版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ICS
35.030CCS
L
0941 DB41/T
2534—2023水利网络安全建设技术规范
发布
实施河南省市场监督管理局 发
布DB41/T
2534—2023 1
...............................................................................
12 规范性引用文件
.....................................................................
13 术语和定义
.........................................................................
14 总体要求
...........................................................................
15 水利网络安全
.......................................................................
26 移动互联安全
.......................................................................
47 水利物联网安全
.....................................................................
58 水利工业控制系统安全
...............................................................
59 数据安全保护
.......................................................................
510 视频会商系统安全
..................................................................
6DB41/T
2534—2023 本文件按照GB/T
—《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由河南省水利厅提出。本文件由河南省水利标准化技术委员会归口。本文件起草单位:河南省水文水资源中心、华北水利水电大学。晓敏、朱齐亮、侯爵。IIDB41/T
2534—20231 范围保护和视频会商系统安全等建设要求。本文件适用于水利系统水利网络安全建设。2规范性引用文件文件。GB/T
22239—2019信息安全技术网络安全等级保护基本要求GB/T
28181—2022 公共安全视频监控联网系统信息传输、交换、控制技术要求GB
35114—2017 公共安全视频监控联网信息安全技术要求GB/T
35273—2020 信息安全技术 个人信息安全规范SL/T
—2020 水利网络安全保护技术规范3 术语和定义SL/T
—2020界定的以及下列术语和定义适用于本文件。3.1水利网络集、存储、传输、交换、处理的网络系统。3.2水利物联网态监测、采集、传输水利要素、状态和事件的信息网络。3.3水利业务网水利行业各单位网络互联构成的非涉密专用网络。3.4水利工业控制系统用于承载水利工程中水网调度,水库、大坝、闸门、水力发电、供排水监控等水利业务。4 总体要求4.1 先进性DB41/T
2534—2023应采用成熟先进的信息系统和网络安全设备,最大限度的满足各项功能需求。4.2安全性应采用具有安全可信的网络安全设备和技术进行水利网络安全建设。4.3 扩展性水利网络安全建设应具备灵活扩展的能力。5 水利网络安全5.1 安全物理环境5.1.1 第二级要求应符合GB/T
22239—2019第二级的要求。5.1.2第三级要求应符合GB/T
22239—2019第三级的要求,机房门禁系统还应采用国密算法。5.2 安全通信网络5.2.1 第二级要求应符合GB/T
22239—2019第二级、SL/T
—2020和以下要求:a)
目的地址、源端口、目的端口、网络协议允许或拒绝访问的要求,对进出网络的数据流实现基于协议和内容的控制;b)
