1本文件規(guī)定了城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的術(shù)語(yǔ)和定義、防護(hù)對(duì)象和防護(hù)范圍、建設(shè)流程、安全責(zé)任界定、安全等級(jí)保護(hù)定級(jí)及安全防護(hù)要求。本文件適用于生產(chǎn)控制設(shè)備、信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備及相關(guān)計(jì)算機(jī)設(shè)備等城鎮(zhèn)供熱系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)。本文件適用于城鎮(zhèn)供熱企業(yè)、系統(tǒng)設(shè)計(jì)商、設(shè)備生產(chǎn)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商等對(duì)已建成和新建的城市供熱系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)建設(shè)、運(yùn)行維護(hù)等。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB50176—2016民用建筑熱工設(shè)計(jì)規(guī)范GB17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22240—2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T25070—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T31167—2014信息安全技術(shù)云計(jì)算服務(wù)安全指南GB/T31168—2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求GB/T32919—2016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南3術(shù)語(yǔ)和定義GB17859—1999，GB/T25069，GB/T22239—2019，GB/T25070—2019，GB/T31167—2014，GB/T31168—2014和GB/T32919—2016界定的及下列術(shù)語(yǔ)和定義適用于本文件。3.1信息系統(tǒng)informationsystem應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件。[來(lái)源：GB/T29246-2017，2.39]注1：信息系統(tǒng)通常由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成，并按照一定的應(yīng)用目標(biāo)和規(guī)則進(jìn)注2：典型的供熱信息系統(tǒng)如門(mén)戶網(wǎng)站系統(tǒng)、熱費(fèi)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、3.2網(wǎng)絡(luò)安全cybersecurity2通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用，防范意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能[來(lái)源：GB/T22239-2019，3.1]3.3重要數(shù)據(jù)importantdata在公司經(jīng)營(yíng)管理過(guò)程中產(chǎn)生的，雖不涉及國(guó)家秘密，但數(shù)據(jù)敏感度高，與公司利益密切相關(guān)的數(shù)據(jù)。如：供熱企業(yè)重要內(nèi)部文件、重要經(jīng)營(yíng)決策信息、用戶身份信息、供熱系統(tǒng)控制信息、重點(diǎn)區(qū)域或機(jī)構(gòu)供熱信息等。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。CPU：中央處理器（CentralProcessingUnit）CVE：通用漏洞披露（CommonVulnerabilities&Exposures）CNNVD：中國(guó)國(guó)家信息安全漏洞庫(kù)（ChinaNationalVulnerabilityDatabaseofInformationSecurity）PLC：可編程邏輯控制器（ProgrammableLogicController）5防護(hù)對(duì)象和范圍5.1防護(hù)對(duì)象5.1.1總體對(duì)象城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全防護(hù)總體對(duì)象包括城鎮(zhèn)供熱系統(tǒng)中需要進(jìn)行網(wǎng)絡(luò)安全防護(hù)的各類(lèi)系統(tǒng)及設(shè)備，包括綜合辦公系統(tǒng)、管理信息系統(tǒng)、監(jiān)控系統(tǒng)等。5.1.2綜合辦公系統(tǒng)5.1.2.1綜合辦公系統(tǒng)主要部署在供熱企業(yè)總部、各部門(mén)及分支機(jī)構(gòu)。5.1.2.2防護(hù)對(duì)象應(yīng)包括公文處理、工作安排、信息發(fā)布和應(yīng)用、郵件、單位通信錄、會(huì)議、差旅申請(qǐng)等系統(tǒng)。5.1.3管理信息系統(tǒng)5.1.3.1管理信息系統(tǒng)主要部署在企業(yè)業(yè)務(wù)管理部門(mén)。5.1.3.2防護(hù)對(duì)象應(yīng)包括門(mén)戶網(wǎng)站系統(tǒng)、熱費(fèi)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、物資采購(gòu)管理系統(tǒng)、合同管理系統(tǒng)、客服系統(tǒng)、地理信息系統(tǒng)等。5.1.4監(jiān)控系統(tǒng)35.1.4.1監(jiān)控系統(tǒng)主要部署在企業(yè)生產(chǎn)管理控制中心及“源-網(wǎng)-站-線-戶”五個(gè)供熱系統(tǒng)環(huán)節(jié)。5.1.4.2防護(hù)對(duì)象應(yīng)包括生產(chǎn)管理控制系統(tǒng)、安全管理控制系統(tǒng)、熱源子系統(tǒng)、一級(jí)管網(wǎng)子系統(tǒng)、熱力站子系統(tǒng)、二級(jí)管網(wǎng)子系統(tǒng)、用戶端子系統(tǒng)等。