长扬科技深度解析2025年版等保测评报告模板变化
引言
2025年3月8日,国家网络安全等级保护工作协调小组办公室发布《关于进一步做好网络安全等级保护有关工作的函》,要求自2025年3月20日起,运营者需使用新的《网络安全等级测评报告模板》(2025版)(以下简称“新版《报告》”)开展等保测评工作。2025版等保测评报告模板在2021版基础上进行了多项关键调整,本文将从新版《报告》总体变化概述、详细变化说明、实践建议等方面对 2025版与 2021版测评报告模板展开分析,助力大家直观洞察新版《报告》的变化。
一、新版《报告》总体变化概述
新版《报告》在结构与内容层面进行了系统性调整与优化,其核心目标在于更精准地评估网络安全风险,更全面地覆盖潜在威胁领域,并为网络安全防护策略的制定提供更具前瞻性和针对性的指导。新版报告总体变化总结如下:
基本格式变化:部分章节的格式和表述进行了调整,提升报告的可读性和实用性。
内容优化和章节调整:对部分章节的问题描述、风险分析、工作展开要求进行了优化和详细的说明,同时将旧版的“总体评价”章节调整到第六章,旧版的第六章及后续章节依次顺位调整。
新增变化:新增重大风险隐患概念是本次测评报告中的最大变化之一,具体包括新增重大风险隐患分析、重大风险隐患整改、新增附录G“重大风险隐患触发项参照表”、新增附录H“重大风险隐患及整改情况”,强化对重大风险的关注。
重大核心变化:等级测评结论变化,包括修改了等级测评结论的判定依据,不再进行综合得分计算,而是根据符合率,判定等级测评结论为符合、基本符合和不符合。
二、新版《报告》详细变化说明
在网络安全威胁愈发多样化和技术应用的深化的当下,本次新版《报告》发布将进一步提升等级测评工作的标准化和规范化水平。本章节长扬科技将对本次新版《报告》中相关变化内容进行详细说明,便于读者更细致的了解新版《报告》中的相关变化和要求。
2.1基本格式变化
2.2内容优化和章节调整
2.2.1被测内容描述优化
2025版本除描述被测对象业务和主要功能,新增对被测对象子系统承载的业务和主要功能描述,更加全面。
2.2.2网络拓扑图描述优化
2025版针对被测对象网络结构基本情况相对于2021版,增加网络边界情况,同时安全区域划分情况要求包括被测对象内部的划分和被测对象所处整体网络的区域划分,相较2021版单一内部划分示意图,2025版通过"内部隔离+外部关联"的可视化呈现,有效提升网络边界防护的评估精度 。
2.2.3渗透测试要求优化
2025版对渗透测试结果汇总要对应测评项,重点覆盖:
身份鉴别(弱口令爆破测试)
访问控制(垂直越权检测)
数据保密性(传输加密验证)
非标准发现项需单独归类至"其他"类别,实现漏洞溯源精准化。
同时如果如若放弃漏洞扫描或渗透测试,需提供说明材料。如未对被测对象开展漏洞扫描和渗透测试,也需提供说明材料,以图片方式提供,说明文件需要有签字、盖章和日期。
2.2.3变更威胁列表参考依据
建议测评机构依据最新版本GB/T 20984(2022版本)制定威胁列表,相关威胁分类及威胁描述如下表所示:
2.2.4已有安全措施分析和主要安全问题汇总分析填写要求优化
第三章单项测评结果分析3.1安全物理环境和3.4安全计算机环境3.4.3服务器和终端两项,均更为具体,同时分别并给出参考,要求对每个控制点进行描述,汇总分析已有安全措施和主要安全问题,并且要涵盖扩展要求实现情况。
2.2.5云计算安全扩展要求项数减少
2025版删除云服务商选择的2项符合条件内容,云计算安全扩展主要要求由原来的15项变更为13项。
2.2.6删除控制点符合情况汇总
2025版报告将3.13单项测评小结修改为3.13 安全问题汇总,删除了控制点符合情况汇总。
2.2.7整体测评填写优化
2025版报告在整体测评部分均给出详细参考示例,相比21版要求上更详细。
2.3新增变化
2.3.1新增引入重大风险隐患概念
重大风险隐患:高风险安全问题导致的安全事件发生概率较大,且一旦发生后将造成业务中断、敏感数据泄露或被篡改、获得系统管理权限或业务权限等严重后果的应当确定为重大风险隐患。结合报告要求的相关性原则、严重性原则高发性原则可总结为:
可导致系统瘫痪的架构缺陷
存在大规模数据泄露风险的漏洞
可能引发级联故障的安全短板
2.3.2新增重大风险隐患分析列表
需要填写重大风险隐患列表,即符合重大风险隐患判定原则的问题应当单独列出,并在后果分析中详细说明理由。已整改的风险隐患仍需在此列出,并注明(已整改)。如果没有重大风险隐患,请注明未发现重大风险隐患。具体可参考以下示例:
表2 重大风险隐患列表
2.3.3新增重大风险隐患整改建议
需要填写重大风险隐患整改建议,经重大风险隐患分析之后,确认为重大风险隐患的,应当在第新版《报告》的第八章提出整改建议。已整改的重大风险隐患,也需在此说明具体的整改措施。具体可参考以下示例:
