物理和環(huán)境安全：增加了對室外控制設(shè)備的安全防護(hù)要求，如放置控制設(shè)備的箱體或裝置以及控制設(shè)備周圍的環(huán)境；

網(wǎng)絡(luò)和通信安全：增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求、通信傳輸要求以及訪問控制要求，增加了撥號使用控制和無線使用控制的要求；

設(shè)備和計算安全：增加了對控制設(shè)備的安全要求，控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時控制器設(shè)備，如PLC、DCS控制器等；

安全建設(shè)管理：增加了產(chǎn)品采購和使用和軟件外包方面的要求，主要針對工控設(shè)備和工控專用信息安全產(chǎn)品的要求，以及工業(yè)控制系統(tǒng)軟件外包時有關(guān)保密和專業(yè)性的要求；

安全運(yùn)維管理：調(diào)整了漏洞和風(fēng)險管理、惡意代碼防范管理和安全事件處置方面的需求，更加適配工業(yè)場景應(yīng)用和工業(yè)控制系統(tǒng)。

1.?工業(yè)控制系統(tǒng)的概念和定義

工業(yè)控制系統(tǒng)（ICS）是幾種類型控制系統(tǒng)的總稱，包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）系統(tǒng)、集散控制系統(tǒng)（DCS）和其它控制系統(tǒng)，如在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常使用的可編程邏輯控制器（PLC）。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運(yùn)輸、制藥、紙漿和造紙、食品和飲料以及離散制造（如汽車、航空航天和耐用品）等行業(yè)。工業(yè)控制系統(tǒng)主要由過程級、操作級以及各級之間和內(nèi)部的通信網(wǎng)絡(luò)構(gòu)成，對于大規(guī)模的控制系統(tǒng)，也包括管理級。過程級包括被控對象、現(xiàn)場控制設(shè)備和測量儀表等，操作級包括工程師和操作員站、人機(jī)界面和組態(tài)軟件、控制服務(wù)器等，管理級包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等，通信網(wǎng)絡(luò)包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。

2.?工業(yè)控制系統(tǒng)分層模型

該標(biāo)準(zhǔn)參考IEC 62264-1的層次結(jié)構(gòu)模型劃分，同時將SCADA系統(tǒng)、DCS系統(tǒng)和PLC系統(tǒng)等模型的共性進(jìn)行抽象， 形成了如圖二的分層架構(gòu)模型，從上到下共分為5個層級，依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層，不同層級的實(shí)時性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元，用于為企業(yè)決策層員工提供決策運(yùn)行手段；生產(chǎn)管理層主要包括MES系統(tǒng)功能單元，用于對生產(chǎn)過程進(jìn)行管理，如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等；過程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元，用于對生產(chǎn)過程數(shù)據(jù)進(jìn)行采集與監(jiān)控，并利用HMI系統(tǒng)實(shí)現(xiàn)人機(jī)交互；現(xiàn)場控制層主要包括各類控制器單元，如PLC、DCS控制單元等，用于對各執(zhí)行設(shè)備進(jìn)行控制；現(xiàn)場設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元，用于對生產(chǎn)過程進(jìn)行感知與操作。

根據(jù)工業(yè)控制系統(tǒng)的架構(gòu)模型不同層次的業(yè)務(wù)應(yīng)用、實(shí)時性要求以及不同層次之間的通信協(xié)議不同，需要部署的工控安全產(chǎn)品或解決方案有所差異，尤其是涉及工控協(xié)議通信的邊界需要部署工控安全產(chǎn)品進(jìn)行防護(hù)，不僅支持對工控協(xié)議細(xì)粒度的訪問控制，同時滿足各層次對實(shí)時性的要求。

圖二：工業(yè)控制系統(tǒng)典型分層架構(gòu)模型

同時，該標(biāo)準(zhǔn)專門標(biāo)注了隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展，上述分層架構(gòu)已不能完全適用，因此對于不同的行業(yè)企業(yè)實(shí)際發(fā)展情況，允許部分層級合并，可以根據(jù)用戶的實(shí)際場景進(jìn)行判斷。