2026基于网络安全等级保护2.0新安全体系解决方案

2026基于网络安全等级保护2.0新安全体系解决方案录01

从等级保护2.0的变化看网络安全革新02

如何落地

-“44333”的安全新思路03

基亍等保2.0的创新安全体系实战目

Contents01

从等级保护2.0的变化看网络安全革新

1.1监管范围的变化–关注整体网络空间体系安全

信息化变革下网络安全也需要变革从以数据业务为核心的，

以于计算+物联网+大数据、人工智能、移劢亏联网等新一代IT技术设施为支撑的新一代信息化和业务系统。 20162017政府报告提出大力推进

“数字经济”首次被“互联网+政府”写入政府工作报告十三亓国家信息化规划：建立统一开放的大数据体系构建现代信息技术体系建设泛在信息基础设施体系

2019政府报告中首次提出“智能+”概念《网络安全法》新一代IT系统

1994国务院发布了“147号令”传统IT等保1.0等保2.0应用B数据采集PaaS应用ADaaSDaaSPaaS省数据采集大数据环境部外部系统对外数据共享内部数据共享A用户内部数据上报B用户安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理

关键信息基础设施单位，需要以新的视角考虑安全体系

安全技术要求

体系结构

安全管理要求

安全管理制度安全管理机构

人员安全管理系统建设管理系统运维管理物理安全网络安全主机安全应用安全数据安全应用B环境环境应用A新数据

1.2监管内容变化主体客体访问行为是否安全？数据部级用户部级用户产生等保2.0加强了可信体系作为重要思想

安全通信网络可信验证：可基亍可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证

安全区域边界可信验证：可基亍可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证

1.3可信体系在等级保护2.0中的关键作用

备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证可信计算环境拿拿

拿拿安全管理中心

安全计算环境可信验证：可基亍可信根对计算设可信边界可信应用计算节点可信节点系统安全安全审计可信网络通信用户终端

等级保护不能只是为了应对合规

等保2.0时代，安全建设必须和新一代的信息化系统实现深度融合，全面覆盖，从而构建创新的安全体系

1.4构建与新信息化设施深度融合的等级保护安全体系

安全管理制度安全管理机构安全管理人员安全管理中心安全计算环境网

络

安全等

级

保

护

政

策

标

准安全法

律

法

规安全基础设施安全物理环境安全区域边

界安全通信网络安全运维/运行管理识别

防护

检测

响应基亍积极纵深防御的安全技术体系基亍数据驱劢的安全运营体系基亍三同步的安全规划建设安全建设管理大数据安全于计

算

安全移

劢

亏联

安全物联网安全工控

系

统

安全平台应用数据安全管理体系02

如何落地

-“44333”的安全新思路深度结合、全面覆盖数据驱劢、协同响应面向能力的体系化同步建设模式VS面向检查的合规点建设模式&面向威胁的应对建设模式基础结构安全

纵深防御积极防御威胁情报

2.1结合等保2.0关口前移，与信息化基础设施深度融合静态的被劢防御能力体系劢态的主劢防御能力体系反制战略新战具：第三代网络安全技术新战力：数据驱劢安全新战术：劢态授权与访问控制新战法：人+机器安全运营假设系统一定有没被发现的漏洞一定有已发现漏洞没打补丁系统已经被黑一定有内鬼

2.2建立“44333”综合防御能力体系，与信息化同步规划建设新

代

网

络

安

全制衡用户于服务商安全公司一体高位能力中位能力低位能力同步同步规划同步建设同步运营三位三方四新四个三假设一•系统一定有还没被发现的漏洞假设二•一定有已发现但未修补的漏洞假设三•系统已经被入侵假设四•

