等级保护工作再升级:深度解读《网络安全等级保护测评高风险判定实施指引(试行)》
一、新规出台:网络安全监管的重大转向
网络安全等级保护(以下简称“等保”)制度作为网络安全领域的基础框架和核心制度,今年以来,迎来一系列重大工作部署调整:
3月8日,公安部印发《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号),该政策涉及各企事业单位等保定级、备案和测评三大环节的合规建设工作变化。规定自2025年3月20日起签署的等保测评项目合同,在项目实施中需启用《网络安全等级测评报告模板(2025版)》来出具测评报告。
4月27日,为推进各项工作落实,公安部印发《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),就有关工作细则及政策变化,汇总为24个问题做出了问题释疑说明,以指导各单位全面深入地推进网络安全风险隐患排查以及保护工作方案制定等工作。
5月29日,为进一步推进重大网络安全风险隐患发现、整改等工作落实,规范和统一全国网络安全等级测评活动中关于网络安全高风险问题的判定准则,同时支撑各地公安机关开展日常网络安全重大风险隐患督办整改等工作。公安部再度发文《网络安全等级保护测评高风险判定实施指引(试行)》(公网安〔2025〕2391号),(以下简称《指引》)。
核心变化聚焦三点:
从合规达标到动态防护:引入重大风险隐患概念,强化实战化整改,取代以往的分数达标模式。
数据与系统并重:依托等级保护备案更新工作,同步开展数据资源摸底,呼应《中华人民共和国数据安全法》要求。
双重评价维度:测评结论通过符合率和重大风险隐患数量双重维度划分,使安全状况评估更科学直观。
这一转变标志着网络安全监管思路的根本性变革——企业不能再满足于合规的及格线,而必须持续识别并消除可能引发重大事故的安全隐患。
《指引》的发布,标志着我国网络安全等级保护制度进入精准化、标准化落地新阶段。对于企业而言,这不仅是一份技术文件,更是一把“安全标尺”——它首次系统回答了“哪些问题会被判定为高风险”“如何避免成为高风险对象”等关键问题,为企业网络安全建设划出了不可逾越的红线。
二、为什么需要这份《指引》?
要理解《实施指引》的落地价值,必须先看清2025年公安部新函件的政策风向标作用。这三份文件的出台,本质上是对近年来等保实践中暴露的三大痛点的系统性回应:
1. 解决部分高风险判定标准模糊的问题
等保2.0基本要求(GB/T 22239-2019)提出了技术要求和管理要求两大类138项条款,但其中大量条款仅标注了“应”(必须满足)或“宜”(建议满足),却未明确“不满足是否直接导致高风险”。例如,某金融企业曾因未对日志留存6个月提出整改要求,测评机构却给出高风险结论,企业认为标准不够明确,双方陷入争议。
《指引》带来的改变:通过场景化描述和量化标准,清晰界定何种情况必然触发高风险,是否存在可能缓解的措施。企业现在可以对照《指引》的具体条款(如明确列出“关键日志未留存6个月”属于高风险场景且无可缓解措施),提前预判风险点,做到心中有数,可以显著减少争议空间。
2. 解决风险等级认定差异化理解的问题
由于缺乏统一的判定规则,不同测评机构对同一问题的风险等级认定可能存在显著差异。例如,某工业企业因业务系统通讯需求开放默认共享端口允许远程访问,且不能关闭否则会影响业务连续性影响生产,A机构判定为高风险,B机构则以“业务场景风险较低”为由标记为中风险。
《指引》带来的改变:《指引》根据技术发展变化更新增补了评判标准为所有测评机构提供了明确的操作标尺。
3. 解决企业安全整改时过度投入的问题
部分企业为规避高风险,盲目追求技术指标满分,甚至超出自身业务需求部署冗余系统。例如,某企业为满足三级等保要求,投入50万元购买高端防火墙,但实际业务流量仅需10万元的设备即可覆盖,造成资源浪费。
