网络安全等级保护标准（2025版）

网络安全等级保护标准（2025版）一、总则与核心原则本标准依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规要求，在充分总结网络安全等级保护制度实施经验的基础上，结合云计算、大数据、物联网、移动互联网、人工智能以及工业控制系统等新技术、新应用的安全需求，对原有标准进行了全面修订与升级。2025版标准的核心目标是从被动防御向主动防御、动态防御、纵深防御转变，强化“一个中心，三重防护”的安全架构，并将数据安全全生命周期管理纳入等级保护核心范畴。标准的适用范围覆盖所有非涉密网络及信息系统，以及基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、移动互联网应用等。在定级要素上，除了考虑公民、法人和其他组织的合法权益，特别强调了对社会秩序、公共利益以及国家安全的影响程度，特别是针对遭受破坏后可能对国家安全造成严重损害的系统，提出了更为严苛的安全防护要求。2025版标准确立了以下核心原则：安全可信、动态感知、主动防御、纵深防御、精准管控。安全可信要求计算节点、网络设备、安全设备等核心部件必须通过国家权威机构的认证，确保供应链安全；动态感知强调对网络攻击、异常行为、数据违规操作的实时监测与预警；主动防御要求具备诱捕、溯源、反制等能力；纵深防御则要求落实物理环境、通信网络、区域边界、计算环境、管理中心等多层防护体系。二、等级划分与定级指南网络安全等级保护等级划分为五级，定级流程更加科学化、标准化，强调自主定级与专家评审相结合。在2025版标准中，对于数据聚集度高、处理敏感个人信息数量庞大的系统，建议定级不低于二级；对于支撑关键信息基础设施运行、处理核心数据或大量重要数据的系统，原则上定级不低于三级。以下是等级划分的详细依据与保护强度对比：等级侵害客体侵害程度定级建议场景保护强度描述第一级合法权益损害不涉及国家秘密、敏感信息的内部小型办公系统、非经营性小型网站侧重于用户自主保护，基本的访问控制与防病毒措施，无需专家评审。第二级合法权益、社会秩序严重损害一般企事业单位的信息系统、县级非关键政务系统、电商平台会员系统系统审计保护，要求具备较完善的身份鉴别、访问控制和安全审计机制。第三级合法权益、社会秩序、国家安全特别严重地级以上政务系统、重要金融行业系统、大型互联网平台用户中心、工业控制系统安全标记保护，强制要求采用密码技术，建立安全管理中心，具备动态感知能力。第四级社会秩序、国家安全严重损害关键信息基础设施中的非核心业务部分、国家重要行业核心业务系统、大型央企涉密系统结构化保护，要求极高的抗攻击能力，建立专门的安全保障团队和应急处置中心。第五级国家安全特别严重关键信息基础设施核心系统、国防军事系统、国家顶级金融控制系统访问验证保护，实施最高级别的物理隔离、强制访问控制和国产化替代。三、通用技术要求通用技术要求是所有等级保护对象必须满足的基础安全要求，2025版标准在传统技术层面进行了大幅增强，特别是在身份鉴别、访问控制、入侵防范和恶意代码防范等方面。（一）安全物理环境物理安全是网络安全的基础，2025版标准针对数据中心、机房等物理场所提出了具体的防护指标。重点增加了对物理攻击的防范、电磁泄漏发射防护以及存储介质管理的具体要求。控制点要求项（2025更新）实施指南测评方法物理位置选择增加对周边环境的隐蔽性要求，避免明显标识建筑物应具备防震、防风、防雨能力，出入口不应在易于接近的公共区域，且需避免设置明显的安全标识以防止针对性物理破坏。检查机房选址记录，实地考察周边环境，确认是否存在明显标识。物理访问控制强制实施双人双锁及多重生物特征识别机房出入口应配置电子门禁系统，记录所有进出人员信息；进入机房需经过授权，关键区域需两人以上同时在场并采用指纹、虹膜等两种以上生物识别技术。查阅门禁记录，测试生物识别系统有效性，检查双人值守制度落实情况。防盗窃和防破坏增加对设备定位追踪及视频智能分析要求关键设备应安装防拆卸报警装置；视频监控应覆盖机房所有区域并具备行为分析功能（如翻越、逗留报警），监控数据保存时间不得少于6个月。