DB33ICS91.140.60P41浙江省地方標(biāo)準(zhǔn)DB33/T2051—2017智慧供排水信息系統(tǒng)安全技術(shù)規(guī)范Technicalspecificationforintelligentwatersupplyanddrainageinformationsystemsafety2017-09-11發(fā)布2017-10-11實(shí)施發(fā)布浙江省質(zhì)量技術(shù)監(jiān)督局DB33/T2051—2017目次前言.............................................................................................................................................................Ⅱ1范圍.................................................................................................................................................................12規(guī)范性引用文件3術(shù)語和定義.............................................................................................................................................1.....................................................................................................................................................1.............................................................................................................................................34保護(hù)原則和目標(biāo)4.1原則..........................................................................................................................................................34.2目標(biāo)..........................................................................................................................................................35安全等級劃分與保護(hù).....................................................................................................................................35.1國家信息安全保護(hù)等級劃分原則5.2國家信息系統(tǒng)安全等級劃分5.3城鎮(zhèn)供水信息系統(tǒng)安全等級劃分5.4城鎮(zhèn)排水信息系統(tǒng)安全等級劃分5.5城鎮(zhèn)供排水信息系統(tǒng)安全等級保護(hù)..........................................................................................................3..................................................................................................................3..........................................................................................................3..........................................................................................................6......................................................................................................66信息安全保護(hù)原則與保障體系.....................................................................................................................76.1信息安全保護(hù)原則6.2信息安全保障體系..................................................................