DB41-T 2534-2023 水利網(wǎng)絡安全建設技術規(guī)范

ICS

35.030CCS

L

0941 DB41/T

2534—2023水利網(wǎng)絡安全建設技術規(guī)范

發(fā)布

實施河南省市場監(jiān)督管理局 發(fā)

布DB41/T

2534—2023 1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術語和定義

.........................................................................

14 總體要求

...........................................................................

15 水利網(wǎng)絡安全

.......................................................................

26 移動互聯(lián)安全

.......................................................................

47 水利物聯(lián)網(wǎng)安全

.....................................................................

58 水利工業(yè)控制系統(tǒng)安全

...............................................................

59 數(shù)據(jù)安全保護

.......................................................................

510 視頻會商系統(tǒng)安全

..................................................................

6DB41/T

2534—2023 本文件按照GB/T

—《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本文件由河南省水利廳提出。本文件由河南省水利標準化技術委員會歸口。本文件起草單位：河南省水文水資源中心、華北水利水電大學。曉敏、朱齊亮、侯爵。IIDB41/T

2534—20231 范圍保護和視頻會商系統(tǒng)安全等建設要求。本文件適用于水利系統(tǒng)水利網(wǎng)絡安全建設。2規(guī)范性引用文件文件。GB/T

22239—2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T

28181—2022 公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術要求GB

35114—2017 公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術要求GB/T

35273—2020 信息安全技術 個人信息安全規(guī)范SL/T

—2020 水利網(wǎng)絡安全保護技術規(guī)范3 術語和定義SL/T

—2020界定的以及下列術語和定義適用于本文件。3.1水利網(wǎng)絡集、存儲、傳輸、交換、處理的網(wǎng)絡系統(tǒng)。3.2水利物聯(lián)網(wǎng)態(tài)監(jiān)測、采集、傳輸水利要素、狀態(tài)和事件的信息網(wǎng)絡。3.3水利業(yè)務網(wǎng)水利行業(yè)各單位網(wǎng)絡互聯(lián)構成的非涉密專用網(wǎng)絡。3.4水利工業(yè)控制系統(tǒng)用于承載水利工程中水網(wǎng)調(diào)度，水庫、大壩、閘門、水力發(fā)電、供排水監(jiān)控等水利業(yè)務。4 總體要求4.1 先進性DB41/T

2534—2023應采用成熟先進的信息系統(tǒng)和網(wǎng)絡安全設備，最大限度的滿足各項功能需求。4.2安全性應采用具有安全可信的網(wǎng)絡安全設備和技術進行水利網(wǎng)絡安全建設。4.3 擴展性水利網(wǎng)絡安全建設應具備靈活擴展的能力。5 水利網(wǎng)絡安全5.1 安全物理環(huán)境5.1.1 第二級要求應符合GB/T

22239—2019第二級的要求。5.1.2第三級要求應符合GB/T

22239—2019第三級的要求，機房門禁系統(tǒng)還應采用國密算法。5.2 安全通信網(wǎng)絡5.2.1 第二級要求應符合GB/T

22239—2019第二級、SL/T

—2020和以下要求：a)

目的地址、源端口、目的端口、網(wǎng)絡協(xié)議允許或拒絕訪問的要求，對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于協(xié)議和內(nèi)容的控制；b)

在無線局域網(wǎng)啟用“

企業(yè)/WPA2

動態(tài)主機配置協(xié)議服務器分配或使用本單位統(tǒng)一規(guī)劃的靜態(tài)地址，并采取準入控制措施；c)

部署專用加密網(wǎng)關設備，通過構建加密通道的方式實現(xiàn)通信數(shù)據(jù)傳輸?shù)耐暾?、保密性，采用國家密碼體系技術實現(xiàn)在公共傳輸通道上建立可信虛擬專用通道；d)

在網(wǎng)絡關鍵節(jié)點處部署的網(wǎng)絡設備、安全設備同時支持互聯(lián)網(wǎng)協(xié)議第

6

IPv6協(xié)議第

4

IPv4）雙棧；e)

通過部署單向或雙向物理隔離設備，依據(jù)交換的數(shù)據(jù)類型配置訪問控制策略，在跨網(wǎng)數(shù)據(jù)交互過程中通過可靠的技術隔離手段進行數(shù)據(jù)的交互。5.2.2 第三級要求應符合第二級a)、b)、c)、d)和以下要求：a)

設置數(shù)據(jù)安全交換平臺，依據(jù)交換的數(shù)據(jù)類型配置訪問控制策略，在跨網(wǎng)數(shù)據(jù)交互過程中通過可靠的技術隔離手段進行數(shù)據(jù)的交互，數(shù)據(jù)交互平臺需提供業(yè)務數(shù)據(jù)抽取、裝載、數(shù)據(jù)安全檢測能力；b)

