在信息化和数字化飞速发展的当下，网络安全的重要性愈发凸显。从《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）（以下简称“等保2.0”）到《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）（以下简称“关保”）的发展历程，见证了网络安全领域的一次次变革与升级。这一过程不仅反映了网络攻击手段的不断进化，也体现了国家和企业对安全需求的不断提升与转变。

早期的网络攻击多以企业为目标，意图窃取商业秘密或破坏企业正常运营。这些攻击手段相对简单，规模较小，影响范围也主要局限于被攻击的个别企业。然而，随着互联网的普及和技术的进步，网络攻击的目标逐渐从单纯的企业扩展到更加关键的国家基础设施，攻击手段也愈加复杂和隐蔽。由此，网络攻击的危害从单一企业的经济损失，升级为对国家安全和社会稳定的威胁，网络安全的战略地位被前所未有地提升。

在这种背景下，企业的安全建设需求也发生了深刻的变化。从最初单纯为了满足合规要求，企业逐渐认识到，仅仅依靠基础防护能力不足以应对日益复杂的网络威胁。合规是基础，提升防护能力是关键，但更为重要的是具备实战化的安全防御能力。企业必须从被动防御转向主动预防，从单一技术手段转向综合安全策略，从单点防护转向整体安全体系建设，才能在面对复杂多变的网络攻击时立于不败之地。

这场从“等保2.0”到“关保”的升级之旅，不仅是技术层面的进步，更是理念和策略的全面提升。企业在追求合规和基础防护的同时，也在不断增强自身的安全实战能力，以更好地保护自身和国家的网络安全。

在网络安全领域，“等保2.0”和“关保”代表了不同阶段和层次的安全防护要求。随着从“等保2.0”到“关保”的升级，企业和机构在安全防护建设上的要求和重点发生了显著的变化。本文以“等保2.0（三级）”建设为例，系统分析从“等保”到“关保”的安全防护建设要求中，包含的具体区别和明显变化，分析如下：

“等保2.0”

保护对象：主要面向一般信息系统，包括企业内部的各种IT系统和数据。

保护范围：侧重于信息系统本身的安全性，防护范围相对较窄。

“关保”

保护对象：专注于关键信息基础设施（Critical Information Infrastructure，CII），如能源、电力、交通、金融等重要领域的系统。

保护范围：涵盖更广泛的国家关键基础设施，影响面更大，涉及国家安全和社会稳定。

“等保2.0”

风险等级：根据信息系统的重要性和敏感性分为五个等级，从低到高逐级递增。

防护要求：随着等级的提高，防护措施逐步增强，但总体上仍以企业自我防护为主。

“关保”

风险等级：重点保护的都是高风险目标，防护要求更为严格。

防护要求：强调更高层次的安全防护，要求防护措施必须达到甚至超越最高等级的信息系统保护标准。

“等保2.0”

技术措施：主要包括身份认证、访问控制、入侵防护、数据加密等常规安全技术。

管理机制：重视安全管理制度的建立与执行，包括安全策略、应急响应和日常安全管理。

“关保”

技术措施：不仅涵盖“等保2.0”的技术手段，还需引入更多高级安全技术，如行为分析、威胁情报、自动化响应、态势感知等。

管理机制：更加强调全面的安全管理体系建设，包括跨部门协同、定期安全审计、严格的应急预案和演练机制。

“等保2.0”

合规要求：主要依据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》和《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）等相关法规进行自查和定期评估。

审查机制：合规审查相对简单，通常由企业内部或第三方机构进行。

“关保”

合规要求：依照《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》和《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）等相关法规，需要满足更高层次的法律和政策要求。

审查机制：审查更加严格，通常由政府部门或授权机构进行定期评估和审查，合规性要求更高。

“等保2.0”

建设重点：满足基本合规要求，提升信息系统的基础防护能力。

关注点：以防护为主，关注信息系统的整体安全性。

“关保”

