隨著數(shù)字化進(jìn)程的加速，網(wǎng)絡(luò)安全已成為國(guó)家安全和社會(huì)穩(wěn)定的重要基石。公安部信息安全等級(jí)保護(hù)評(píng)估中心作為我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的核心技術(shù)支撐機(jī)構(gòu)，其專家團(tuán)隊(duì)對(duì)等級(jí)保護(hù)標(biāo)準(zhǔn)的解讀具有權(quán)威指導(dǎo)意義。本文將結(jié)合評(píng)估中心專家馬力關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0（簡(jiǎn)稱“等保2.0”）的介紹，重點(diǎn)解讀其在計(jì)算機(jī)軟硬件領(lǐng)域的主要標(biāo)準(zhǔn)要求與實(shí)踐意義。

一、 等保2.0的演進(jìn)與核心框架

等保2.0是在《網(wǎng)絡(luò)安全法》正式實(shí)施背景下，對(duì)原信息安全等級(jí)保護(hù)制度的全面升級(jí)。其核心標(biāo)準(zhǔn)體系以《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）為核心，配套《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2020）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 25070-2019）等系列標(biāo)準(zhǔn)。與1.0時(shí)代相比，等保2.0的防護(hù)對(duì)象從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)，擴(kuò)展至云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)平臺(tái)等新型技術(shù)領(lǐng)域，實(shí)現(xiàn)了“全覆蓋”。其核心思想從“被動(dòng)防護(hù)”轉(zhuǎn)向“主動(dòng)防御、動(dòng)態(tài)防護(hù)、整體防控”，強(qiáng)調(diào)一個(gè)中心（安全管理中心）下的三重防護(hù)（安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境）。

二、 針對(duì)計(jì)算機(jī)硬件的主要安全要求

在等保2.0框架下，計(jì)算機(jī)硬件作為“安全計(jì)算環(huán)境”和“安全通信網(wǎng)絡(luò)”的物理載體，其安全性是基礎(chǔ)。主要標(biāo)準(zhǔn)要求體現(xiàn)在：

1. 物理安全：要求對(duì)機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備等關(guān)鍵硬件設(shè)施進(jìn)行嚴(yán)格的物理訪問(wèn)控制、防盜防破壞、電力保障、溫濕度控制等。高等級(jí)系統(tǒng)還要求具備硬件冗余和容錯(cuò)能力。
2. 可信計(jì)算：等保2.0大力倡導(dǎo)并強(qiáng)化了可信計(jì)算技術(shù)的應(yīng)用。要求關(guān)鍵計(jì)算節(jié)點(diǎn)（如服務(wù)器）應(yīng)基于可信根（如TPM/TCM安全芯片）對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，構(gòu)建從硬件到軟件的信任鏈，確保計(jì)算設(shè)備自身的安全性和行為可控性，有效防范固件層、引導(dǎo)層的惡意代碼攻擊。
3. 設(shè)備安全加固與冗余：對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行最小化服務(wù)配置、關(guān)閉不必要的端口和服務(wù)。對(duì)于第三級(jí)及以上系統(tǒng)，關(guān)鍵網(wǎng)絡(luò)鏈路和設(shè)備通常要求采用硬件冗余部署，保證業(yè)務(wù)連續(xù)性。

