当前位置: 首页 > news >正文

等保2.0实施方案

一、等保 2.0 基础概述

1. 定义与法律依据

等保 2.0 即网络安全等级保护 2.0 制度,2019 年 12 月 1 日正式实施,核心国标《GB/T 22239-2019 网络安全等级保护基本要求》,依据《网络安全法》第 21 条,属于全国强制合规制度,所有政企、事业单位信息系统必须落地。

2. 与等保 1.0 核心升级区别

对比维度

等保 1.0(2008 旧标准)

等保 2.0(2019 现行标准)

覆盖对象

仅传统服务器、内网业务系统

全覆盖:传统系统 + 云、大数据、物联网、工控、移动 APP、小程序、第三方接口平台

核心架构

物理、网络、主机、应用、数据 5 层分散防护

统一标准架构:一个中心、三重防护(强制纵深防御)

法律效力

行业推荐,无强制处罚

写入法律,未备案、未测评可责令停业、行政处罚

安全维度

偏重技术设备防护

技术 + 管理 + 数据安全三位一体,新增数据加密、脱敏、个人信息保护硬性条款

管理要求

制度仅纸面要求,无落地强制记录

全流程留痕,培训、演练、权限变更、漏洞修复必须留存纸质 / 系统台账

测评规则

打分宽松,高风险可延后整改

核心控制点缺失一票否决,三级及以上高危漏洞零容忍

3. 完整标准体系

  1. 通用基础:GB/T22239-2019(基本要求,测评核心)、GB/T22240(定级指南)、GB/T28448(测评打分要求)、GB/T28449(测评实施流程)
  1. 专项扩展标准:云计算、物联网、工控、移动互联、大数据 5 套扩展标准
  1. 上位法规:《网络安全法》《数据安全法》《个人信息保护法》《网络安全等级保护条例》

4. 五级保护等级定性(2.0 统一划分)

  1. 一级 自主保护级:仅企业内部小型工具,无对外服务,无需公安备案、无需第三方测评,企业自行自查。
  1. 二级 指导保护级:中小企业官网、普通 OA、无海量隐私数据系统;必须备案,每 2 年 1 次测评,公安指导监管。
  1. 三级 监督保护级(主流):政务、医疗、电商、APP、存储百万级个人信息系统;强制备案,每年 1 次测评,常态化抽查,核心项一票否决。
  1. 四级 强制保护级:省级核心政务、电网、铁路、金融清算等关键基础设施;每半年 1 次测评,多部门联合监管,高风险无整改缓冲期。
  1. 五级 专控保护级:国防、涉密国家级系统,国家专项管控,普通企业不涉及。

二、等保 2.0 核心标准架构:一个中心,三重防护

1. 安全管理中心(总控大脑,三级及以上强制建设)

统一汇总日志、运维审计、账号管控、风险告警,实现三权分立:审计管理、设备管理、安全策略管理。
核心组件:堡垒机、集中日志审计平台、统一身份 IAM、态势感知(四级标配)。

2. 三重技术防护(纵深防御三道防线)

  1. 安全通信网络:网络分区、链路冗余、全网传输加密、网络设备日志采集;管控数据传输链路安全。
  1. 安全区域边界:互联网出口、内网分区、数据库区部署防火墙、WAF、IPS、数据库审计、单向网闸;管控内外访问入口。
  1. 安全计算环境:服务器、数据库、中间件、业务软件、终端、APP;管控系统内部账号、权限、漏洞、数据安全。

3. 配套底座:安全物理环境

机房门禁、监控、供电、消防、动环监测、防静电、介质销毁,所有等级均有基线要求,等级越高管控越严。

4. 五大安全管理域(全等级通用管理要求)

安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理(制度 + 人员 + 全流程台账)。

三、等保 2.0 二级 / 三级 / 四级全维度建设标准

(一)安全物理环境配套资源要求

项目

二级标准配置

三级强制配置

四级高配配置

门禁

单因子刷卡 / 密码门禁

双人双锁,人脸 + 刷卡双因子分级门禁

三道分级生物识别门禁(人脸 + 指纹)