在无线局域网启用“
企业/WPA2
动态主机配置协议服务器分配或使用本单位统一规划的静态地址,并采取准入控制措施;c)
部署专用加密网关设备,通过构建加密通道的方式实现通信数据传输的完整性、保密性,采用国家密码体系技术实现在公共传输通道上建立可信虚拟专用通道;d)
在网络关键节点处部署的网络设备、安全设备同时支持互联网协议第
6
IPv6协议第
4
IPv4)双栈;e)
通过部署单向或双向物理隔离设备,依据交换的数据类型配置访问控制策略,在跨网数据交互过程中通过可靠的技术隔离手段进行数据的交互。5.2.2 第三级要求应符合第二级a)、b)、c)、d)和以下要求:a)
设置数据安全交换平台,依据交换的数据类型配置访问控制策略,在跨网数据交互过程中通过可靠的技术隔离手段进行数据的交互,数据交互平台需提供业务数据抽取、装载、数据安全检测能力;b)
提供通信线路、关键网络设备、安全设备的硬件冗余;c)
在网络关键节点部署流量采集分析设备,对全网安全进行感知;d)
网络规划按照“核心层-汇聚层-接入层”的三层网络架构规划,并基于虚拟局域网(VLAN)技术划分虚拟局域网。DB41/T
2534—20235.3安全区域边界5.3.1 第二级要求5.3.1.1 应符合
GB/T
22239—2019
第二级、SL/T
—2020
和以下要求:a)
默认情况下(除允许的通信外)拒绝所有通信,删除多余或无效的访问控制规则,访问控制规则数量最小化;b)
配置恶意代码防护措施,保持恶意代码防护机制的升级和更新。5.3.1.2水利业务网与其他行业网络连接边界安全应符合
和以下要求:a)
部署数据安全交换通道;b)
配置实时漏洞分析措施。5.3.1.3 水利业务网内部互联边界安全应符合
5.3.1.1
和以下要求:a)
在网络边界处进行安全审计,审计重要用户行为和重要网络安全事件,并对审计记录进行定期备份,保存时间不低于
180
d;b)
具备对无特征病毒的检测措施。5.3.1.4 水利业务网与互联网连接边界安全应符合
5.3.1.3
和以下要求:a)
部署单向数据导入,用于数据的安全交互和传输;b)
具备分布式异常流量攻击防护系统,防范拒绝服务攻击。5.3.2 第三级要求5.3.2.1
水利业务网边界安全与第二级要求相同。5.3.2.2
水利业务网与其他行业网络连接边界安全应符合第二级和以下要求:a)
具备对外部访问主体的认证和鉴权机制;b)
具备对传输数据类型进行审计和控制的能力。5.3.2.3
水利业务网内部互联边界安全应符合第二级和以下要求:a)
通过网络准入认证措施,保证网络边界的完整性,监测并限制网络内的非法外联行为;b)
在重要边界节点采集网络端流量数据,发现已知和未知的恶意软件,发现利用零日漏洞的高级可持续性攻击行为,保护网络免遭零日等攻击造成的各种风险。5.3.2.4 水利业务网与互联网连接边界安全应符合第二级和以下要求:a)
对通过互联网对接的业务系统进行应用层安全防护;b)
对通过互联网对接的业务系统隐藏访问端口。5.4 安全计算环境5.4.1 第二级要求5.4.1.1 水利业务网系统安全要求应符合GB/T
22239—2019第二级、SL/T
—2020和以下要求:a)
具备服务器主机信息采集能力;b)
提供数据处理系统的热冗余;c)
具备本地数据备份与恢复功能。5.4.1.2 水利业务网终端安全要求应符合GB/T
22239—2019第二级、SL/T
—2020和以下要求:DB41/T
2534—2023a)
具备唯一标识,并实现用户与终端实名绑定;b)
采用密码技术、口令认证、生物技术和
认证等鉴别技术对用户进行身份认证。5.4.2 第三级要求5.4.2.1 水利业务网系统安全要求应符合第二级和以下要求:a)
设置并启用管理系统外联控制策略,对管理终端未经授权的外联行为进行监测和处置;b)
对重要计算设备和系统采用两种或两种以上组合鉴别技术鉴别用户身份;c)
对重要计算设备异常行为进行实时监测,并提供报警和阻断;d)
采用加密技术,对重要业务数据、水利工程技术数据、重要个人信息、重要视频数据、重要审计数据、身份鉴别数据等数据信息的传输和存储进行加密。5.4.2.2 水利业务网终端安全要求应符合第二级和以下要求:a)
基于角色的应用访问控制实现最小授权;b)
