DB41-T 2534-2023 水利网络安全建设技术规范

ICS35.030CCSL0941IDB41/T2534—2023 12规范性引用文件 13术语和定义 14总体要求 15水利网络安全 26移动互联安全 47水利物联网安全 58水利工业控制系统安全 59数据安全保护 510视频会商系统安全 6DB41/T2534—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由河南省水利厅提出。本文件由河南省水利标准化技术委员会归口。本文件起草单位：河南省水文水资源中心、华北水利水电大学。本文件主要起草人：张明贵、王骏、任建勋、宋博、赵新强、刘念龙、杨栓、李延峰、宋金喜、闫晓敏、朱齐亮、侯爵。DB41/T2534—20231水利网络安全建设技术规范本文件规定了水利网络安全、移动互联安全、水利物联网安全、水利工业控制系统安全、数据安全保护和视频会商系统安全等建设要求。本文件适用于水利系统水利网络安全建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T28181—2022公共安全视频监控联网系统信息传输、交换、控制技术要求GB35114—2017公共安全视频监控联网信息安全技术要求GB/T35273—2020信息安全技术个人信息安全规范SL/T803—2020水利网络安全保护技术规范3术语和定义SL/T803—2020界定的以及下列术语和定义适用于本文件。3.1水利网络采用有线、无线、卫星等通信方式，由计算机及相关信息软硬设备互连构成的承载水利信息进行采集、存储、传输、交换、处理的网络系统。3.2水利物联网采用远距离无线电、窄带网络、卫星通信、低功耗局域网、移动互联网和无线通信等网络技术，动态监测、采集、传输水利要素、状态和事件的信息网络。3.3水利业务网水利行业各单位网络互联构成的非涉密专用网络。3.4水利工业控制系统水利工程中使用的控制系统，包括数据采集与监视控制系统、分散控制系统和其他控制系统。主要用于承载水利工程中水网调度，水库、大坝、闸门、水力发电、供排水监控等水利业务。4总体要求4.1先进性DB41/T2534—20232应采用成熟先进的信息系统和网络安全设备，最大限度的满足各项功能需求。4.2安全性应采用具有安全可信的网络安全设备和技术进行水利网络安全建设。4.3扩展性水利网络安全建设应具备灵活扩展的能力。5水利网络安全5.1安全物理环境5.1.1第二级要求应符合GB/T22239—2019第二级的要求。5.1.2第三级要求应符合GB/T22239—2019第三级的要求，机房门禁系统还应采用国密算法。5.2安全通信网络5.2.1第二级要求应符合GB/T22239—2019第二级、SL/T803—2020和以下要求：a)网络重要节点部署访问控制类设备，划分安全域，配置网络安全访问控制策略，明确源地址、目的地址、源端口、目的端口、网络协议允许或拒绝访问的要求，对进出网络的数据流实现基于协议和内容的控制；b)在无线局域网启用“WPA企业/WPA2企业”加密方式、隐藏服务并关闭服务广播功能，地址由动态主机配置协议服务器分配或使用本单位统一规划的静态地址，并采取准入控制措施；c)部署专用加密网关设备，通过构建加密通道的方式实现通信数据传输的完整性、保密性，采用国家密码体系技术实现在公共传输通道上建立可信虚拟专用通道；d)在网络关键节点处部署的网络设备、安全设备同时支持互联网协议第6版（IPv6）和互联网协议第4版（IPv4）双栈；e)通过部署单向或双向物理隔离设备，依据交换的数据类型配置访问控制策略，在跨网数据交互过程中通过可靠的技术隔离手段进行数据的交互。5.2.2第三级要求应符合第二级a)、b)、c)、d)和以下要求：a)设置数据安全交换平台，依据交换的数据类型配置访问控制策略，在跨网数据交互过程中通过可靠的技术隔离手段进行数据的交互，数据交互平台需提供业务数据抽取、装载、数据安全检测能力；b)提供通信线路、关键网络设备、安全设备的硬件冗余；c)在网络关键节点部署流量采集分析设备，对全网安全进行感知；d)网络规划按照“核心层-汇聚层-接入层”的三层网络架构规划，并基于虚拟局域网（VLAN）技术划分虚拟局域网。DB41/T2534—202335.3安全区域边界5.3.1第二级要求5.3.1.1应符合GB/T22239—2019第二级、SL/T803—2020和以下要求：a)部署访问控制类设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下（除允许的通信外）拒绝所有通信，删除多余或无效的访问控制规则，访问控制规则数量最小化；b)配置恶意代码防护措施，保持恶意代码防护机制的升级和更新。5.3.1.2水利业务网与其他行业网络连接边界安全应符合5.3.1.1和以下要求：a)部署数据安全交换通道；b)配置实时漏洞分析措施。5.3.1.3水利业务网内部互联边界安全应符合5.3.1.1和以下要求：a)在网络边界处进行安全审计，审计重要用户行为和重要网络安全事件，并对审计记录进行定期备份，保存时间不低于180d；b)具备对无特征病毒的检测措施。