《指引》带来的改变:企业可以依据《指引》明确列出的高风险项及其对应的核心整改要求,集中资源优先解决最紧迫、后果最严重的问题。这避免了在非高风险项上的过度投入或不必要配置,使得安全投入更加精准、高效,成本效益比显著提升。
正是在这一背景下,《指引》应运而生,它明确了高风险的具体情形、判定依据和整改建议,为等保测评装上了“精准刻度”,让企业等保工作具备了“安全标尺”。
三、《指引》的核心逻辑:
从合规达标到动态防护的范式转变
《指引》中每一个高风险场景判例均由标准要求、适用范围(适用的定级对象等级)、问题描述(不符合该条标准要求的可能问题场景)、可能的缓解措施和风险评价(实施缓解措施后风险是否可酌情降低的分级及结果)构成。
等保测评人员需根据《指引》内容,并结合行业主管部门要求,基于现有安全防护措施执行情况与实际措施效果进行综合风险分析,对安全问题所引发的风险等级做出客观判断,倒逼企业从静态的安全合规,转向动态的实战化、常态化、体系化的安全能力提升。
《实施指引》的出台,是等保2.0制度从合规检查向风险治理转型的关键一步。其核心目标是:通过明确高风险的具体情形、判定规则和整改路径,帮助企业精准识别威胁安全的关键风险点,推动网络安全等级保护工作从原有的满足条款的“合规达标”转变至“动态防护”的实质保护,彻底终结了60分万岁的旧时代,强化网络安全“护企惠企”。
四、《指引》解读,精准标尺分析
1. 高风险判定原则
等保测评结果列明存在的相关安全问题,是采用风险分析的方法进行危害分析和风险等级判定。《指引》给出了3条核心判定原则,符合下列任意条件的安全问题均应判定为高风险:
违反国家法律法规规定的相关要求;
不符合或未实现GB/T 22239-2019中各等级关键安全要求及基本安全功能,且没有可缓解措施;在《指引》附录B中给出了对应81种高风险事件的判例及整改建议;
存在高度可被利用,且对定级对象的业务信息安全和系统服务安全造成严重后果的安全问题。
2. 高风险判定逻辑
《指引》给出了基于等保基本要求中技术与管理10个层面共81项高风险判例,从这些判例中可以发现高风险的判定逻辑从单一风险项逐渐转变为系统性风险判定,2025版引入重大风险隐患概念,综合多重安全要素判定风险,强调风险的系统性和叠加效应。例如,即使达标率超过90%,只要存在数据泄漏风险等重大隐患,结论就会被降级,更加强调实际防护效果而非形式合规。这一变化要求企业必须优先解决系统性安全风险,而非简单追求单项达标。
3. 测评结论调整需关注
通过《网络安全等级测评报告模板(2025版)》与《指引》可以看出,2025版测评结论取消打分制,采用动态的结论判定,这一调整降低了“基本符合”的门槛,但强化了重大风险隐患的一票否决权。例如,即使符合率高于 90%,若存在数据备份缺失、供应链攻击防御失效等重大隐患,仍可能判定为 “基本符合”。
结论判定参考
4. 技术升级,新增新兴领域覆盖范围
《指引》将云计算安全、移动互联安全、物联网安全、工业控制系统安全等新兴领域纳入评估范围,并根据场景差异设置专属扩展要求。《指引》共涉及高风险判例81项,在2020版的基础上,删除了判例场景24项,新增41项,其中通用安全要求新增5项、云计算安全扩展要求新增13项、移动互联安全扩展要求新增10项、物联网安全扩展要求新增4项、工业控制系统安全扩展要求新增9项。例如:
云计算安全:新增云计算平台虚拟网络隔离措施失效,云服务客户数据、个人信息违规处境,云服务客户未在本地保存业务数据的备份,未提供云计算平台迁移技术手段等高风险项判例;
移动互联安全:新增无线接入点过度覆盖,无线接入设备认证功能缺失,多个AP使用相同简单认证密钥,移动终端安装未经指定证书签名的应用软件等高风险项判例;
物联网安全;新增非授权感知节点设备能够接入网络中,非授权用户可对感知节点设备的软件应用进行配置或变更,网络节点设备连接无身份鉴别措施等高风险项判例。