................................................................7..................................................................................................................................77工控系統(tǒng)安全保護(hù).........................................................................................................................................87.1安全軟件選擇與管理7.2工控系統(tǒng)配置管理7.3邊界安全防護(hù)..............................................................................................................................8..................................................................................................................................9..........................................................................................................................................9..............................................................................................................................9..........................................................................................................................................9..........................................................................................................................................9...................................................................................................................107.4物理和環(huán)境安全防護(hù)7.5安全賬戶認(rèn)證7.6遠(yuǎn)程訪問安全7.7安全監(jiān)測及應(yīng)急預(yù)案演練7.8資產(chǎn)安全7.9數(shù)據(jù)安全7.10供應(yīng)鏈管理...............................................................................................................................................10...............................................................................................................................................10.........................................................................................................................................10IDB33/T2051—2017前言本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2009的規(guī)則起草。本標(biāo)準(zhǔn)由浙江省住房和城鄉(xiāng)建設(shè)廳提出并歸口。本標(biāo)準(zhǔn)主要起草單位：浙江省城市水業(yè)協(xié)會、寧波市供排水集團(tuán)有限公司、浙江和達(dá)科技股份有限公司、太平洋水處理工程有限公司、寧波東海集團(tuán)有限公司、杭州安信檢測技術(shù)有限公司。本標(biāo)準(zhǔn)主要起草人：柳成蔭、陳愛朝、林好斌、劉青友、滕良方、郭軍、曹瀅鋒、鮑建軍、達(dá)云祥、張嘉偉、郭健。IIDB33/T2051—2017智慧供排水信息系統(tǒng)安全技術(shù)規(guī)范1范圍本標(biāo)準(zhǔn)主要內(nèi)容包括智慧供排水信息系統(tǒng)建設(shè)原則和目標(biāo)、安全等級劃分與保護(hù)、信息安全保護(hù)原則與保障體系、水廠與污水廠工控系統(tǒng)保護(hù)等。本標(biāo)準(zhǔn)適用于浙江省智慧供排水信息系統(tǒng)安全建設(shè)、運(yùn)行與管理。