建设重点：全面提升实战化的安全防御能力，保护国家关键基础设施的安全。

关注点：从防护扩展到主动防御和攻击检测，强调快速响应和恢复能力，确保关键基础设施在遭受攻击时的持续运行和安全。

从“等保2.0”到“关保”的升级，标志着网络安全建设从基础防护向更高层次的综合防御体系过渡。“等保2.0”阶段重在建立基本的安全防护能力，满足合规要求，而“关保”阶段则强调保护国家关键基础设施，要求更高的防护标准、更先进的技术手段和更严格的管理机制。这一升级反映了网络安全威胁的演变和加剧，也体现了国家和企业在安全防护方面的战略转变和能力提升。

“等保2.0”强“合规”，“关保”重“实战”，“关保”基于“等保2.0”而不是代替“等保2.0”“等保2.0”为所有信息系统提供了一个基础的安全保护框架，而“关保”则针对特定的、对国家安全和社会稳定具有重要影响的信息系统提供了更加严格和细致的保护措施。两者共同构成了我国网络安全防护体系的重要组成部分。如图1所示

图1 威努特“关保”解决方案总览

纵深防御战略框架全面解决了安全架构问题。纵深防御是一种多层次的安全方法，通过识别操作、网络和主机平台上的漏洞来实现。该策略提供涵盖整个 ICS 架构的安全保障。包括管理控制，例如安全政策和程序、审计和漏洞评估、项目管理等。定义包括人员、配置和维护实践、应急计划和操作控制政策等。组织中的所有用户都必须接受系统安全意识和程序方面的培训。预先确定事件应急响应计划，以确保在网络攻击事件中快速响应并最大限度地减少损失。

基于“等保2.0”“一个中心，三重防护”的要求，将从以下四个安全技术方面进行网络安全建设。如图2所示

图2 威努特“等保2.0”合规要求涉及产品

安全管理中心的描述强调建立全面的安全管理体系，包括制定和执行网络安全管理制度、策略和操作规程，确保各级人员具备相应的安全知识和技能。实施用户身份鉴别、访问控制、安全审计、监控和漏洞管理，确保系统和设备的安全配置和正常运行。制定应急预案和响应流程，进行安全风险评估和管理，并通过安全培训增强全员安全意识。利用安全管理工具和技术手段，提升安全管理的智能化和自动化水平，从而确保网络和信息系统的安全性、可用性和完整性。

安全管理中心技术措施主要考虑如下方面的内容：使用安全管理工具建立统一的安全管理平台。

安全计算环境是对系统的信息进行存储、处理及实施安全策略的重要组件，安全计算环境包括各类计算服务资源和操作系统层面的安全风险。计算环境作为业务数据和信息的主要载体，这些业务数据和信息是信息资产的重要组成；另一方面，其是系统各项支撑业务的起点和终点，病毒、木马等安全威胁也容易通过网络渗透到后台各种业务应用和服务主机中，从而对系统的整体安全带来危害。

计算环境面临的安全风险主要有多方面，对系统的不安全使用、配置和管理、未进行有效的入侵防范、没有进行安全审计和资源控制，这导致业务系统存在被黑客入侵或爆发高级安全威胁的可能。安全计算环境技术措施主要考虑如下方面的内容：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。

区域边界安全是对计算环境边界，以及计算环境与通信网络之间实现连接并实施安全策略的重要组成部分。区域边界安全防护是实现各安全域边界隔离和计算环境之间安全保障的重要手段，是实现纵深防御的重要防护措施。通过边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证，实现保护环境的区域边界安全。

安全区域边界技术措施要考虑如下方面的内容：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。

安全通信网络是在安全计算环境之间进行信息传输及实施安全策略的重要组件，是重要的基础设施，也是保证数据安全传输和业务可靠运行的关键，更是实现数据内部纵向交互、横向传输。

安全通信网络技术措施要考虑如下方面的内容：网络隔离、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。的重要保证。

物理环境安全是对信息系统物理设施、设备及其运行环境进行保护的重要组成部分。物理环境安全防护是确保信息系统物理安全及其运行环境可靠的重要手段，是实现纵深防御的重要防护措施。通过物理位置选择、物理访问控制、防盗与防破坏措施、环境控制、电力供应保障、设备和介质管理、灾备措施，实现保护信息系统的物理环境安全。