监控

普通摄像头,录像留存≥30 天

机房全覆盖高清监控,留存≥90 天

音视频双录,入侵报警联动自动锁门

供电

基础 UPS(续航≥30 分钟)

双路市电 + 长效 UPS

双市电 + UPS + 柴油发电机三级冗余

环境监测

简易温湿度人工记录

动环主机(漏水、烟感、温湿度、断电短信告警)

全机房 7×24 自动监测,异常实时推送监管

消防

干粉灭火器

耐火隔墙 + 气体灭火系统

分区自动灭火,消防联动门禁

其他

纸质出入登记本

带锁机柜、介质碎纸销毁设备

电磁屏蔽机房 / 屏蔽机柜,外来人员全程陪同审计

(二)安全通信网络配套资源

  1. 二级
    基础 VLAN 内外网隔离;外网业务 HTTPS 加密;网络设备基础日志本地存储;无链路冗余硬性要求。
  1. 三级(2.0 核心强制)
    四区逻辑隔离(互联网区、应用区、数据库区、运维区);内网跨区域通信加密;交换机、防火墙日志全部上送审计平台(留存≥6 个月);业务双线链路自动切换;网络设备分权账号,禁止共用管理员账号。
  1. 四级
    业务内网与办公网物理完全隔离;全网国密 SM2/SM3/SM4 加密;全流量采集分析设备;每季度网络架构安全评审,禁止私自新增网络节点。

(三)安全区域边界硬件资源清单(2.0 测评必查)

  1. 二级标配:下一代防火墙 NGFW;WAF、IPS、数据库审计均为可选。
  1. 三级强制全套设备(缺失直接大面积扣分)
    互联网出口:NGFW 防火墙 + Web 应用防火墙 WAF;内网分区:IPS 入侵防御系统;数据库前端:数据库审计系统;高危端口禁止对外映射,边界策略每月清理。
  1. 四级全套高配
    外网防火墙 + 单向物理隔离网闸 + 内网分区防火墙三重边界;WAF+IPS + 流量清洗 + APT 攻击检测;所有安全设备双机热备冗余;第三方接口全签名加密校验。

(四)安全计算环境(主机、数据库、软件、数据安全资源)

通用软件系统 2.0 强制红线(全等级适用)

  1. 禁止明文存储 / 传输身份证、手机号、银行卡等敏感个人信息;
  1. 修复 Fastjson、Log4j、Shiro、Struts2 等高危开源组件漏洞;
  1. 代码不得硬编码数据库账号、密钥、接口秘钥;
  1. 修复 SQL 注入、XSS、文件上传、垂直 / 水平越权、CSRF 等 Web 通用漏洞;
  1. 会话自动超时、登录 5 次锁定账号、接口防刷限流。

分等级硬件 / 软件资源

  1. 二级
    服务器、终端统一杀毒软件;本地单机备份;日志留存≥3 个月;口令复杂度策略,无双因素认证强制要求;季度漏洞扫描。
  1. 三级(2.0 硬性约束)
    管理员后台双因素认证;漏洞扫描每月执行,高危漏洞 7 日内闭环;备份一体机实现本地 + 异地双备份,每季度备份恢复演练;数据库透明加密、敏感数据脱敏;主机、应用、数据库日志统一归集留存≥6 个月;终端准入管控,禁止外来设备接入生产网。
  1. 四级
    硬件国密加密机、硬件令牌多因子认证;三地异地多副本备份,月度恢复演练;每周漏洞扫描,高危漏洞 24 小时修复;数据全生命周期加密、销毁溯源;代码安全审计平台常态化检测。

(五)安全管理中心配套平台(2.0 三级起强制)

  1. 二级:无强制管理中心,运维直连服务器,日志本地存储。
  1. 三级必配三大核心平台
    ① 运维堡垒机:所有服务器、数据库远程运维必经堡垒,全程录像审计;
    ② 集中日志审计平台:汇总全网设备、应用、主机日志;
    ③ 统一身份管理平台:账号生命周期、权限审批统一管控。
  1. 四级新增
    安全态势感知 SOC 平台、自动化漏洞闭环管理平台、安全事件工单处置系统,风险自动联动边界设备阻断攻击。