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2008信息安全技術(shù)GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全等級保護(hù)定級指南3術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1信息系統(tǒng)informationsystems用于采集、處理、存儲、傳輸，分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和。3.2信息系統(tǒng)安全informationsystemssecurity通過使用合理的安全控制措施保護(hù)在存儲、處理或傳輸?shù)冗^程中的信息不被未授權(quán)用戶訪問，保并證授權(quán)用戶能夠正常使用系統(tǒng)。3.3安全保護(hù)能力securityprotectionability系統(tǒng)能夠抵御威脅、發(fā)現(xiàn)安全事件以及在系統(tǒng)遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。3.4授權(quán)authentication授予權(quán)限，包括允許基于訪問權(quán)的訪問。3.5安全策略securitypolicy1DB33/T2051—2017為信息系統(tǒng)安全管理制定的行動方針、路線、工作方式、指導(dǎo)原則或程序。3.6資產(chǎn)asset信息系統(tǒng)安全策略中所保護(hù)的信息或資源。3.7訪問控制accesscontrol按確定的規(guī)則，對實(shí)體之間的訪問活動進(jìn)行控制的安全機(jī)制，能防止對資源的未授權(quán)使用。3.8風(fēng)險(xiǎn)risk威脅利用資產(chǎn)或一組資產(chǎn)的脆弱性對組織機(jī)構(gòu)造成傷害的潛在可能。3.9攻擊attack在信息系統(tǒng)中一種繞過安全控制的行為。攻擊成功與否取決于信息系統(tǒng)的脆弱性以及現(xiàn)有對策的有效性。3.10服務(wù)集標(biāo)識ServiceSetIdentifier（簡稱一個(gè)局域網(wǎng)的名稱。SSID）3.11MAC地址Medium/MediaAccessControl用來表示互聯(lián)網(wǎng)上每一個(gè)站點(diǎn)的標(biāo)識符，采用十六進(jìn)制數(shù)表示，共六個(gè)字節(jié)（3.1248位）。數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)SupervisoryControlAndDataAcquisition（簡稱SCADA）以計(jì)算機(jī)為基礎(chǔ)的生產(chǎn)過程控制與調(diào)度自動化系統(tǒng)。3.13可編程邏輯控制器ProgrammableLogicController（簡稱PLC）專門為在工業(yè)環(huán)境下應(yīng)用而設(shè)計(jì)的數(shù)字運(yùn)算操作電子系統(tǒng)。它采用一種可編程的存儲器，在其內(nèi)部存儲執(zhí)行邏輯運(yùn)算、順序控制、定時(shí)、計(jì)數(shù)和算術(shù)運(yùn)算等操作的指令，通過數(shù)字式或模擬式的輸入輸出來控制各種類型的機(jī)械設(shè)備或生產(chǎn)過程。3.14虛擬專用網(wǎng)絡(luò)VirtualPrivateNetwork（簡稱VPN）一種在公用網(wǎng)絡(luò)上建立的專用網(wǎng)絡(luò)，并進(jìn)行加密通訊。2DB33/T2051—20173.15敏感信息sensitiveinformation企業(yè)商業(yè)機(jī)密信息或國家機(jī)密信息或未經(jīng)授權(quán)被修改會對國家、企業(yè)造成不利影響的信息。4保護(hù)原則和目標(biāo)4.1原則4.1.1保密性：保證非授權(quán)操作不能獲取受保護(hù)的信息或計(jì)算機(jī)資源。4.1.2完整性：保證非授權(quán)操作不能修改數(shù)據(jù)。4.1.3有效性：保證非授權(quán)操作不能破壞信息或計(jì)算機(jī)資源。4.1.4可控性：對信息的傳播及內(nèi)容具有控制能力。4.1.5可用性：保證合法用戶在需要時(shí)可訪問到需要的信息4.1.6易操作：能夠方便地部署各種安全策略。4.2目標(biāo)4.2.1保證信息系統(tǒng)安全、可靠、穩(wěn)定的運(yùn)行。4.2.2保證信息系統(tǒng)中的信息的保密性、完整性、可用性和抗抵賴性。4.2.3保證信息系統(tǒng)中傳播內(nèi)容的合法性。5安全等級劃分與保護(hù)5.1國家信息安全保護(hù)等級劃分原則信息系統(tǒng)的安全保護(hù)等級應(yīng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素劃分。5.2國家信息系統(tǒng)安全等級劃分根據(jù)GB/T22240-2008的規(guī)定，信息系統(tǒng)安全保護(hù)等級分為以下五級：a)第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。b)第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。c)第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。d)第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。e)第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。5.3城鎮(zhèn)供水信息系統(tǒng)安全等級劃分5.3.1水廠工控系統(tǒng)水廠工控系統(tǒng)安全等級劃分應(yīng)符合表1的規(guī)定。3

