GA/T 2347-2025《信息安全技术 网络安全等级保护云计算测评指引》-解读
来源: | 作者:久信股份 | 发布时间 :2026-05-26 | 126 次浏览: | 🔊 点击朗读正文 ❚❚ | 分享到:

GA/T 2347-2025《信息安全技术 网络安全等级保护云计算测评指引》-解读

 

随着云计算在政务、金融、能源、医疗、交通等关键信息基础设施领域的深度应用与规模化推广,云计算平台与云服务客户的业务应用系统的安全保障已成为等级保护工作的核心场景。为统一云计算环境下等级保护测评标准、明晰安全责任边界、强化测评实施规范性,公安部于20251013日正式发布GA/T 2347-2025《信息安全技术 网络安全等级保护云计算测评指引》,并于202621日正式实施。作为等保2.0体系在云计算领域的专项落地细则,这份指引为云服务商、云服务客户、测评机构及行业监管单位提供了权威统一、科学可落地的操作依据,对提升云计算安全防护能力、保障数字业务稳定运行、支撑关键信息基础设施安全保护具有重要意义。

一、标准出台背景与核心定位

在混合云、专有云、公有云多种部署模式与IaaSPaaSSaaS三层服务架构并行发展的背景下,虚拟化、多租户、弹性伸缩、镜像快照、资源池化等云原生特性,打破了传统物理环境的安全边界与责任模式。传统等保测评在应对虚拟网络隔离、数据跨境、资源回收清理、云服务商责任界定、供应链安全等云场景特有风险时,存在覆盖不足、口径不一、操作模糊等问题,导致测评工作出现标准不统一、对象不清晰、责任不明确、实施不规范等情况。

在此背景下,GA/T 2347-2025紧扣《网络安全法》《数据安全法》《个人信息保护法》要求,依托 GB/T 22239-2019GB/T 28449-2018GB/T 31167-2023等核心国家标准,聚焦云计算环境测评关键要点与实践需求,明确测评对象、指标选取、实施流程、责任边界、检查要点五大内容,填补了我国云计算场景下网络安全等级保护测评的标准空白。

本指引的核心定位是等保2.0云场景测评实施手册,适用于测评机构对云计算平台、云服务客户的业务应用系统开展等级测评,同时为网络安全监管部门监督检查、企业自主合规整改、安全体系建设提供权威参考,推动云安全防护与等保测评工作走向标准化、规范化、精细化。

二、标准核心框架:测评对象与指标体系

(一) 两类测评对象,责任边界清晰可辨

GA/T 2347-2025将云计算环境等级保护测评对象清晰划分为两类:

1) 一类是云计算平台,由云服务商运营管理,包括物理基础设施、虚拟化平台、云管理系统、虚拟网络设备、镜像与快照服务、安全组件等,覆盖IaaSPaaSSaaS全服务模式;不同服务模式测评重点各有侧重,IaaS重点测评虚拟网络、虚拟机、宿主机、数据存储与隔离能力;PaaS新增应用开发平台、数据库服务、中间件安全等内容;SaaS则聚焦业务应用安全、用户数据保护、服务合规性与持续运营能力。

2) 另一类是云服务客户的业务应用系统,即各单位在云平台上部署的业务应用、数据库、中间件、终端及管理系统。

(二) 双轨测评指标,兼顾基础能力与云特有风险

指引同时构建 安全通用要求 + 云计算安全扩展要求双轨并行的测评指标体系,二者不可相互替代。

1) 通用要求覆盖传统等保核心控制点,保障基础安全底线;

  2) 扩展要求针对云特有风险设计,包括基础设施位置、网络架构、虚拟边界访问控制、入侵防范、安全审计、镜像与快照保护、数据安全、剩余信息保护、云服务商选择、供应链管理、云计算环境管理等关键内容,重点解决多租户隔离、虚拟机迁移、数据跨境、资源回收、远程管理等云原生安全难题。

三、关键要求解读:云安全测评核心必查项

GA/T 2347-2025立足云计算环境安全本质与等保测评实践要求,以境内合规为底线、以数据安全为核心、以虚拟化防护为关键、以责任划分为基础,系统性明确了云平台与云上业务系统在测评工作中的强制性要求与实施规范。

1) 境内合规方面,严格落实国家数据主权与网络安全监管要求,明确云计算基础设施必须部署在中国境内,客户数据与个人信息须在境内存储,确需出境应遵循国家规定,同时云计算平台运维地点须位于境内,境外运维须按规定执行。