工业控制系统:新增在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输;保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序;工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用等高风险项判例。
5. 强调动态防护与实战化能力
《指引》新增判例变化更加强调动态防护与实战化能力,管理制度升级突出持续运营安全能力。例如:
针对漏洞修复周期,三级系统高危漏洞修复周期从 30 天缩短至 15 天,四级系统需实现实时漏洞响应;
渗透测试与红蓝对抗,要求三级及以上系统每年至少开展一次渗透测试,且红蓝对抗常态化,未达标者判定为重大风险隐患;
应急预案要求三级及以上系统每半年至少开展一次实战化演练,且演练需覆盖数据泄露、勒索软件等场景;
新增针对供应链安全、零信任架构等新兴领域的培训内容,要求技术人员掌握渗透测试、漏洞分析等实战技能。
五、企业应对策略:从合规达标到主动防护的四大关键动作
面对2025年等保工作重大部署调整,结合《指引》、《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)及《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号),企业需跳出测评思维,转向“风险识别+主动防护+能力建设”的三维思维。长扬科技提出以下四点建议,助力企业早日完成等保工作新旧规则转换。
第一步:精准对标,完成风险自查清单
企业需对照《指引》附录的“高风险判例”及“判例与基本要求对应关系”,结合自身业务场景,建立个性化的风险自查清单。
第二步:优先级重新排序,聚焦关键风险点
企业应按照“业务影响度×发生概率”矩阵,对风险点进行排序,特别是重点核查新增重大隐患。
第三步:技术与管理双轮驱动,构建长效机制
《指引》强调管理与技术并重,企业需对照《指引》完成防护体系升级与管理机制优化。
第四步:与测评机构协同配合,提升测评效率
企业应改变测评是外部检查的旧观念,主动与测评机构建立沟通机制,积极完成重大风险排查与数据资源摸底。
《网络安全等级保护测评高风险判定实施指引(试行)》的发布,标志着我国等保制度迈入精准化、实战化新阶段。它通过明确81项高风险判例、引入“重大风险隐患”一票否决、覆盖新兴领域、强化实战要求,彻底终结“60分万岁”时代,驱动企业从形式合规转向动态防护与风险治理。
尤其对于工业互联网领域,《指引》新增的工业控制系统实时监测、物联网设备接入认证与固件更新管理等专属风险项,以及渗透测试、红蓝对抗、应急预案实战化等要求,对工控系统(OT)与信息网络(IT)深度融合环境下的安全保障提出了更高、更具体的挑战。拥抱新规,是企业提升安全韧性、护航业务发展的战略选择。
作为深耕工业互联网安全领域的专业力量,长扬科技深刻理解《指引》带来的变革及其对工业企业的深远影响。公司依托在工业互联网安全、工控网络安全、物联网安全、数据安全、安全运营及服务等领域的深厚积累,致力于为工业企业提供:
精准对标与风险自查服务: 结合《指引》高风险判例与工业场景特殊性,帮助企业快速识别关键风险点,建立定制化自查清单。
面向实战的防护解决方案: 提供覆盖工业网络边界防护、主机安全、行为监测、漏洞管理、数据防泄漏等符合《指引》动态防护要求的综合解决方案,满足工控实时监测、物联网安全接入等新增要求。
常态化安全运营服务: 提供专业的渗透测试、红蓝对抗、应急演练、安全培训等实战化服务,助力企业构建并验证持续运营的安全能力,有效应对新规对实战能力的高标准要求。
等保合规一站式服务: 协助企业高效完成从定级备案、差距分析、整改加固到测评迎检的全流程,精准聚焦重大风险隐患,提升合规效率与成效。
随着《指引》及配套政策的深入实施,我国网络安全等级保护工作将步入一个更注重实效、更强调能力、更贴合数字化发展的新阶段。未来,长扬科技将进一步助力企业客户筑牢工业互联网安全防线,护航数字经济高质量发展行稳致远。
