隨著數(shù)字化進程的加速，網(wǎng)絡(luò)安全已成為國家安全和社會穩(wěn)定的重要基石。公安部信息安全等級保護評估中心作為我國網(wǎng)絡(luò)安全等級保護制度的核心技術(shù)支撐機構(gòu)，其專家團隊對等級保護標準的解讀具有權(quán)威指導(dǎo)意義。本文將結(jié)合評估中心專家馬力關(guān)于網(wǎng)絡(luò)安全等級保護2.0（簡稱“等保2.0”）的介紹，重點解讀其在計算機軟硬件領(lǐng)域的主要標準要求與實踐意義。

一、 等保2.0的演進與核心框架

等保2.0是在《網(wǎng)絡(luò)安全法》正式實施背景下，對原信息安全等級保護制度的全面升級。其核心標準體系以《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）為核心，配套《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》（GB/T 22240-2020）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T 25070-2019）等系列標準。與1.0時代相比，等保2.0的防護對象從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)，擴展至云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)平臺等新型技術(shù)領(lǐng)域，實現(xiàn)了“全覆蓋”。其核心思想從“被動防護”轉(zhuǎn)向“主動防御、動態(tài)防護、整體防控”，強調(diào)一個中心（安全管理中心）下的三重防護（安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境）。

二、 針對計算機硬件的主要安全要求

在等保2.0框架下，計算機硬件作為“安全計算環(huán)境”和“安全通信網(wǎng)絡(luò)”的物理載體，其安全性是基礎(chǔ)。主要標準要求體現(xiàn)在：

1. 物理安全：要求對機房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備等關(guān)鍵硬件設(shè)施進行嚴格的物理訪問控制、防盜防破壞、電力保障、溫濕度控制等。高等級系統(tǒng)還要求具備硬件冗余和容錯能力。
2. 可信計算：等保2.0大力倡導(dǎo)并強化了可信計算技術(shù)的應(yīng)用。要求關(guān)鍵計算節(jié)點（如服務(wù)器）應(yīng)基于可信根（如TPM/TCM安全芯片）對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進行可信驗證，構(gòu)建從硬件到軟件的信任鏈，確保計算設(shè)備自身的安全性和行為可控性，有效防范固件層、引導(dǎo)層的惡意代碼攻擊。
3. 設(shè)備安全加固與冗余：對網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行最小化服務(wù)配置、關(guān)閉不必要的端口和服務(wù)。對于第三級及以上系統(tǒng)，關(guān)鍵網(wǎng)絡(luò)鏈路和設(shè)備通常要求采用硬件冗余部署，保證業(yè)務(wù)連續(xù)性。

三、 針對計算機軟件的核心安全要求

軟件是信息系統(tǒng)功能的直接體現(xiàn)，等保2.0對其安全提出了系統(tǒng)化、全生命周期的要求：

1. 身份鑒別與訪問控制：要求軟件系統(tǒng)（包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)）具備嚴格的身份標識與鑒別機制，防止身份冒用。必須依據(jù)“最小權(quán)限原則”實施精細化的訪問控制策略，確保用戶只能訪問其授權(quán)范圍內(nèi)的資源。
2. 安全審計：要求軟件系統(tǒng)能夠記錄并留存重要的用戶操作、系統(tǒng)異常、安全事件等日志，審計記錄應(yīng)受到保護避免篡改和丟失，為事后追溯和責任認定提供依據(jù)。高等級系統(tǒng)要求實現(xiàn)集中審計分析。
3. 入侵防范與惡意代碼防范：操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件應(yīng)能夠檢測到重要節(jié)點的入侵行為，并能記錄入侵源IP、攻擊類型、攻擊目標、攻擊時間等。必須在主機層面（服務(wù)器、終端）部署有效的惡意代碼防范軟件，并保持特征庫及時更新。
4. 軟件容錯與資源控制：軟件系統(tǒng)應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口或通信接口輸入的數(shù)據(jù)符合設(shè)定要求。對于高等級系統(tǒng)，要求具備自動保護功能，在故障發(fā)生時能自動切換到備用組件。應(yīng)對單個用戶的多重并發(fā)會話、應(yīng)用資源占用等進行限制，防止資源耗盡。
5. 數(shù)據(jù)安全與備份恢復(fù)：這是等保2.0的重點強化領(lǐng)域。要求軟件在數(shù)據(jù)的采集、傳輸、存儲、處理、銷毀等全生命周期實施安全保護，包括數(shù)據(jù)的完整性、保密性保障。必須定期對重要數(shù)據(jù)和軟件系統(tǒng)進行備份，并確保在災(zāi)難發(fā)生時能及時、完整地恢復(fù)。
6. 安全開發(fā)與供應(yīng)鏈安全：等保2.0間接對軟件的開發(fā)過程提出了要求。鼓勵在軟件設(shè)計階段就融入安全考慮，對采購的第三方軟件組件進行安全檢測，防范供應(yīng)鏈安全風險。

四、 等保2.0對計算機軟硬件安全的融合性要求

馬力專家指出，等保2.0并非將硬件與軟件安全要求割裂，而是強調(diào)其協(xié)同與融合：

• 信任鏈構(gòu)建：從硬件可信根出發(fā)，逐級驗證引導(dǎo)軟件、操作系統(tǒng)、應(yīng)用軟件，實現(xiàn)軟硬件一體的主動免疫。
• 一體化防護：硬件提供的安全能力（如加密模塊、可信芯片）需要上層軟件（操作系統(tǒng)、安全應(yīng)用）的有效調(diào)用和管理，才能形成完整的防護能力。
• 統(tǒng)一管理：通過“安全管理中心”，實現(xiàn)對網(wǎng)絡(luò)中各類軟硬件安全策略的統(tǒng)一配置、安全狀態(tài)的統(tǒng)一監(jiān)控、安全事件的統(tǒng)一分析和處置。

五、 與展望

公安部信息安全等級保護評估中心專家馬力對等保2.0標準的解讀，清晰地指明了在新時代網(wǎng)絡(luò)安全形勢下，計算機軟硬件安全建設(shè)的方向。等保2.0標準體系為各單位構(gòu)建“實戰(zhàn)化、體系化、常態(tài)化”的網(wǎng)絡(luò)安全綜合防護體系提供了明確、可操作的技術(shù)藍圖。落實等保2.0，要求我們必須轉(zhuǎn)變觀念，從單純購買安全產(chǎn)品，轉(zhuǎn)向構(gòu)建深度融合軟硬件技術(shù)、管理與技術(shù)的系統(tǒng)性安全工程，從而真正筑牢國家網(wǎng)絡(luò)空間的堅強防線。對于計算機軟硬件的研發(fā)、采購、部署和運維各方而言，深入理解并踐行這些標準要求，不僅是合規(guī)所需，更是保障業(yè)務(wù)安全穩(wěn)定運行的核心競爭力所在。