提供通信線路、關鍵網(wǎng)絡設備、安全設備的硬件冗余；c)

在網(wǎng)絡關鍵節(jié)點部署流量采集分析設備，對全網(wǎng)安全進行感知；d)

網(wǎng)絡規(guī)劃按照“核心層-匯聚層-接入層”的三層網(wǎng)絡架構規(guī)劃，并基于虛擬局域網(wǎng)（VLAN）技術劃分虛擬局域網(wǎng)。DB41/T

2534—20235.3安全區(qū)域邊界5.3.1 第二級要求5.3.1.1 應符合

GB/T

22239—2019

第二級、SL/T

—2020

和以下要求：a)

默認情況下（除允許的通信外）拒絕所有通信，刪除多余或無效的訪問控制規(guī)則，訪問控制規(guī)則數(shù)量最小化；b)

配置惡意代碼防護措施，保持惡意代碼防護機制的升級和更新。5.3.1.2水利業(yè)務網(wǎng)與其他行業(yè)網(wǎng)絡連接邊界安全應符合

和以下要求：a)

部署數(shù)據(jù)安全交換通道；b)

配置實時漏洞分析措施。5.3.1.3 水利業(yè)務網(wǎng)內(nèi)部互聯(lián)邊界安全應符合

5.3.1.1

和以下要求：a)

在網(wǎng)絡邊界處進行安全審計，審計重要用戶行為和重要網(wǎng)絡安全事件，并對審計記錄進行定期備份，保存時間不低于

180

d；b)

具備對無特征病毒的檢測措施。5.3.1.4 水利業(yè)務網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應符合

5.3.1.3

和以下要求：a)

部署單向數(shù)據(jù)導入，用于數(shù)據(jù)的安全交互和傳輸；b)

具備分布式異常流量攻擊防護系統(tǒng)，防范拒絕服務攻擊。5.3.2 第三級要求5.3.2.1

水利業(yè)務網(wǎng)邊界安全與第二級要求相同。5.3.2.2

水利業(yè)務網(wǎng)與其他行業(yè)網(wǎng)絡連接邊界安全應符合第二級和以下要求：a)

具備對外部訪問主體的認證和鑒權機制；b)

具備對傳輸數(shù)據(jù)類型進行審計和控制的能力。5.3.2.3

水利業(yè)務網(wǎng)內(nèi)部互聯(lián)邊界安全應符合第二級和以下要求：a)

通過網(wǎng)絡準入認證措施，保證網(wǎng)絡邊界的完整性，監(jiān)測并限制網(wǎng)絡內(nèi)的非法外聯(lián)行為；b)

在重要邊界節(jié)點采集網(wǎng)絡端流量數(shù)據(jù)，發(fā)現(xiàn)已知和未知的惡意軟件，發(fā)現(xiàn)利用零日漏洞的高級可持續(xù)性攻擊行為，保護網(wǎng)絡免遭零日等攻擊造成的各種風險。5.3.2.4 水利業(yè)務網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應符合第二級和以下要求：a)

對通過互聯(lián)網(wǎng)對接的業(yè)務系統(tǒng)進行應用層安全防護；b)

對通過互聯(lián)網(wǎng)對接的業(yè)務系統(tǒng)隱藏訪問端口。5.4 安全計算環(huán)境5.4.1 第二級要求5.4.1.1 水利業(yè)務網(wǎng)系統(tǒng)安全要求應符合GB/T

22239—2019第二級、SL/T

—2020和以下要求：a)

具備服務器主機信息采集能力；b)

提供數(shù)據(jù)處理系統(tǒng)的熱冗余；c)

具備本地數(shù)據(jù)備份與恢復功能。5.4.1.2 水利業(yè)務網(wǎng)終端安全要求應符合GB/T

22239—2019第二級、SL/T

—2020和以下要求：DB41/T

2534—2023a)

具備唯一標識，并實現(xiàn)用戶與終端實名綁定；b)

采用密碼技術、口令認證、生物技術和

認證等鑒別技術對用戶進行身份認證。5.4.2 第三級要求5.4.2.1 水利業(yè)務網(wǎng)系統(tǒng)安全要求應符合第二級和以下要求：a)

設置并啟用管理系統(tǒng)外聯(lián)控制策略，對管理終端未經(jīng)授權的外聯(lián)行為進行監(jiān)測和處置；b)

對重要計算設備和系統(tǒng)采用兩種或兩種以上組合鑒別技術鑒別用戶身份；c)

對重要計算設備異常行為進行實時監(jiān)測，并提供報警和阻斷；d)

