DB41 T 2534-2023 水利网络安全建设技术规范.pdf

1、 ICS 35.030 CCS L 09 41 河南省地方标准 DB41/T 25342023 水利网络安全建设技术规范 2023-10-31 发布2024-01-29 实施河南省市场监督管理局发 布 DB41/T 25342023 I 目次 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 总体要求.1 5 水利网络安全.2 6 移动互联安全.4 7 水利物联网安全.5 8 水利工业控制系统安全.5 9 数据安全保护.5 10 视频会商系统安全.6 DB41/T 25342023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的

2、规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由河南省水利厅提出。本文件由河南省水利标准化技术委员会归口。本文件起草单位：河南省水文水资源中心、华北水利水电大学。本文件主要起草人：张明贵、王骏、任建勋、宋博、赵新强、刘念龙、杨栓、李延峰、宋金喜、闫晓敏、朱齐亮、侯爵。DB41/T 25342023 1 水利网络安全建设技术规范 1 范围 本文件规定了水利网络安全、移动互联安全、水利物联网安全、水利工业控制系统安全、数据安全保护和视频会商系统安全等建设要求。本文件适用于水利系统水利网络安全建设。2 规范性引用文件 下列文件中的内容通过文中的规范性引

3、用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 281812022 公共安全视频监控联网系统信息传输、交换、控制技术要求 GB 351142017 公共安全视频监控联网信息安全技术要求 GB/T 352732020 信息安全技术 个人信息安全规范 SL/T 8032020 水利网络安全保护技术规范 3 术语和定义 SL/T 8032020界定的以及下列术语和定义适用于本文件。3.1 水利网络 采用有线、无线、卫星等

4、通信方式，由计算机及相关信息软硬设备互连构成的承载水利信息进行采集、存储、传输、交换、处理的网络系统。3.2 水利物联网 采用远距离无线电、窄带网络、卫星通信、低功耗局域网、移动互联网和无线通信等网络技术，动态监测、采集、传输水利要素、状态和事件的信息网络。3.3 水利业务网 水利行业各单位网络互联构成的非涉密专用网络。3.4 水利工业控制系统 水利工程中使用的控制系统，包括数据采集与监视控制系统、分散控制系统和其他控制系统。主要用于承载水利工程中水网调度，水库、大坝、闸门、水力发电、供排水监控等水利业务。4 总体要求 4.1 先进性 DB41/T 25342023 2 应采用成熟先进的信息系

5、统和网络安全设备，最大限度的满足各项功能需求。4.2 安全性 应采用具有安全可信的网络安全设备和技术进行水利网络安全建设。4.3 扩展性 水利网络安全建设应具备灵活扩展的能力。5 水利网络安全 5.1 安全物理环境 5.1.1 第二级要求 应符合GB/T 222392019第二级的要求。5.1.2 第三级要求 应符合GB/T 222392019第三级的要求，机房门禁系统还应采用国密算法。5.2 安全通信网络 5.2.1 第二级要求 应符合GB/T 222392019第二级、SL/T 8032020和以下要求：a)网络重要节点部署访问控制类设备，划分安全域，配置网络安全访问控制策略，明确源地址、

6、目的地址、源端口、目的端口、网络协议允许或拒绝访问的要求，对进出网络的数据流实现基于协议和内容的控制；b)在无线局域网启用“WPA 企业/WPA2 企业”加密方式、隐藏服务并关闭服务广播功能，地址由动态主机配置协议服务器分配或使用本单位统一规划的静态地址，并采取准入控制措施；c)部署专用加密网关设备，通过构建加密通道的方式实现通信数据传输的完整性、保密性，采用国家密码体系技术实现在公共传输通道上建立可信虚拟专用通道；d)在网络关键节点处部署的网络设备、安全设备同时支持互联网协议第 6 版（IPv6）和互联网协议第 4 版（IPv4）双栈；e)通过部署单向或双向物理隔离设备，依据交换的数据类型配