DB33/T2051—2017表1水廠工控系統(tǒng)控制系統(tǒng)安全等級日供水規(guī)模X有備用供水方案無備用供水方案X＜5萬m/d3第一級第一級第二級第一級第二級第三級5萬m/d3≤X＜30萬m/d3X≥30萬m/d35.3.2生產(chǎn)調(diào)度系統(tǒng)生產(chǎn)調(diào)度系統(tǒng)安全等級劃分應(yīng)符合表2的規(guī)定。表2生產(chǎn)調(diào)度系統(tǒng)安全等級總供水規(guī)模X只監(jiān)測不能遠(yuǎn)程控制或設(shè)置運(yùn)行參數(shù)監(jiān)測并且能遠(yuǎn)程控制或設(shè)置運(yùn)行參數(shù)X＜20萬m/d3第一級第一級第二級第一級第二級第三級20萬m/d≤X＜50萬m/d33X≥50萬m/d35.3.3管網(wǎng)地理信息系統(tǒng)管網(wǎng)地理信息系統(tǒng)安全等級劃分應(yīng)符合表3的規(guī)定。表3管網(wǎng)地理信息系統(tǒng)安全等級總供水規(guī)模X地圖不涉敏感信息第一級地圖涉敏感信息第二級X＜50萬m/d3X≥50萬m/d3第二級第三級5.3.4區(qū)域加壓泵站或閥門監(jiān)控系統(tǒng)區(qū)域加壓泵站或閥門監(jiān)控系統(tǒng)安全等級劃分應(yīng)符合表4的規(guī)定。4DB33/T2051—2017表4區(qū)域加壓泵站或閥門監(jiān)控系統(tǒng)安全等級日供水規(guī)模X只監(jiān)測不遠(yuǎn)程控制監(jiān)測且需遠(yuǎn)程控制X＜2萬m/d3第一級第一級第一級第一級第二級第三級2萬m/d3≤X＜5萬m/d3X≥5萬m/d35.3.5二次供水集中管理系統(tǒng)二次供水集中管理系統(tǒng)安全等級劃分應(yīng)符合表5的規(guī)定。表5二次供水集中管理系統(tǒng)安全等級泵房數(shù)量X（座）只監(jiān)測不能遠(yuǎn)程控制或設(shè)置運(yùn)行參數(shù)監(jiān)測并且能遠(yuǎn)程控制或設(shè)置運(yùn)行參數(shù)X＜100第一級第一級第二級第一級第二級第三級100≤X＜500X≥5005.3.6營業(yè)收費(fèi)系統(tǒng)用戶數(shù)量小于50萬的營業(yè)收費(fèi)系統(tǒng)，應(yīng)定為第一級，否則應(yīng)定為第二級。5.3.7門戶網(wǎng)站和辦公自動化系統(tǒng)縣級市供水企業(yè)門戶網(wǎng)站和辦公自動化系統(tǒng)應(yīng)定為第一級；地級市以上（含）供水企業(yè)門戶網(wǎng)站和辦公自動化系統(tǒng)為第二級。5.3.8安防系統(tǒng)公司（廠區(qū)）、城區(qū)范圍的安防系統(tǒng)攝像頭總數(shù)小于否則應(yīng)定為第二級。100個(gè)，其信息系統(tǒng)安全等級應(yīng)定為第一級，5.3.9其它信息系統(tǒng)其它信息系統(tǒng)安全等級劃分應(yīng)符合表6規(guī)定。5DB33/T2051—2017表6其它信息系統(tǒng)安全等級總供水規(guī)模X不涉敏感信息涉敏感信息X＜50萬m/d3X≥50萬m/d3第一級第二級第二級第二級5.4城鎮(zhèn)排水信息系統(tǒng)安全等級劃分5.4.1污水廠、泵站工控系統(tǒng)污水處理廠規(guī)模小于否則應(yīng)定為第二級。10萬m/d3、泵站規(guī)模小于5萬m/d3，其信息系統(tǒng)安全等級應(yīng)定為第一級，5.4.2生產(chǎn)調(diào)度系統(tǒng)排水實(shí)時(shí)生產(chǎn)調(diào)度系統(tǒng)能監(jiān)測數(shù)據(jù)但不能實(shí)行控制，其信息系統(tǒng)安全等級應(yīng)定為第一級，排水實(shí)時(shí)生產(chǎn)調(diào)度系統(tǒng)能監(jiān)測數(shù)據(jù)且能實(shí)行控制，其信息系統(tǒng)應(yīng)定為第二級。5.4.3地理信息系統(tǒng)地下管網(wǎng)地理信息系統(tǒng)地圖不涉敏感信息，其信息系統(tǒng)安全等級應(yīng)定為第一級，否則應(yīng)定為第二級。5.4.4門戶網(wǎng)站和辦公自動化系統(tǒng)縣級市及以下排水企業(yè)門戶網(wǎng)站和辦公自動化系統(tǒng)，其信息系統(tǒng)安全等級應(yīng)定為第一級；地級市及以上（含）排水企業(yè)門戶網(wǎng)站和辦公自動化系統(tǒng)，其信息系統(tǒng)安全等級應(yīng)定為第二級。5.4.5安防系統(tǒng)公司（廠區(qū)）、城區(qū)范圍的安防系統(tǒng)攝像頭總數(shù)小于否則應(yīng)定為第二級。