什么是 GB/T 12778-2025?
标准全称与定位
(图片来源网络,侵删)
- 全称: 《信息技术 安全技术 网络安全等级保护基本要求》
- 简称: “等保2.0”的核心标准之一。
- 定位: 这是国家强制性标准(GB)的推荐性技术文件(T),规定了不同安全保护等级的信息系统应满足的基本安全要求,它是所有信息系统运营、使用单位必须遵守的“安全底线”。
与等保1.0的区别
- 对象扩展: 从传统的信息系统扩展到了云计算、大数据、物联网、移动互联、工业控制系统、区块链等所有新技术、新应用领域。
- 结构变化: 从传统的“一个标准”变为“一个基本要求 + 两个扩展要求”的框架。
- 基本要求: 通用要求,适用于所有系统。
- 扩展要求: 针对特定场景(如云计算、移动互联)的补充要求。
- 理念升级: 强调“主动防御、动态防御、纵深防御、精准防护”,从被动防御转向主动防御。
GB/T 12778-2025 的核心内容
标准的核心是为信息系统划分了五个安全保护等级,并为每个等级规定了相应的安全要求。
安全保护等级划分
| 等级 | 定义 | 典型场景 |
|---|---|---|
| 第一级 (S1) | 用户自主保护级 | 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成轻微损害。 |
| 第二级 (S2) | 系统审计保护级 | 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害。 |
| 第三级 (S3) | 安全标记保护级 | 信息系统受到破坏后,会对社会秩序和公共利益造成损害,或者对国家安全造成危害。 |
| 第四级 (S4) | 结构化保护级 | 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成严重危害。 |
| 第五级 (S5) | 访问验证保护级 | 信息系统受到破坏后,会对国家安全造成特别严重危害。 |
注: 90%以上的企业和政府机构需要满足的是第二级或第三级的要求。
安全要求框架(以三级为例)
标准将安全要求分为三大管理域和八大技术要求,构成了一个完整的防护体系。
(图片来源网络,侵删)
| 安全要求类别 | 控制点 | 简介 |
|---|---|---|
| 技术要求 | 安全物理环境 | 机房安全、设备物理安全、介质安全。 |
| 安全通信网络 | 网络架构、通信传输、边界防护。 | |
| 安全区域边界 | 边界防护、访问控制、入侵防范。 | |
| 安全计算环境 | 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性/保密性/备份恢复。 | |
| 安全管理中心 | 集中管控、安全管理、分析审计。 | |
| 安全管理制度 | 制定、发布、评审。 | |
| 安全管理机构 | 岗位设置、人员配备、授权审批。 | |
| 安全管理人员 | 人员录用、离岗、安全意识培训、外部人员访问管理。 | |
| 安全建设管理 | 定级备案、方案设计、产品采购、自行开发/外包服务、工程实施、测试验收、系统交付、等级测评。 | |
| 安全运维管理 | 环境管理、资产管理、介质管理、设备维护、漏洞和风险管理、网络安全、恶意代码防范、配置管理、密码管理、变更管理、备份与恢复、安全事件处置、应急预案管理、外包运维管理。 |
简单理解:
- 技术要求: 负责构建“城墙、城门、守卫、仓库、情报中心”(网络、主机、数据、中心)。
- 管理要求: 负责制定“法律、军队、官员、士兵、后勤”(制度、人员、流程)。
如何使用 GB/T 12778-2025 技术资料?
这份标准是技术实施的“圣经”和“标尺”,使用路径通常如下:
定级与备案
- 确定系统: 明确需要进行等级保护的信息系统范围。
- 自主定级: 根据系统在国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益中的重要程度,初步确定安全保护等级(通常是S2或S3)。
- 专家评审: 对于定级为三级及以上的系统,需要组织专家进行评审。
- 公安机关备案: 将定级报告和备案材料提交至所在地的市级以上公安机关网络安全保卫部门备案。这是合规的起点。
差距分析
- 组建团队: 成立项目组,成员应包括IT、安全、管理等部门的负责人。
- 逐条对标: 对照 GB/T 12778-2025 标准中对应等级的要求(例如三级),逐条检查当前系统在技术和管理方面的现状。
- 记录差距: 将每一条要求与现状进行对比,记录下“已满足”和“未满足”项,并详细描述未满足的具体情况,这份差距分析报告是后续整改的依据。
安全建设与整改
根据差距分析报告,制定详细的整改方案并实施。
- 技术整改:
- 缺失设备: 购买和部署防火墙、WAF(Web应用防火墙)、IDS/IPS(入侵检测/防御系统)、日志审计系统、数据库审计系统、堡垒机、防病毒软件等。
- 配置优化: 对现有设备进行安全策略配置,如访问控制列表、VLAN划分、安全审计规则等。
- 系统加固: 对操作系统、数据库、中间件进行安全基线加固。
- 数据保护: 实施数据加密、脱敏、备份恢复策略。
- 管理整改:
- 制度建设: 制定或修订《网络安全管理制度》、《应急预案》、《人员安全管理制度》等。
- 团队建设: 成立安全领导小组,明确安全岗位和职责。
- 人员培训: 对全体员工进行网络安全意识培训,对技术人员进行专业技能培训。
- 流程建立: 建立和完善变更管理、事件响应、漏洞管理等运维流程。
等级测评
- 选择测评机构: 从国家认可的等级测评机构名录中选择一家进行测评。
- 现场测评: 测评机构会派专家到现场,通过访谈、文档核查、技术测试等方式,验证系统是否满足 GB/T 12778-2025 的要求。
- 出具报告: 测评结束后,机构会出具《等级测评报告》,报告会包含“符合”、“部分符合”、“不符合”的结论。
- 整改复测: 如果存在“不符合”项,需要根据报告进行整改,并申请复测,直到所有项都“符合”为止。
监督检查
- 系统通过测评后,需将测评报告提交公安机关备案。
- 公安机关会定期或不定期地对已备案的系统进行监督检查,确保其持续符合安全要求。
相关配套技术资料
要完整实施等保,还需要参考以下相关标准,它们共同构成了等保标准体系:
-
GB/T 22240-2025《信息安全技术 网络安全等级保护定级指南》
- 作用: 指导如何准确地为信息系统进行安全保护等级划分,是“定级”阶段的依据。
-
GB/T 28448-2025《信息安全技术 网络安全等级保护安全设计技术要求》
- 作用: 在系统设计阶段,如何将等保要求融入架构设计中,是“建设”阶段的指导。
-
GB/T 25070-2025《信息安全技术 网络安全等级保护安全通用要求》
- 作用: 这是与 GB/T 12778-2025 配套使用的标准,提供了更通用、更详细的技术和管理要求细节。
-
GB/T 22239-2025《信息安全技术 网络安全等级保护基本要求》
- 注意: 这是“等保1.0”的核心标准,已被 GB/T 12778-2025 所替代,在查阅资料时务必注意版本,使用最新的2025版。
GB/T 12778-2025 是中国网络安全合规的基石,对于任何组织而言,使用这份技术资料的过程,就是系统化、规范化地提升自身网络安全防护能力的过程,它不仅仅是为了满足监管要求,更是通过“以评促建、以评促改、以评促管”,从根本上提升组织的抗风险能力和业务连续性能力。
如果您需要实施等保,建议:
- 深入学习标准原文。
- 寻求专业的安全服务商或咨询机构的帮助,他们有丰富的经验和工具,可以大大提高效率和成功率。