7、置访问控制策略，在跨网数据交互过程中通过可靠的技术隔离手段进行数据的交互。5.2.2 第三级要求 应符合第二级a)、b)、c)、d)和以下要求：a)设置数据安全交换平台，依据交换的数据类型配置访问控制策略，在跨网数据交互过程中通过可靠的技术隔离手段进行数据的交互，数据交互平台需提供业务数据抽取、装载、数据安全检测能力；b)提供通信线路、关键网络设备、安全设备的硬件冗余；c)在网络关键节点部署流量采集分析设备，对全网安全进行感知；d)网络规划按照“核心层-汇聚层-接入层”的三层网络架构规划，并基于虚拟局域网（VLAN）技术划分虚拟局域网。DB41/T 25342023 3 5.3 安全区域边界

8、5.3.1 第二级要求 5.3.1.1 应符合 GB/T 222392019 第二级、SL/T 8032020 和以下要求：a)部署访问控制类设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下（除允许的通信外）拒绝所有通信，删除多余或无效的访问控制规则，访问控制规则数量最小化；b)配置恶意代码防护措施，保持恶意代码防护机制的升级和更新。5.3.1.2 水利业务网与其他行业网络连接边界安全应符合 5.3.1.1 和以下要求：a)部署数据安全交换通道；b)配置实时漏洞分析措施。5.3.1.3 水利业务网内部互联边界安全应符合 5.3.1.1 和以下要求：a)在网络边界处

9、进行安全审计，审计重要用户行为和重要网络安全事件，并对审计记录进行定期备份，保存时间不低于 180 d；b)具备对无特征病毒的检测措施。5.3.1.4 水利业务网与互联网连接边界安全应符合 5.3.1.3 和以下要求：a)部署单向数据导入，用于数据的安全交互和传输；b)具备分布式异常流量攻击防护系统，防范拒绝服务攻击。5.3.2 第三级要求 5.3.2.1 水利业务网边界安全与第二级要求相同。5.3.2.2 水利业务网与其他行业网络连接边界安全应符合第二级和以下要求：a)具备对外部访问主体的认证和鉴权机制；b)具备对传输数据类型进行审计和控制的能力。5.3.2.3 水利业务网内部互联边界安全应

10、符合第二级和以下要求：a)通过网络准入认证措施，保证网络边界的完整性，监测并限制网络内的非法外联行为；b)在重要边界节点采集网络端流量数据，发现已知和未知的恶意软件，发现利用零日漏洞的高级可持续性攻击行为，保护网络免遭零日等攻击造成的各种风险。5.3.2.4 水利业务网与互联网连接边界安全应符合第二级和以下要求：a)对通过互联网对接的业务系统进行应用层安全防护；b)对通过互联网对接的业务系统隐藏访问端口。5.4 安全计算环境 5.4.1 第二级要求 5.4.1.1 水利业务网系统安全要求 应符合GB/T 222392019第二级、SL/T 8032020和以下要求：a)具备服务器主机信息采集能

11、力；b)提供数据处理系统的热冗余；c)具备本地数据备份与恢复功能。5.4.1.2 水利业务网终端安全要求 应符合GB/T 222392019第二级、SL/T 8032020和以下要求：DB41/T 25342023 4 a)具备唯一标识，并实现用户与终端实名绑定；b)采用密码技术、口令认证、生物技术和 MAC 认证等鉴别技术对用户进行身份认证。5.4.2 第三级要求 5.4.2.1 水利业务网系统安全要求 应符合第二级和以下要求：a)设置并启用管理系统外联控制策略，对管理终端未经授权的外联行为进行监测和处置；b)对重要计算设备和系统采用两种或两种以上组合鉴别技术鉴别用户身份；c)对重要计算设备

