网络安全等级保护测评高风险判定实施指引（试行）--2020与2025版对比

今年公安部十一局印发《关于进一步做好网络安全等级保护有关工作的函》( 公网安[2025]1001号)等保测评取消打分，《网络安全等级测评报告模版（2025版）》重大变更，详细解读两细化、三变更、五新增、《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安 [2025] 1846号 )关于进一步做好网络安全等级保护有关工作的问题释疑-【二级以上系统重新备案】、【备案证明有效期三年】，指导各单位全面深入推进网络安全风险隐患排查以及保护工作方案制定等工作。为进一步推进重大网络安全风险隐患发现、整改等工作落实，规范和统一全国网络安全等级测评活动中关于网络安全高风险问题的判定准则，同时支撑各地公安机关开展日常网络安全重大风险隐患督办整改等工作，公安部十一局研究制定了《网络安全等级保护测评高风险判定实施指引(试行)》，请结合工作实际参照执行。

现针对于此次2025版《网络安全等级保护测评高风险判定实施指引(试行)》（以下简称2025版）与2020版《网络安全等级保护测评高风险判定指引》（以下简称2020版）《网络安全等级保护测评高风险判定指引》T/ISEAA 001-2020【等级保护】【标准规范】，进行各项高风险判定的对比分析，明确下一步网络安全等级保护建设、测评工作的重心，指导各组织更有效的开展网络安全等级保护相关工作。

一、整体分析

2025版相较于2020版：

1、共删除26条高风险判例。

2、共新增40条高风险判例。

3、适用范围调整，由二级调整为三级的共计6条。

4、由“一通用、四扩展”组成，包括安全通用要求、云计算安全扩展、移动互联安全扩展、物联网安全扩展、工业控制系统安全扩展组成高风险判例。

二、删除判例

2025版共计删除26条高风险判例，其中安全物理环境1条、安全通信网络3条、安全区域边界2条、安全计算环境12条、安全管理中心2条、安全管理人员1条、安全运维管理5条。

其中安全技术部分：

【安全物理环境】中不再将机房防盗报警或视频监控系统列为高风险项；

【安全通信网络】中不再要求网络区域的划分及通信传输传输中完整性保护，仅保留机密性的高风险要求；

【安全区域边界】中不再要求恶意代码防范机制，并删除安全审计类高风险要求；

【安全计算环境】中同样删除原有4条安全审计类相关要求，删除完整性保护高风险要求，删除全部剩余信息保护条款，不再对异地实时备份进行高风险要求；

【安全管理中心】中删除设备状态集中监控的要求。

安全管理部分：

【安全管理人员】中不再要求安全意识和安全技能培训；

【安全运维管理】删除多数高风险条款，仅对应急预案及演练等条款做高风险要求。

2025版删除的26条高风险判例【控制点】-【高风险判例】：具体测评条款如下：

1）安全物理环境

【防盗窃和防破坏】-【机房防盗措施缺失】：应设置机房防盗报警系统或设置有专人值守的视频监控系统。

2）安全通信网络

【网络架构】-【网络区域划分不当】：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

【网络架构】-【网络边界访问控制设备不可控】：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

【通信传输】-【重要数据传输完整性保护措施缺失】：应采用校验技术或密码技术保证通信过程中数据的完整性。

3）安全区域边界

【恶意代码和垃圾邮件防范】-【恶意代码防范措施缺失】：应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。

【安全审计】-【网络安全审计措施缺失】：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

4）安全计算环境

【身份鉴别】-【应用系统口令暴力破解防范机制缺失】：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

【安全审计】-【设备安全审计措施缺失】、【应用系统安全审计措施缺失】：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

【安全审计】-【设备审计记录不满足保护要求】、【应用系统审计记录不满足保护要求】：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

【入侵防范】-【设备管理终端限制措施缺失】：应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

【入侵防范】-【内网设备存在可被利用的高危漏洞】、【应用系统存在可被利用的高危漏洞】：应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

【数据完整性】-【重要数据传输完整性保护措施缺失】：应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

【数据备份恢复】-【异地备份措施缺失】：应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。

【剩余信息保护】-【鉴别信息释放措施失效】：应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

【剩余信息保护】-【敏感数据释放措施失效】：应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

5）安全管理中心

【集中管控】-【运行监控措施缺失】：应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

【集中管控】-【安全事件发现处置措施缺失】：应能对网络中发生的各类安全事件进行识别、报警和分析。

6）安全管理人员

【安全意识教育和培训】-【未开展安全意识和安全技能培训】：应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。

7）安全运维管理

【网络和系统安全管理】-【运维工具管控措施缺失】：应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。

【网络和系统安全管理】-【设备外联管控措施缺失】：应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。

【恶意代码防范管理】-【外来接入设备恶意代码检查措施缺失】：应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等。

【变更管理】-【变更管理制度缺失】：应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。

【备份与恢复管理】-【数据备份策略缺失】：应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

三、新增判例（安全通用要求部分）

2025版共计新增40条高风险判例，其中安全通用要求新增5条、云计算安全扩展新增12条、移动互联安全扩展新增10条、物联网安全扩展新增4条、工业控制系统安全扩展新增9条。因多数新增判例为此次增加的扩展部分要求，就不一一列出了，本次仅对安全通用要求部分新增的5条进行说明。