对终端环境进行检测和评估,根据评估情况动态调整其应用访问权限;c)
通过沙箱技术提供重要系统的安全访问环境;d)
具备对恶意代码进程级别隔离的能力;e)
终端操作系统、管理系统、防病毒系统统一安全防护策略。5.5 云安全5.5.1 第二级要求应符合GB/T
22239—2019第二级的要求。5.5.2 第三级要求应符合GB/T
22239—2019第三级和以下要求:a)
通过云安全管理平台,对物理和虚拟资源进行安全防护、监测、告警和攻击阻断;b)
能检测虚拟机之间的资源隔离失效、非授权操作、恶意代码感染和入侵行为等异常,进行告警和管控;c)
虚拟机部署环境具备访问控制、网络攻击防护、运维审计、云内南北向和东西向流量防护等安全防范措施。6 移动互联安全6.1 第二级要求应符合GB/T
22239—2019第二级的要求。6.2 第三级要求应符合GB/T
22239—2019第三级和以下要求:a)
对接入的移动客户端软件,在入网前进行安全评估检测;b)
对终端环境进行检测和评估,根据评估情况动态调整其应用访问权限;DB41/T
2534—2023c)
监测非授权移动客户端软件;d)
对移动应用采集的个人相关信息,进行合规管控;e)
采用统一认证、加密技术,实现对移动应用的安全保护;f)
支持多层
场景下基于会话的精准阻断,并支持配置策略生效时段和老化时间;g)
采用沙箱技术,使终端访问水利业务网敏感应用系统下载的数据只能落入沙箱加密隔离存放,且数据使用和外发行为受控,防止数据泄露。7 水利物联网安全7.1 第二级要求应符合GB/T
22239—2019第二级的要求。7.2 第三级要求应符合GB/T
22239—2019第三级、GB
35114—2017、GB/T
28181—2022和以下要求:a)
采用国密算法对传输链路进行加密;b)
对连接到水利物联网的设备进行准入控制;c)
接入终端应支持
IPv6
和
IPv4
双栈。8 水利工业控制系统安全8.1 第二级要求应符合GB/T
22239—2019第二级的要求。8.2 第三级要求应符合GB/T
22239—2019第三级和以下要求:a)
水利工业控制系统与水利业务网之间采用物理隔离措施;b)
对服务器和客户端操作系统进行安全加固,采用数字认证、访问控制等安全措施;c)
基于硬件密码模块,对重要通信过程进行加密;d)
对控制设备和系统,在上线前进行安全性检测;e)
对工业控制系统分别提供开发测试和运行环境;f)
控制设备固件更新前进行评估和测试;g)
对工业控制系统的安全信息进行采集、分析与预警;h)
对工业控制环网采取安全监测措施。9 数据安全保护9.1 第二级要求应符合以下要求:a)
数据在境内存储;b)
采用数据隔离、脱敏技术,实现不同等级网络之间的数据交换。9.2 第三级要求DB41/T
2534—2023应符合第二级和以下要求:a)
建立数据异地备份机制,并定期对备份数据进行验证测试;b)
建立业务连续性管理及容灾备份机制,保障重要业务系统的业务连续性;c)
采用密码技术、防泄漏技术等,
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 工地简单劳务合同范本2024年
- 2024版公司之间合作协议书范本
- 车辆运输服务租赁合同
- 蔬菜销售居间合同2024年
- 2024章珊的离婚协议书
- 房屋分家析产协议范文书
- 外墙干挂石承包施工合同2024年
- 2024年夫妻离婚协议房产给一方
- 2024工程机械维修承包合同
- 合富置业租赁合同2024年
- 2024年一带一路金砖大赛(轨道车辆电气检修赛项)理论考试题库-下(多选、判断题)
- 2024年新青岛版六三制四年级上册科学全册知识点 (炫彩版)
- 2024至2030年中国海底数据中心行业市场调查研究及投资潜力预测报告
- 水工闸门技能大赛理论考试题库(浓缩500题)
- 2024-2030年中国铝箔行业市场发展分析及投资前景与投资风险研究报告
- 2024年正规离婚协议模板(5篇)
- 六安2024年安徽六安金安区双河镇村级后备干部招考10人笔试历年典型考题及考点附答案解析
- 数据库房产中介管理系统课程设计报告
- 植物病虫害防治技能大赛规程
- 带货主播职业生涯规划书
- 铺床法评分标准
评论
0/150
提交评论