Essential 8 中文完全指南:澳洲企业网络安全合规 ML1 自评清单 2026
3 句话说清:Essential 8 是澳洲信号局(ASD)2017 年发布、2026 年仍在更新的 8 项强制基础安全控制。政府供应商合同已强制要求 ML2,会计、医疗、保险经纪、NFP 行业的合规问卷里每条都对应 Essential 8。不做的代价:保险拒保 + 单次个人信息泄漏可被 OAIC 罚到 A$50M(Privacy Act 2022 修订)。这篇就是给您一份能在 10 分钟内自测出公司处于哪一级的中文清单。
想直接看 BlueStone Tech 的实施服务?请见 Essential 8 服务详情(英文页面)。本文是中文自评工具,独立可读,与服务页面互为姊妹篇。
很多墨尔本华人企业老板第一次听到 Essential 8 中文这个词,是从保险经纪或会计师那里。"essential 8 是什么意思"——这是 Google 搜索框里最常见的疑问。简单讲:它是澳洲网络安全合规领域目前最具体、最可衡量的基线标准,由 ASD(Australian Signals Directorate,澳洲信号局)维护,目前 2026 年版仍在使用。
看完本文,您会得到 3 样东西:(1) 8 项控制的中文逐条解读 + 华人企业最常忽略的盲区;(2) 24 条可勾选的 ML1 自评清单;(3) 自评结果对照表 + 下一步该做什么。
一、Essential 8 是什么?澳洲政府为什么强制这 8 项?
1. ASD(澳洲信号局)背景
Essential 8 由 ASD 旗下的澳洲网络安全中心(ACSC,Australian Cyber Security Centre)于 2017 年首次发布,2023 年起整合到澳洲政府保护安全政策框架(PSPF)。它的设计逻辑很务实:从过去 10 年澳洲发生的真实网络事件中,归纳出"如果当时做对了这 8 件事,95% 的攻击就不会成功"——所以叫 Essential(必要)8。官方页面:ACSC Essential Eight。
2. 从 2022 起,哪些行业被"强制"要求?
- 政府供应商:与联邦政府或维州政府签合同的供应商,2023 年起合同条款明确要求 ML2。
- 金融服务受 APRA 监管的实体:CPS 234 / CPS 230 与 Essential 8 高度重合。
- 医疗、法律、会计:受 Privacy Act 1988(2022 修订)约束,处理"敏感个人信息"必须采取"合理步骤"——OAIC 已多次在通报中把 Essential 8 作为基准。
- NFP / 慈善机构:ACNC 报告 + 主要捐款方(如基金会、企业 CSR)的尽职调查问卷已普遍包含 Essential 8 条款。
也就是说,澳洲企业网络安全标准已经从"建议"变成"事实强制"。即使你的行业没被点名,网络保险续保问卷里每条几乎都对应 Essential 8 的某一项。
3. ML1 / ML2 / ML3 三个成熟度等级(essential 8 ML1 ML2 ML3 区别)
这是ASD Essential 8 中文资料里最常被问到的问题。三级是"针对不同攻击者画像"的递进设计,不是"高级 vs 低级":
| 维度 | ML1 成熟度 1 级 | ML2 成熟度 2 级 | ML3 成熟度 3 级 |
|---|---|---|---|
| 适用对象 | 一般中小企业 | 处理敏感数据 / 政府供应商 | 高价值目标(金融、医疗、关键基础设施) |
| 攻击者画像 | 利用公开漏洞的机会主义攻击者 | 会专门花时间针对你公司的攻击者 | 国家级 / 高资源对手 |
| OS 补丁时限 | 14 天内 | 48 小时内 | 48 小时内 + 关键漏洞 12 小时 |
| MFA 范围 | 所有用户 | 用户 + 管理员 + 服务账号 | 抗钓鱼 MFA,含特权访问管理 |
| 日志与监控 | 基础日志 | 集中化日志 + 保留 | 集中化 + 实时分析 + SOC |
| 典型一次性投入 | A$3,000 – A$10,000 | A$15,000 – A$50,000 | A$50,000+ 起 |
对 10–50 人的墨尔本中小企业而言,ML1(Maturity Level 1)是合理的起点,本文自评清单就是针对 ML1。
二、8 项控制措施中文逐条解读
下表是 Essential 8 中文的概览,每项都给出英文原名 + 中文译名 + 一句话定义。详细解读紧随其后。
| # | 英文名 | 中文名 | ML1 核心要求 |
|---|---|---|---|