12、异常行为进行实时监测，并提供报警和阻断；d)采用加密技术，对重要业务数据、水利工程技术数据、重要个人信息、重要视频数据、重要审计数据、身份鉴别数据等数据信息的传输和存储进行加密。5.4.2.2 水利业务网终端安全要求 应符合第二级和以下要求：a)基于角色的应用访问控制实现最小授权；b)对终端环境进行检测和评估，根据评估情况动态调整其应用访问权限；c)通过沙箱技术提供重要系统的安全访问环境；d)具备对恶意代码进程级别隔离的能力；e)终端操作系统、管理系统、防病毒系统统一安全防护策略。5.5 云安全 5.5.1 第二级要求 应符合GB/T 222392019第二级的要求。5.5.2 第三级要求 应

13、符合GB/T 222392019第三级和以下要求：a)通过云安全管理平台，对物理和虚拟资源进行安全防护、监测、告警和攻击阻断；b)能检测虚拟机之间的资源隔离失效、非授权操作、恶意代码感染和入侵行为等异常，进行告警和管控；c)虚拟机部署环境具备访问控制、网络攻击防护、运维审计、云内南北向和东西向流量防护等安全防范措施。6 移动互联安全 6.1 第二级要求 应符合GB/T 222392019第二级的要求。6.2 第三级要求 应符合GB/T 222392019第三级和以下要求：a)对接入的移动客户端软件，在入网前进行安全评估检测；b)对终端环境进行检测和评估，根据评估情况动态调整其应用访问权限；DB

14、41/T 25342023 5 c)监测非授权移动客户端软件；d)对移动应用采集的个人相关信息，进行合规管控；e)采用统一认证、加密技术，实现对移动应用的安全保护；f)支持多层 NAT 场景下基于会话的精准阻断，并支持配置策略生效时段和老化时间；g)采用沙箱技术，使终端访问水利业务网敏感应用系统下载的数据只能落入沙箱加密隔离存放，且数据使用和外发行为受控，防止数据泄露。7 水利物联网安全 7.1 第二级要求 应符合GB/T 222392019第二级的要求。7.2 第三级要求 应符合GB/T 222392019第三级、GB 351142017、GB/T 281812022和以下要求：a)采用国密

15、算法对传输链路进行加密；b)对连接到水利物联网的设备进行准入控制；c)接入终端应支持 IPv6 和 IPv4 双栈。8 水利工业控制系统安全 8.1 第二级要求 应符合GB/T 222392019第二级的要求。8.2 第三级要求 应符合GB/T 222392019第三级和以下要求：a)水利工业控制系统与水利业务网之间采用物理隔离措施；b)对服务器和客户端操作系统进行安全加固，采用数字认证、访问控制等安全措施；c)基于硬件密码模块，对重要通信过程进行加密；d)对控制设备和系统，在上线前进行安全性检测；e)对工业控制系统分别提供开发测试和运行环境；f)控制设备固件更新前进行评估和测试；g)对工业控

16、制系统的安全信息进行采集、分析与预警；h)对工业控制环网采取安全监测措施。9 数据安全保护 9.1 第二级要求 应符合以下要求：a)数据在境内存储；b)采用数据隔离、脱敏技术，实现不同等级网络之间的数据交换。9.2 第三级要求 DB41/T 25342023 6 应符合第二级和以下要求：a)建立数据异地备份机制，并定期对备份数据进行验证测试；b)建立业务连续性管理及容灾备份机制，保障重要业务系统的业务连续性；c)采用密码技术、防泄漏技术等，保证重要数据在传输、存储过程中的完整性和保密性；d)个人信息的收集、传输、存储、使用符合 GB/T 352732020 要求，采取加密、脱敏、去标识化等技术手段，保护敏感数据安全。10 视频会商系统安全 10.1 第二级要求 应符合GB/T 281812022和以下要求:a)在视频会商系统接入边界部署下一代防火墙，防止非授权接入；b)定期对视频会商系统进行漏洞扫描。10.2 第三级要求 应符合第二级和以下要求:a)采取协议识别和准入措施，防止非授权接入；b)对水利业务网视频会商系统和互联网接入终端进行隔离控制。