解读 | 公安部《网络安全等级保护测评高风险判定实施指引》 - 新鲜讯息

近期，公安部先后发布两份指导网络安全等级保护工作开展的文件——《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001号）、《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号），全面深入推进网络安全风险隐患排查以及相关方案制定等工作。

为进一步推进重大网络安全风险隐患发现、整改等工作落实，公安部日前再度发文——《网络安全等级保护测评高风险判定实施指引(试行)》（公网安〔2025〕2391号）（以下简称《指引》），用于规范和统一全国网络安全等级测评活动中关于网络安全高风险问题的判定准则，同时支撑各地公安机关开展日常网络安全重大风险隐患督办整改等工作。

关注本公众号【威努特安全网络】

在对话框回复【高风险判定】可下载全文

《网络安全等级保护测评高风险判定实施指引(试行)》目录

《指引》列明了5大板块共81项高风险判例，我们将简要梳理其中的核心要点，为广大用户揭示网络安全等级保护工作的最新监管趋势与实施重点。

重构风险判定逻辑

《指引》创新性构建了“风险场景-缓解措施-等级判定”的评估模型，打破传统合规检查的机械式对照模式。其核心判定原则明确：凡违反国家法律法规、未实现等保2.0（GB/T 22239—2019）中各等级关键安全要求、存在高危漏洞且无缓解措施的，一律判定为高风险。以6.4.1.1条款为例，系统存在空口令或弱口令时，若缺乏本地访问限制等补偿措施，将直接触发高风险判定。这种动态风险评估机制将倒逼企业从合规达标转向追求防护实效性。

安全通用要求标准升级

针对基础设施的刚性约束呈现显著升级特征。如物理环境安全，第三级及以上系统强制要求机房部署电子门禁系统（6.1.1.1条款），备用电力供应标准从“建议”转为“必须”。值得关注的是，7.1.1.1条款明确要求第二级及以上云计算基础设施必须位于境内，这与数安法、数据出境相关要求衔接形成监管闭环。

强化新型场景的安全防护

随着云计算、移动互联、物联网和工业控制系统的深度应用，《指引》针对新型技术场景构建专项安全扩展要求。

云环境纵深防御（7.X条款）

要求通过安全组、虚拟私有网（VPC）、虚拟防火墙等措施实现跨租户网络隔离，强化虚拟化边界防护，并且严格对数据全生命周期进行安全管控，包括镜像和快照保护、副本彻底清除、数据跨境管控等。

移动互联全链路管理（8.X条款）

构建覆盖物理层、网络层、终端层的立体防线，明确无线接入点的物理位置要求，有线网络与无线网络的边界防护，以及通过证书签名、应用白名单等方式管控移动终端的安装和运行。

物联网设备多重加固（9.X条款）

针对物联网设备脆弱性问题，从物理环境防护、设备准入控制（包括感知点设备防护、网关设备鉴权）、固件安全更新等方面提出具体措施。

工业控制系统安全防控（10.X条款）

要求工控网与企业网强制隔离，并进行安全域的细粒度划分，通信传输方面应采用加密认证技术手段实现身份认证、访问控制和数据加密传输，控制设备要进行安全检测并设置专用更新机制。