| 01 | Application Control | 应用程序白名单控制 | 允许清单(allow-list)覆盖所有终端,用户无法从 Downloads 目录直接运行未签名可执行文件。 |
| 02 | Patch Applications | 应用程序补丁更新 | 自动化第三方补丁工具(Defender for Endpoint、Patch My PC、PDQ)+ CVE 到部署的延迟有记录。 |
| 03 | Configure Microsoft Office Macro Settings | Office 宏配置 | Office Trust Centre 策略通过 Intune 或 GPO 强制下发:互联网来源的宏直接阻止,只允许已签名的宏。 |
| 04 | User Application Hardening | 用户应用程序加固 | ASR(Attack Surface Reduction)规则启用,遗留插件移除,浏览器加固基线已应用。 |
| 05 | Restrict Administrative Privileges | 限制管理员权限 | 标准用户无 local admin |
| 06 | Patch Operating Systems | 操作系统补丁更新 | Windows Update for Business 或 Intune 补丁环 |
| 07 | Multi-Factor Authentication | 多因素认证(MFA) | Conditional Access 强制 100% 账号开启 MFA(含管理员) |
| 08 | Regular Backups | 定期备份 | M365 + 终端 + 服务器都做不可篡改备份 |
01. Application Control(应用程序白名单控制)
一句话定义:电脑只能运行 IT 允许清单内的软件,未在清单的 .exe / .ps1 / .msi 一律拦截。
ML1 要做到:允许清单(allow-list)覆盖所有终端,用户无法从 Downloads 目录直接运行未签名可执行文件。
💡 华人小企业盲区:华人企业最常忽略:员工从微信 / QQ 收到的 .exe 安装包默认就能跑。
02. Patch Applications(应用程序补丁更新)
一句话定义:浏览器、Office、Adobe Reader、Java 等第三方软件在补丁发布后 48 小时内打上。
ML1 要做到:自动化第三方补丁工具(Defender for Endpoint、Patch My PC、PDQ)+ CVE 到部署的延迟有记录。
💡 华人小企业盲区:会计软件 MYOB / Xero / Reckon 桌面端往往一年没更新,是钓鱼链接落地的常见入口。
03. Configure Microsoft Office Macro Settings(Office 宏配置)
一句话定义:阻止 Word / Excel 运行来自互联网(邮件、网页下载)的宏,宏是勒索病毒前三大入侵途径。
ML1 要做到:Office Trust Centre 策略通过 Intune 或 GPO 强制下发:互联网来源的宏直接阻止,只允许已签名的宏。
💡 华人小企业盲区:海关报关、报税模板的 Excel 文件常被附 macro,员工一句"启用编辑"就中招。
04. User Application Hardening(用户应用程序加固)
一句话定义:关掉 Flash、Java applet、广告网络等高风险插件,限制浏览器加载危险内容。
ML1 要做到:ASR(Attack Surface Reduction)规则启用,遗留插件移除,浏览器加固基线已应用。
💡 华人小企业盲区:员工自带 Mac / 个人 PC 上的 Chrome 完全没有 ASR 规则,是绕过此控制的高发场景。
05. Restrict Administrative Privileges(限制管理员权限)
一句话定义:日常办公账号不能是管理员,IT 自己也不能 7×24 挂着 admin。
ML1 要做到:标准用户无 local admin;特权角色用 Entra PIM 之类的时间限制;管理员账号每季度复核。
💡 华人小企业盲区:老板 + 老婆 / 合伙人共用一个 admin 账号"方便",是华人小企业最常踩的雷。
06. Patch Operating Systems(操作系统补丁更新)
一句话定义:Windows / macOS 在补丁发布后 14 天内打上,不能"等它坏了再说"。
ML1 要做到:Windows Update for Business 或 Intune 补丁环;延迟最多 14 天;每月有合规报告。
