公安部发布六项网络安全等级保护新标准

    近日，公安部批准发布19项公共安全行业标准，其中6项聚焦网络安全等级保护，针对边缘计算、大数据、IPv6、区块链、云计算及5G接入安全领域，将于2026年2月1日起正式实施。这是自等级保护制度2.0实施以来，我国网络安全等级保护标准体系的一次重要完善，标志着新技术应用场景下的网络安全保护有了明确规范依据。
    标准体系演进：从基础框架到精细规范
    我国的网络安全等级保护制度历经多年发展，已形成较为完善的体系。
    1994年发布的《中华人民共和国计算机信息系统安全保护条例》，首次规定对计算机信息系统实行安全等级保护，确立公安部为监管主体。
    2007年公安部联合多部门印发《信息安全等级保护管理办法》，等级保护制度（等保1.0）正式确立，并配套发布多项标准。
    2017年《中华人民共和国网络安全法》实施，将网络安全等级保护制度上升为法律要求。
    2019年《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019、《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019、《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019）三大核心标准出台，步入等保2.0时代。
    2025年公安部多次发函，针对备案动态管理、第五级网络系统监管、测评体系改革等方面作出部署（点击此处可查阅详情）。如今再增六项新标准，进一步完善制度体系。
    六项标准解读：填补新技术场景安全空白
    此前，等保2.0已实现了对云计算、物联网、移动互联等新技术的覆盖。近年来，边缘计算、大数据、区块链等加速渗透，5G应用规模扩张，IPv6网络全面部署，这些技术应用使得网络边界变得模糊，传统安全防护措施难以有效应对新型风险。本次发布的六项标准，正是在此前基础上的细化与扩展。本次发布的六项标准可分为两大类：安全扩展要求类和测评扩展要求类，它们与现有国家等保标准有机结合，形成“通用要求+扩展要求”的立体化标准体系。
    《信息安全技术 网络安全等级保护基本要求 第6部分：边缘计算安全扩展要求》针对采用5G技术的边缘计算系统，覆盖物理环境、通信网络、区域边界、计算环境等层面，全方位划定安全防护边界。边缘计算将计算能力下沉到网络边缘，但边缘节点的物理安全防护薄弱、资源受限等特点导致独特安全挑战。
    《信息安全技术 网络安全等级保护基本要求 第7部分：大数据系统安全扩展要求》聚焦分布式系统安全和大数据处理安全，重点对大数据系统部署、接口、数据汇聚等方面提出安全要求。大数据平台面临数据集中与滥用风险，分布式架构下边界模糊，细粒度权限管控缺失，需要在数据全生命周期管理上加强保护。
    《信息安全技术 网络安全等级保护基本要求 第8部分：IPv6网络安全扩展要求》针对IPv6网络在协议特性、过渡技术和部署场景中的新型安全风险，明确应对NDP攻击、DAD攻击等IPv6特有威胁的技术措施。IPv6的大规模部署是必然趋势，但其与IPv4共存期间的过渡风险和协议本身的新特性需要专门的安全防护策略。
    《信息安全技术 网络安全等级保护云计算测评指引》从物理环境、通信网络、计算环境等层面明确区块链等级保护对象的安全扩展要求。区块链技术的去中心化、不可篡改等特性在提升安全性的同时，也带来了新的安全防护需求，如智能合约漏洞、共识机制攻击等。
    以上四项标准是在《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019基础上，针对新应用场景提出相应的扩展安全保护要求，因此需与GB/T 22239-2019中的安全通用要求结合使用。
    《信息安全技术 网络安全等级保护云计算测评指引》细化在不同云计算服务模式下的信息收集和分析、测评对象确定等任务，为测评机构提供指导。随着企业上云成为常态，云计算平台的安全性关乎广大用户的安全，需要统一的测评标准。
    《信息安全技术 网络安全等级保护5G接入安全测评要求》作为与边缘计算安全扩展要求对应的测评标准，规范采用5G技术的等级保护对象测评方法。5G网络的高速率、低延迟特性支撑了众多关键业务，但其接入安全直接影响到业务安全性。
    该项标准是在《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019基础上，针对5G应用场景提出安全测评扩展要求，需与GB/T 28448-2019中的安全测评通用要求结合使用。
    行业影响分析：多领域安全防护迎来新变革
    六项新标准的发布将对多个行业领域产生深远影响，为数字化转型提供安全保障。比如在智慧城市领域，边缘计算与5G的结合将支持更多实时智能应用。新标准为边缘节点的安全防护提供了明确指引，确保智能交通、智慧安防等关键业务的安全可靠运行。
    对于工业互联网，大数据系统安全扩展要求为工业数据的安全处理和使用提供了规范。制造企业可以依据标准要求，建立覆盖数据采集、传输、存储和处理全流程的安全防护体系，保护核心工艺参数和生产数据。
    又如金融行业的区块链应用将有安全底线要求。金融机构在推进区块链技术在支付清算、贸易融资等场景应用时，可以依据标准要求构建安全防护体系，确保技术应用符合监管要求。IPv6的规模化部署推进，政府机构和国有企业需要按照新标准进行网络升级和安全加固。这不仅是技术升级，更是全面提升网络安全防护水平的机遇。随着2026年2月1日实施日期的临近，网络运营者应尽早启动准备工作。等保合规是一项系统性工程，需要系统梳理自身网络资产，明确需要保护的对象及其安全等级，依法向公安机关备案，并定期开展等级测评。新标准不仅是技术要求的提升，更反映出监管思路的转变，随着技术的不断演进，网络安全等级保护标准体系还将持续完善，网络运营者需从被动合规转向主动安全，通过采用先进的安全技术和架构，以安全促进业务的持续健康发展。