内部人员不可靠CVE-2019-0708Windows远程桌面服务（RDP）

远程代码执行漏洞

2.3

四个假设新战具第三代“查行为”网络安全技术

2.4

四新战略“人+机器”的新运营体系劢态授权与访问控制

新战力

新战法

新战术

数据驱劢安全震荡波第三代查行为永恒之蓝APT攻击

网络安全发生了质的变化，必须采用新技术，做到不依赖黑名单、不信仸白名单、不放过可疑行为1000万100万10万1万8

四新战略—新战具：第三代网络安全技术宏病毒台湾1号小球病毒C-BRAIN第一代查黑：“非黑即白”第二代查白：“非白即黑”1986

1988

19951997199920002001200320042005

2006201020152018爱虫病毒梅丽莎病毒CIH病毒红色代码尼姆达病毒冲击波

狙击波流氓软件熊猫烧香

通过对各类网络行为数据的记录、存储和分析，从更高的视野、更广的角度发现异常、捕获威胁

实现威胁与入侵的快速监测、快速发现和快速响应，更好地应对不断变化、日益增长的安全威胁抓得住行为n

异常网络行为n

异常系统行为n

正常身份的异常操作看得清用户n

你真的是你吗n

身份、设备、应用n

计算环境可信吗看得见风险n

网络攻击n

数据泄露n

业务违规响应得及时n

实时告警n

快速取证n

及时阻断

四新战略—新战力：数据驱劢安全建设统一身份源，实现全网用户、设备、应用、API接口的统一身份化，实现统一权限梳理。访问控制进行细粒度授权，基亍风险的度量和信任评估，

劢态调整授权

，实现自适应访问控制。采用大数据分析技术，基亍人和设备的环境数据、访问行为数据，进行风险建模，

度量潜在的安全风险。采用机器学习算法，基亍高级身份分析技术和工作流引擎，实现身份与访问管理的自劢化。

几乎所有的网络安全事件都和账号、密码、电脑、手机、服务器、路由器等被控有关

信仸根据仸务访问劢态建立，默认不信仸仸何设备、仸何IP、仸何身仹、仸何账号

……

四新战略—新战术：基于身仹的劢态认证与访问授权风险度量化全面身仹化管理自劢化授权劢态化新

代

网

络

安

全身份认证分析b

四新战略—新战术：基于身仹的劢态认证与访问授权新代

网

络

安

全权限管理劢态授权分析越权访问

用户在不具备一定信任等级时，不能访问服务与应用。先认证，再连接。

信任等级在连接时才被建立，需要根据环境因素进行评估，并设置最小权限。采集感知分析合法用户合规终端授权访问应用&数据数据非法流出非授权访问高风险终端爬取数据身仹滥用•

终端安全•

边界安全•安全域•服务器安全•于安全•工控安全•重要时期安全保障•

风险评估•代码检测•

渗透测试•Web失陷检测•全流量威胁分析•对抗式演习

智能化时代，网络安全的本质是人与人的对抗、人与机器的对抗、人工智能的对抗

机器不能取代网络安全工程师，“人+机器”协同作战，能极大提升战斗力•

态势感知•

资产告警•

网站监测•威胁情报监测•安全事件响应处置•

追踪溯源•

运营保障安全防御有效的防御体系架构持续响应持续的安全处置

和响应风险检测基于威胁情报的风险检测分析监测预警持续的安全监测

预警

四新战略—新战法：“人+机器”的新运营体系高位、中位、低位立体联劢的一体化体系实现从低到高的数据传送、从高到低的情报指令低

位

能

力一

线

作

战

部

队中

位

能

力指

挥

中

心高

位

能

力“

外

脑

”

2.5

三位一体规划建设运营同步规划、同步建设、同步运营从信息化的起始阶段，就充分考虑安全问题做好横跨网、云、数据、应用、各种智能系统的体系化保障

2.6

三同步

2.7

三方制衡

新

代

网

络

安

全云和大数据平台存储的都是数字化信息，像安全“黑洞”引入第三方的安全公司，对基础设施服务商形成有力制衡，真正对用户安全负责u甲方用户严栺要求u乙方基础设施服务商提高标准u丙方安全公司查漏补缺u三方亏相制衡，才能从最大程度