表3 重大风险隐患整改建议列表
2.3.4新增附录G“重大风险隐患触发项参照表
为更好帮助测评工作当中重大风险隐患判定,本次报告的附录G中,围绕安全物理环境、安全通信网络、安全区域边界、安全计算环境、综合类五大安全类给出重大风险隐患触发项和安全问题描述示例,典型重大风险隐患触发项举例:
机房出入口访问控制措施缺失;
室外控制设备防护缺失;
网络设备业务处理能力不足;
云计算平台虚拟网络隔离措施缺失;
云计算平台未提供安全防护能力;
工业控制系统网络隔离措施缺失;
详细内容参考重大风险隐患触发项参照表:
图1 重大风险隐患触发项参照示例图
2.3.5新增附录H“重大风险隐患及整改情况
2025版报告相对于2021版报告增加重大风险隐患及整改情况,同时已经整改的需要提供无法被利用的理由和相关者相关证明材料。重大风险隐含从三个维度进行描述:
——相关性,与《高风险判定指引》相关,并且整体测评也没有办法弥补。
——严重性,隐患一旦被利用,造成严重影响。
——高发性,主要是风险指发生概率高。
具体整改要求如下图所示:
图1 重大风险隐患及整改情况示例图
传统高风险判例:主要针对单一技术漏洞或管理缺陷进行评估,对安全问题进行危害分析,整改方向明确。
重大风险隐患:在原有'高、中、低”安全风险问题的基础上,基于“相关性原则、严重性原则、高发性原则”进行再次分析,梳理出对本系统具有重大风险隐患的问题,强调系统性风险,需结合多重安全要素综合判定。
2.4重大核心变化
2.4.1测评结论变化
2025版报告相对于2021版报告,取消原有综合得分计算及优、良、中、差的评价体系,更改等级测评结论为符合、基本符合、不符合:
——符合:被测系统符合率高于90%,且无重大风险隐患。
——基本符合:被测系统符合率高于60%,低于90%;或者符合率为[90%, 100%]且存在重大风险隐患。
——不符合:被测系统符合率低于60%。
新旧版《报告》测评结论对比如下图所示:
图3 新旧版《报告》测评结论对比图
2.4.2测评判断依据判断依据计算变化
2025年测评判断依据由之前的分数计算改为符合率,同时新版《报告》给出了关于符合率计算方式:
符合率=单项符合总项数/(该级别要求总项数-不适用项数)*100%。
新旧版《报告》测评计算方式对比如下图所示:
图4 新旧版《报告》测评计算方式对比图
以某开展等保二级测评企业为例,假设其测评项结果具体如下图所示,其计算对比如下:
整体上来看,2025年版本不存在高风险一票否决项,计算方式也更加简单直接。相比2021版本则需要结合问题风险等级,高风险为一票否决项,同时测评条款具有权重,不同条款扣分值不同,被测评单位一次性通过率低。
三、新版《报告》对测评单位的实践建议
新模版的发布标志着网络安全从“合规检查”向“能力构建”的转型,企业需将其视为提升核心竞争力的契机,把整改工作落地,确保整改措施与业务目标对齐,而非单纯的任务负担。
第一、根据最新计算方法,计算被测评系统的符合率情况;
第二、2025年11月30日前完成新版定级报告、备案表填写,并到公安机关完成系统备案材料更新;
第三、开展重大安全隐患自查。紧贴测评报告中重大安全风险隐患测评项,开展自查工作,并重点优先处理重大风险隐患,优化资源配置;
第四、完成重大安全隐患安全问题整改。重大风险隐患需在报告中单独列示,明确整改措施和过程,确保安全隐患处理透明化、可追溯;
第五、主动风险管理,提高安全防护能力水平。重大风险隐患透明化推动责任单位从被动合规转向主动防御。
四、 结语
长扬科技(北京)有限公司是一家国资监管下、市场化运作,专注于工业互联网安全、工控网络安全和工业生产安全视觉AI的国家高新技术企业,秉承安全协同·AI赋能的战略理念,打造了以“智能工业安全大脑”为核心的集团级工业网络安全保障体系。公司将产品及服务聚焦工业互联网安全及大数据应用领域,并通过人工智能技术赋予客户在网络和业务两个层面的安全防护能力。以信创为安全底座,以工业安全靶场为能力提升手段,引入CMMI5成熟度模型助力提升开发水平与算法模型能力,自主研发了工业互联网安全态势感知、工控安全防护、睿脑工业视觉AI安全、生产安全、工业安全靶场、零信任安全、物联网安全、数据安全和工业数字通信等百余款产品,覆盖工业互联网安全产业完整生命周期,可以满足等保2.0及关键信息基础设施安全保护条例要求。
作为工业互联网安全行业的领先企业,长扬科技深度研读本次新版《报告》要求,并将以此次新版《报告》升级为契机,充分发挥技术优势和行业优势,以专注、专业、扎实的工作态度,重点深入能源(发电、石油、煤炭、化工)、交通(地铁、大铁)、城市基础设施(水务、燃气、管网、热力)等多个行业,持续为企业打造高价值、高匹配度、高适用性的综合解决方案和完整的工业安全保障体系,为企业安全生产保驾护航。