(六)安全管理体系软资源(制度 + 台账,2.0 重点扣分项)

  1. 制度文件全套(2.0 标准要求)
    安全总体策略、机房管理制度、账号权限管理、变更管理、漏洞管理、数据备份恢复、应急响应预案、第三方接口安全管理、介质销毁管理。
  • 二级:精简基础制度 3-5 份;
  • 三级:全套完整制度,每年评审修订;
  • 四级:分级管控安全策略,重大业务变更前置专家安全评审。
  1. 测评必查台账记录(必须真实可追溯,临时补录无效)
    机房出入登记、权限变更审批单、漏洞扫描修复台账、备份执行 + 演练报告、安全培训签到课件、年度应急演练完整材料、第三方服务商安全协议、介质销毁记录。

(七)人力与第三方配套服务资源

  1. 二级:运维兼职安全管理员;每 2 年一次等保测评;按需季度漏洞扫描。
  1. 三级:专职安全管理员,关键岗位双人制衡;每年等保测评 + 年度渗透测试;每年至少 1 次应急演练、2 次全员安全培训。
  1. 四级:独立安全部门、专职安全团队;关键岗位强制轮岗、离岗审计;每半年等保测评、月度漏洞扫描、季度红蓝对抗攻防演练、重大上线前专家安全评审。

四、等保 2.0 标准实施全生命周期流程(定级→备案→整改→测评→运维)

阶段 1:资产梳理与系统定级(前置基础)

  1. 梳理系统边界:业务软件、服务器、数据库、第三方接口、小程序、云资源全部纳入;
  1. 判定系统破坏影响,就高不就低确定保护等级;
  1. 输出材料:系统拓扑图、资产清单、定级报告;三级及以上组织≥3 名行业安全专家评审。

阶段 2:公安备案(测评准入门槛,2.0 强制)

  1. 全国互联网安全服务平台线上填报备案表;
  1. 线下向属地网安支队提交营业执照、法人证件、定级报告、拓扑、安全制度初稿;
  1. 审核通过领取备案证明,无备案不得开展第三方正式测评;系统重大改版 30 日内更新备案信息。

阶段 3:差距评估与安全建设整改(测评通过率核心)

  1. 对照 GB/T22239-2019 开展预测评,出具差距整改清单,区分高 / 中 / 低风险;
  1. 硬件部署:机房改造、防火墙 / WAF / 堡垒机 / 日志审计等安全设备上线调试;
  1. 系统加固:服务器、数据库、业务软件漏洞修复、加密改造、权限梳理;
  1. 管理完善:全套安全制度编制、补齐全流程运维台账、组织安全培训与应急演练;
  1. 内部自测:漏洞扫描、渗透测试,闭环全部高风险问题。

阶段 4:第三方正式测评(GB/T28449 标准四步流程)

  1. 测评准备:筛选公安备案持证测评机构,签订保密协议,交付全套系统资料;
  1. 编制专属测评方案,明确抽样范围、测试工具、人员分工;
  1. 现场测评:文档核查、人员访谈、机房现场勘查、工具漏洞扫描 + 渗透测试;
  1. 报告编制:按国标打分,划分风险等级,出具加盖资质公章的正式测评报告;
  • 达标:结论为符合 / 基本符合,可提交网安备查;
  • 不达标:出具差距清单,限期整改后复测。

阶段 5:常态化持续运维与周期复测

  1. 二级:每 2 年复测一次;三级每年复测;四级每半年复测;
  1. 系统迭代、新增第三方接口、扩容改造后,同步开展安全加固;
  1. 每月漏洞扫描、定期备份有效性校验、每年应急演练;
  1. 公安日常随机抽查测评报告、运维台账、安全设备运行状态。

五、等保 2.0 测评高频一票否决项(严禁出现)

