网络安全等级保护新标准实施：精准适配新技术场景安全需求

我国等保体系的发展始终紧跟信息技术迭代与安全需求升级，历经三个关键阶段的演进：

1. 等保 1.0：奠定基础安全框架（2007-2016年）

2007 年《信息安全等级保护管理办法》的发布，正式确立等保 1.0 体系。核心围绕传统信息系统，明确了 “定级备案、建设整改、等级测评、监督检查” 四项核心动作，2008 至 2012 年间陆续发布的配套标准，构建起覆盖基础安全需求的规范体系。这一阶段的保护对象集中于狭义信息系统，防护重点以被动防御为主。

2. 等保 2.0：扩展全域保护范围（2017年至今）

2017年《中华人民共和国网络安全法》正式实施，将网络安全等级保护制度上升为法律要求，标志着等保2.0时代的启动。

此后，随着2019年GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》三大核心标准出台，等保2.0正式步入规范化、体系化发展阶段。

这一阶段保护对象从传统信息系统扩展至网络基础设施、云计算平台、大数据系统、物联网等新兴领域；构建了“安全通用要求 + 新应用安全扩展要求”的弹性框架；确立“一个中心（安全管理中心），三重防护（安全通信网络、安全区域边界、安全计算环境）”的技术理念；同时强化密码技术与可信计算的应用，推动防护体系从被动防御向主动防御转型，全面提升网络安全综合防护能力。

3. 新标准：聚焦新技术精准补位（2025年发布）

随着 5G、边缘计算、区块链等新技术的规模化应用，原有标准在细分场景的防护指引不足逐渐显现。此次六项新标准的发布，是等保 2.0 体系的重要补充，针对新技术特有的安全风险，形成更具针对性的防护与测评规范，完成从 “全域覆盖” 到 “精准适配” 的升级。

二、新标准的主要内容与意义

1. 六项标准的主要内容

六项标准均基于等保 2.0 核心国标（GB/T 22239—2019、GB/T 28448—2019）制定，分为两类核心方向：

四项基础安全扩展要求：

• GA/T 1390.6—2025 《信息安全技术 网络安全等级保护基本要求 第 6 部分：边缘计算安全扩展要求》

本标准针对采用5G边缘计算系统（不含运营商核心网），确立了第一级至第四级的安全扩展要求。内容全面涵盖物理环境、通信网络、区域边界、计算环境、建设管理与运维管理六大层面，系统性地构建了边缘计算安全防护规范，筑牢系统安全根基，推动边缘计算产业实现安全、有序的可持续发展。

• GA/T 1390.7—2025 《信息安全技术 网络安全等级保护基本要求 第 7 部分：大数据系统安全扩展要求》

本标准为大数据平台与系统，确立了全面的安全扩展要求。核心涵盖分布式系统安全与数据处理安全两大领域。其对系统部署、数据汇聚、重要操作、数据溯源及接口管理等关键环节均提出明确规范，旨在构建覆盖数据采集、存储、处理、交换直至销毁的全生命周期安全保障体系，为大数据系统的安全可靠运行与合规管理提供坚实基础。

• GA/T 1390.8—2025 《信息安全技术 网络安全等级保护基本要求 第 8 部分：IPv6 网络安全扩展要求》

本标准针对IPv6网络在协议特性、过渡阶段及部署场景中面临的新型安全风险，制定了全面的安全扩展要求。内容系统覆盖IPv6协议栈安全、IPv6特有威胁防护、IPv4至IPv6过渡技术安全、IPv6网络架构设计及安全监控审计等关键维度，为构建安全可信的IPv6网络环境提供系统性技术规范，筑牢下一代互联网的安全根基。

• GA/T 1390.9—2025 《信息安全技术 网络安全等级保护基本要求 第 9 部分：区块链安全扩展要求》

本标准针对区块链系统的技术特点，从架构安全、共识机制、智能合约、隐私保护及节点管理等多个层面确立了安全扩展要求。其内容系统覆盖区块链特有的安全风险，为构建可信可靠的区块链应用奠定安全基石，有力推动该技术的安全合规与有序发展。

两项测评规范细化要求：

• GA/T 2347—2025《信息安全技术 网络安全等级保护云计算测评指引》

本标准针对云计算服务确立了等级保护的“全流程闭环”测评框架，核心内容包括信息收集、对象确定、指标选择、实施判定4个环节及责任划分与质量控制2项机制。其技术创新点涵盖“平台－租户”双维度界定、差异化测评指标体系及场景化测评方法，并明确了云计算环境下的安全责任划分，为相关测评工作提供了完整的技术规范与管理依据。