100個(gè)，其信息系統(tǒng)安全等級應(yīng)定為第一級，5.4.6其它信息系統(tǒng)其它信息系統(tǒng)若不涉敏感信息，其信息系統(tǒng)安全等級應(yīng)定為第一級，否則應(yīng)定為第二級。5.5城鎮(zhèn)供排水信息系統(tǒng)安全等級保護(hù)5.5.1城鎮(zhèn)供排水信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力城鎮(zhèn)供排水信息系統(tǒng)的安全保護(hù)等級屬于1～3級。1～3級的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008中4.2。力見現(xiàn)行國家標(biāo)準(zhǔn)《信息安全技術(shù)5.5.2城鎮(zhèn)供排水信息系統(tǒng)安全保護(hù)能力的基本要求5.5.2.1第一級信息系統(tǒng)安全保護(hù)能力基本技術(shù)要求及管理要求見5.5.2.2第二級信息系統(tǒng)安全保護(hù)能力基本技術(shù)要求及管理要求見5.5.2.3第三級信息系統(tǒng)安全保護(hù)能力基本技術(shù)要求及管理要求見GB/T22239-2008中第5章。GB/T22239-2008中第6章。GB/T22239-2008中第7章。6DB33/T2051—2017GB/T22239-2008安全保護(hù)能力基本技術(shù)5.5.2.4水廠、污水廠工控系統(tǒng)相應(yīng)等級保護(hù)除應(yīng)符合要求及管理要求外，尚應(yīng)符合本規(guī)范第7章的規(guī)定。6信息安全保護(hù)原則與保障體系6.1保護(hù)原則6.1.1自主保護(hù)原則信息系統(tǒng)運(yùn)營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級，自行組織實(shí)施安全保護(hù)。6.1.2重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。6.1.3同步建設(shè)原則信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)與維護(hù)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。6.1.4動態(tài)調(diào)整原則應(yīng)跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級，根據(jù)信息系統(tǒng)安全保護(hù)等級的調(diào)整情況，重新實(shí)施安全保護(hù)。6.2保障體系6.2.1信息安全體系建設(shè)信息安全體系建設(shè)應(yīng)依據(jù)安全等級保護(hù)的基本要求，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理等方面綜合考慮，建設(shè)成可管理、可控制、可信任的并且融管理、運(yùn)行和技術(shù)為一體的信息安全體系。6.2.2安全管理體系信息安全管理架構(gòu)應(yīng)包括：安全組織架構(gòu)、人員管理架構(gòu)和安全管理制度架構(gòu)。應(yīng)通過建立安全管理機(jī)制、成立信息安全協(xié)調(diào)小組，明確安全管理責(zé)任人，落實(shí)安全責(zé)任制，部署安全防護(hù)措施。6.2.3安全運(yùn)行體系信息安全運(yùn)行體系應(yīng)成為技術(shù)體系和管理體系作為運(yùn)行體系的支撐，可通過運(yùn)行體系的運(yùn)行情況分析出技術(shù)體系和管理體系所存在的不足，為后期進(jìn)一步完善加強(qiáng)信息安全工作打下基礎(chǔ)。信息安全運(yùn)行體系應(yīng)包括建設(shè)管理、運(yùn)維管理、監(jiān)督檢查等。6.2.4安全技術(shù)體系6.2.4.1體系要求信息安全技術(shù)體系是其安全管理體系和安全運(yùn)行體系的交叉組成部分。安全技術(shù)體系應(yīng)是整個(gè)信息安全體系框架的基礎(chǔ)，應(yīng)包括：數(shù)據(jù)安全、系統(tǒng)安全和基礎(chǔ)設(shè)施安全。7

DB33/T2051—20176.2.4.2數(shù)據(jù)安全6.2.4.2.1數(shù)據(jù)保密性數(shù)據(jù)不得被非授權(quán)人員獲取或被獲取也不能被破解，采用數(shù)據(jù)訪問控制、數(shù)據(jù)存儲和傳輸加等技術(shù)措施實(shí)現(xiàn)。6.2.4.2.2數(shù)據(jù)完整性數(shù)據(jù)不得被未授權(quán)的篡改或在篡改后能夠被迅速發(fā)現(xiàn)，采用數(shù)據(jù)操作權(quán)限、數(shù)字簽名、數(shù)據(jù)監(jiān)控與審計(jì)等技術(shù)措施實(shí)現(xiàn)；6.2.4.2.3數(shù)據(jù)可用性保證數(shù)據(jù)能被授權(quán)者正常使用，不得因?yàn)閿?shù)據(jù)損壞而獲取不到信息，采用數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、異地災(zāi)備等技術(shù)措施實(shí)現(xiàn)。