2) 数据安全方面,构建覆盖存储、访问、备份、清除、迁移的全生命周期闭环管控体系,要求数据访问须经客户授权,迁移过程确保重要数据完整性,平台提供数据备份与存储位置查询能力,保证多副本一致性,客户删除数据时平台须清除所有副本,杜绝残留,同时客户应在本地保存业务备份,防范平台故障导致数据丢失。

3) 虚拟化防护方面,重点强化虚拟网络与资源隔离,要求实现不同客户虚拟网络之间隔离,在虚拟边界部署访问控制机制,虚拟机迁移时策略自动跟随,为重要业务提供加固镜像并具备完整性校验能力,能够检测虚拟机间异常流量、资源隔离失效、非授权新建虚拟机等风险并及时告警。

4) 责任划分方面,明确云服务商与客户的责任清单,云服务商负责平台底层安全,包括物理环境、虚拟化平台、宿主机、多租户隔离、基础安全服务;客户负责业务自身安全,包括应用防护、账号权限、数据保护、云服务商合规审核。双方须在服务协议中明确服务内容、技术指标、权限边界、责任划分、数据交付、违约责任、保密义务等,以合同形式固化安全责任。

四、分级测评要求:匹配等级差异化防护

指引按照等保五级架构,为一至四级系统制定差异化指标。第一级聚焦基础合规,重点落实境内部署、数据境内存储、虚拟边界访问控制等要求;第二级强化安全能力,增加入侵防范、安全审计、镜像校验、剩余信息保护等内容;第三级提升核心防护,要求双向身份鉴别、资源隔离异常告警、自主密钥管理、开放安全接口、集中管控与供应链安全;第四级实施最高等级防护,增加安全标记、独立资源池、强制访问控制、协议隔离等要求,适用于关键信息基础设施核心业务系统。

分级机制确保不同等级系统采取强度匹配的防护措施,避免防护不足或过度防护,提升合规效率。

五、云环境测评总体开展方法

GA/T 2347-2025依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,针对 IaaSPaaSSaaS 三类云服务模式,结合云服务商与云服务客户的安全责任边界,细化测评指标与实施要点。本文重点围绕等保三级要求展开说明。

针对云环境开展测评时,应同时把握 云计算平台云服务客户业务系统两类对象,并结合服务模式差异,围绕等保五级架构安全保护要求,重点核查技术控制与管理控制是否有效落地。以等保三级要求来看,测评重点不只是有无制度、有无设备,更强调身份鉴别是否可靠、资源隔离是否有效、边界防护是否闭环、审计记录是否可追溯、密钥和数据是否可控、管理中心是否统一集中管控,以及云服务商与云服务客户之间安全责任是否清晰划分并形成可验证证据。

(一) 云平台三级测评

开展云平台三级测评时,第一步是界定测评对象,明确本次测评针对的是云计算平台本身、云上业务系统,还是两者组合场景,并形成逻辑架构图、网络拓扑图。第二步是识别服务模式,区分基础设施即服务、平台即服务和软件即服务,因为不同服务模式下云服务商与客户承担的安全职责明显不同。第三步是筛选三级重点指标,在GB/T 22239-2019通用要求基础上,叠加GA/T 2347-2025关于云场景的增强要求,特别关注虚拟化安全、镜像安全、多租户隔离、接口安全、数据生命周期保护和集中运维审计。第四步是组织证据核查,综合采用资料审查、配置核查、访谈核实、日志抽查、接口测试、漏洞验证和场景验证等方式,不仅看文档,还要看控制措施在真实资源池中的执行结果。第五步是形成问题闭环,对发现项逐项落实整改责任主体,区分由云服务商整改、由云客户整改还是双方协同整改。

1) IaaS云平台三级测评

围绕三级要求,IaaS首先要重点核查身份鉴别与访问控制。测评时应检查云管理平台、运维堡垒机、API 网关、工单平台和宿主机运维通道是否实施双因素身份鉴别,是否实现系统管理员、安全管理员、审计管理员三权分立,是否对高危操作设置审批、复核或最小授权控制。同时抽查租户管理、项目空间、虚拟机生命周期管理、快照与镜像复制、密钥申请等功能权限颗粒度,验证不同客户之间是否存在越权访问风险。