安全物理环境技术措施要考虑如下方面的内容：物理位置选择、物理访问控制、防盗与防破坏措施、环境控制、电力供应保障、设备和介质管理、灾备措施等。

为打造基于“平战一体化”安全防护技术体系，同时做到“平时”安全技术、安全管理和安全运营进行业务化融合，通过常态化工作实现基础资源可信数据化，“战时”完善“监测-响应-预测-防御”体系，实现安全对抗智能化，在实战化场景实现智慧化决策。

基于“关保”“平战一体化”的要求，将从分析识别到事件处置六个方面的安全闭环，如图3所示

图3 威努特“关保”增强要求涉及产品

业务识别是“关保”首要步骤，它涉及对组织内部各项业务活动的深入了解和分析。在这一阶段，需要明确每个业务的目标、流程、参与者以及所使用的技术。

资产识别是“关保”的关键环节，它涉及对组织内部所有资产的全面梳理和分类。资产识别的主要目的是确定哪些资产对组织的业务运行至关重要，以及这些资产可能面临的安全风险。

风险识别是“关保”的核心环节，它涉及对组织可能面临的各种安全风险的全面识别和评估。风险识别的主要目的是发现潜在的安全威胁和漏洞，并制定相应的应对措施。

重大变更识别是“关保”的重要环节，它涉及对组织内部可能发生的重大变更的预测和评估。重大变更可能包括技术升级、业务调整、组织架构变动等，这些变更可能会对组织的安全环境产生重大影响。

在“关保”的安全防护方面，做好“等保2.0”是至关重要的基础。“等保2.0”不仅为信息系统提供系统性、全方位的安全防护框架，还帮助识别和评估潜在风险，制定有效的防护措施。通过落实“等保2.0”要求，可以确保关键基础设施具备稳固的安全基础，从而有效抵御各类网络威胁和攻击，保障系统的稳定运行和数据的安全。

供应链安全保护是确保整个供应链条上各个环节的安全性和完整性的重要措施。随着外部供应商和服务提供商的日益依赖，供应链中的任何薄弱环节都可能成为攻击者入侵的跳板。

数据安全保护是“关保”的核心内容之一。随着数据量的不断增长和数据的价值日益凸显，保护数据的机密性、完整性和可用性变得尤为重要。

安全防护技术措施主要考虑如下方面的内容：供应链安全保护、数据安全保护等方面。

在网络安全领域，检测评估是确保组织安全状态得到持续优化和升级的关键环节。这一过程涵盖了合规评估、实战评估以及变更梳理等多个方面，旨在全面、系统地识别和解决潜在的安全风险。

合规评估是检测评估的首要步骤，它涉及对组织当前安全状态与行业标准、法律法规要求的对比分析。通过审查组织的安全政策、操作流程、技术配置等，确保组织在数据保护、隐私政策、网络安全等方面符合相关法规和标准的要求。

实战评估是检测评估的核心环节，它通过模拟真实的网络攻击场景，对组织的安全防御体系进行全面的测试。实战评估采用多种攻击技术和手段，如渗透测试、漏洞扫描、社会工程学等，以发现组织在网络安全方面存在的漏洞和弱点。通过实战评估，组织能够深入了解自身安全防御体系的真实状况，及时发现并修复潜在的安全风险。

变更梳理是检测评估的重要补充，它涉及对组织近期发生的安全相关变更进行梳理和分析。这些变更可能包括系统升级、软件更新、网络结构调整等，都可能对组织的安全状态产生影响。通过变更梳理，组织能够全面了解这些变更对安全状态的影响，及时发现并解决由变更引入的安全隐患。同时，变更梳理还有助于组织建立安全变更管理流程，确保未来的安全变更能够得到有效地控制和管理。