💡 华人小企业盲区:机房里那台 Server 2016 / 2019 是最常被遗忘的,2027-01-12 Server 2016 就停止支持了。
07. Multi-Factor Authentication(多因素认证(MFA))
一句话定义:每次登录都要手机确认或硬件钥匙,不能"老板太忙所以豁免 MFA"。
ML1 要做到:Conditional Access 强制 100% 账号开启 MFA(含管理员);特权角色使用抗钓鱼 MFA(FIDO2 / Windows Hello)。
💡 华人小企业盲区:短信验证码不算抗钓鱼 MFA,SIM swap 攻击在澳洲已有多起公开案例。
08. Regular Backups(定期备份)
一句话定义:不可篡改备份 + 季度恢复演练,不是"硬盘插着就行"。
ML1 要做到:M365 + 终端 + 服务器都做不可篡改备份;每季度至少 1 次恢复演练并书面签字;RPO ≤ 24 小时、RTO ≤ 4 小时。
💡 华人小企业盲区:把客户数据备份到老板家里的移动硬盘,既不可篡改、也不符合 Privacy Act 数据保管要求。
想看英文原版的详细自评流程,可对照 English ML1 self-assessment tool——本中文版基于该工具,针对华人企业增加了 3 项盲区段落(见下面 H2-4)。
三、ML1 自评清单(24 条勾选题)
按 8 项控制分组,每项 3 条勾选题,共 24 条。打钩 ≥ 19 项 = 达到 ML1;打钩 12–18 项 = 距 ML1 一步之遥;打钩 ≤ 12 项 = 高风险,需要先做差距分析。
手机阅读建议:可截图保存或直接在心里逐条对照。文末提供完整文本版(可复制粘贴到 PDF 打印)。这份就是 asd essential 8 自评清单的中文落地版。
01 应用程序白名单
- 1.1 我公司部署了 Application Control / AppLocker / Defender Application Control 之类的允许清单工具
- 1.2 没有员工能从 Downloads 文件夹或邮件附件直接运行未签名的 .exe / .ps1 / .msi
- 1.3 新软件加入"允许清单"需要 IT 审批,不是员工自己装
02 应用补丁更新
- 2.1 浏览器、Office、Adobe、Java 的补丁在发布后 48 小时内安装
- 2.2 我们有自动化补丁工具(Defender for Endpoint / Patch My PC / PDQ)管理第三方补丁
- 2.3 没有员工长期在用半年以上没更新的浏览器
03 Office 宏配置
- 3.1 Excel / Word 默认阻止运行来自互联网(邮件附件、网页下载)的宏
- 3.2 宏策略通过 Intune 或 GPO 强制下发,员工无法自行解除
- 3.3 没有员工因为"客户发来的 Excel 必须开宏"而长期豁免宏限制
04 用户应用加固
- 4.1 Windows ASR(Attack Surface Reduction)规则已启用
- 4.2 Flash、Java applet、不必要的浏览器扩展已移除或禁用
- 4.3 BYOD 员工的个人电脑跑公司业务时也满足以上两条(不只是公司发的电脑)
05 限制管理员权限
- 5.1 日常办公账号没有本地管理员权限(含老板自己)
- 5.2 IT 管理员账号通过 PIM 或类似机制做时间限制激活,不是 7×24 在线
- 5.3 我们每季度审查一次管理员账号清单,没有"前员工还挂着"的情况
06 操作系统补丁
- 6.1 Windows / macOS 在补丁发布后 14 天内安装到位
- 6.2 我们有补丁管理工具(Intune / Windows Update for Business)+ 每月合规报告
- 6.3 服务器补丁不是"等它坏了再说",所有 Windows Server 都在支持期内
07 多因素认证
- 7.1 100% 账号(含老板、合伙人、家族成员)启用 MFA,没有豁免
- 7.2 MFA 不是基于短信验证码(短信 MFA 容易被 SIM swap)
- 7.3 特权 / 管理员账号使用抗钓鱼 MFA(FIDO2 硬件钥匙 / Windows Hello)
08 定期备份
- 8.1 Microsoft 365 邮箱有独立第三方备份(不仅靠 Retention Policy)
- 8.2 每季度至少做一次完整恢复演练,并有书面验收
- 8.3 RPO ≤ 24 小时(最多丢 1 天数据)、RTO ≤ 4 小时(4 小时内能恢复)
🎯 勾对 12 项以下?BlueStone Tech 提供 60 分钟免费中文 Essential 8 差距分析,给您一份按风险排序的优先级清单。预约咨询 →