检查报警装置安装情况，测试视频智能分析功能，核查监控数据保存时长。防电磁泄漏针对三级及以上系统提出电磁屏蔽要求处理敏感信息的信息设备应安装在具有电磁屏蔽能力的机柜或房间内，关键设备电源线和信号线应加装滤波器。检查屏蔽机柜相关认证证书，使用专业仪器检测电磁泄漏强度。（二）安全通信网络通信网络的安全重点在于保障数据传输的机密性、完整性和可用性。2025版标准特别强调了网络架构的健壮性、通信传输的加密以及网络可信接入的要求。控制点要求项（2025更新）实施指南测评方法网络架构要求网络分区分域，避免重要网段直接互联应划分不同的安全域，重要业务网段与互联网网段之间应部署隔离设备；网络拓扑结构应具备冗余能力，关键节点设备需采用双机热备。审查网络拓扑图，使用网络扫描工具探测网络边界，检查冗余设备配置。通信传输强制国密算法，全链路加密传输敏感数据的通信链路必须使用加密技术，三级及以上系统应采用国密算法（如SM2/SM3/SM4）；禁止使用明文传输协议（如Telnet、FTP）。抓包分析通信流量，验证加密算法类型，检查明文协议禁用情况。网络可信接入引入零信任网络访问控制理念应对接入网络的设备进行身份认证和健康度检查，不符合安全基线的设备应被阻断或隔离至修复区。模拟接入不合规设备，观察网络准入控制系统的阻断反应。通信审计增加对网络流量内容的深度检测网络边界处应部署流量分析设备，对网络行为进行记录和审计，能够识别并记录网络攻击行为和数据外发行为。检查审计记录是否包含源/目的IP、端口、协议及关键行为特征。（三）安全区域边界区域边界安全是防止外部攻击渗透和内部数据违规外出的关键防线。2025版标准重点强化了边界隔离、入侵防范、恶意代码过滤及安全审计能力。控制点要求项（2025更新）实施指南测评方法边界隔离逻辑隔离与物理隔离的明确界定不同等级的安全域之间应采用受控的边界隔离措施；三级及以上系统的重要业务区域应采用逻辑隔离或物理隔离手段。检查网络设备配置，确认VLAN划分、防火墙策略或物理网闸部署情况。入侵防范引入AI驱动的入侵检测与防御应在网络边界处部署入侵检测/防御系统，且应具备基于机器学习的异常行为检测能力，及时发现并阻断SQL注入、XSS、缓冲区溢出等攻击。模拟常见Web攻击和异常流量，验证IPS/IDS设备的报警与阻断效果。恶意代码防范网关级恶意代码过滤与沙箱联动网络边界处应部署恶意代码过滤设备，对传输的文件进行实时扫描；应具备未知威胁沙箱分析能力，对可疑文件进行静态和动态分析。发送包含EICAR测试样本的文件，以及模拟未知恶意文件，测试网关响应。安全审计审计记录的完整性与防篡改边界安全设备产生的审计记录应包含时间、用户、事件类型、结果等信息；审计记录应定期备份，并采取措施防止被删除或篡改。检查审计日志内容完整性，尝试修改历史日志，验证防篡改机制。（四）安全计算环境计算环境安全是保障服务器、终端、数据库等应用系统安全的核心。2025版标准在身份鉴别、访问控制、个人信息保护等方面提出了极高要求。控制点要求项（2025更新）实施指南测评方法身份鉴别强制双因子认证，淘汰弱口令应对登录用户进行身份标识和鉴别，三级及以上系统必须采用双因子认证（如口令+数字证书/生物特征）；系统应强制实施复杂口令策略并定期更换。尝试使用弱口令登录，测试单因子认证是否被拒绝，检查口令复杂度策略配置。访问控制基于角色的细粒度访问控制（RBAC）应启用访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；严格限制默认账户的访问权限，及时清理多余账户。检查系统配置文件，验证不同权限账户访问资源时的限制效果。个人信息保护增加隐私合规与脱敏展示要求系统应对收集的个人信息进行分类分级管理，在展示敏感信息（如身份证号、手机号）时应进行自动脱敏处理；应提供用户注销功能。测试敏感信息展示页面，检查是否脱敏；尝试注销账户，验证数据删除或匿名化处理。入侵防范最小安装原则与补丁管理服务器操作系统应遵循最小安装原则，关闭非必要的服务和端口；应建立漏洞补丁管理机制，及时修补重大安全漏洞。使用漏洞扫描工具扫描服务器，检查非必要端口开放情况。