《水利网络安全建设技术规范》（征求意见稿）

ICS35.030CCSL0941XXX名(征求意见稿)河南省市场监督管理局发布IXXXXXX前言 II 2规范性引用文件 13术语和定义 14总体要求 25网络安全体系架构 26网络安全技术要求 37工业控制系统要求 88云与虚拟化安全要求 99移动网络安全要求 9要求 10求 10求 11力 11能力 14 15 17前TXXXXXX言件的结构和起草规则》的规定本文件主要起草人：张明贵王骏任建勋宋博赵新强刘念龙杨栓李延峰宋金喜闫晓侯爵1XXXXXX范系统网络安全保护总体要求、网络安全技术体系框架、网络安全技术要设规范、云与虚拟化安全建设规范、移动网安全建设规范、物联网安全建设规设规范、视频会商安全建设规范、安全监测预警能力、应急响应与处理能力、安系统网络安全等级保护等级为二级和三级的水利网络安全保护对象的网络引用文件性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适GBT239—2019信息安全技术网络安全等级保护基本要求GBT240—2020信息安全技术网络安全等级保护定级指南GBT70—2019信息安全技术网络安全等级保护安全设计技术要求GBT1—2022公共安全视频监控联网系统信息传输、交换、控制技术要求GBT448—2019信息安全技术网络安全等级保护测评要求GBT19—2016信息安全技术工业控制系统安全控制应用指南GBT88—2019信息安全技术数据安全能力成熟度模型GBT86—2021信息安全技术信息系统密码应用基本要求SLT0水利网络安全保护技术规范义GB/T32919、GB/T22239、GB/T25070、GB/T20984、GB/T28448界定的以及下列术语和定义适防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处源的模式。2XXXXXX术语，它包括多种T业生产中使用的控制系统.包括监控和数据采集系和其他较小的控制系统，如可编程逻辑控制器，现已广泛应用在工业部门和关键重定向技术在终端上创建一个与个人环境完全逻辑隔离的环境，实现对沙箱中运行的软件(应用程序)所有系统操作的管控，并能对沙箱中运行的软件(应用程序)实施通信加外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控等数据保4总体要求.1基本原则.1.1业务驱动原则息系统的业务类型，明确网络安全建设目标和内容，满足河南省水利信息系4.1.2安全性原则.1.3节约性原则、系统等情况进行全面梳理，评估，整合资源，分等级精准制定下级单位安全4.1.4智能便捷原则易应用、网络安全体系架构3XXXXXX全技术要求安全物理环境第二级要求第二级要求应以承载最高网络安全保护等级为第二级的保护对象，应符合GB/T50174-2017的C级a房不应设置在厕所、浴室或其他易积水、潮湿场所正下方或贴邻，不应设置在变压器、配b)机房应远离粉尘、油烟、有害气体、强振动源、强噪声源场所及生产、储存具有腐蚀性、易第三级要求第三级要求应以承载最高网络安全保护等级为第三级的保护对象，应符合GB/T50174-2017的B级b)对专用移动存储介质进行统一管理，记录介质领用、接入使用、交回、维修、报废、销毁等c；安全通信网络4XXXXXX第二级要求a署下一代防火墙作为访问控制网关，划分安全域，配置网络安全访问控制策略，明确源地、目的端口、网络协议允许或拒绝访问的要求，对进出网络的数据流b)通过部署单向导入或网闸作为数据交换网关，依据交换的数据类型配置访问控制策略，在跨d)基于SSLVPN/IPsecVPN加密通道的方式实现通信传输数据完整性、保密性保护,部署专用SSLVPN/IPsecVPN网关设备，采用国家密码体系技术实现在公共传输通道上建立可信虚拟第三级要求b)部署设置下一代防火墙作为访问控制网关，划分安全域，配置网络安全访问控制策略，明确、源端口、目的端口、网络协议允许或拒绝访问的要求，对进出网络的数c设置数据安全交换平台，依据交换的数据类型配置访问控制策略，在跨网数据交互隔离手段进行数据的交互，数据交互平台需提供业务数据抽取/装fSSLIPsecVPN加密通道的方式实现通信传输数据完整性、保密性保护,部署专用SSLVPNIPsecVPN设备，采用国家密码体系技术实现在公共传输通道上建立可信虚拟专用g；h)在网络传输关键节点部署设置网络流量采集分析设备，对关键节点的安全状态和数据传输过安全区域边界边界通用要求5XXXXXX网边界是指与水利业务网连接的安全域或网络边界，包括上联边界和下联边界；外联网边界边界。