采用加密技術，對重要業(yè)務數(shù)據(jù)、水利工程技術數(shù)據(jù)、重要個人信息、重要視頻數(shù)據(jù)、重要審計數(shù)據(jù)、身份鑒別數(shù)據(jù)等數(shù)據(jù)信息的傳輸和存儲進行加密。5.4.2.2 水利業(yè)務網(wǎng)終端安全要求應符合第二級和以下要求：a)

基于角色的應用訪問控制實現(xiàn)最小授權；b)

對終端環(huán)境進行檢測和評估，根據(jù)評估情況動態(tài)調(diào)整其應用訪問權限；c)

通過沙箱技術提供重要系統(tǒng)的安全訪問環(huán)境；d)

具備對惡意代碼進程級別隔離的能力；e)

終端操作系統(tǒng)、管理系統(tǒng)、防病毒系統(tǒng)統(tǒng)一安全防護策略。5.5 云安全5.5.1 第二級要求應符合GB/T

22239—2019第二級的要求。5.5.2 第三級要求應符合GB/T

22239—2019第三級和以下要求：a)

通過云安全管理平臺，對物理和虛擬資源進行安全防護、監(jiān)測、告警和攻擊阻斷；b)

能檢測虛擬機之間的資源隔離失效、非授權操作、惡意代碼感染和入侵行為等異常，進行告警和管控；c)

虛擬機部署環(huán)境具備訪問控制、網(wǎng)絡攻擊防護、運維審計、云內(nèi)南北向和東西向流量防護等安全防范措施。6 移動互聯(lián)安全6.1 第二級要求應符合GB/T

22239—2019第二級的要求。6.2 第三級要求應符合GB/T

22239—2019第三級和以下要求：a)

對接入的移動客戶端軟件，在入網(wǎng)前進行安全評估檢測；b)

對終端環(huán)境進行檢測和評估，根據(jù)評估情況動態(tài)調(diào)整其應用訪問權限；DB41/T

2534—2023c)

監(jiān)測非授權移動客戶端軟件；d)

對移動應用采集的個人相關信息，進行合規(guī)管控；e)

采用統(tǒng)一認證、加密技術，實現(xiàn)對移動應用的安全保護；f)

支持多層

場景下基于會話的精準阻斷，并支持配置策略生效時段和老化時間；g)

采用沙箱技術，使終端訪問水利業(yè)務網(wǎng)敏感應用系統(tǒng)下載的數(shù)據(jù)只能落入沙箱加密隔離存放，且數(shù)據(jù)使用和外發(fā)行為受控，防止數(shù)據(jù)泄露。7 水利物聯(lián)網(wǎng)安全7.1 第二級要求應符合GB/T

22239—2019第二級的要求。7.2 第三級要求應符合GB/T

22239—2019第三級、GB

35114—2017、GB/T

28181—2022和以下要求：a)

采用國密算法對傳輸鏈路進行加密；b)

對連接到水利物聯(lián)網(wǎng)的設備進行準入控制；c)

接入終端應支持

IPv6

和

IPv4

雙棧。8 水利工業(yè)控制系統(tǒng)安全8.1 第二級要求應符合GB/T

22239—2019第二級的要求。8.2 第三級要求應符合GB/T

22239—2019第三級和以下要求：a)

水利工業(yè)控制系統(tǒng)與水利業(yè)務網(wǎng)之間采用物理隔離措施；b)

對服務器和客戶端操作系統(tǒng)進行安全加固，采用數(shù)字認證、訪問控制等安全措施；c)

基于硬件密碼模塊，對重要通信過程進行加密；d)

對控制設備和系統(tǒng)，在上線前進行安全性檢測；e)

對工業(yè)控制系統(tǒng)分別提供開發(fā)測試和運行環(huán)境；f)

控制設備固件更新前進行評估和測試；g)

對工業(yè)控制系統(tǒng)的安全信息進行采集、分析與預警；h)

對工業(yè)控制環(huán)網(wǎng)采取安全監(jiān)測措施。9 數(shù)據(jù)安全保護9.1 第二級要求應符合以下要求：a)

數(shù)據(jù)在境內(nèi)存儲；b)

采用數(shù)據(jù)隔離、脫敏技術，實現(xiàn)不同等級網(wǎng)絡之間的數(shù)據(jù)交換。9.2 第三級要求DB41/T

2534—2023應符合第二級和以下要求：a)

建立數(shù)據(jù)異地備份機制，并定期對備份數(shù)據(jù)進行驗證測試；b)

建立業(yè)務連續(xù)性管理及容災備份機制，保障重要業(yè)務系統(tǒng)的業(yè)務連續(xù)性；c)

采用密碼技術、防泄漏技術等，