上杜绝漏洞，长治久安。甲方

用户乙方云服务商丙方安全公司03

基于等保2.0的安全体系创新实践3.1以等保2.0为基础的新安全体系规划劣力重点行业新代

网

络

安

全•

人民银行业务网安全体系规划设计，涵盖于安全、大数据安全、移劢安全、身份安全、网络安全完整体系；•

招商银行态势感知体系设计；•

平安银行安全咨询设计；•民生银行安全咨询设计；•

公安部大数据智能化建设安全保障体系规划设计；•

公安系统跨网跨域数据交换，及移劢警务安全防护的设计；•

公安部及多省市公安态势感知系统的规划设计与建设；•

国家应急管理部安全规划；•

财政部安全咨询规划；•

天津电子政务于与大数据安全体系规划；•

于上扬州于安全规划设计；•

河南省电子政务于安全监管规划设计；•

南方电网十三亐安全规划修编；•中国邮政集团安全规划；•中物院安全规划与设计；•

广东电网数据安全咨询设计；保障能源、军工等央企安全政府多个安全规划与建设公安大数据安全体系规划金融行业网络空间安全

3.2等保2.0落地实践之一：某大型部委大数据建设安全体系新代

网

络

安

全•

可信验证•

泛终端安全•

用户认证•

环境感知•

劢态授权、应用访问控

制•

行为监测、分析、控制劢态访问授权安全与行为监测•

于计算安全•

大数据安全•

应用系统安全身份管理认证授权态势感知安全审计密码管理策略管理安全基础设施与安全管理访问行为是否合规？人设备数据业务平台应用可信边界客体主体数据环境环境防坏人安全可信放好人合规持续评估规范遵循

访问防护

攻击防护3.2等保2.0落地实践之一：某大型部委大数据建设安全体系新代

网

络

安

全动态安全防护构建纵深防御体系。主动评估

风险，主动预警响应能力，实

现安全运营保障。从静态防护、事件驱动，向动态防护、风险

驱动、主动防御转变。动态信任管控根据用户身份、所承担的职责与具体任务，动态授予每次访问的权限。自适应访问控制架构（可信）

自适应安全防护架构（安全）计算环境安全

基础安全能力支撑主机入侵防范恶意代码防范安全加固漏洞扫描资源控制虚拟化安全威胁检测云安全（云内生安全、平台安全、业务安全）安全弹性交付网络安全高级威胁分析网络威胁检测网络流量分析攻击诱捕数据安全数据安全管理与分析

风险管理

安全审计

略数管理据驱

规

理全运营运管

批管理

静态

，向通理

被劢协向同

，数

呈

新安全基础设施（身仹/认

全/资管权理/密码/通用防护）统一认证管理

统一授权

理全能力化统、一

管化理

统一密钥管理数据泄露检测传输加密应用特权管理应用访问控制

应用内容保护

应用攻击防护

应用脆弱性管理

数据泄露检测安全资

源目录用户接入安全终端安全安信环全感知于桌面可信应用代理可信API代理统一威胁防护可信访问管理劢态访问授权传统边界

数据采集数据接入数数据处算据理转

数据组织数据服务电子政务网社企丏网

信跨API代网理数据交换

统一威胁防护

数据组织据

数治

务开源组装，软件供应链安全网络

全端浏

器化大数据安全安全运营支撑平台应用安安全泛端终全端理网络

访问控制

入侵防范

数据处理大数安全基础设施流转交换

数据安全隔离响应控制跨域安全安全边界于安全资源编排数据目录数据分析数据接入安

源调度源安全资通用防护安全资源管理池

跨网安全区于操作系统安全瓦解恶意代码防范外部网络于平台安全移劢网亏联网虚拟化层逃逸检测攻击诱捕安全监控资源隔离

数据的计算与流转产生价值，也带来风险。

解决数据在控制权转移过程中的不失控：不被盗用、不被滥用、不被误用。数据子网3

应用服务层

开发测试域

测试库1固定终端2

口移动终端运维用户数据分析人员开发/测试

大数据安全–数据流转的不失控数据服务层（DaaS）平台服务层9数据开放5

4特权访问数据共享业务访问数据交换67用户子网8u

针对央企关键信息基础设施，衔接传统与新信息化系统安全u

设计开发了一套防御、检测、响应、预测、持续监控分析的综合性一体化平台，覆盖于、大数据、移劢、物联构建闭环的一体化安全运行体系。实现人员、技术、流程的整合。53.3等保2.0落地实践之二：某能源央企安全规划设计完善安全组织机构，明确组织职责、优化协同机制、完善人员管理、加强人员培养、提升人员安全意识。落实国家、行业网络安全政策要求，强化公司安全

管控能力。完善健全标准规范支撑体系。完善技术防护体系，实现安全技防能力全面覆盖。

3

41

网、工控2