其次要重点核查网络与边界隔离能力IaaS 平台三级测评不以物理边界防火墙为唯一重点,而以虚拟边界为核心对象,验证不同租户 VPC、子网、路由域和安全组之间是否相互隔离,验证南北向与东西向流量是否实现细粒度访问控制,验证虚拟机迁移、弹性扩容和漂移场景下原有安全策略能否自动跟随。测评中通常抽取两个以上租户环境开展配置比对和连通性测试,确认不存在跨租户访问、广播域泄露、共享管理平面暴露等问题。

再次要重点核查计算环境和虚拟化防护能力。第三级要求下,IaaS 平台应对虚拟机镜像进行完整性校验,对宿主机、Hypervisor、镜像仓库和模板库实施基线加固,对异常虚拟机创建、资源隔离失效、虚拟交换异常流量和宿主机高危配置变更进行监测告警。测评既要审查制度流程,也要抽查镜像发布审批记录、宿主机补丁记录、主机防护策略和异常告警处置闭环,验证平台是否具备动态防护能力。

第四个重点是数据与密钥安全IaaS环境中大量数据存放在云硬盘、对象存储、备份库和快照池中,第三级测评要关注重要数据传输和存储中的加密保护、密钥管理职责划分、客户授权访问机制、多副本一致性、备份恢复有效性以及资源释放后的残留信息清除。测评时应抽查云硬盘释放、对象存储桶删除、备份销毁和快照回收等流程,验证平台是否能够彻底清除客户数据副本,避免后续租户复用时发生剩余信息泄露。

最后要重点核查集中安全管理与审计能力IaaS 三级测评必须确认平台将宿主机、管理平台、虚拟网络设备、安全组件和关键云服务纳入统一监测范围,能够集中采集认证日志、配置变更日志、告警日志、运维操作日志和安全事件处置记录。日志不仅要可留存,更要可关联、可追溯、可分析,支撑跨租户风险、批量操作风险和越权访问风险的责任界定。

2) PaaS云平台三级测评

PaaS三级测评首先要核查平台身份体系和租户治理能力。应重点检查平台控制台、运维入口、CI/CD流水线、镜像仓库、数据库管理台和开放API是否统一接入身份认证体系,是否支持双因素认证、细粒度授权和职责分离,是否能够将研发、测试、运维、安全审计等不同角色分离管理。对第三级系统来说,尤其要防止一个高权限平台账号同时具备代码发布、配置修改、镜像上传、数据库运维和日志删除等过度集中权限。

第二个重点是组件与镜像供应链安全PaaS平台往往以容器镜像、基础镜像、中间件镜像和组件模板形式大规模复用资源,第三级测评应关注镜像来源是否可信、镜像入库是否经过恶意代码扫描和完整性校验、基础镜像是否定期更新、第三方组件是否建立漏洞通报和修复机制。测评时可抽查镜像发布流程、镜像签名验证、组件版本清单和高危漏洞整改记录,判断平台是否具备可持续的供应链防护能力。

第三个重点是运行环境隔离与平台服务安全。对于容器PaaS、数据库PaaS和中间件PaaS,应重点检查命名空间隔离、容器网络隔离、服务访问控制、密文配置管理、数据库账号最小授权、消息队列主题权限和配置中心权限控制。第三级要求下,测评应验证一个租户或一个应用命名空间中的异常行为是否会影响其他租户或其他业务域,验证平台是否能够对容器逃逸、异常横向访问、未授权服务调用和敏感配置暴露进行识别和告警。

第四个重点是接口安全与审计追踪PaaS平台通常对上层应用开放大量管理接口和服务调用接口,第三级测评应核查API接口的认证鉴权、调用频控、参数校验、传输加密和调用日志留存情况,特别关注发布接口、配置修改接口、数据库运维接口、密钥调用接口和流水线触发接口。测评时不应只看接口文档,而应抽样验证真实接口权限,检查是否存在弱令牌、默认口令、越权调用、调试接口未关闭等风险。

第五个重点是安全管理中心与持续运营能力PaaS平台的三级测评应当验证平台是否将容器节点、镜像仓库、流水线、数据库服务、中间件服务、API网关和日志中心统一纳入监测与运维审计范围,是否能够对异常发布、恶意镜像、敏感配置泄露、组件高危漏洞和异常资源调用进行集中告警和联动处置。这一点直接决定平台是否具备持续支撑多个上层三级系统安全运行的能力。

