隨著數字化進程的加速，網絡安全已成為國家安全和社會穩定的重要基石。公安部信息安全等級保護評估中心作為我國網絡安全等級保護制度的核心技術支撐機構，其專家團隊對等級保護標準的解讀具有權威指導意義。本文將結合評估中心專家馬力關于網絡安全等級保護2.0（簡稱“等保2.0”）的介紹，重點解讀其在計算機軟硬件領域的主要標準要求與實踐意義。

一、 等保2.0的演進與核心框架

等保2.0是在《網絡安全法》正式實施背景下，對原信息安全等級保護制度的全面升級。其核心標準體系以《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）為核心，配套《信息安全技術 網絡安全等級保護定級指南》（GB/T 22240-2020）、《信息安全技術 網絡安全等級保護安全設計技術要求》（GB/T 25070-2019）等系列標準。與1.0時代相比，等保2.0的防護對象從傳統的網絡和信息系統，擴展至云計算、物聯網、工業控制系統、大數據平臺等新型技術領域，實現了“全覆蓋”。其核心思想從“被動防護”轉向“主動防御、動態防護、整體防控”，強調一個中心（安全管理中心）下的三重防護（安全通信網絡、安全區域邊界、安全計算環境）。

二、 針對計算機硬件的主要安全要求

在等保2.0框架下，計算機硬件作為“安全計算環境”和“安全通信網絡”的物理載體，其安全性是基礎。主要標準要求體現在：

1. 物理安全：要求對機房、服務器、網絡設備、存儲設備等關鍵硬件設施進行嚴格的物理訪問控制、防盜防破壞、電力保障、溫濕度控制等。高等級系統還要求具備硬件冗余和容錯能力。
2. 可信計算：等保2.0大力倡導并強化了可信計算技術的應用。要求關鍵計算節點（如服務器）應基于可信根（如TPM/TCM安全芯片）對系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，構建從硬件到軟件的信任鏈，確保計算設備自身的安全性和行為可控性，有效防范固件層、引導層的惡意代碼攻擊。
3. 設備安全加固與冗余：對網絡設備、安全設備等進行最小化服務配置、關閉不必要的端口和服務。對于第三級及以上系統，關鍵網絡鏈路和設備通常要求采用硬件冗余部署，保證業務連續性。

三、 針對計算機軟件的核心安全要求

軟件是信息系統功能的直接體現，等保2.0對其安全提出了系統化、全生命周期的要求：

1. 身份鑒別與訪問控制：要求軟件系統（包括操作系統、數據庫、應用系統）具備嚴格的身份標識與鑒別機制，防止身份冒用。必須依據“最小權限原則”實施精細化的訪問控制策略，確保用戶只能訪問其授權范圍內的資源。
2. 安全審計：要求軟件系統能夠記錄并留存重要的用戶操作、系統異常、安全事件等日志，審計記錄應受到保護避免篡改和丟失，為事后追溯和責任認定提供依據。高等級系統要求實現集中審計分析。
3. 入侵防范與惡意代碼防范：操作系統、數據庫等系統軟件應能夠檢測到重要節點的入侵行為，并能記錄入侵源IP、攻擊類型、攻擊目標、攻擊時間等。必須在主機層面（服務器、終端）部署有效的惡意代碼防范軟件，并保持特征庫及時更新。
4. 軟件容錯與資源控制：軟件系統應提供數據有效性檢驗功能，保證通過人機接口或通信接口輸入的數據符合設定要求。對于高等級系統，要求具備自動保護功能，在故障發生時能自動切換到備用組件。應對單個用戶的多重并發會話、應用資源占用等進行限制，防止資源耗盡。
5. 數據安全與備份恢復：這是等保2.0的重點強化領域。要求軟件在數據的采集、傳輸、存儲、處理、銷毀等全生命周期實施安全保護，包括數據的完整性、保密性保障。必須定期對重要數據和軟件系統進行備份，并確保在災難發生時能及時、完整地恢復。
6. 安全開發與供應鏈安全：等保2.0間接對軟件的開發過程提出了要求。鼓勵在軟件設計階段就融入安全考慮，對采購的第三方軟件組件進行安全檢測，防范供應鏈安全風險。

四、 等保2.0對計算機軟硬件安全的融合性要求

馬力專家指出，等保2.0并非將硬件與軟件安全要求割裂，而是強調其協同與融合：

• 信任鏈構建：從硬件可信根出發，逐級驗證引導軟件、操作系統、應用軟件，實現軟硬件一體的主動免疫。
• 一體化防護：硬件提供的安全能力（如加密模塊、可信芯片）需要上層軟件（操作系統、安全應用）的有效調用和管理，才能形成完整的防護能力。
• 統一管理：通過“安全管理中心”，實現對網絡中各類軟硬件安全策略的統一配置、安全狀態的統一監控、安全事件的統一分析和處置。

五、 與展望

公安部信息安全等級保護評估中心專家馬力對等保2.0標準的解讀，清晰地指明了在新時代網絡安全形勢下，計算機軟硬件安全建設的方向。等保2.0標準體系為各單位構建“實戰化、體系化、常態化”的網絡安全綜合防護體系提供了明確、可操作的技術藍圖。落實等保2.0，要求我們必須轉變觀念，從單純購買安全產品，轉向構建深度融合軟硬件技術、管理與技術的系統性安全工程，從而真正筑牢國家網絡空間的堅強防線。對于計算機軟硬件的研發、采購、部署和運維各方而言，深入理解并踐行這些標準要求，不僅是合規所需，更是保障業務安全穩定運行的核心競爭力所在。