恶意代码防范统一管理与实时监控应安装企业级防恶意代码软件，并保持病毒库升级；应支持集中管理，能够对所有终端的防病毒状态进行实时监控和报警。检查防病毒软件版本及病毒库日期，查看集中管理控制台日志。（五）安全管理中心安全管理中心是落实“一个中心”思想的关键，通过集中管控、安全审计和态势感知，实现整体安全状况的可视、可管、可控。控制点要求项（2025更新）实施指南测评方法系统管理集中配置与运维审计应通过系统管理界面对网络设备、安全设备、服务器等进行集中配置；运维操作应通过堡垒机进行，实现全过程记录和审计。检查集中管理平台覆盖范围，测试堡垒机运维操作记录功能。审计管理多维度日志关联分析应对系统日志、安全设备日志、应用日志进行统一收集和存储；应具备日志关联分析能力，能够识别跨越多个系统的攻击链。模拟跨系统攻击场景，验证审计系统是否生成了关联分析报告。安全态势感知威胁情报与可视化展示三级及以上系统应部署态势感知平台，结合威胁情报数据，对网络攻击、资产漏洞、合规风险进行综合分析和可视化展示。查看态势感知大屏，检查威胁情报数据源及告警准确率。四、云计算安全扩展要求随着云计算的普及，2025版标准对云计算安全扩展要求进行了深度优化，强调了云服务商与云租户的安全责任边界，以及云平台自身的特殊安全需求。（一）安全责任边界在云计算环境中，安全责任的分担模式至关重要。IaaS模式下，云服务商负责物理环境、网络基础设施和虚拟化层的安全，租户负责操作系统、应用和数据的安全；PaaS和SaaS模式下，云服务商的责任逐渐增加。2025版标准要求云服务合同中必须明确界定双方的安全责任，并通过技术手段（如VPC隔离）确保责任边界的有效性。（二）关键技术控制点控制点要求项（2025更新）实施指南测评方法镜像和快照安全镜像来源审核与快照加密应确保虚拟机镜像来源可靠，建立镜像安全扫描机制；对包含敏感数据的快照应进行加密存储，并设置快照恢复的审批流程。检查镜像来源记录，扫描镜像漏洞，验证快照加密及恢复审批流程。云计算环境网络架构软件定义网络（SDN）安全应利用SDN技术实现不同租户、不同等级业务之间的逻辑隔离；应具备检测和阻断虚拟机之间横向流量的能力（东西向流量防护）。检查SDN控制器配置，测试虚拟机之间的隔离效果及流量清洗能力。应急响应与灾备跨区域灾备与快速切换云服务商应提供跨地域的容灾备份服务；关键业务系统应具备自动化灾难恢复能力，RTO和RTO指标应满足业务连续性要求。模拟云平台故障，触发灾备切换流程，记录恢复时间。五、移动互联安全扩展要求移动互联安全扩展要求主要针对移动终端、移动应用和无线网络。2025版标准重点关注移动应用的全生命周期安全、移动终端管理（MDM）以及移动通信的安全。控制点要求项（2025更新）实施指南测评方法移动终端管理设备准入与应用管控应部署移动设备管理系统（MDM），对接入企业网络的移动设备进行注册登记；应能对设备进行远程锁定、擦除，并限制违规应用安装。注册测试移动设备，验证应用黑白名单功能及远程擦除指令。移动应用安全代码加固与安全检测移动应用发布前应进行代码混淆、加固处理，防止反编译和篡改；应用应具备防重打包、防调试、防Hook能力。对移动应用进行静态和动态安全检测，检查加固效果。无线网络防护强制认证与加密传输无线接入点（AP）应隐藏SSID或使用不暗示业务性质的名称；应采用WPA2-Enterprise或WPA3加密方式，并结合802.1X进行双向认证。使用无线嗅探工具抓包，验证加密强度，尝试暴力破解认证。六、工业控制系统安全扩展要求针对工控系统实时性高、可用性要求高的特点，2025版标准在保证业务连续性的前提下，强化了控制安全、网络架构安全和应用安全。控制点要求项（2025更新）实施指南测评方法控制设备安全固件完整性校验与指令验证工控控制器（PLC、DCS）应具备固件完整性校验功能；关键控制指令应进行认证和加密，防止指令被伪造或重放。检查控制器配置，尝试发送伪造指令，验证系统拒绝机制。工控网络架构生产网与管理网严格隔离工业生产网与管理网之间必须采用单向隔离技术（如工业网闸、数据二极管），禁止直接连接；关键工控协议（如Modbus、OPC）应进行深度解析。