一、等保2.0的主要變化

為適應《中華人民共和國網(wǎng)絡安全法》，配合落實“網(wǎng)絡安全等級保護制度”，該標準的名稱由“信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求”變更為“信息安全技術(shù)網(wǎng)絡安全等級保護基本要求”。

該標準主要從技術(shù)和管理兩個方面提出要求，技術(shù)要求由原來的物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全及備份恢復調(diào)整分類為物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全；管理要求由原來的安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理調(diào)整分類為安全策略和管理制度、安全管理機構(gòu)和人員、安全建設管理、安全運維管理。

為了適應新技術(shù)、新業(yè)務、新應用，該標準對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)分別提出相應的要求，內(nèi)容結(jié)構(gòu)調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求；

該標準取消了原來安全控制點的S、A、G標注，增加一個附錄A描述等級保護對象的定級結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級的S、A結(jié)果選擇安全要求。

二、工業(yè)控制系統(tǒng)安全擴展要求

物理和環(huán)境安全：增加了對室外控制設備的安全防護要求，如放置控制設備的箱體或裝置以及控制設備周圍的環(huán)境；

網(wǎng)絡和通信安全：增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡環(huán)境的網(wǎng)絡架構(gòu)安全防護要求、通信傳輸要求以及訪問控制要求，增加了撥號使用控制和無線使用控制的要求；

設備和計算安全：增加了對控制設備的安全要求，控制設備主要是應用到工業(yè)控制系統(tǒng)當中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實時控制器設備，如PLC、DCS控制器等；

安全建設管理：增加了產(chǎn)品采購和使用和軟件外包方面的要求，主要針對工控設備和工控專用信息安全產(chǎn)品的要求，以及工業(yè)控制系統(tǒng)軟件外包時有關(guān)保密和專業(yè)性的要求；

安全運維管理：調(diào)整了漏洞和風險管理、惡意代碼防范管理和安全事件處置方面的需求，更加適配工業(yè)場景應用和工業(yè)控制系統(tǒng)。

三、工業(yè)控制系統(tǒng)應用場景

根據(jù)工業(yè)控制系統(tǒng)的架構(gòu)模型不同層次的業(yè)務應用、實時性要求以及不同層次之間的通信協(xié)議不同，需要部署的工控安全產(chǎn)品或解決方案有所差異，尤其是涉及工控協(xié)議通信的邊界需要部署工控安全產(chǎn)品進行防護，不僅支持對工控協(xié)議細粒度的訪問控制，同時滿足各層次對實時性的要求。

同時，該標準專門標注了隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展，上述分層架構(gòu)已不能完全適用，因此對于不同的行業(yè)企業(yè)實際發(fā)展情況，允許部分層級合并，可以根據(jù)用戶的實際場景進行判斷。

工業(yè)控制系統(tǒng)通常對可靠性、可用性要求非常高，所以在對工業(yè)控制系統(tǒng)依照等級保護進行防護的時候要滿足以下約束條件:原則上安全措施不應對高可用性的工業(yè)控制系統(tǒng)基本功能產(chǎn)生不利影響。例如用于基本功能的賬戶不應被鎖定，甚至短暫的也不行；安全措施的部署不應顯著增加延遲而影響系統(tǒng)響應時間。

對于高可用性的控制系統(tǒng)，安全措施失效不應中斷基本功能等。經(jīng)評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關(guān)條款時，應進行安全聲明，分析和說明此條款實施可能產(chǎn)生的影響和后果，以及使用的補償措施。