三、 針對(duì)計(jì)算機(jī)軟件的核心安全要求

軟件是信息系統(tǒng)功能的直接體現(xiàn)，等保2.0對(duì)其安全提出了系統(tǒng)化、全生命周期的要求：

1. 身份鑒別與訪問(wèn)控制：要求軟件系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)）具備嚴(yán)格的身份標(biāo)識(shí)與鑒別機(jī)制，防止身份冒用。必須依據(jù)“最小權(quán)限原則”實(shí)施精細(xì)化的訪問(wèn)控制策略，確保用戶只能訪問(wèn)其授權(quán)范圍內(nèi)的資源。
2. 安全審計(jì)：要求軟件系統(tǒng)能夠記錄并留存重要的用戶操作、系統(tǒng)異常、安全事件等日志，審計(jì)記錄應(yīng)受到保護(hù)避免篡改和丟失，為事后追溯和責(zé)任認(rèn)定提供依據(jù)。高等級(jí)系統(tǒng)要求實(shí)現(xiàn)集中審計(jì)分析。
3. 入侵防范與惡意代碼防范：操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件應(yīng)能夠檢測(cè)到重要節(jié)點(diǎn)的入侵行為，并能記錄入侵源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等。必須在主機(jī)層面（服務(wù)器、終端）部署有效的惡意代碼防范軟件，并保持特征庫(kù)及時(shí)更新。
4. 軟件容錯(cuò)與資源控制：軟件系統(tǒng)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口或通信接口輸入的數(shù)據(jù)符合設(shè)定要求。對(duì)于高等級(jí)系統(tǒng)，要求具備自動(dòng)保護(hù)功能，在故障發(fā)生時(shí)能自動(dòng)切換到備用組件。應(yīng)對(duì)單個(gè)用戶的多重并發(fā)會(huì)話、應(yīng)用資源占用等進(jìn)行限制，防止資源耗盡。
5. 數(shù)據(jù)安全與備份恢復(fù)：這是等保2.0的重點(diǎn)強(qiáng)化領(lǐng)域。要求軟件在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、銷毀等全生命周期實(shí)施安全保護(hù)，包括數(shù)據(jù)的完整性、保密性保障。必須定期對(duì)重要數(shù)據(jù)和軟件系統(tǒng)進(jìn)行備份，并確保在災(zāi)難發(fā)生時(shí)能及時(shí)、完整地恢復(fù)。
6. 安全開發(fā)與供應(yīng)鏈安全：等保2.0間接對(duì)軟件的開發(fā)過(guò)程提出了要求。鼓勵(lì)在軟件設(shè)計(jì)階段就融入安全考慮，對(duì)采購(gòu)的第三方軟件組件進(jìn)行安全檢測(cè)，防范供應(yīng)鏈安全風(fēng)險(xiǎn)。

四、 等保2.0對(duì)計(jì)算機(jī)軟硬件安全的融合性要求

馬力專家指出，等保2.0并非將硬件與軟件安全要求割裂，而是強(qiáng)調(diào)其協(xié)同與融合：

• 信任鏈構(gòu)建：從硬件可信根出發(fā)，逐級(jí)驗(yàn)證引導(dǎo)軟件、操作系統(tǒng)、應(yīng)用軟件，實(shí)現(xiàn)軟硬件一體的主動(dòng)免疫。
• 一體化防護(hù)：硬件提供的安全能力（如加密模塊、可信芯片）需要上層軟件（操作系統(tǒng)、安全應(yīng)用）的有效調(diào)用和管理，才能形成完整的防護(hù)能力。
• 統(tǒng)一管理：通過(guò)“安全管理中心”，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各類軟硬件安全策略的統(tǒng)一配置、安全狀態(tài)的統(tǒng)一監(jiān)控、安全事件的統(tǒng)一分析和處置。

五、 與展望

公安部信息安全等級(jí)保護(hù)評(píng)估中心專家馬力對(duì)等保2.0標(biāo)準(zhǔn)的解讀，清晰地指明了在新時(shí)代網(wǎng)絡(luò)安全形勢(shì)下，計(jì)算機(jī)軟硬件安全建設(shè)的方向。等保2.0標(biāo)準(zhǔn)體系為各單位構(gòu)建“實(shí)戰(zhàn)化、體系化、常態(tài)化”的網(wǎng)絡(luò)安全綜合防護(hù)體系提供了明確、可操作的技術(shù)藍(lán)圖。落實(shí)等保2.0，要求我們必須轉(zhuǎn)變觀念，從單純購(gòu)買安全產(chǎn)品，轉(zhuǎn)向構(gòu)建深度融合軟硬件技術(shù)、管理與技術(shù)的系統(tǒng)性安全工程，從而真正筑牢國(guó)家網(wǎng)絡(luò)空間的堅(jiān)強(qiáng)防線。對(duì)于計(jì)算機(jī)軟硬件的研發(fā)、采購(gòu)、部署和運(yùn)維各方而言，深入理解并踐行這些標(biāo)準(zhǔn)要求，不僅是合規(guī)所需，更是保障業(yè)務(wù)安全穩(wěn)定運(yùn)行的核心競(jìng)爭(zhēng)力所在。