  1. 身份证、手机号、银行卡等敏感数据明文存储 / 明文传输;
  1. 对外 Web 系统无 WAF 防护,存在可直接利用高危漏洞;
  1. 三级系统管理员仅单密码登录,未部署双因素认证;
  1. 无数据备份,或备份从未执行恢复演练、备份文件损坏;
  1. 业务软件存在垂直 / 水平越权、任意文件上传高危漏洞;
  1. 核心系统硬编码数据库密码、接口密钥,可直接抓包获取;
  1. 开发测试环境未隔离,外网可访问测试数据库;
  1. 三级系统缺失堡垒机、日志审计、异地备份任一强制安全设备;
  1. 日志留存时长不达标,支持管理员手动删除、篡改审计日志;
  1. 无任何应急演练、权限审批、漏洞修复台账,制度仅纸面文件无落地记录。

六、等保 2.0 整体验收达标标准

  1. 技术层面:对应等级所有强制安全硬件、平台全部稳定在线运行,无高风险漏洞;
  1. 数据层面:敏感数据加密存储传输,备份策略、恢复演练完整可验证;
  1. 应用软件层面:Web、APP、后台系统全部修复高危漏洞,权限、审计、防攻击功能全部生效;
  1. 管理层面:全套安全制度完整,所有运维台账真实、连续、可追溯;
  1. 测评结论:第三方出具报告结论为符合 / 基本符合,满足属地公安监管核查要求。
http://www.jsqmd.com/news/1153073/

相关文章:

  • 当 80% 的数据库由 AI 自动创建,我们需要一个什么样的 PostgreSQL?
  • Unlock-Music终极教程:5分钟学会解锁加密音乐,实现音乐自由播放
  • 华为云DWS磁盘使用率超90%后集群只读
  • 为什么不接负极, 电器就 无法工作?
  • 2026最新8款学生编程助手平替实测|课程设计低成本权威深度盘点
  • 计算机毕业设计之吕梁学院校园一卡通系统的设计与实现
  • 夏日运动好搭档,园世Beta Pro骨传导耳机,618值得入手
  • 如何在Windows 11 24H2 LTSC企业版安装微软商店:5分钟完整指南
  • UE4SS游戏脚本工具快速实战指南:如何为游戏添加脚本功能
  • 【计算机毕业设计】基于PHP技术的宠物寄养及健康管理系统
  • AI应用开发公司,到底在帮企业做什么?
  • 新的多线程测试模块
  • 拒绝“天价”账单!当 AI 撞上 FinOps,联蔚盘云如何破解企业“算力焦虑”?
  • Elsevier Latex 模版获取方式
  • AI友好的接口设计:几点来自实践的思考
  • PyTorch transforms 图像预处理:ToTensor与Normalize的3个实战误区与代码还原
  • Stable Diffusion 1.5/XL 15款大模型横向评测:4类画风生成速度与显存占用实测
  • SOP行为检测案例分享:AI行为分析助力汽车玻璃质检效率
  • 3步搞定!在Windows上直接安装Android应用:APK Installer完全指南
  • 1月最全测评:2026年最好用的10款写小说工具(含避坑指南)
  • C++ VulKey 实现 31.5% 修复准确率,超越 GPT-5
  • java处理oracle数据库in查询超过1000条的方法
  • 鸿蒙新特性:Slider 滑块组件——构建图片滤镜调节器
  • 三步搞定国家中小学智慧教育平台电子课本下载:终极免费工具指南
  • 北京华恒智信为物业服务行业破解工程维修重复返修、低效运维难题
  • 3种场景下的OBS虚拟背景解决方案:obs-backgroundremoval完全指南
  • AIGC Agent技术解析:从核心原理到旅行预订项目实战
  • 系统可用率要求99%,大厂采购工业PDA,如何与海雅达签定制SLA?
  • QDD半直驱驱动器热管理实战:液冷方案如何将峰值扭矩输出提升30%
  • Sqribble:面向专业文档生产的规则驱动型文档操作系统