等保2.0测评项基本要求(工业控制系统安全扩展要求二级 三级对比).pdfVIP

三级要求二级要求

a)室外控制设备应放置于采a)室外控制设备应放置于采

用铁板或其他防火材料制作的用铁板或其他防火材料制作

箱体或装置中并紧固；箱体或的箱体或装置中并紧固；箱

室外控

装置具有透风、散热、防盗、体或装置具有透风、散热、

安全物制设备

防雨和防火能力等；防盗、防雨和防火能力等；

理环境物理防

b)室外控制设备放置应远离b)室外控制设备放置应远离

护

强电磁干扰、强热源等环境，强电磁干扰、强热源等环

如无法避免应及时做好应急处境，如无法避免应及时做好

置及检修，保证设备正常运行应急处置及检修，保证设备

a)工业控制系统与企业其他a)工业控制系统与企业其他

系统之间应划分为两个区域，系统之间应划分为两个区

区域间应采用单向的技术隔离域，区域间应采用技术隔离

b)工业控制系统内部应根据b)工业控制系统内部应根据

业务特点划分为不同的安全业务特点划分为不同的安全

网络架

域，安全域之间应采用技术隔域，安全域之间应采用技术

构

c)涉及实时控制和数据传输c)涉及实时控制和数据传输

安全通的工业控制系统，应使用独立的工业控制系统，应使用独

信网络的网络设备组网，在物理层面立的网络设备组网，在物理

上实现与其他数据网及外部公层面上实现与其他数据网及

共信息网的安全隔离。外部公共信息网的安全隔离

a)在工业控制系统内使用广a)在工业控制系统内使用广

域网进行控制指令或相关数据域网进行控制指令或相关数

通信传

交换的应采用加密认证技术手据交换的应采用加密认证技

输

段实现身份认证、访问控制和术手段实现身份认证、访问

数据加密传输。控制和数据加密传输。

a)应在工业控制系统与企业a)应在工业控制系统与企业

其他系统之间部署访问控制设其他系统之间部署访问控制

备，配置访问控制策略，禁止设备，配置访问控制策略，

任何穿越区域边界的E-禁止任何穿越区域边界的E-

访问控

制Mail_Web、Telnet、Rlogin、Mail_Web、Telnet、Rlogin

FTP等通用网络服务；、FTP等通用网络服务；

b)应在工业控制系统内安全b)应在工业控制系统内安全

域和安全域之间的边界防护机域和安全域之间的边界防护

制失效时，及时进行报警。机制失效时，及时进行报警

a)工业控制系统确需使用拨a)工业控制系统确需使用拨

号访问服务的，应限制具有拨号访问服务的，应限制具有

号访问权限的用户数量，并采拨号访问权限的用户数量，

拨号使取用户身份鉴别和访问控制等