政务系统、面向公众的政务服务平台、关键信息基础设施、采集 100 万人以上个人信息的系统通常定为三级及以上。中小企业内部办公系统、专项业务子系统通常定为二级。具体由 GB/T 22240-2020 定级指南判定,必须经专家评审。
整改和测评能不能让同一家做?
不能。等保规定「整改机构 ≠ 测评机构」,避免既当裁判又当运动员。整改建议由系统集成商承担,测评必须找独立第三方。
过了等保就完全安全了吗?
不是。等保是「合规底线」不是「安全终点」。通过等保仅说明在评估周期内符合 GB/T 22239-2019 的基本要求;持续安全运维、应急响应、威胁情报订阅同样关键,这也是为何流程的第 06 步是「监督检查」常态化。
报告备案是法定要求吗?
是。测评完成后 30 个工作日内须报属地公安网安部门备案。仅测评不备案视同未做等保,情节严重的可处 10–100 万元罚款并暂停业务。
云上系统怎么做等保?
采用阿里云、腾讯云政务云的系统,可走「云平台等保 + 应用系统等保」分层模式,省去基础设施层的重复测评。具体可参考主流公有云的「等保合规」专题文档。
多久要复评一次?
二级系统通常每两年复评一次,三级及以上每年一次。遇系统重大变更(架构调整、上云迁移、版本大升级)应重新测评,原报告对新系统不再适用。