因为是2025版新增的条款，以下说明将对【控制点】-【高风险判例】：具体测评条款以及适用范围、问题描述、缓解措施、风险评价等进行列举。

其中【安全区域边界】新增2条，强调边界设备的端口控制，并对关键行业的第三级及以上定级对象的网络攻击行为检测进行要求；

【安全管理中心】新增1条，对安全设备的远程管理进行要求；

【安全建设管理】新增2条，强调等级测评的重要性，需定期选择符合国家相关要求的测评机构开展等级测评工作。

1）安全区域边界

【边界防护】-【网络边界接入设备或端口不可控】：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

适用范围：第二级及以上定级对象

问题描述：

1)   网络边界链路接入设备未配置明确的上联链路端口；

2)   网络边界链路接入设备端口 IP 及路由策略不明确；

3)   网络边界链路接入设备未关闭不使用的端口。

可能的缓解措施：网络边界配置严格的访问控制策略。

风险评价：网络边界链路接入设备未配置明确的上联链路端口，或设备端口 IP 及路由策略不明确，或未关闭不使用的端口，但网络边界部署有访问控制措施，且配置了严格的访问控制策略，细粒度达到 IP、端口级别，可根据实际措施效果酌情降低风险等级。

【入侵防范】-【网络行为分析措施缺失】：应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析。

适用范围：关键行业的第三级及以上定级对象。

问题描述：

1)关键网络节点对新型网络攻击行为网络访问行为无任何分析手段，例如未部署抗APT系统、全流量分析系统、沙箱系统、具备行为分析功能的态势感知系统、威胁情报系统等；

2)基于威胁情报、行为分析模型进行行为分析的安全措施，半年及以上未更新威胁情报库、 事件分析模型，无法满足防护需求。

可能的缓解措施：网络环境采取物理隔离或采取强逻辑强隔离措施，且具有物理访问控制措施 和设备强准入控制措施。

风险评价：关键网络节点对新型网络攻击行为无任何分析手段或基于威胁情报、行为分析模型 进行行为分析的安全措施，或半年及以上未更新威胁情报库、事件分析模型，但对于与互联公共通信网络完全物理隔离或采取强逻辑隔离措施的系统，具有物理访问控制措施和设备强准入控制措施，可根据实际措施效果酌情降低风险等级。

2）安全管理中心

【集中管控】-【远程管理路径安全防护措施不足】：应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理。

适用范围：第三级及以上定级对象。

问题描述：对网络设备、安全设备或安全组件进行远程管理时，未采取安全的信息传输路径。

可能的缓解措施：无。

风险评价：上述安全问题一旦被威胁利用后，可能会导致等级保护对象面临高风险。

3）安全建设管理

【等级测评】-【未定期进行等级测评】：应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改。

适用范围：第三级及以上定级对象。

问题描述：系统定级备案后，未每年开展一次等级测评，且上次测评发现的高风险问题未及时整改。

可能的缓解措施：无。

风险评价：上述安全问题一旦被威胁利用后，可能会导致等级保护对象面临高风险。

【等级测评】-【选择的测评机构不符合国家相关要求】：应确保测评机构的选择符合国家有关规定。

适用范围：第三级及以上定级对象。

问题描述：

1) 选择的测评机构不符合国家相关要求；

2)选择被通报处理的测评机构（包括认证证书暂停和整改期内）开展等级测评。

可能的缓解措施：无。

风险评价：上述任一安全问题一旦被威胁利用后，可能会导致等级保护对象面临高风险。

四、适用范围变更判例

适用范围调整：由二级调整为三级的共计6条。

其中【安全物理环境】3条，不再将二级系统具备电子门禁、自动消防系统、UPS等电力供应系统定为高风险；

【安全计算环境】2条，不再将二级系统的主客体访问控制、重要数据的本地备份恢复定为高风险；

【安全管理制度】1条，不再将二级系统根据各类管理内容建立安全管理制度定为高风险。

1）安全物理环境

【物理访问控制】-【机房出入口访问控制措施缺失】：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

2020版适用范围：二级及以上系统

2025版适用范围：第三级及以上定级对象

【防火】-【机房防火措施缺失】：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

2020版适用范围：二级及以上系统

2025版适用范围：第三级及以上定级对象

【电力供应】-【机房短期备用电力供应措施缺失】：应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

2020版适用范围：二级及以上系统

2025版适用范围：业务连续性要求高的第三级及以上定级对象

2）安全计算环境

【访问控制】-【访问控制策略存在缺陷或不完善，存在越权访问可能】：应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。

2020版适用范围：二级及以上系统

2025版适用范围：第三级及以上定级对象

【数据备份恢复】-【重要数据无本地备份措施】：应提供重要数据的本地数据备份与恢复功能。

2020版适用范围：二级及以上系统

2025版适用范围：第三级及以上定级对象

3）安全管理制度

【管理制度】-【管理制度缺失】：应对安全管理活动中的各类管理内容建立安全管理制度。

2020版适用范围：二级及以上系统

2025版适用范围：第三级及以上定级对象