3) SaaS云平台三级测评

SaaS三级测评首先要强化应用层身份鉴别与访问控制核查。应重点检查租户管理员、业务管理员、普通用户、外部协作用户和运维人员的权限模型是否清晰,是否支持双因素认证、单点登录、强口令策略、会话超时、异常登录检测和敏感操作二次确认。对于第三级系统而言,用户身份真实性和操作可追溯性是SaaS平台合规性的核心,尤其要防止云服务商内部运维人员绕过租户授权直接访问客户业务数据。

第二个重点是数据安全与租户隔离SaaS平台多采用共享数据库、共享组件或共享存储架构,三级测评必须重点验证不同租户数据访问边界稳固性,验证导入导出、报表下载、附件存储、备份恢复、日志查看和接口调用等场景无跨租户数据泄露风险。同时核查重要数据传输与存储加密、密钥托管方式、备份副本位置、客户数据删除及合同终止后数据交付与清除机制。

第三个重点是应用安全与接口安全SaaS平台伴随大量 Web 访问、移动访问、开放接口与第三方集成接口,三级测评应重点核查应用防注入、防越权、防恶意上传、防敏感信息泄露、防批量接口滥用等安全控制,核查开放 API 身份认证、调用授权、频率限制、日志审计和异常告警能力。对承载重要业务的 SaaS平台,接口风险是最易形成系统性暴露面的关键环节。

第四个重点是审计与运维透明度SaaS平台的三级测评不能只看客户侧是否有日志,还要检查云服务商是否能够向客户提供必要的安全审计能力,包括账号登录、权限变更、数据查询、数据导出、流程审批、配置修改、接口调用和异常告警等审计记录。若平台不具备向客户提供必要审计接口或日志查询能力,客户就难以完成等级保护所要求的持续运营与事件追溯。

第五个重点是责任边界和合同约束SaaS 模式下客户对底层环境可见性较弱,三级测评须将服务协议、数据处理协议、运维外包协议、保密协议和安全承诺文件作为重要证据,核查云服务商是否明确承诺数据归属、备份恢复、事件通报、漏洞修复、日志留存、人员管理和退出交付要求。对 SaaS 模式而言,多项三级要求能否落地,最终取决于合同条款是否将安全义务固化为可执行责任。

(二) 云平台测评实例

以某市政务专有云平台为例,该平台采用IaaS模式,为多个委办局提供虚拟机、云硬盘、对象存储和虚拟专网服务,承载政务协同、行政审批和公共服务系统。开展三级测评时,首先应将测评对象划分为政务云平台各委办局业务系统两层,对云服务商和各委办局分别形成责任清单。随后对云平台开展重点核查:一是抽查控制台、堡垒机和API访问是否采用双因素认证;二是选取两个以上租户测试VPC隔离、路由隔离和安全组隔离是否有效;三是检查镜像模板加固、宿主机补丁、Hypervisor配置和异常虚拟机告警机制;四是验证云硬盘释放后残留信息清除、对象存储访问授权和快照恢复审计;五是检查统一日志平台是否能够回溯管理员创建实例、修改安全组、导出快照等关键操作。若上述能力闭环有效,说明该IaaS平台在三级要求下具备较好的底座安全支撑能力。

(三) 租户三级测评

1) IaaS租户三级测评

从云租户视角看,IaaS模式下三级测评重点不在于重复验证云服务商底层物理与虚拟化平台合规性,而在于核查租户在可控边界内,是否将云主机、云网络、云安全组件和业务数据保护要求落实到位。测评应先梳理租户已购及实际使用云资源清单,明确云服务商与租户各自负责的控制项,再围绕身份鉴别、访问控制、安全审计、入侵防范、数据保护、备份恢复和集中运维七个方面组织证据核查。

在身份鉴别与访问控制方面,重点核查租户对云控制台子账号、RAM 权限、运维账号、VPN 接入账号和堡垒机账号是否实施双因素认证、最小授权和分级分域管理,避免高权限账号由研发、运维、外包人员混用。对三级系统,还应重点检查安全组、网络 ACL、弹性公网访问策略、数据库白名单和对象存储访问策略是否遵循最小开放原则,排查全网开放管理端口、临时运维策略长期保留、测试环境策略复用至生产等典型风险。