检测评估技术措施主要考虑如下方面的内容：合规检测、实战评估、变更梳理。

持续不断地对来自外部和内部的潜在威胁进行监测。通过先进的蜜罐诱捕系统和网络行为分析技术，能够迅速识别出任何异常的网络流量、恶意软件活动或潜在的数据泄露。

除了实时的威胁监测，还重视情报的收集和分析。关注全球范围内的网络安全动态，收集并分析最新的威胁情报、漏洞信息和黑客攻击模式。提供了对潜在威胁的深入洞察，能够提前做好准备，预防潜在的攻击。

基于威胁监测和情报监测的结果，我生成准确的风险预警。当发现潜在的安全风险或威胁时，系统会立即触发预警机制，向安全团队发送警报，并提供详细的风险信息和建议的应对措施。

监测预警技术措施主要考虑如下方面的内容：威胁监测、情报监测、风险预警。

暴露面核查与攻击发现：依据《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022）、《工业控制网络安全风险评估规范》（GB/T 26333-2010）、《工业控制系统信息安全防护指南》等相关规范开展资产识别及暴露面核查活动，资产范围应涉及到的服务器、操作系统、应用软件、数据库、网络设备、安全设备、客户端等信息，具体包括但不限于工业主机、工业服务器、操作系统、可编程逻辑控制器（PLC）、数据采集与监控系统（SCADA）等工业生产控制系统。同时通过人工识别、自动化识别等方式开展漏洞、木马等扫描等脆弱性识别工作。

威胁情报与攻防演练：通过威胁检测等主动防御产品，基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联，还原攻击事件，及时告警，在重大安保活动期间，协助安保作战指挥，有效组织并充分利用当地专家、安全厂商、运营商以及相关团体，以加强本地的安全支持。在发生安全事件时，应急组通过专用平台进行及时通报和预警，专家组迅速确认信息，并进行深入分析和决策。指挥技术组在确认指令后，立即展开现场分析、取证和处置工作，同时协调相关单位，以确保及时消除影响并保障系统的正常运行。

主动防御技术措施主要考虑如下方面的内容：暴露面核查与攻击发现、威胁情报与攻防演练。

建立应急响应机构和制定应急响应预案是至关重要的网络安全措施。通过建立专家和厂商资源库，并定期演练预案，可在紧急事件发生时做到规范化操作，迅速恢复应用和数据，尽量减少损失。紧急事件包括硬件和软件受攻击、自然灾害等情况。应急计划要求清晰、可操作，包括多种备用方案、明确的责任人和培训演习计划。资源备用方面应考虑软、硬件、电源备用，并制定恢复过程计划。应急计划关键信息应张贴在显著位置，包括火警电话、报警电话、应急负责人联系方式。

事件处置技术措施主要考虑如下方面的内容：应急预案和演练、响应与处置。

1. 为满足对访问控制、边界完整性检查、恶意代码防范等基本安全要求，通过部署工业防火墙来实现隔离与访问控制，防火墙能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口（对应请求的服务类型）等信息执行访问控制规则，允许系统和其他互联系统正常业务数据穿过该平台，禁止其他应用的连接请求，以保障系统的安全性。

2. 安装主机防护软件，例如威努特工控主机卫士，该产品可以监控分析应用程序和人工操作的行为特征，生成白名单，阻止恶意程序和操作的执行。通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制，结合文件和服务的完整性检测、防缓冲区溢出等功能，将普通操作系统透明提升为安全操作系统；产品具有用户身份鉴别、访问权限控制、外设控制、完整性校验、日志审计等功能，采用集中式管理，满足等级保护和分级保护标准中关于安全计算环境的相关技术要求。

3. 进行移动介质管控，可以采用移动存储介质病毒查杀的专用设备，存储介质经安检站查杀后自动生成病毒查杀标记，对病毒查杀标记进行验证，无杀毒标记的介质将被阻止读取，以此保证工业生产网络免受病毒及恶意代码程序的侵扰。

4. 进行网络全局的态势感知与安全设备的统一管理，例如威努特态势分析与安全运营管理平台，通过采集网络中多种设备的安全日志，将资产、漏洞、不合规项、运行状态、安全威胁等各类数据进行多维关联分析，综合判定系统安全风险，快速宏观地了解企业的整体安全态势。

