物理和環(huán)境安全：增加了對室外控制設備的安全防護要求，如放置控制設備的箱體或裝置以及控制設備周圍的環(huán)境；

網(wǎng)絡和通信安全：增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡環(huán)境的網(wǎng)絡架構(gòu)安全防護要求、通信傳輸要求以及訪問控制要求，增加了撥號使用控制和無線使用控制的要求；

設備和計算安全：增加了對控制設備的安全要求，控制設備主要是應用到工業(yè)控制系統(tǒng)當中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實時控制器設備，如PLC、DCS控制器等；

安全建設管理：增加了產(chǎn)品采購和使用和軟件外包方面的要求，主要針對工控設備和工控專用信息安全產(chǎn)品的要求，以及工業(yè)控制系統(tǒng)軟件外包時有關保密和專業(yè)性的要求；

安全運維管理：調(diào)整了漏洞和風險管理、惡意代碼防范管理和安全事件處置方面的需求，更加適配工業(yè)場景應用和工業(yè)控制系統(tǒng)。

1.?工業(yè)控制系統(tǒng)的概念和定義

工業(yè)控制系統(tǒng)（ICS）是幾種類型控制系統(tǒng)的總稱，包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）系統(tǒng)、集散控制系統(tǒng)（DCS）和其它控制系統(tǒng)，如在工業(yè)部門和關鍵基礎設施中經(jīng)常使用的可編程邏輯控制器（PLC）。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造（如汽車、航空航天和耐用品）等行業(yè)。工業(yè)控制系統(tǒng)主要由過程級、操作級以及各級之間和內(nèi)部的通信網(wǎng)絡構(gòu)成，對于大規(guī)模的控制系統(tǒng)，也包括管理級。過程級包括被控對象、現(xiàn)場控制設備和測量儀表等，操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務器等，管理級包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等，通信網(wǎng)絡包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。

2.?工業(yè)控制系統(tǒng)分層模型

該標準參考IEC 62264-1的層次結(jié)構(gòu)模型劃分，同時將SCADA系統(tǒng)、DCS系統(tǒng)和PLC系統(tǒng)等模型的共性進行抽象， 形成了如圖二的分層架構(gòu)模型，從上到下共分為5個層級，依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層，不同層級的實時性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元，用于為企業(yè)決策層員工提供決策運行手段；生產(chǎn)管理層主要包括MES系統(tǒng)功能單元，用于對生產(chǎn)過程進行管理，如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等；過程監(jiān)控層主要包括監(jiān)控服務器與HMI系統(tǒng)功能單元，用于對生產(chǎn)過程數(shù)據(jù)進行采集與監(jiān)控，并利用HMI系統(tǒng)實現(xiàn)人機交互；現(xiàn)場控制層主要包括各類控制器單元，如PLC、DCS控制單元等，用于對各執(zhí)行設備進行控制；現(xiàn)場設備層主要包括各類過程傳感設備與執(zhí)行設備單元，用于對生產(chǎn)過程進行感知與操作。

根據(jù)工業(yè)控制系統(tǒng)的架構(gòu)模型不同層次的業(yè)務應用、實時性要求以及不同層次之間的通信協(xié)議不同，需要部署的工控安全產(chǎn)品或解決方案有所差異，尤其是涉及工控協(xié)議通信的邊界需要部署工控安全產(chǎn)品進行防護，不僅支持對工控協(xié)議細粒度的訪問控制，同時滿足各層次對實時性的要求。

圖二：工業(yè)控制系統(tǒng)典型分層架構(gòu)模型

同時，該標準專門標注了隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展，上述分層架構(gòu)已不能完全適用，因此對于不同的行業(yè)企業(yè)實際發(fā)展情況，允許部分層級合并，可以根據(jù)用戶的實際場景進行判斷。