（文章來(lái)源：百家號(hào)）

網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家網(wǎng)絡(luò)安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式發(fā)布，這是繼2008年發(fā)布等保1.0十余年來(lái)繼網(wǎng)絡(luò)安全法實(shí)施后的一次重大升級(jí)。等保2.0在等保1.0的基礎(chǔ)上，更加注重全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計(jì)。

工控角度等保2.0有哪些變化呢？01、總體結(jié)構(gòu)上的區(qū)別，結(jié)構(gòu)上由原來(lái)的安全要求變到現(xiàn)在的安全通用要求加安全擴(kuò)展要求。02、等保對(duì)象變化，等保對(duì)象由原來(lái)的信息系統(tǒng)過(guò)渡到現(xiàn)在的網(wǎng)絡(luò)和信息系統(tǒng)，統(tǒng)稱(chēng)為等級(jí)保護(hù)對(duì)象。03、控制層面變化，由傳統(tǒng)的IT防護(hù)到2.0的體系化防護(hù)，04、控制項(xiàng)變化。

部分控制項(xiàng)在合并刪除新增之后，整體數(shù)量降低，由原來(lái)的290項(xiàng)到現(xiàn)在的通用要求211項(xiàng)，同時(shí)伴隨著新增的21項(xiàng)工控安全擴(kuò)展要求，總共工業(yè)控制系統(tǒng)安全要求控制項(xiàng)達(dá)到了232項(xiàng)。除此之外，等級(jí)保護(hù)的合格線也從60分提升到現(xiàn)在的75分，這對(duì)于等保建設(shè)來(lái)說(shuō)要求變得越來(lái)越嚴(yán)格。

根據(jù)等保2.0的要求，工業(yè)控制系統(tǒng)需要同時(shí)滿足通用要求和擴(kuò)展要求兩部分。在通用要求里面，除了新增了可信認(rèn)證的相關(guān)要求之外還需要關(guān)注以下幾點(diǎn)：1. 在邊界控制訪問(wèn)策略以及新型攻擊行為檢測(cè)方面作出了新的要求；2. 針對(duì)漏洞修補(bǔ)，明確要求需要經(jīng)過(guò)充分的認(rèn)證和測(cè)試；3. 提出了安全管理中心的概念。

要求安全管理中心滿足系統(tǒng)集中管理、審計(jì)日志分析、安全策略、集中管理運(yùn)行狀態(tài)監(jiān)控等要求，對(duì)于工業(yè)控制系統(tǒng)來(lái)說(shuō)也是一個(gè)新的挑戰(zhàn)。

在工業(yè)控制系統(tǒng)的安全擴(kuò)展要求里面，我們還需要關(guān)注以下幾點(diǎn)：1、明確了工業(yè)控制系統(tǒng)在對(duì)外邊界處需要采用單向隔離技術(shù)，禁止E-mail web Telnet 等通用網(wǎng)絡(luò)服務(wù)穿過(guò)對(duì)外的邊界，對(duì)實(shí)時(shí)性要求較高的網(wǎng)絡(luò)應(yīng)獨(dú)立組網(wǎng)，并且與其他網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離。2、安全區(qū)域邊界處增加了撥號(hào)訪問(wèn)和無(wú)線使用的相關(guān)要求，對(duì)工業(yè)控制設(shè)備上線前要求進(jìn)行安全檢測(cè)。理論上能要求工業(yè)控制設(shè)備再滿足通用要求的身份鑒別訪問(wèn)控制和安全審計(jì)等等要求內(nèi)容。在控制設(shè)備條件受限時(shí)，可以由其上位機(jī)或者管理設(shè)備替代滿足相關(guān)要求。

三重防護(hù)：在邊界上建議通過(guò)單向隔離和防火墻技術(shù)實(shí)現(xiàn)邊界的隔離和訪問(wèn)控制，在核心區(qū)域的核心節(jié)點(diǎn)上建議通過(guò)審計(jì)和檢測(cè)技術(shù)實(shí)現(xiàn)對(duì)外部入侵特別是新型攻擊的防范，針對(duì)控制設(shè)備，我們建議通過(guò)風(fēng)險(xiǎn)檢測(cè)技術(shù)，在控制設(shè)備上線前以及運(yùn)行過(guò)程中對(duì)其漏洞進(jìn)行監(jiān)測(cè)，最后對(duì)于控制設(shè)備相連的上位機(jī)建議通過(guò)終端管控技術(shù)實(shí)現(xiàn)對(duì)運(yùn)行環(huán)境的監(jiān)控，特別是在控制設(shè)備實(shí)際上無(wú)法滿足相關(guān)的身份鑒別反應(yīng)訪問(wèn)控制等要求的情況下，需要上位主機(jī)替代控制器實(shí)現(xiàn)相應(yīng)的安全要求。

一個(gè)中心，安全管理中心需要對(duì)內(nèi)滿足集中策略管理運(yùn)行監(jiān)控系統(tǒng)管理等功能，對(duì)外我們需要實(shí)現(xiàn)安全事件安全風(fēng)險(xiǎn)的識(shí)別告警和分析功能，最終達(dá)到協(xié)同防護(hù)的目的。
? ? ?（責(zé)任編輯：fqj）