5. 建立统一安全管理平台，是有效帮助管理人员实施好安全措施的重要保障。通过统一安全管理平台的建设，真正实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。

6. 及时地进行数据备份，采用专用设备，例如威努特数据备份与恢复系统，采集网络中多种设备的安全日志，将资产、漏洞、不合规项、运行状态、安全威胁等各类数据进行多维关联分析，综合判定系统安全风险，帮助客户快速宏观地了解企业的整体安全态势。系统提供7个展示大屏，包括综合安全态势、资产态势、运行态势、脆弱性态势、网络攻击态势、横向威胁态势、日志告警趋势等，从多个维度展示网络安全态势。

7. 对APT攻击进行有效防御，采用专用设备，基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联，还原攻击事件，及时告警，溯源威胁，对检测及防御APT攻击起到关键作用。

基于无线网络通信的CBTC系统（基于通信的列车控制系统）在可用性、可靠性等方面均能满足当前城市轨道交通安全高效运营的需要，是实现轨道交通高安全、高速度和高密度的最佳技术之一。但随着计算机和网络技术的发展，特别是信息化与信号系统深度融合，CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与信号系统网络、乘客信息系统、语音广播等网络连接，容易造成病毒、木马等威胁向CBTC系统扩散，信号系统安全问题日益突出。城市轨道交通系统每天承载上千万人的出行，CBTC系统一旦出现网络安全事故，将对城市轨道交通的生产运行和国家安全造成重大影响。为此国家政府和各级管理单位高度重视城市轨道交通网络安全问题，相继出台一系列的网络安全管理和保障政策。

2017年7月，国家互联网信息办公室发布《关键信息基础设施安全保护条例（征求意见稿）》。2021年4月27日国务院第133次常务会议通过《关键信息基础设施安全保护条例》，自2021年9月1日已经正式施行。条例明确将交通行业列入“关保”范围，为轨道交通关键信息基础设施安全保护工作提供技术支撑。

地铁信号系统作为城市轨道交通的核心技术保障，其安全稳定运行对于城市的交通秩序和公共安全至关重要。鉴于现代地铁信号系统与信息化技术的深度融合，信号系统的网络安全已成为城市轨道交通安全运营的重要组成部分。为确保地铁信号系统的安全可靠，必须严格落实关键信息基础设施安全保护工作。这不仅是应对日益复杂的网络安全威胁的必要举措，更是保障城市轨道交通高效、稳定运行的重要前提。通过系统规划、设计、实施及运维各个环节的全方位安全管理和技术防护措施，才能有效抵御潜在的安全风险，确保地铁信号系统的安全性和持续运营，为广大市民提供安全可靠的出行服务。

为提升信号系统整体安全防护能力，切实满足行业合规建设要求，同时结合目前的技术发展趋势，威努特提出以全生命周期工业控制系统安全防护体系的整体安全解决方案。

图4 总体安全防护方案设计示意图

首先按照业务功能及重要性针对地铁信号系统进行分区分域，通过技术手段实现安全区域边界的“白环境”，实现访问控制白名单固化、工业协议白名单固化、业务白名单固化。其次,针对终端工作站的特殊性,建立工控主机安全计算环境“白名单”，实现应用锁定、系统锁定、外设锁定、网络锁定，协同统一安全管理平台建立工控主机的安全管理中心、安全状态监测中心。再次，实时监测生产系统内关键网络节点的业务流量，建立安全通信网络“白环境”，实现工控网络异常流量监测、异常行为监测。

在控制中心建设安全管理中心，实现工业资产的主动发现漏洞的无损探测、网络攻击检测、安全运维、日志审计分析、数据库高危操作审计等能力。采用统一安全管理平台实现全信号系统工控网络安全产品的统一策略下发，提高运维效率，降低维护成本，构建“一个中心、三重防护”的纵深防御体系。