四、华人企业的 3 个高发盲区
这是 essential eight 中文解释资料里通常不会提的部分——基于我们为 30+ 墨尔本华人企业实施 Essential 8 的经验归纳。
盲区 1:家族成员 / 合伙人共享一个管理员账号
典型场景:老板和老婆 / 弟弟 / 合伙人共用一个 Domain Admin 账号"方便管账"。从控制 #5(限制管理员权限)角度看,这是直接违规:
- 审计日志无法追溯——出事了不知道是谁操作的
- 一旦其中一人被钓鱼,整个公司管理员权限直接易主
- 不符合 Privacy Act NDB 通知义务对"事件归因"的要求
解决方案:每人独立账号 + Entra ID 角色分配;正经需要 admin 的人用 身份治理服务里的 PIM 做时间限制激活。
盲区 2:员工自带电脑(BYOD)跑 QuickBooks / Xero / 财务软件
典型场景:会计师用自己的 MacBook 装 Xero、MYOB、Reckon;员工用自己的 Windows 笔记本远程连公司文件服务器。这会直接绕过控制 #2(应用补丁)和 #4(用户应用加固)——你管不了员工自己电脑上的补丁状态和 ASR 规则。
解决方案:要么禁止 BYOD、统一发公司电脑;要么部署 条件访问(Conditional Access),要求设备必须满足合规策略(补丁状态、磁盘加密、防病毒激活)才允许登录公司资源。
盲区 3:客户数据存在国内云(百度网盘、阿里云、微信文件传输)
典型场景:把澳洲客户的报税资料、医疗记录、法律文书放在百度网盘做"备份",或者通过微信群发分享给国内合作方。问题:
- 数据出境到中国大陆,触发 Privacy Act 跨境传输义务(APP 8)
- 百度网盘 / 微信均无澳洲数据中心,数据主权风险
- OAIC 已在 2024–2026 年的多份通报中点名"未授权出境"为常见违规情形
解决方案:把备份指向澳洲境内云存储(Wasabi Sydney、AWS S3 Sydney、Azure Australia East),跨国分享改走 SharePoint / OneDrive 含外部访客权限管理。
五、自评结果对照与下一步
勾对 19 项以上 — 已达 ML1,下一步看 ML2
恭喜,你已经超过了 墨尔本 essential 8中小企业的中位水平。下一步建议:(1) 整理证据包(截图 + 配置导出 + 演练记录),用于网络保险续保和政府投标;(2) 评估是否升级到 ML2(如果有政府合同或大客户审计需求)。
勾对 12–18 项 — 距 ML1 一步之遥
你的方向是对的,但有 1–3 项需要补齐。最常见的"差最后一公里"项是:MFA 没覆盖 100%、备份没做恢复演练、Office 宏没用 Intune 强制。这三项通常 2–4 周可以补齐,预算 A$2,000–A$5,000。
勾对 12 项以下 — 高风险,建议先做差距分析
这一档的常见情况是"以为有,其实没有":装了杀软不等于做了 Application Control、备份硬盘不等于不可篡改备份。建议先做 60–90 分钟差距分析,确定优先级。预约免费 Essential 8 差距分析 →
六、Essential 8 不做会怎样?真实处罚口径
截至 2026 年 5 月的 OAIC 公开通报(详见 OAIC Notifiable Data Breaches 报告),澳洲小企业网络安全要求违规的代价主要来自三方面:
- Privacy Act 2022 修订后的罚则:严重或重复违反 APP 11(信息安全)可被罚到 A$50M / 30% 调整后年营业额 / 不当所得 3 倍——三者取较高者。来源:Privacy Legislation Amendment Act 2022。
- 网络保险拒赔 / 拒保:现行澳洲网络保险(CGU、Solidaritas、Emergence、BHSI 等)续保问卷把 MFA、补丁、备份做成承保前提条件——做不到直接拒保。
- 合同失效 / 失去政府投标资格:政府供应商合同明确要求 ML2,不满足直接出局。
上述任一项落到 25 人左右的中小企业身上都是致命的:保险一年 A$8k–25k、政府合同动辄六位数 ARR。Essential 8 的实施成本(A$3k–10k 一次性)相比之下是显著划算的。
💡 想清楚知道自己企业风险敞口?写邮件给 info@bluestonetech.com.au,备注"ML2 进阶清单",我们一个工作日内回您一份完整的 Essential 8 ML2 进阶清单(PDF)。
FAQ 常见问题
- Essential 8 和 ISO 27001 有什么区别?
