内网系统，尤其是那些采用物理隔离措施的业务系统，同样必须严格开展等保测评工作。依据中国现行的法律法规以及网络安全等级保护制度的相关要求，系统是否连接外网并非判定其是否需要纳入等级保护范围的唯一标准。只要系统涉及国家安全、经济建设、社会公共利益等重要领域，或是属于关键信息基础设施范畴，就必须毫无例外地纳入等级保护体系。

物理隔离虽能在一定程度上降低外部网络攻击的风险，但这绝不意味着可以免除其应尽的合规义务。同时，内部人员操作失误、恶意软件内部传播等内部安全风险依然存在。因此，内网系统开展等保测评，是保障系统安全稳定运行、维护国家和社会利益的必要举措。

一、法律依据与适用范围

1. 网络安全法核心要求

《国家网络安全法》2017年6月1日正式实施，国家实行网络安全等级保护制度，要求所有网络运营者通过技术措施和管理制度保障网络安全，重点防范数据泄露、篡改及非法访问。制度覆盖中国境内所有建设、运营、维护和使用的网络与信息系统。

2. 非涉密系统全覆盖原则

适用对象

无论系统部署在局域网还是互联网环境，只要不属于涉密系统，均需执行等级保护制度。

例外情形

涉密系统依据《中华人民共和国保守国家秘密法》单独管理。

二、内网系统的安全挑战与等保要求

1a. 内网安全隐患现状

防护薄弱环节

内网系统普遍存在边界防护缺失、病毒潜伏等问题，安全措施常弱于外网系统。

风险数据

34%的网络威胁源自内部网络，物理隔离难以完全阻断间接联网风险(如移动存储设备、内部人员操作)。

2. 等保2.0核心技术要求

边界防护

检测非授权设备接入内网，动态隔离业务系统。部署下一代防火墙、入侵检测系统(IDS)等设备。

访问控制

设置网络边界访问规则，默认拒绝非许可通信。

入侵防范

监控内网发起的攻击行为，定期备份重要数据。

审计与加密

建立日志审计机制，对数据库实施加密保护。

三、实施流程与合规要点

定级备案

定级依据

根据系统影响范围(国家安全、公共利益、个人权益)确定安全等级(一级至五级)。

备案要求

完成定级后需向公安机关备案，三级及以上系统需每年备案一次。

测评整改

测评周期

三级系统每年测评一次，二级系统每两年测评一次。

整改重点

部署边界防护设备(如防火墙、IDS)。

建立日志审计和数据库加密机制。

制定应急预案并定期开展演练。

法律后果

行政处罚

未履行等保义务可能面临1万至10万元罚款，直接责任人处5千至5万元罚款。

刑事责任

若因安全措施缺失导致数据泄露等重大事故，将依法追究刑事责任。

四、总结

内网系统(含物理隔离环境)必须通过等保测评，既是法律强制要求，也是降低内部风险、保障业务连续性的关键措施。建议从定级备案、技术整改、定期测评和长效运维四方面构建合规体系，确保符合《网络安全法》及等保2.0标准。