在主机与网络安全方面,重点核查租户自建虚拟机、操作系统、中间件、容器宿主机和自建数据库是否完成基线加固、补丁更新、恶意代码防护、口令策略配置和关键目录访问控制,持续收敛互联网暴露面。测评通常抽查典型业务主机、跳板机和管理节点配置,验证租户是否建立入侵告警、漏洞修复、边界防护和日志集中留存机制,尤其关注是否充分启用云平台提供的主机防护、WAFDDoS 防护、日志审计和安全告警能力。

在数据与备份恢复方面,核查租户是否对重要数据和个人信息实施分类分级管理,是否对云硬盘、对象存储、数据库和备份库中的重要数据采取加密、访问授权、脱敏和导出审批控制,是否建立异地或跨可用区备份及恢复演练机制。IaaS 租户三级测评尤其关注客户自身备份责任落实情况,云服务商提供的底层高可用不等同于租户已完成业务级备份与能力建设。

在三级测评实施方法上,IaaS租户宜采用配置核查加场景验证相结合的方式推进,即通过抽查控制台权限、主机配置、边界策略、审计日志和备份记录,进一步验证异常登录告警、关键端口暴露、快照恢复、账号越权和敏感数据导出等场景是否可监测、可追踪、可处置。只有租户侧控制链条闭环,才能说明IaaS模式下云租户已经满足等保三级的主要要求。

2) PaaS租户三级测评

从云租户角度看,PaaS模式下三级测评重点在于核查租户安全使用平台能力,而非重复测评平台组件底层安全性。租户测评边界集中于应用系统、命名空间、容器工作负载、数据库实例配置、消息主题权限、密钥调用方式、接口开放策略和 CI/CD 流水线使用规范。测评前应先形成平台责任项与租户责任项对应表,避免混淆平台统一控制事项与租户自行配置事项。

在身份鉴别与权限控制方面,重点核查租户是否对研发、测试、运维和发布账号分权管理,是否对代码仓库、流水线、制品库、镜像仓库、数据库控制台和应用发布接口启用双因素认证及细粒度授权,排查开发人员直连生产、测试账号进入生产命名空间、共享服务账号长期不更换口令等问题。对三级系统而言,PaaS 租户常见风险并非平台能力不足,而是租户对高权限接口、密钥凭据和发布权限管理粗放。

在应用部署与组件使用安全方面,重点核查租户提交至 PaaS 平台的镜像、代码包、配置文件和第三方组件是否经过安全审查,是否对敏感配置实施密文托管,是否在应用层关闭调试接口、默认账号和不必要服务,是否对服务间访问实施零信任或白名单控制。测评还应抽查容器运行参数、资源配额、数据库访问账号、消息队列权限和 API 网关路由策略,验证租户落实最小暴露面与最小授权原则。

在安全审计与数据保护方面,核查租户是否将应用访问日志、发布日志、接口调用日志、数据库审计日志和异常告警接入本单位集中分析平台,是否可追溯未授权发布、异常回滚、敏感接口高频调用和密钥异常使用行为。对承载重要数据的三级系统,还应重点核查租户是否利用 PaaS 平台加密、备份、审计和灾备能力构建业务级数据保护闭环,而非完全依赖平台默认配置。

在测评方法上,PaaS租户宜以租户配置面检查、业务链路抽测、发布运维过程验证为主线开展三级测评。也就是说,不仅要看控制台配置,还要对应用发布、配置变更、接口调用、数据库运维和异常告警处置过程进行穿透验证,确认租户在使用PaaS时已经把三级要求嵌入研发、发布、运行和审计全流程之中。

3) SaaS租户三级测评

SaaS模式下,云租户对底层基础设施和平台层控制权最弱,三级测评重点应放在租户规范使用 SaaS 服务、通过管理与配置落实三级要求。测评边界主要包括租户管理员账号体系、组织架构与角色权限配置、业务流程配置、数据使用审批、接口对接方式、本地终端接入控制、日志留存使用和合同责任落实等内容。

在身份鉴别和权限管理方面,重点检查租户是否对 SaaS系统管理员、业务管理员、审批人员、普通用户和外部协作账号分级授权,是否启用双因素认证、强口令和异常登录管控,是否定期清理离岗、转岗和长期闲置账号。对等保三级而言,SaaS租户易失分环节并非平台认证能力不足,而是租户未启用强认证、未细分角色权限,导致业务数据在租户内部过度共享或越权访问。

在业务配置与数据保护方面,重点核查租户是否对表单、流程、字段、报表、接口和附件访问范围细粒度管控,是否对重要数据导出、批量下载、外发共享、移动端访问和第三方接口对接设置审批或告警机制,是否落实本地备份、台账留存和敏感信息脱敏要求。SaaS 平台配置能力丰富,三级测评应重点关注因配置不当引发的越权、泄露或失控风险。