检查网络拓扑，测试从管理网到生产网的连接性，验证协议解析功能。应急处置紧急停机与手动备份在发生严重安全事件时，应具备紧急切断网络连接的手段；关键控制功能应保留手动操作能力，确保在系统瘫痪时可人工干预。检查紧急切断开关，验证手动操作回路的有效性。七、数据安全专项要求数据安全是2025版标准新增且最为核心的模块，贯穿于数据的采集、传输、存储、使用、共享、销毁等全生命周期。本部分要求与《数据安全法》紧密衔接。（一）数据分类分级组织机构应建立数据分类分级制度，按照数据的重要性和敏感程度进行定级。核心数据是指关系国家安全、国民经济运行等重要数据；重要数据是指关系公共利益、组织合法权益等数据；一般数据是指除核心数据、重要数据以外的其他数据。数据级别识别特征保护要求核心数据关系国家安全、经济运行，一旦泄露造成特别严重损害禁止出境，最高强度加密，严格访问控制，定期风险评估。重要数据关系公共利益、组织权益，一旦泄露造成严重损害严格限制出境，高强度加密，审计留存时间不少于6个月。一般数据其他数据基础防护措施，按需加密。（二）全生命周期安全控制阶段控制点要求项（2025更新）实施指南采集数据最小化与知情同意采集数据应遵循最小必要原则，不得过度收集；采集个人信息应获得用户明确授权。审查隐私政策，检查应用采集权限与业务功能的匹配度。传输传输加密与通道安全核心数据和重要数据传输应采用信道加密（如VPN、专线）或内容加密；应校验数据传输的完整性。检查网络配置，验证加密算法强度，测试完整性校验机制。存储存储加密与备份恢复核心数据和重要数据应采用国家认可的密码技术进行加密存储；应建立异地实时备份机制。检查数据库加密配置，验证备份数据的恢复能力。使用访问控制与脱敏展示应根据数据级别实施差异化的访问控制；在查询、导出、展示敏感数据时应进行动态脱敏。测试不同权限用户的数据访问范围，验证前端页面数据脱敏效果。共享共享审批与可追溯数据对外共享应经过安全管理部门审批；共享过程应记录日志，确保数据流向可追溯。检查共享审批流程记录，核查数据交换日志。销毁彻底清除与介质管理存储核心数据和重要数据的介质在废弃或转借前，应进行物理销毁或安全擦除，确保数据无法被恢复。检查介质销毁记录，尝试使用数据恢复工具扫描已销毁介质。八、安全管理要求技术是手段，管理是保障。2025版标准在安全管理层面，强调了安全策略的落地性、人员能力的专业性以及供应链的安全性。（一）安全管理制度应制定全面的安全管理制度体系，包括方针策略、管理制度、操作规程和记录表单。制度不应是纸上谈兵，必须定期评审和修订，确保与业务发展和安全形势相适应。2025版标准要求至少每年进行一次制度评审，当发生重大变更或安全事件时应及时修订。（二）安全管理机构与人员控制点要求项（2025更新）实施细节岗位设置设立安全主管、安全管理员、审计员等岗位应配备专职安全管理人员，关键岗位人员应签署保密协议并实行人员背景审查。关键岗位人员人员冗余与定期考核关键岗位应建立AB角机制，避免单点依赖；应定期对安全管理人员进行专业技能考核和培训。离岗管理终止权限与资产回收人员离职或转岗时，必须立即注销其所有系统访问权限，回收办公设备、数字证书等资产。（三）系统建设管理系统建设管理涵盖从需求分析、设计、采购、实施、测试到验收的全过程。2025版标准特别强调了安全开发流程（SDL）的引入，要求在软件开发阶段即植入安全基因，消除代码级漏洞。阶段安全要求需求分析应明确业务系统的安全保护等级，提出具体的安全需求（如合规性、机密性要求）。设计应进行安全架构设计，绘制安全拓扑图，制定详细的加密方案、认证方案和备份方案。采购采购的网络设备、安全产品、操作系统必须符合国家相关规定，关键产品应具备销售许可证。开发应遵循安全编码规范，进行代码安全审计，对软件进行安全加固和漏洞检测。测试投入运行前，必须进行第三方安全测试，包括渗透测试、漏洞扫描和配置核查。（四）系统运维管理运维管理是保障系统长期安全稳定运行的关键。2025版标准要求从被动运维转向自动化、智能化的安全运维。控制点要求项（2025更新）实施细节资产管理动态资产发现与台账