- Essential 8 是澳洲政府(ASD)针对常见攻击场景给出的 8 项必做技术控制,定位是"可衡量、可落地的最低安全基线";ISO 27001 是国际管理体系认证,覆盖范围远比 Essential 8 广(含人员、流程、风险评估),需要外部审计颁证。Essential 8 是"做什么",ISO 27001 是"怎么管理"。中小企业通常先做 Essential 8 ML1,有需要再上 ISO 27001。
- 我公司只有 5 个人,也需要做 Essential 8 吗?
- 取决于行业。如果你是会计师事务所(APESB 监管)、医疗诊所(Privacy Act)、政府供应商(合同强制 ML2)或处理 NDB 范围内个人信息的任何企业,5 人也要做。即使没有强制要求,网络保险公司续保问卷上现在每条都对应 Essential 8 控制项——做了能拿到好保费,不做可能拒保。
- 达到 ML1 大概要花多少钱?
- 一次性实施成本通常在 A$3,000 – A$10,000(10–25 人公司);之后通过托管 IT 月费维持,每用户每月 A$20 – A$50 的合规附加费。BlueStone Tech 的固定打包价是 A$7,500 含 90 天达成 ML1 + 证据包,达不到退钱。
- 自评做完了能不能拿到证书?
- ASD 没有官方颁证机构。可以做的是:(1) 由澳洲政府认证的 IRAP Assessor 出具评估报告,用于政府投标;(2) 网络保险公司认可的第三方实施证明;(3) 内部合规存档 + 年度复评。BlueStone Tech 提供后两种。
- MFA 用短信算合规吗?
- ML1 允许(最低标准),但 ASD 已经在 2026 年版指引里把短信 MFA 列为"逐步淘汰"。SIM swap 攻击在澳洲已有多起公开案例(OAIC 通报)。强烈建议直接上 Microsoft Authenticator + FIDO2 硬件钥匙,多花的钱很少、安全级别差很大。
- 备份存在家里硬盘算不算合规?
- 不算。Essential 8 第 8 项要求"不可篡改"(immutable)+ 定期恢复演练。家里硬盘随时可改、可删、可丢,更不符合 Privacy Act 的数据保管和访问控制要求。最低标准是云端不可篡改备份(如 SkyKick、Veeam + Wasabi 对象锁),加上每季度恢复演练书面签字。
- BlueStone Tech 提供 Essential 8 合规咨询和实施吗?
- 提供。我们已为墨尔本 30+ 家华人中小企业完成 Essential 8 ML1 实施,固定打包价 A$7,500、90 天达成、达不到退钱。沟通全程中文,证据包装订成册可直接给保险经纪或政府投标用。咨询请见 BlueStone Tech Essential 8 合规服务页面。
结语:Essential 8 不是终点,是起点
这篇 Essential 8 中文完整指南的核心信息只有一句:它已经从"建议"变成"事实强制"。保险公司、政府客户、大企业供应商尽调问卷,都把 Essential 8 作为基本盘。做到 ML1 不是为了拿证书,是为了拿到正常的保费和合同资格。
如果您打完上面 24 条勾选题觉得有压力,先别慌——95% 的墨尔本华人中小企业在第一次自评时都不到 ML1。重要的是知道自己在哪、下一步该补什么。
🎯 BlueStone Tech 已为墨尔本 30+ 华人企业完成 Essential 8 实施。中文沟通、澳洲本地交付、固定 A$7,500 / 90 天达成 ML1、达不到退钱。获取专属方案 →
相关:ACSC 官方 Essential 8 页面 · OAIC 澳洲信息专员办公室 · English version of this self-assessment