在审计与持续运营方面,核查租户是否有效获取并使用 SaaS平台提供的登录日志、权限变更日志、数据导出日志、审批日志和接口调用日志,是否建立异常告警核查、账户定期复审和供应商安全通报接收机制。对三级系统,租户还应审查与 SaaS服务商签署的服务协议、数据处理协议和应急通报机制,确认日志可获取、事件可通知、数据可交付、退出可迁移,弥补底层不可见带来的合规短板。

在具体测评实施上,SaaS租户宜采用管理制度审查加租户配置检查加业务场景抽测的方式,重点验证账号权限配置、审批流配置、导出控制、外部接口授权、移动接入控制和日志取证能力是否满足三级要求。只有当租户把平台提供的安全能力真正转化为本单位可执行、可审计、可追责的业务控制措施时,SaaS模式下的云租户三级测评才算真正到位。

(四) 云租户测评实例

以某市政务专有云平台上的市政务服务中心行政审批系统为例,该系统采用IaaS模式,部署在政务云平台虚拟专网中,由市政务服务中心作为云租户负责系统运维。开展三级测评时,依据云平台基础能力,重点围绕云租户侧控制措施开展核查:一是检查云主机身份鉴别与访问控制,核查系统管理员账号是否采用双因素认证,远程登录是否限制 IP 段、启用登录失败锁定策略,是否存在弱口令、默认账号或未授权管理员账号;二是核查安全区域边界防护配置,检查虚拟机防火墙策略、安全组规则是否按最小权限配置,是否限制不必要端口与协议,对访问审批系统的业务 IP 实施严格管控;三是检查主机与应用安全配置,核查操作系统是否完成补丁更新、关闭无用服务与高危端口,中间件、数据库是否完成安全加固,是否部署主机防护、入侵检测或日志审计工具;四是验证数据安全与备份恢复,检查业务数据是否按三级要求配置定期备份,是否在本地或云平台保存备份副本,是否定期开展恢复演练,数据删除后确保无残留副本;五是核查安全审计与事件追溯,检查操作系统、数据库、应用系统审计日志是否开启并集中存储,管理员操作、用户访问、权限变更等关键操作是否完整记录,日志留存是否满足不少于 6 个月要求。经核查,该系统已按三级等保要求落实 IaaS 模式下客户侧安全责任,控制措施闭环有效,具备合规能力。

六、企业云安全合规实践建议

作为云计算服务的使用者与提供者,企业应将 GA/T 2347-2025作为云安全合规建设的核心依据,重点从四方面推进落地。

1) 一是严格落实境内合规要求,全面核查云计算基础设施、数据存储、运维地点是否符合境内部署规定,规范数据出境安全评估与审批流程,坚守网络安全与数据主权底线。

2) 二是强化数据安全全生命周期防护,建立数据分类分级、授权访问、备份恢复、副本清除、迁移校验机制,落实本地数据备份要求,确保数据全流程安全可控。

3) 三是加固虚拟化防护能力,强化虚拟网络隔离与边界访问控制,规范虚拟机策略迁移、镜像加固与完整性校验,加强虚拟机异常行为监测与告警,筑牢云环境安全屏障。

4) 四是明确责任划分边界,结合 IaaS/PaaS/SaaS 服务模式明确企业与云服务商的安全职责,在服务合同中固化责任条款、数据交付、保密义务与违约要求,实现责任共担、风险共管。

企业应依托指引要求定期开展自查自评与整改优化,配合测评机构完成等级测评工作,持续完善云安全防护体系。

七、总结

GA/T 2347-2025 的发布与实施,标志着我国云计算环境网络安全等级保护测评工作迈入标准化、专业化、精细化的全新阶段。该指引既坚守国家网络安全与数据主权底线,又深度贴合云计算技术特性与行业发展现实需求,为云安全防护体系构建、等级测评规范开展、安全责任清晰落地提供了权威统一、科学可落地的行动遵循。

面向未来,随着云计算技术持续创新与行业应用不断深化,各行业可以本指引为重要遵循,持续强化云上安全保障能力,规范落实等级保护要求,以安全筑牢发展根基,以合规驱动业务创新,为我国数字经济高质量发展提供坚实可靠的安全保障。