以上是基于“等保2.0”的要求对信号系统做的安全建设，面对“基于等保，高于等保”的“关保”，还需增加哪些技术措施呢？

首先，是对于态势感知系统的建设，这一系统通过全面整合和分析来自网络设备、主机、应用程序和其他安全设备的数据，实现了对整个网络环境的实时监控和安全态势感知。态势感知系统的引入不仅增强了安全防护能力，还提供了以下优势：

• 全面数据收集与整合

态势感知系统自动收集和整合来自防火墙、入侵检测、日志审计等各种安全设备的数据，形成全局网络安全视图，了解网络每个角落的安全状况。

• 实时监控与预警

系统实时监控网络流量和行为，自动识别和分析异常行为、潜在威胁和攻击模式，并即时发出警报，确保在安全事件恶化前及时响应和处理，减少影响。

• 支撑日常安全运维

平台统一管理企业工控网络中的各类资产，实时监视其运行、健康和安全状态，并以图形化形式展示。支持工单管理和值班管理，通过自动化手段简化日常运维，减轻工作量，提高效率。

• 攻击分析及追踪溯源

平台通过分析海量历史数据，回溯攻击过程，追查攻击路径和时间轴，实现对攻击事件的溯源分析，发现防护薄弱环节，采取补救措施，避免同类事件再发生。

其次，为了满足“关保”的要求，还需要在现有“等保2.0”防护基础上，进一步增强主动防御能力。可以使用高级威胁监测系统来对主动防御能力进行增强，从而达到“关保”的标准。该系统通过高级威胁情报、行为分析等技术，能够实时检测和识别复杂的网络攻击和潜在威胁，同时做到文件还原、溯源取证等功能。高级威胁监测系统不仅可以有效防御高级持续性威胁（APT），确保关键业务系统的安全与稳定运行，还提供了以下优势：

• 实时威胁检测

可以快速并精准发现网络威胁攻击，准确率高，误报率低，具备检测已知威胁、威胁变种、未知威胁的全流程检测能力。

• 高精度的威胁识别

通过分析网络和用户行为，该系统能够检测到隐藏在正常活动中的异常行为和恶意活动。同时集成全球威胁情报，提供最新的威胁情报数据，提高检测的准确性和响应的及时性。

• 自动化响应

一旦检测到威胁，基于威胁情报的上下文，该系统可以帮助安全运营人员发现、研判和处置重大安全事件，如永恒之蓝、APT事件等，减少人工干预和响应时间。

• 深度分析和溯源

系统通过还原和存储网络流量的元数据，可以帮助用户回溯已经发生的网络攻击行为，分析攻击路径、受感染面和信息泄露状况。

同时，“关保”还对数据防护进一步要求。对于这一要求，可以使用数据库审计系统和数据库防火墙来对数据防护能力进行增强，从而达到“关保”的标准。两者的结合不仅能全面保护数据安全，还能实现实时监控和快速响应，提升合规性和风险管理水平，同时促进协同防御，为CBTC系统的数据安全提供全方位保障，还提供了以下优势：

• 全方位审计

帮助企业记录、分析、追查数据库安全事件，通过数据库审计风险告警，追踪危险事件和不安全操作；提供数据库实时风险告警能力，及时响应数据库攻击。

• 应对外部攻击威胁

通过内置基于CVE的SQL注入和缓冲区溢出特征库，系统能快速识别和拦截SQL注入和缓冲区溢出等攻击，防止数据库泄露、账号盗取和系统瘫痪。

• 应对内部访问风险

使用内置和自定义访问控制规则，并结合黑白名单机制，系统能防范内部人员的泄密、违规操作和权限滥用，保护数据库安全。

从“等保2.0”到“关保”的发展过程中，关基企业需要重点关注全面风险评估、高级威胁防护、实时监控与响应、数据保护和跨部门协同等方面。网络安全防护建设应通过强化基础防护、引入主动防御相关技术、完善管理机制、加强培训和演练以及合作与共享等措施来实现。这将帮助企业建立更全面、先进和有效的网络安全防护体系，确保“关保”的安全与稳定。