一、等保二级标准概述与适用场景
1.1 标准定位
GB/T 22239-2019是中国网络安全等级保护制度(等保2.0)的核心标准,于2019年12月1日正式实施,替代了2008年的旧版标准。该标准将保护范围从”信息系统”扩展为”网络安全”,实现了从被动防御到主动防御、从静态保护到动态保护的转变。
1.2 二级定级标准
等保二级(指导保护级)适用于:受破坏后对公民、法人和其他组织的合法权益产生严重损害,或对社会秩序和公共利益造成一般损害,但不损害国家安全的信息系统。
典型应用场景: - 普通企业官网、品牌展示型网站 - 内部办公OA系统、邮件系统 - 一般商业服务平台、会员管理系统 - 非核心业务系统、内部培训平台 - 中小型电商平台(非交易核心)
作为等保体系中最广泛的定级范围,二级合规是企业网络安全建设的基础门槛和法定要求。
二、等保二级”一个中心、三重防护”技术架构
2.1 安全物理环境(9项控制点)
控制点 | 核心要求 | 二级与三级差异 |
物理位置选择 | 机房避免顶层、地下室或用水设备下层 | 三级要求抗震、防雨防风 |
物理访问控制 | 配置电子门禁系统,控制、鉴别和记录进出人员 | 三级增加视频监控、专人值守 |
防盗窃防破坏 | 设备固定,设置明显不易除去的标记 | 三级增加防盗报警系统 |
防雷击 | 设置防雷保安器或过压保护装置 | 基本一致 |
防火 | 设置火灾自动消防系统(自动检测、报警、灭火) | 三级增加气体灭火、耐火材料 |
防水防潮 | 防止雨水、水蒸气结露和地下积水转移 | 基本一致 |
电力供应 | UPS备用电源,满足关键设备断电后正常运行 | 三级要求冗余电力线路、应急供电 |
温湿度控制 | 设置温湿度自动调节设施 | 基本一致 |
电磁防护 | 电源线和通信线缆隔离铺设 | 三级增加电磁屏蔽 |
2.2 安全通信网络(3项控制点)
网络架构:避免单点故障,关键网络设备冗余;划分不同网络安全域,边界处部署访问控制设备。
通信传输:采用校验技术保证通信过程中数据的完整性。
可信验证:基于可信根对通信设备系统引导程序等进行验证。
二级与三级差异:三级要求采用加密技术保证通信传输的保密性,并在应用程序关键执行环节进行动态可信验证。
2.3 安全区域边界(6项控制点)
控制点 | 二级核心要求 |
边界防护 | 跨越边界的访问和数据流通过受控接口通信 |
访问控制 | 默认拒绝所有非允许通信;删除多余或无效访问控制规则 |
入侵防范 | 检测外部网络攻击,记录攻击源IP、类型、目的、时间;严重入侵时报警 |
恶意代码防范 | 检测和清除恶意代码,维护防护机制升级更新 |
安全审计 | 审计覆盖到每个用户;记录留存不少于180天 |
可信验证 | 基于可信根对边界设备系统引导程序等进行验证 |
二级与三级差异:三级要求检测内外部网络攻击,对网络行为进行分析,实现新型攻击行为分析;审计记录需集中管理和防篡改。
2.4 安全计算环境(11项控制点)
身份鉴别: - 用户身份标识具有唯一性 - 口令长度≥8位,包含两种字符类型(字母+数字/特殊字符) - 启用登录失败处理:5次失败锁定10分钟 - 定期更换口令
访问控制: - 授予用户最小权限 - 实现管理用户权限分离 - 默认情况下除允许访问外,受控资源拒绝所有访问
安全审计: - 启用安全审计功能,覆盖每个用户 - 审计记录留存不少于180天 - 定期备份审计记录
入侵防范: - 遵循最小安装原则,关闭不需要的系统服务、默认共享和高危端口 - 检测入侵行为,记录入侵源IP、类型、目的、时间 - 发生严重入侵时报警
恶意代码防范: - 安装防恶意代码软件 - 统一管理并及时更新
数据完整性: - 采用校验技术保证重要数据在传输和存储过程中的完整性
数据备份恢复: - 提供重要数据的本地数据备份与恢复功能
二级与三级差异:三级要求数据保密性(传输和存储加密)、异地实时备份、剩余信息保护(存储空间释放时完全清除)。
个人信息保护: - 仅采集和保存业务必需的个人信息 - 禁止未授权访问和非法使用
可信验证: - 基于可信根对计算设备系统引导程序等进行验证
2.5 安全管理中心(2项控制点)
控制点 | 二级要求 | 三级要求 |
系统管理 | 对系统管理员身份鉴别,仅允许特定操作界面管理 | 一致 |
审计管理 | 对审计管理员身份鉴别,仅允许特定操作界面审计 | 一致 |
安全管理 | 无此项 | 对安全管理员专门鉴别和权限控制 |
集中管控 | 无此项 | 划分网络安全区域、建立安全管理中心 |
三、等保二级安全管理要求
3.1 安全管理制度
• 制定基本的安全策略和管理制度
• 明确安全工作的总体目标、范围、原则和安全框架
3.2 安全管理机构
• 设立安全管理员岗位
• 明确岗位职责,配备系统管理员、审计管理员和安全管理员
三级要求:设立专门安全管理机构,配备专职安全管理员。
3.3 安全管理人员
• 建立人员录用、离岗管理制度
• 开展安全意识教育培训
• 规范外部人员访问管理
3.4 安全建设管理
• 完成系统定级备案
• 进行安全方案设计
• 规范产品采购与使用
• 管理自行开发和外包软件开发过程
• 实施工程监理、测试验收和系统交付
• 开展等级测评
3.5 安全运维管理
涵盖:环境管理、资产管理、介质管理、设备维护、漏洞与风险管理、恶意代码防范、配置管理、密码管理、变更管理、备份与恢复、安全事件处置及应急预案管理。
四、等保二级核心标准体系
