鹿鸣天涯

2026年2月1日是网络安全等级保护领域的一个重要节点——公安部发布的6项等保三级相关推荐性标准将正式实施，涵盖边缘计算、大数据、IPv6、区块链等多个新兴技术场景。这意味着，等保三级合规不再是简单的设备堆砌，而是要贴合新技术环境的精准防护。

等保制度通过分等级保护、分等级监管的方式构建网络空间安全防线，监管要求的逐步调整与细化，已形成立法+执行的双轮驱动格局。随着《网络安全等级保护条例》也明确释放出进展消息，将进一步推动企业的网络安全工作从形式合规向实质防护转变，企业需把握合规时间窗口，积极落实等保工作要求，将安全能力转化为竞争优势。，用于指导各单位全面深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改等工作，自2025年3月20日起签署的等保测评项目合同，在项目实施中启用《网络安全等级测评报告模板（2025版）》出具测评报告。

04 取消了原来安全控制点的S、A、G标注，增加一个附录A“关于安全通用要求和安全扩展要求的选择和使用”，描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级的S、A结果选择安全要求的相关条款，简化了标准正文部分的内容。针对安全运维过程提出的安全控制要求，涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。针对物理机房提出的安全控制要求。

这六项标准的发布进一步完善了我国网络安全等级保护标准体系，为行业主管部门、运营者、安全厂商、测评机构等相关方在新技术领域开展等级保护工作提供了依据，将有力提升等级保护对象的网络安全保护能力，为全面维护国家网络安全、筑牢筑实国家网络安全防线提供更坚实的保障。该标准的发布，为区块链技术在电力、政务、制造等行业的广泛应用奠定了良好的基础，不仅能解决区块链技术发展带来新的安全防护需求，而且能有效支撑采用区块链技术的网络安全等级保护对象的安全建设和监督管理工作。

近期公布启用的《网络安全等级测评报告模版（2025版）》，标志着等保测评领域迈入全新阶段。新版网络安全等级测评报告（简称“2025版报告”）相较于旧版（简称“2021版报告”），在多个方面进行了重要调整和优化。总结为两细化、三变更、五新增，详见等保测评取消打分，《网络安全等级测评报告模版（2025版）》重大变更，详细解读两细化、三变更、五新增。《重大风险隐患-规避指南》下载见文末。一、综述其中五新增为：新增重大风险隐患概念、新增重大风险隐患分析、新增重大风险隐患整改、新增重大风险隐患附录G、新增重大风险隐患

答复:运营者需全面梳理已备案系统的情况，对于已完成定级备案的第二级(含)以上网络系统，无论网络系统是否涉及级别变更，运营者均需重新依据 2025 版定级报告和备案表模板进行编写和填报，并及时按照属地公安机关网安部门要求及时报送。对于未出现在《网络安全等级保护测评高风险判定实施指引》的，经综合判断，可能会造成测评系统出现高风险情况的，也应判断为高风险问题。（五）、“重大风险隐患”只影响测评结论为“符合”的判定，不影响“基本符合”、“不符合”的判定。（四）、“高风险判定”与“重大风险隐患”之间的关系。

为了更好地应对这些威胁，适应新的安全形势，新版网络安全等级测评报告（简称“2025版报告”）应运而生，相较于旧版（简称“2021版报告”），在多个方面进行了重要调整和优化。主要对原有报告内容进行补充完善，细化网络安全区域划分描述，特别是在渗透测试结果与测评项之间的联系，后续在开展测评工作时应做好结果记录及测评项匹配。取消原有综合得分计算及优、良、中、差的评价体系，更改等级测评结论为符合、基本符合、不符合，此项变化将更改固有的测评结论印象，需要尽快适应。，且不存在重大风险隐患，等级测评结论判定为符合。

风险评价：关键网络节点对新型网络攻击行为无任何分析手段或基于威胁情报、行为分析模型 进行行为分析的安全措施，或半年及以上未更新威胁情报库、事件分析模型，但对于与互联公共通信网络完全物理隔离或采取强逻辑隔离措施的系统，具有物理访问控制措施和设备强准入控制措施，可根据实际措施效果酌情降低风险等级。2025版共计删除26条高风险判例，其中安全物理环境1条、安全通信网络3条、安全区域边界2条、安全计算环境12条、安全管理中心2条、安全管理人员1条、安全运维管理5条。

2021年3月9日,国家市场监管总局、国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》,该标准将于2021年10月1日起正式实施。这是贯彻落实我国《密码法》,指导密评工作的一项基础性标准,对于规范和引导信息系统合规、正确、有效应用密码,切实维护国家网络与信息安全具有重要意义。密评六大基础问题解答商用密码应用安全性评估，以下简称密评：Q1：运营单位怎么判定是否需要开展商用密码应用安全性评估？1）《密码法》第二十七条法律、行政法规

相关国家标准、行业标准、指导性文件规定的密评工作各项基本要求和实施指引，包括密码应用基本要求（46）、密码应用测评要求（47）、测评过程（48）、测评内容（49）、测评对象选取（50）、测评指标选择（51）、测评方法与实施（52）、测评工具使用（53）、量化评估（54）、风险分析（55）、报告编制（56）、测评案例分析（57）、方案密评（58）等。依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。

用户和管理员在访问业务系统时，需要采用密码技术进行身份鉴别，对重要业务数据传输的机密性和完整性、重要业务数据存储的机密性和完整性进行保护。密评主要针对涉及到商用密码的网络和信息系统，商用密码指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术、密码产品和密码服务。全称商用密码应用安全性评估, 是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估的活动。“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等多种形态。

商用密码应用安全性评估（以下简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。例如，使用SSL/TLS时，是否禁用了不安全的协议版本（如TLS1.0, TLS1.1）、是否禁用了弱密码套件。不能只关注密钥是否在用，要追踪其产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。：责任单位抱有抵触心理，试图隐瞒问题或规避测试，反而可能导致更严重的误判和更低的测评分数。：方案里写的是SM4加密，实际用的是AES；：有制度但从未执行；

等保2.0的安全体系以“一个中心、三重防御”为核心框架，“技术+管理+运营”三位一体，覆盖保护对象（如信息系统、云平台、物联网系统等）的全生命周期安全要求。熟记安全管理中心（联想记忆）：（安全管理），中计（审计管理），集中（集中管控），心系（系统管理）安全物理环境（机房建设选址（物理位置选择），门禁（物理访问控制），八防（防火/防雷/防水防潮/防盗防破坏/防静电/防电磁）、一电（电力供应）、二度（温湿度控制）安全通信网络（可通网）：可信验证、通信传输、网络架构安全计算环境（

2025版测评报告模板的核心升级是从“形式合规”转向“实质风险防控”，通过强化“重大风险隐患”的识别、统计与整改要求，推动网络运营者从“满足得分”转向“解决实际风险”。这一变化不仅符合《网络安全法》《数据安全法》等法规对网络安全防护的更高要求，也适应了云计算、大数据等新技术场景下的安全防护需求。