第二级要求a署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问c界进行安全审计，审计重要用户行为和重要网络安全事件，并可对审计记录进行定a)在互联网边界部署分布式异常流量攻击防护系统，防范DDOS攻击(拒绝服务攻击)；b)部署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问e界进行安全审计，审计重要用户行为和重要网络安全事件，加强对内部人员网络：a署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问6XXXXXXa署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问第三级要求a署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问c界进行安全审计，审计重要用户行为和重要网络安全事件，并可对审计记录进行定e)在重要边界节点采集网络端流量数据，发现已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破a)在互联网边界部署分布式异常流量攻击防护系统，防范DDOS攻击(拒绝服务攻击)；b)部署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问e界进行安全审计，审计重要用户行为和重要网络安全事件，加强对内部人员网络a署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问a署下一代防火墙设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则，默认情况下(除允许的通信外)拒绝所有通信，删除多余或无效的访问控制规则，访问cd的过滤机制。安全计算环境第二级要求7XXXXXX水利业务网系统安全要求a用集中统一管理方式，对终端和服务器进行管理，安装系统补丁、实施病毒库升级和病毒d系统用户注册审批和员工账户注销管理，不应将工作邮件自动转发至私人或境外邮f、计划任务、水利业务网终端安全要求1终端接入专网之前，用户终端应通过身份认证，非授权的用户终端不允许接入专网，应当a入专网的用户终端应具备唯一标识，唯一标识的信息应至少包括使用者信息和终端设备信2终端接入专网之前，应通过安全接入检查，不符合要求的终端不允许接入专网，应检查以3终端接入专网后，应当通过防范恶意代码的具体措施，可实现对终端的恶意代码进行检a过多种措施实现对恶意代码进行分析和检测，应结合病毒特征库，人工智能分析等技术提c)终端接入通过身份认证和安全检查后，应采用密码技术保证通信传输安全;d技术保证数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重第三级要求水利业务网系统安全要求a置并启用管理系统外联控制策略，对管理终端未经授权的外联行为进行监测和处置，未经B8XXXXXXb)对重要计算设备和系统采用密码技术、生物技术等两种或两种以上组合的鉴别技术鉴别用户c算设备的入侵或异常行为进行实时监测，并在发生严重入侵事件时，提供报警和阻d技术，对身份鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频e进行安全审计，包括前台用户的注册、登录、关键业务操作等行为日志记录，后、网站内容编辑、审核及发布等行为日志记录，系统管理用户的登系统管理操作日志记录；宜指定独立的审计管理员，负责管理审计日g、计划任务、h)提供重要数据的本地数据备份与恢复功能;水利业务网终端安全要求1终端接入专网之前，用户终端应通过身份认证，非授权的用户终端不允许接入专网，应当a入专网的用户终端应具备唯一标识，唯一标识的信息应至少包括使用者信息和终端设备信2终端接入专网之前，应通过安全接入检查，不符合要求的终端不允许接入专网，应检查以3终端接入专网后，应当通过防范恶意代码的具体措施，可实现对终端的恶意代码进行检a过多种措施实现对恶意代码进行分析和检测，应结合病毒特征库，人工智能分析等技术提4终端接入通过身份认证和安全检查后，应采用密码技术保证通信传输安全，应当满足以下a用密码技术保证数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重d9XXXXXX求要求控制系统扩展安全应符合GB/T22239-2019第二级的工业控制系统安全扩展要求，工业控制系要求控制系统扩展安全除符合GB/T22239-2019第三级的工业控制系统安全扩展要求外，还应符合b)服务器和客户端均应使用安全加固的操作系统，并采取数字证书认证、传输加密和访问控制c除控制设备的软盘驱动、光盘驱动、串行口、多余网口或服务端口等；确需保留的；拟化安全要求第二级要求第三级要求扩展安全除符合GB/T22239-2019第三级的云计算安全扩展要求外，还应符合下列要b)能检测虚拟机之间的资源隔离失效、非授权操作、恶意代码感染和入侵行为等异常，进行告c部署环境具备访问控制，网络攻击防护、运维审计、云内南北向和东西向流量防护移动网络安全要求.1第二级要求.2第三级要求XXXXXX动互联扩展安全除符合GB/T22239-2019第三级的移动互联安全扩展要求外，还应符合下列要cg箱技术，确保终端访问水利业务网敏感应用系统下载的数据只能落入沙箱加密隔离存外发行为受控，防止终端数据泄露，且沙箱所使用密码技术应满足国家密GBT物联网扩展安全应符合GB/T22239-2019第三级的物联网安全扩展要求及GB/T28181-2022中的安全c技术、防泄漏技术等，保证重