等保2.0(网络安全等级保护2.0) ,全称 GB/T 22239-2019 ,2019年12月正式实施,是我国网络安全基本国策。
一、核心定位
- 法律依据:《网络安全法》第二十一条明确"国家实行网络安全等级保护制度"。
- 核心目的 :对网络、系统、数据分等级保护、分等级管理、分等级处置。
- 核心框架 :一个中心,三重防护
- 一个中心:安全管理中心
- 三重防护:安全通信网络、安全区域边界、安全计算环境
二、5个保护等级
- 一级(自主保护) :一般小系统,破坏仅伤个人/企业,自主管理。
- 二级(指导保护) :破坏影响社会秩序,需备案,每2年测评。
- 三级(监督保护) :破坏严重影响公共利益,强制备案,每年测评(企业最常见)。
- 四级(强制保护) :核心重要系统(金融、能源、交通),每半年测评。
- 五级(专控保护) :国防、机密级以上系统,国家专控。
三、测评内容
技术要求(5大类)
- 安全物理环境(机房、防盗、防水电)
- 安全通信网络(传输加密、边界防护)
- 安全区域边界(防火墙、入侵防范、访问控制)
- 安全计算环境(主机、应用、账号、数据加密)
- 安全管理中心(集中管控、审计、态势感知)
管理要求(5大类)
- 安全管理制度
- 安全管理机构
- 安全管理人员
- 安全建设管理
- 安全运维管理
四、测评完整流程
- 系统定级:按影响定级 → 专家评审 → 主管审批
- 备案:二级及以上向公安网安部门备案
- 建设整改:按等级补技术、补制度、补流程
- 等级测评:第三方机构现场测评(访谈、查配置、扫描、渗透)
- 监督检查:公安定期检查、持续改进
五、测评结论
- 优(≥90)、良(≥80)、中(≥70)、差(<70)
- 70分为及格线,低于70或有高危风险为"差",需重测
六、与1.0的关键区别
- 范围更广:覆盖云、物联网、工控、大数据、移动互联
- 框架更全 :从被动防护 → 主动防御、动态防御、可信验证
- 要求更严:70分及格、强化供应链、数据安全、应急响应
- 责任更清:法定责任、监管更严、处罚更重
七、总结
等保2.0是国家强制的网络安全分级合规体系 ,按系统重要性分5级,从技术+管理 全面防护,定级→备案→测评→整改→监督闭环管理,保障网络安全、数据安全、业务安全。