标准编号 | 标准名称 | 作用定位 |
GB/T 22239-2019 | 信息安全技术 网络安全等级保护基本要求 | 核心合规标准 |
GB/T 25058-2019 | 信息安全技术 网络安全等级保护实施指南 | 实施流程指导 |
GB/T 22240-2020 | 信息安全技术 网络安全等级保护定级指南 | 定级方法与流程 |
GB/T 28448-2019 | 信息安全技术 网络安全等级保护测评要求 | 测评内容与评判标准 |
GB/T 28449-2018 | 信息安全技术 网络安全等级保护测评过程指南 | 测评过程规范 |
GB/T 36627-2018 | 信息安全技术 网络安全等级保护测试评估技术指南 | 测试评估技术方法 |
五、2025年等保二级最新政策变化
根据公安部网安局2025年发布的《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)等文件,等保二级面临以下重要变化:
5.1 备案更新要求(2025年11月30日截止)
• 所有二级及以上系统,无论级别是否变更,均需按照2025版模板重新填报备案信息
• 备案证明有效期统一为3年
• 完成等级测评后有效期自动延续1年
• 期满延期需提前3个月向原备案公安机关申请
5.2 测评结论体系重构
2025年新规取消百分制评分,改为“符合、基本符合、不符合”三级判定体系:
符合率 | 重大风险隐患 | 测评结论 |
高于90% | 无 | 符合 |
高于90% | 有 | 基本符合 |
60%-90% | - | 基本符合 |
低于60% | - | 不符合 |
即使符合率超过90%,若存在重大风险隐患仍判定为”基本符合”。这标志着从”合规达标”向”动态防护”的理念升级。
5.3 测评报告结构升级
• 新增“重大风险隐患分析”和“整改建议”章节
• 引入双维度拓扑图(内部安全域划分+整体网络架构位置)
• 渗透测试结果需与标准测评项建立映射关系
5.4 数据资源摸底(2025年11月30日截止)
• 二级及以上系统运营者需以单位为主体填报数据资源
• 按数据最小类别(如”金融账户”“个人交易信息”)而非字段填写
• 呼应《数据安全法》要求
六、等保二级测评与合规实践
6.1 测评周期与备案
• 备案:二级系统需在公安机关网安部门完成备案
• 测评周期:建议每两年进行一次等级测评(非强制每年)
• 测评结论:分为”优、良、中、差”(旧版)或”符合、基本符合、不符合”(2025新版)
• 合格标准:通常要求达到”中”及以上(旧版)或”基本符合”及以上(新版)
6.2 测评内容构成
• 技术测评:物理安全、网络安全、主机安全、应用安全、数据安全
• 管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
6.3 合规建设路径
┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐
│ 定级 │ -> │ 备案 │ -> │ 建设整改 │ -> │ 测评 │ -> │ 运维 │
└─────────┘ └─────────┘ └─────────┘ └─────────┘ └─────────┘
自主定级 公安机关 差距分析 资质机构 持续监测
专家评审 网安部门 整改实施 等级测评 定期复测
七、等保二级与三级关键差异对照表
对比维度 | 等保二级 | 等保三级 |
身份鉴别 | 基本口令策略(8位+两种字符) | 双因素认证 |
数据保密性 | 无强制加密要求 | 传输和存储加密 |
备份恢复 | 本地备份 | 异地实时备份 |
入侵检测 | 外部攻击检测 | 内外部攻击检测 |
安全审计 | 本地留存180天 | 集中管理、防篡改 |
安全管理中心 | 系统+审计管理 | +安全管理+集中管控 |
剩余信息保护 | 无 | 存储空间释放时完全清除 |
可信验证 | 基本验证 | 动态链接验证 |
测评频率 | 建议两年一次 | 每年至少一次 |
人员要求 | 兼职安全员 | 专职安全管理员 |
测评结论 | 优/良/中/差 | 符合/基本符合/不符合 |
备案有效期 | 3年 | 3年 |
八、扩展场景合规要点
对于云计算、移动互联、物联网、工业控制系统等新技术场景,需在通用要求基础上满足相应扩展要求:
扩展场景 | 二级重点要求 |
云计算 | 云服务商与租户责任划分、虚拟化安全、镜像完整性 |
移动互联 | 移动终端管理、无线接入安全、移动应用加固 |
物联网 | 感知节点身份认证、感知层安全、网关安全 |
工业控制 | 工控协议安全、生产网与管理网隔离、工程师站保护 |
九、总结与建议
GB/T 22239-2019等保二级是企业网络安全合规的基础门槛,覆盖五大技术层面和五大管理层面。随着2025年新规实施,企业需重点关注:
及时备案更新:2025年11月30日前完成二级及以上系统备案信息更新
数据资源摸底:按最小类别填报数据资源清单
测评理念升级:从”分数达标”转向”风险隐患清零”
持续合规运营:建立”定级-备案-建设-测评-运维”全生命周期体系
等保二级合规不仅是满足《网络安全法》《数据安全法》的法定义务,更是企业数字化转型中保障业务连续性、维护用户信任、防范网络攻击的核心安全基石。
爱包干™20年专注企业IT网络服务,累计服务客户超1000家,提供免费上门检测评估出企业网络安全方案,欢迎随时致电咨询。
