一、等保2.0的主要變化

為適應(yīng)《中華人民共和國網(wǎng)絡(luò)安全法》，配合落實(shí)“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，該標(biāo)準(zhǔn)的名稱由“信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求”變更為“信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”。

該標(biāo)準(zhǔn)主要從技術(shù)和管理兩個(gè)方面提出要求，技術(shù)要求由原來的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)調(diào)整分類為物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全；管理要求由原來的安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理調(diào)整分類為安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理。

為了適應(yīng)新技術(shù)、新業(yè)務(wù)、新應(yīng)用，該標(biāo)準(zhǔn)對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)分別提出相應(yīng)的要求，內(nèi)容結(jié)構(gòu)調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求；

該標(biāo)準(zhǔn)取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，增加一個(gè)附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級(jí)的S、A結(jié)果選擇安全要求。

二、工業(yè)控制系統(tǒng)安全擴(kuò)展要求

物理和環(huán)境安全：增加了對(duì)室外控制設(shè)備的安全防護(hù)要求，如放置控制設(shè)備的箱體或裝置以及控制設(shè)備周圍的環(huán)境；

網(wǎng)絡(luò)和通信安全：增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求、通信傳輸要求以及訪問控制要求，增加了撥號(hào)使用控制和無線使用控制的要求；

設(shè)備和計(jì)算安全：增加了對(duì)控制設(shè)備的安全要求，控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時(shí)控制器設(shè)備，如PLC、DCS控制器等；

安全建設(shè)管理：增加了產(chǎn)品采購和使用和軟件外包方面的要求，主要針對(duì)工控設(shè)備和工控專用信息安全產(chǎn)品的要求，以及工業(yè)控制系統(tǒng)軟件外包時(shí)有關(guān)保密和專業(yè)性的要求；

安全運(yùn)維管理：調(diào)整了漏洞和風(fēng)險(xiǎn)管理、惡意代碼防范管理和安全事件處置方面的需求，更加適配工業(yè)場景應(yīng)用和工業(yè)控制系統(tǒng)。

三、工業(yè)控制系統(tǒng)應(yīng)用場景

根據(jù)工業(yè)控制系統(tǒng)的架構(gòu)模型不同層次的業(yè)務(wù)應(yīng)用、實(shí)時(shí)性要求以及不同層次之間的通信協(xié)議不同，需要部署的工控安全產(chǎn)品或解決方案有所差異，尤其是涉及工控協(xié)議通信的邊界需要部署工控安全產(chǎn)品進(jìn)行防護(hù)，不僅支持對(duì)工控協(xié)議細(xì)粒度的訪問控制，同時(shí)滿足各層次對(duì)實(shí)時(shí)性的要求。

同時(shí)，該標(biāo)準(zhǔn)專門標(biāo)注了隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展，上述分層架構(gòu)已不能完全適用，因此對(duì)于不同的行業(yè)企業(yè)實(shí)際發(fā)展情況，允許部分層級(jí)合并，可以根據(jù)用戶的實(shí)際場景進(jìn)行判斷。

工業(yè)控制系統(tǒng)通常對(duì)可靠性、可用性要求非常高，所以在對(duì)工業(yè)控制系統(tǒng)依照等級(jí)保護(hù)進(jìn)行防護(hù)的時(shí)候要滿足以下約束條件:原則上安全措施不應(yīng)對(duì)高可用性的工業(yè)控制系統(tǒng)基本功能產(chǎn)生不利影響。例如用于基本功能的賬戶不應(yīng)被鎖定，甚至短暫的也不行；安全措施的部署不應(yīng)顯著增加延遲而影響系統(tǒng)響應(yīng)時(shí)間。

對(duì)于高可用性的控制系統(tǒng)，安全措施失效不應(yīng)中斷基本功能等。經(jīng)評(píng)估對(duì)可用性有較大影響而無法實(shí)施和落實(shí)安全等級(jí)保護(hù)要求的相關(guān)條款時(shí)，應(yīng)進(jìn)行安全聲明，分析和說明此條款實(shí)施可能產(chǎn)生的影響和后果，以及使用的補(bǔ)償措施。