公安部信息安全等級保護評估中心的專家馬力，為我們深入解讀了網(wǎng)絡(luò)安全等級保護2.0（簡稱“等保2.0”）體系中的主要標(biāo)準(zhǔn)，特別是在網(wǎng)絡(luò)與信息安全軟件開發(fā)領(lǐng)域的應(yīng)用與要求。等保2.0標(biāo)志著我國網(wǎng)絡(luò)安全保護工作進入了一個新的階段，其標(biāo)準(zhǔn)體系更加全面、系統(tǒng)，對技術(shù)、管理和運維提出了更高、更具體的要求。

一、等保2.0標(biāo)準(zhǔn)體系的重大轉(zhuǎn)變

等保2.0的核心標(biāo)準(zhǔn)，包括《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T 25070-2019）和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》（GB/T 28448-2019）等，實現(xiàn)了從“信息安全”到“網(wǎng)絡(luò)安全”的視角擴展。它不再局限于傳統(tǒng)的計算機信息系統(tǒng)，而是覆蓋了云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用，實現(xiàn)了全覆蓋。這一轉(zhuǎn)變對軟件開發(fā)，尤其是安全軟件開發(fā)，提出了貫穿全生命周期的合規(guī)性要求。

二、對網(wǎng)絡(luò)與信息安全軟件開發(fā)的核心要求

在等保2.0框架下，安全軟件的開發(fā)不再僅僅是功能實現(xiàn)，更是安全能力的構(gòu)建。主要標(biāo)準(zhǔn)要求體現(xiàn)在以下幾個方面：

1. 安全設(shè)計與開發(fā)過程合規(guī)：等保2.0強調(diào)“安全左移”，要求安全需求在軟件設(shè)計階段就必須被明確和融入。開發(fā)過程需遵循安全開發(fā)生命周期（SDLC），進行威脅建模、安全編碼、代碼審計和漏洞管理。對于高等級（第三級及以上）的系統(tǒng)，標(biāo)準(zhǔn)明確要求對關(guān)鍵代碼進行安全審查。

1. 數(shù)據(jù)安全與隱私保護：標(biāo)準(zhǔn)對數(shù)據(jù)的安全性，包括數(shù)據(jù)的采集、傳輸、存儲、處理、交換和銷毀的全生命周期保護，提出了分級分類的嚴(yán)格要求。安全軟件開發(fā)必須內(nèi)置數(shù)據(jù)加密、訪問控制、脫敏、完整性校驗等機制，并滿足《個人信息保護法》等相關(guān)法律法規(guī)的合規(guī)要求。

1. 自身安全性與抗攻擊能力：作為安全產(chǎn)品，其自身必須具有高強度的安全防護能力。這包括但不限于：具備完善的身份鑒別、訪問控制、安全審計功能；軟件自身需防范注入攻擊、緩沖區(qū)溢出等常見漏洞；對于云安全軟件、終端安全軟件等，還需具備防篡改、防逆向分析的能力。

1. 可審計與可追溯：等保2.0強化了安全審計的要求。安全軟件必須能夠記錄詳細(xì)的安全日志，包括用戶行為、系統(tǒng)事件、異常告警等，并保證日志的完整性、保密性和可追溯性，以滿足事后審計和取證的需求。

1. 與等級保護對象的協(xié)同防護：安全軟件作為整個信息系統(tǒng)安全防護體系的一部分，其部署和運行必須符合該信息系統(tǒng)所定等級的整體安全要求。例如，在三級系統(tǒng)中，安全軟件的管理后臺訪問應(yīng)啟用雙因素認(rèn)證，其通信傳輸應(yīng)進行加密。

三、對軟件開發(fā)者的啟示與行動指南

馬力專家指出，等保2.0不僅是監(jiān)管要求，更是指導(dǎo)安全軟件高質(zhì)量發(fā)展的技術(shù)藍(lán)圖。對于軟件開發(fā)者而言，應(yīng)：

• 樹立合規(guī)開發(fā)意識：將等保2.0的相關(guān)標(biāo)準(zhǔn)要求作為產(chǎn)品研發(fā)的基線要求，融入產(chǎn)品規(guī)劃和設(shè)計文檔。
• 構(gòu)建安全開發(fā)流程：建立或完善覆蓋需求、設(shè)計、編碼、測試、部署、運維的全流程安全管理體系。
• 加強安全測試與驗證：引入自動化安全測試工具，定期進行滲透測試和漏洞掃描，確保產(chǎn)品上線前符合相應(yīng)等級的安全要求。
• 關(guān)注供應(yīng)鏈安全：對使用的第三方組件、開源軟件進行安全管理，避免引入已知高危漏洞。
• 準(zhǔn)備等級測評：了解等級測評的流程與要求，在產(chǎn)品設(shè)計和開發(fā)階段就為未來的測評做好準(zhǔn)備，確保軟件能夠順利通過測評并支撐所在系統(tǒng)定級。

網(wǎng)絡(luò)安全等級保護2.0為標(biāo)準(zhǔn)下的網(wǎng)絡(luò)與信息安全軟件開發(fā)指明了方向。開發(fā)者需要深入理解標(biāo)準(zhǔn)內(nèi)涵，將安全能力深度植入軟件基因，才能構(gòu)建出真正可靠、合規(guī)、有效的網(wǎng)絡(luò)安全產(chǎn)品，為我國網(wǎng)絡(luò)空間的安全穩(wěn)固貢獻(xiàn)力量。