5.3.1.4水利业务网与互联网连接边界安全应符合5.3.1.3和以下要求：a)部署单向数据导入，用于数据的安全交互和传输；b)具备分布式异常流量攻击防护系统，防范拒绝服务攻击。5.3.2第三级要求5.3.2.1水利业务网边界安全与第二级要求相同。5.3.2.2水利业务网与其他行业网络连接边界安全应符合第二级和以下要求：a)具备对外部访问主体的认证和鉴权机制；b)具备对传输数据类型进行审计和控制的能力。5.3.2.3水利业务网内部互联边界安全应符合第二级和以下要求：a)通过网络准入认证措施，保证网络边界的完整性，监测并限制网络内的非法外联行为；b)在重要边界节点采集网络端流量数据，发现已知和未知的恶意软件，发现利用零日漏洞的高级可持续性攻击行为，保护网络免遭零日等攻击造成的各种风险。5.3.2.4水利业务网与互联网连接边界安全应符合第二级和以下要求：a)对通过互联网对接的业务系统进行应用层安全防护；b)对通过互联网对接的业务系统隐藏访问端口。5.4安全计算环境5.4.1第二级要求5.4.1.1水利业务网系统安全要求应符合GB/T22239—2019第二级、SL/T803—2020和以下要求：a)具备服务器主机信息采集能力；b)提供数据处理系统的热冗余；c)具备本地数据备份与恢复功能。5.4.1.2水利业务网终端安全要求应符合GB/T22239—2019第二级、SL/T803—2020和以下要求：DB41/T2534—20234a)具备唯一标识，并实现用户与终端实名绑定；b)采用密码技术、口令认证、生物技术和MAC认证等鉴别技术对用户进行身份认证。5.4.2第三级要求5.4.2.1水利业务网系统安全要求应符合第二级和以下要求：a)设置并启用管理系统外联控制策略，对管理终端未经授权的外联行为进行监测和处置；b)对重要计算设备和系统采用两种或两种以上组合鉴别技术鉴别用户身份；c)对重要计算设备异常行为进行实时监测，并提供报警和阻断；d)采用加密技术，对重要业务数据、水利工程技术数据、重要个人信息、重要视频数据、重要审计数据、身份鉴别数据等数据信息的传输和存储进行加密。5.4.2.2水利业务网终端安全要求应符合第二级和以下要求：a)基于角色的应用访问控制实现最小授权；b)对终端环境进行检测和评估，根据评估情况动态调整其应用访问权限；c)通过沙箱技术提供重要系统的安全访问环境；d)具备对恶意代码进程级别隔离的能力；e)终端操作系统、管理系统、防病毒系统统一安全防护策略。5.5云安全5.5.1第二级要求应符合GB/T22239—2019第二级的要求。5.5.2第三级要求应符合GB/T22239—2019第三级和以下要求：a)通过云安全管理平台，对物理和虚拟资源进行安全防护、监测、告警和攻击阻断；b)能检测虚拟机之间的资源隔离失效、非授权操作、恶意代码感染和入侵行为等异常，进行告警和管控；c)虚拟机部署环境具备访问控制、网络攻击防护、运维审计、云内南北向和东西向流量防护等安全防范措施。6移动互联安全6.1第二级要求应符合GB/T22239—2019第二级的要求。6.2第三级要求应符合GB/T22239—2019第三级和以下要求：a)对接入的移动客户端软件，在入网前进行安全评估检测；b)对终端环境进行检测和评估，根据评估情况动态调整其应用访问权限；DB41/T2534—20235c)监测非授权移动客户端软件；d)对移动应用采集的个人相关信息，进行合规管控；e)采用统一认证、加密技术，实现对移动应用的安全保护；f)支持多层NAT场景下基于会话的精准阻断，并支持配置策略生效时段和老化时间；g)采用沙箱技术，使终端访问水利业务网敏感应用系统下载的数据只能落入沙箱加密隔离存放，且数据使用和外发行为受控，防止数据泄露。7水利物联网安全7.1第二级要求应符合GB/T22239—2019第二级的要求。7.2第三级要求应符合GB/T22239—2019第三级、GB35114—2017、GB/T28181—2022和以下要求：a)采用国密算法对传输链路进行加密；b)对连接到水利物联网的设备进行准入控制；c)接入终端应支持IPv6和IPv4双栈。8水利工业控制系统安全8.1第二级要求应符合GB/T22239—2019第二级的要求。8.2第三级要求应符合GB/T22239—2019第三级和以下要求：a)水利工业控制系统与水利业务网之间采用物理隔离措施；b)对服务器和客户端操作系统进行安全加固，采用数字认证、访问控制等安全措施；c)基于硬件密码模块，对重要通信过程进行加密；d)对控制设备和系统，在上线前进行安全性检测；e)对工业控制系统分别提供开发测试和运行环境；f)控制设备固件更新前进行评估和测试；g)对工业控制系统的安全信息进行采集、分析与预警；h)对工业控制环网采取安全监测措施。9数据安全保护9.1第二级要求应符合以下要求：a)数据在境内存储；b)采用数据隔离、脱敏技术，实现不同等级网络之间的数据交换。9.2第三级要求DB41/T2534—20236应符合第二级和以下要求：a)建立数据异地备份机制，并定期对备份数据进行验证测试；b)建立业务连续性管理及容灾备份机制，保障重要业务系统的业务连续性；c)采用密码技术、防泄漏技术等，保证重要数据在传输、存储