• GA/T 2348—2025 《信息安全技术 网络安全等级保护5G接入安全测评要求》

本标准针对采用5G技术的边缘计算网络系统（不含运营商核心网），制定了全面的安全测评扩展要求。覆盖物理环境、通信网络、区域边界、计算环境、安全管理中心、建设管理和运维管理等多个层面，为运营单位、主管部门、网络安全职能部门进行网络安全等级保护评估及监督检查提供了明确、有力的技术支撑。

所有标准均采用 “通用要求 + 扩展要求” 的衔接模式，确保与现有体系兼容，同时满足新技术场景的个性化需求。

2. 新标准的主要意义

• 填补技术空白，引导安全与创新同步：针对边缘计算、区块链、IPv6、5G等新兴技术场景，新标准提供了国内首个系统化的等级保护规范，结束了以往企业面对新技术时“安全建设无据可依、风险评估缺乏标准”的局面。这不仅有助于防范新兴技术特有的安全风险（如边缘节点物理暴露、区块链共识攻击、IPv6协议栈漏洞等），也为技术创新划定了安全边界，推动产业在安全可控的前提下健康发展。

• 强化合规确定性，降低企业整体安全成本：标准进一步细化了新技术场景下的安全控制点与测评指标，使企业在进行网络安全建设时更具可操作性。明确的规范有助于企业一次性构建符合要求的防护体系，避免因标准模糊导致的重复整改和资源浪费，从而在长期内降低合规成本。同时，监管部门在开展执法检查、安全评估时也有了统一、清晰的技术依据，提升了监管效能与公信力。

• 完善等保体系闭环，推动安全治理向场景化深入：新标准与等保2.0框架无缝衔接，构建了“基础通用要求 + 新技术扩展要求”的立体化标准体系。这不仅实现了从传统信息系统到新兴技术场景的全覆盖，更标志着我国网络安全等级保护从“有没有”向“准不准”“实不实”迈进。安全治理模式正从统一的框架性要求，逐步深入到具体业务场景与技术架构中，实现“一场景一策”的精准防护。

• 支撑国家战略实施，筑牢数字经济发展安全底座：新标准与IPv6规模化部署、5G垂直行业应用、区块链创新推广、大数据产业发展等国家战略紧密衔接，为其安全落地提供了制度保障。例如，IPv6安全扩展要求助力构建安全可信的下一代互联网；5G与边缘计算安全标准则为工业互联网、智慧城市等典型场景提供了从接入到数据的全链条安全指引，确保国家重大数字基础设施和关键业务的安全可靠运行。

六项新标准为各行业数字化转型筑牢安全底座，企业应对照标准优化安全架构，推动合规从“通用达标”转向“场景适配”，保障技术创新与业务安全。

工业互联网领域，新标准从数据与接入双维度护航：数据层面规范全生命周期管理，指导企业构建全流程防护体系；接入层面通过边缘计算与5G接入标准，强化物理安全与通信加密，降低攻击风险。

智慧城市中，边缘计算与5G融合催生的实时智能应用，借助新标准对边缘节点防护的明确指引，通过终端接入、通信加密等规范，保障智能交通、安防等关键业务稳定运行。

国有企业及政务机构方面，新标准为IPv6部署的网络升级提供加固方案，使得后续在技术升级过程中，能够同步构建全流程安全防护体系，实现网络接入、数据传输、信息存储等场景的安全可控，将技术升级转化为网络安全水平全面提升。

新标准的实施将推动我国网络安全保护迈入“精准化、场景化、主动化”新阶段。面对这一关键节点，企业应尽早布局合规适配工作。等保作为一项系统性工程，既要全面梳理自身网络资产，精准识别需保护对象及对应安全等级，依法向公安机关完成备案，更要建立常态化等级测评机制，确保防护措施与最新要求同步。

新标准在提升技术防护要求的同时，也折射出监管思路的深层转变：随着技术持续演进，等保体系将持续完善，运营者需主动跳出“被动合规”惯性，主动引入先进安全技术与架构，将安全能力深度融入业务全流程，最终实现以安全促发展、以发展强安全的良性循环，共同筑牢数字经济安全防线。