科普篇 | 工业控制系统等保2.0经典20问及解答

2019年12月1日，《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019正式实施，标志着等保2.0的正式落地。网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法。等保2.0标准在1.0标准的基础上，注重建立“一个中心、三重防护”的纵深防御体系、实现“技术和管理相结合”。保护对象也由原来的信息系统调整为“基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、工业控制系统和采用移动互联技术的系统等”。

长扬科技专注于工业互联网安全、工控网络安全相关政策研究分析，已经为全国上千家工业企业客户提供了等保2.0定级备案、差距分析、方案整改等服务。本文从三个方面总结了长扬科技在帮助工业企业落实等保2.0工作中的经典问题，并进行答疑解惑。

01 常见通用问题及解答

什么是等保2.0？

答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，通常是指按照2019年12月1日施行的《信息安全技术 网络安全等级保护基本要求》及其配套标准体系开展网络安全等级保护工作。

等保1.0到2.0有什么变化吗？

答：等保1.0和等保2.0相关标准在标准名称、法律法规、定级对象、定级流程、总体结果、控制层面6个方面有了相关变化。具体如下：

图1：等保1.0和等保2.0的6个方面变化点

等级保护的级别是如何划分的？

答：网络安全等级保护是根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统一旦遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的侵害程度等因素，将信息系统安全等级由低到高分为以下五个等级。

图2：等级保护的五个级别

等保2.0的五个规定动作是什么？

答：等保2.0五个规定动作：定级、备案、建设整改、等级测评、监督检查。

图3：等保2.0的五个规定动作

等保2.0对工业控制系统提出了哪些安全要求？

答：工业控制系统开展等级保护工作应该关注安全通用要求和工业控制系统安全扩展要求两部分。安全通用要求是全部等级保护对象都应遵循的共性化安全保护要求，工业控制系统应根据安全保护等级实现相应级别的安全通用要求；工业控制系统安全扩展要求针对工业控制系统的特殊性提出了额外的安全要求，工业控制系统需要根据安全保护等级和使用的特定技术或特定应用场景选择性实现安全扩展要求。

（1）等保2.0安全通用要求（三级系统）

图4：等保2.0安全通用要求（三级）控制类和测评项要求

（2）等保2.0工业控制系统安全扩展要求（三级系统）

图5：等保2.0工业控制系统安全扩展要求（三级）控制类和测评项要求

工业控制系统应如何开展等保2.0核心思想是什么?

答：等保2.0工作的核心思想是“一个中心，三重防护“，“一个中心”指安全管理中心，“三重防护”指安全计算环境、安全区域边界、安全网络通信。同时等保2.0强化可信计算安全技术要求的使用，尤其是要设计好涉及系统组成、相互关系、功能流程及周边环境匹配等系统安全架构。

工业企业是否必须开展等级保护工作？

答：根据《中华人民共和国网络安全法》第二十一条：国家实行网络安全等级保护制度要求，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

依据网络安全法，对工控系统参照等级保护2.0相关标准进行等级保护工作是工业控制系统运营者应尽的责任和义务，拒不履行等级保护工作相关义务的，将根据情节严重程度承担相应的法律责任。

工业控制系统开展等级保护工作应准备多少预算？

答：开展等级保护工作主要费用包括：规划费用、建设或整改费用、运维费用、测评费用等。具体费用因各单位现状、保护对象承载业务功能、重要程度、所在地区等差异较大。

为避免过度保护或疏于防范的情况，减少资源浪费等，建议聘请或咨询专业的工业控制系统安全厂商或等级保护服务机构，制定科学合理的方案。

工业控制系统进行等保测评的通过率如何？

答：等级保护采用定级备案与测评机制而非认证机制，不存在都能通过的说法。网络运营者可结合自身实际安全需求与等保测评预期得分，咨询专业的工业控制系统第三方安全咨询服务机构来开展等建设工作。

02 定级备案问题及解答

工业控制系统是否都需要进行定级备案？

答：自主评估为一级的工业控制系统不需要进行定级备案工作。通过自评估达到二级及以上的，均应尽快组织专家开展定级评审工作，并到属地网安部门进行备案。

工业控制系统的定级级别是否越低越好？

答：工业控制系统的经营者应根据业务系统的实际情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。二级及以上系统在定级备案环节中有专家评审环节，会由公安机关专家库内的专家评审组给出专业评审意见。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。

不同工业控制系统整合后是否可以按照一个系统定级？

答：定级对象的判定标准是：具有确定的主要安全责任单位、承载相对独立的业务应用、具有信息系统的基本要素。工业控制系统的判定一般有如下几种情况：同一套装置同一品牌的多个工控系统、同一套装置不同品牌的多个工控系统、同一品牌多个独立工控系统等情况。

承担不同功能的多个工控系统分别具有明确唯一的备案主体，不能算一个系统，应该分别定级，参照《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》进行定级，具体行业参照各行业定级指南。

工业控制系统多长时间能拿到备案证明？

答：全国各省公安部门管理有所差异，在资料完备的情况下，通常提交备案流程并通过审核后，15个工作日即可拿到备案证明。

企业应如何选择测评机构？

答：应选择有测评资质的测评公司开展等保测评工作，根据属地原则优先考虑本地机构。具体可参照网络安全等级保护网的《全国网络安全等级保护测评机构推荐目录》，同时关注该网站公布的国家网络安全等级保护工作协调小组办公室不定期整改公告中是否涉及相关测评公司。

03 等保测评问题及解答

工业控制系统等保测评多久做一次？

答：根据相关规定，需定期对信息系统安全等级状况开展等级测评，二级三级系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，二级系统没有明确规定测评开展周期，但通常约定每两年进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

工业控制系统在内/专网，还需要做等保吗？

答：需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的用户比较明确或可控，但内网不代表安全。

工业控制系统等保测评通常多长时间能够完成？

答：单个二级或三级的系统整体持续周期为1-2个月。

现场测评周期通常进行1周左右，具体时间根据被测系统数量、系统规模以及被测评方的配合情况等有所差异。需要注意的是，在等级保护测评过程中如涉及小规模安全整改（管理制度、策略配置、技术整改）可延迟2-3周。

工业控制系统等保测评后需要开展整改工作吗？

答：不一定。若存在高风险项或测评打分无法通过等保测评，则必须进行安全整改直至通过测评。若已经通过测评，则企业可根据自身网络安全规划及安全防护实际情况判断是否进行安全整改。

工业控制系统业务上云了，还要做等保吗？

答：要做。很多工控企业都有上云的需求，业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但系统运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，工业控制系统及云平台都应分别进行等级保护工作。

工业控制系统完成等保测评之后，是否会颁发合格证书？

答：测评后无合格证书。等级保护采用备案与测评机制而非认证机制，在属地网安备案后可获得《信息系统安全等级保护备案证明》，测评工作完成后会收到具有法律效力的测评报告（至少要加盖测评机构公章和测评专用章），根据规定，测评报告由公安机关、测评机构及企业各自保管一份。