6.2.4.3系統(tǒng)安全6.2.4.3.1應(yīng)用安全應(yīng)用安全應(yīng)保障應(yīng)用程序使用過程和結(jié)果的安全，通過身份鑒別、訪問控制、安全審計(jì)等功能和配置部署，達(dá)到安全防護(hù)目標(biāo)。同時(shí)應(yīng)用系統(tǒng)的程序缺陷、錯(cuò)誤信息可能會導(dǎo)致嚴(yán)重的安全漏洞，可通過源代碼安全審計(jì)來保證程序安全性。6.2.4.3.2平臺安全平臺安全應(yīng)支應(yīng)撐用系統(tǒng)運(yùn)行的各類平臺的安全，包括操作系統(tǒng)、數(shù)據(jù)庫、開發(fā)平臺等。6.2.4.4基礎(chǔ)設(shè)施安全6.2.4.4.1物理安全物理安全應(yīng)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、火災(zāi)、水災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程，應(yīng)包括機(jī)房安全、設(shè)施安全和動力安全等方面。6.2.4.4.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全應(yīng)以網(wǎng)絡(luò)安全架構(gòu)為主體，并在此基礎(chǔ)上結(jié)合相應(yīng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和系統(tǒng)軟硬件進(jìn)行安全部署和配置，應(yīng)包括安全區(qū)域劃分、邊界安全防護(hù)、網(wǎng)絡(luò)訪問控制等方面。6.2.4.4.3通信安全通信安全應(yīng)建立在信號層面的安全，不得涉及具體的數(shù)據(jù)信息內(nèi)容，可為信息的正確、可靠傳輸提供了物理保障。應(yīng)包括通信線路安全、通信完整性、通信保密性等內(nèi)容。7工控系統(tǒng)安全保護(hù)7.1安全軟件選擇與管理7.1.1工業(yè)主機(jī)上應(yīng)采用經(jīng)過離線環(huán)境中充分驗(yàn)證測試的防病毒軟件或應(yīng)用程序白名單軟件，許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運(yùn)行。只允8

DB33/T2051—20177.1.2應(yīng)建立防病毒和惡意軟件入侵管理機(jī)制，對工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備應(yīng)采取病毒查殺等安全預(yù)防措施。7.1.3重大工控安全漏洞及補(bǔ)丁發(fā)布后，應(yīng)及時(shí)采取補(bǔ)丁升級措施，在補(bǔ)丁安裝前，應(yīng)對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗(yàn)證。7.2工控系統(tǒng)配置管理7.2.1工控系統(tǒng)應(yīng)有詳實(shí)的工控系統(tǒng)網(wǎng)絡(luò)圖，現(xiàn)場每個(gè)網(wǎng)絡(luò)接入點(diǎn)應(yīng)有明確的標(biāo)識牌，與網(wǎng)絡(luò)圖一一對應(yīng)，并即時(shí)更新。7.2.2應(yīng)建立工控系統(tǒng)配置清單并定期進(jìn)行配置審計(jì)，低于半年一次，第三級系統(tǒng)不低于三個(gè)月一次。第一級系統(tǒng)不低于一年一次，第二級系統(tǒng)不7.2.3對重大配置變更應(yīng)制定變更計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測試。7.2.4嚴(yán)禁在工控系統(tǒng)服務(wù)器、工控機(jī)、計(jì)算機(jī)上安裝非必須的軟件，除軟件自身通訊必須的網(wǎng)絡(luò)端口外，其余的網(wǎng)絡(luò)端必口須全部關(guān)閉。7.3邊界安全防護(hù)7.3.1工控網(wǎng)絡(luò)必須與其它網(wǎng)絡(luò)分開組建，嚴(yán)禁與其它網(wǎng)絡(luò)混合搭建。7.3.2工控網(wǎng)絡(luò)必須通過工業(yè)防火墻、安全防護(hù)。網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離7.3.3第二級以上的工控網(wǎng)絡(luò)采用技術(shù)手段進(jìn)行物理隔離，必須做到其它任何網(wǎng)（包括辦公網(wǎng)、互聯(lián)網(wǎng)）都無法向工控網(wǎng)傳送任何控制指令和數(shù)據(jù)。7.3.4第二級以上的系統(tǒng)要求分離工控系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。7.3.5第三級以上的工控系統(tǒng)嚴(yán)禁使用無線通信技術(shù)。第一、二級工控系統(tǒng)確需使用無線通信技術(shù)的，應(yīng)采取必要的安全措施。7.4物理和環(huán)境安全防護(hù)7.4.1核心工控軟硬件所在區(qū)域應(yīng)根據(jù)其安全等級按中心機(jī)房要求進(jìn)行物理安全防護(hù)。7.4.2必須拆除或封閉工業(yè)主機(jī)上不必要的通用串行總線（USB）、光驅(qū)等接口。確需使用通用串行總線（