要数据在传输、存储过程中的完整性和保密性，包括别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重d隔离技术，建设数据交换平台，实现不同敏感程度网络之间的数据交换，增强数据e输、披露应符合要求GB/T35273-2020，严格控制重要数交换、共享和导出等关键环节，并采取加密、脱敏、去标识化等技术手XXXXXXd技术、防泄漏技术等，保证重要数据在传输、存储过程中的完整性和保密性，包括别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重e离技术，建设数据交换平台，实现不同敏感程度网络之间的数据交换，增强数据f据异地备份机制，并定期对备份有效性进行测试，实现业务和数据抵御地域性灾难的h)建立业务连续性管理及容灾备份机制，重要系统和数据库应实现异地备份；安全性要求高的视频会商系统应符合GB/T22239-2019第三级的物联网安全扩展要求及GB/T28181-2022和GB/T频接入安全要求外，还应符合以下要求:a视频会商系统接入边界部署下一代防火墙，保障非法接入视频会商系统的过滤和攻击的防b)定期对视频会商系统进行漏洞扫描，掌握视频会商系统的暴漏面和脆弱性情况并及时修复漏视频会商系统应符合GB/T22239-2019第三级的物联网安全扩展要求及GB/T28181-2022和GB/T频接入安全要求外，还应符合以下要求:a视频会商系统接入边界部署下一代防火墙，保障非法接入视频会商系统的过滤和攻击的防b)定期对视频会商系统进行漏洞扫描，掌握视频会商系统的暴漏面和脆弱性情况并及时修复漏c频会商使用协议识别和过滤的能力，确保视频会商系统所传输图像和视频的唯一；d频会商系统使用期间带宽保障的能力，确保视频会商系统稳定正常运行，画面流XXXXXXa级系统均为网络安全等级保护第二级及以下的，应采用第二级安全要求，开展安全监测预b)定级系统最高等级含有网络安全等级保护第三级的，应采用第三级安全要求，开展安全监测c存在工业控制系统的，应在a)、b)规定基础上，落实工业控制系统扩展要求；d存在关键信息基础设施的，应在a)b)规定基础上，落实关键信息基础设施扩展要求；e安全威胁感知预警平台，预警平台宜具备安全信息采集、威胁感知、分析展示等a集网络设备、安全设备信息，包括设备型号、固件版本、物理位置、设备用途、责任单端口、启用服务、中间件版本、数据库版本、安全软件安装情况、物c设备信息，包括设备型号、系统版本、存储容量、物理位置、设备用途、责任单f理资产下各个服务进行管理，可对中间件、数据库、其他应用服务进行管理，可结合b)采集网络中所有数据平台运行状态信息，包括命中率状况、数据库等待事件、共享存储的使读的比例情况、表空间使用情况、表和索引的存储分布情况、数据总线状c服务运行状态信息，包括能否显示各个系统的登录界面，如提供登录用户，应验证XXXXXXa集网络中所有的漏洞信息，包括漏洞名称、描述、风险级别、演变过程、受影响系统、危b)采集外部厂商的漏洞报告，包括漏洞名称、描述、风险级别、演变过程、危害、详细的解决a集所有网络设备、安全设备的配置变更信息，包括操作单位、操作人员、操作时间、变更b息包括操作单位、操作人员、d信息应采集网络中主要节点的网络流量信息，包括流量大小、带宽情况、延迟情a时无死角采集机房内部和出入口视频影像、入侵报警信息，自动记录并推送机房入侵报警b)采集现场维护单位、维护人员、陪同人员、维护工具、维护对象信息，包括应用系统与设备、对维护活动的描述、被转移或替换的设备列表(包括设备标识号、起止时间及现场视频)等信息；a口、关闭端口、b、安全防护策略、物理位置、访问路径、应用指纹(web开发语言、web前端框架)、运行状态(CPU占用、内存占用、硬盘已用／可用容量)、在用端口、禁用端口、启用服务、中间件版本、安全软件安装情况、d存储设备信息，包括设备型号、系统版本、运行状态、存储已用容量、存储可用容g)实时采集设备运维信息，包括远程维护单位、维护人员、维护工具、维护对象(应用系统、设备等)、对维护活动的描述、起止时间等；h实时补充和更新资产数据。c息。要求：XXXXXX；e、责任人等。a收集威胁情报，收集来源包括内部网络、终端和部署的安全设备产生的日志数据，订阅的Pl异常流量和异常行为进行聚合分析，形成攻击故事线，还原攻击XXXXXXa于网络流量、日志记录、审计跟踪记录等数据，对用户行为进行持续自动评估，实时发现b)用户行为分析可采用统计分析、聚类分析、关联规则分析、时序数据挖掘分析等大数据分析、攻击载荷、算法模型溯源、相关网络安全设备日志等角度展示网络安全c分析，进行事件的真实性和紧急性确定，确认事件处理的网络安全运营负责人与业a过威胁分析研判，可对威胁感知系统发现的网络攻击、内部漏洞等网络安全事件进行全过件发现、分析研判、事件确定、指挥处置、溯源分析、策略优化等过程,b)进行资产、联系人、信息系统、事件类型等多角度的合并编辑，支持自定义的优先忽略等操b)通过接口与网络安全设备进行对接，提供管理入口功能，支持不直连设备的情况下对设备进c设备配置核查功能，及时发现网络安全设备因配置不合理导致的安全隐患，支持预a持多用户对网络