5.2防護(hù)范圍5.2.1總體范圍城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全防護(hù)范圍包括防護(hù)對(duì)象所涉及的各個(gè)應(yīng)用，并應(yīng)包括物理環(huán)境、計(jì)算環(huán)境、通信網(wǎng)絡(luò)、安全管理中心等。5.2.2物理環(huán)境5.2.2.1綜合辦公系統(tǒng)的物理環(huán)境應(yīng)包括運(yùn)行該系統(tǒng)的服務(wù)器（包括云服務(wù)器）及維護(hù)終端計(jì)算機(jī)所處的計(jì)算機(jī)房（簡(jiǎn)稱機(jī)房）。5.2.2.2管理信息系統(tǒng)的物理環(huán)境應(yīng)包括運(yùn)行該系統(tǒng)的主要服務(wù)器（包括云服務(wù)器）及維護(hù)終端計(jì)算機(jī)所處的機(jī)房。5.2.2.3監(jiān)控系統(tǒng)的物理環(huán)境應(yīng)包括運(yùn)行該系統(tǒng)的服務(wù)器（包括云服務(wù)器）及維護(hù)終端計(jì)算機(jī)所處的計(jì)算機(jī)房，以及熱源、熱力站、管線小室等生產(chǎn)現(xiàn)場(chǎng)的物理環(huán)境。5.2.3計(jì)算環(huán)境5.2.3.1綜合辦公系統(tǒng)的計(jì)算環(huán)境應(yīng)包括運(yùn)行該系統(tǒng)的服務(wù)器和終端計(jì)算機(jī)等硬件，以及操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、云操作系統(tǒng)（包括虛擬化、公有云、私有云、混合云）等基礎(chǔ)軟件。5.2.3.2管理信息系統(tǒng)的計(jì)算環(huán)境應(yīng)包括運(yùn)行該系統(tǒng)的服務(wù)器和終端PC物理機(jī)等硬件，以及操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、云操作系統(tǒng)（包括虛擬化、公有云、私有云、混合云）等基礎(chǔ)軟件。5.2.3.3監(jiān)控系統(tǒng)的計(jì)算環(huán)境應(yīng)包括上位部分的服務(wù)器及終端PC物理機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、云操作系統(tǒng)（包括虛擬化、公有云、私有云、混合云）等，還應(yīng)包括下位部分的控制設(shè)備（包括熱源DCS系統(tǒng)、熱力站PLC等）及其操作系統(tǒng)、數(shù)據(jù)庫(kù)、邊緣計(jì)算器等。5.2.4通信網(wǎng)絡(luò)5.2.4.1綜合辦公系統(tǒng)的通信網(wǎng)絡(luò)應(yīng)包括服務(wù)器、終端計(jì)算機(jī)之間的網(wǎng)絡(luò)通信設(shè)備（包括但不限于有線或無(wú)線交換機(jī)、路由器等）及通信線路等。5.2.4.2管理信息系統(tǒng)的通信網(wǎng)絡(luò)應(yīng)包括服務(wù)器、終端PC物理機(jī)之間的網(wǎng)絡(luò)通信設(shè)備（包括有線或無(wú)線交換機(jī)、路由器等）及通信線路等。5.2.4.3監(jiān)控系統(tǒng)的通信網(wǎng)絡(luò)應(yīng)包括上位部分服務(wù)器、終端PC物理機(jī)之間的網(wǎng)絡(luò)通信設(shè)備（包括有線或無(wú)線交換機(jī)、路由器等）及通信線路，還應(yīng)包括下位部分的熱源、熱力站內(nèi)部網(wǎng)絡(luò)，以及上下位之間的通信專(zhuān)線、無(wú)線設(shè)備、無(wú)線網(wǎng)絡(luò)、天線設(shè)備等。5.2.5安全管理中心5.2.5.1綜合辦公系統(tǒng)防護(hù)范圍應(yīng)包括物理安全、計(jì)算環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全的相關(guān)安全和設(shè)備等。45.2.5.2管理信系統(tǒng)息系統(tǒng)防護(hù)范圍應(yīng)包括系統(tǒng)的物理安全、計(jì)算環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全的相關(guān)安全系統(tǒng)和設(shè)備等。5.2.5.2監(jiān)控系統(tǒng)防護(hù)范圍應(yīng)包括供熱監(jiān)控系統(tǒng)的物理安全、計(jì)算環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全的相關(guān)安全系統(tǒng)和設(shè)備等。5.3區(qū)域邊界5.3.1綜合辦公系統(tǒng)應(yīng)位于獨(dú)立的安全域，并應(yīng)根據(jù)不同子系統(tǒng)的安全域進(jìn)行設(shè)置，各子系統(tǒng)服務(wù)器和終端計(jì)算機(jī)應(yīng)劃分不同安全域，在各子系統(tǒng)服務(wù)器之間、各服務(wù)器與終端計(jì)算機(jī)之間應(yīng)設(shè)置區(qū)域邊界。5.3.2管理信息系統(tǒng)應(yīng)建立獨(dú)立的安全域，并應(yīng)符合下列規(guī)定：a）不同子系統(tǒng)應(yīng)設(shè)置獨(dú)立的安全域；b）各子系統(tǒng)服務(wù)器之間、各服務(wù)器與終端PC之間應(yīng)設(shè)置區(qū)域邊界。5.3.3監(jiān)控系統(tǒng)應(yīng)建立獨(dú)立的安全域，并應(yīng)符合下列規(guī)定：a）上位部分應(yīng)根據(jù)不同子系統(tǒng)的安全域設(shè)置區(qū)域邊界。各子系統(tǒng)服務(wù)器和終端PC應(yīng)劃分不同安全域，各子系統(tǒng)服務(wù)器之間、各服務(wù)器與終端PC之間應(yīng)設(shè)置區(qū)域邊界；b）供熱監(jiān)控系統(tǒng)上位部分與下位部分之間應(yīng)設(shè)置區(qū)域邊界，供熱監(jiān)控系統(tǒng)網(wǎng)絡(luò)與供熱管理系統(tǒng)網(wǎng)絡(luò)之間應(yīng)設(shè)置區(qū)域邊界。6建設(shè)流程6.1總體要求6.1.1城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全的建設(shè)應(yīng)按下列步驟進(jìn)行：a）確定防護(hù)對(duì)象及范圍；b）確定安全防護(hù)等級(jí)；c）制定安全防護(hù)方案；d）實(shí)施安全防護(hù)措施；e）驗(yàn)收與評(píng)估；f）持續(xù)監(jiān)控與改進(jìn)。6.1.2城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全的建設(shè)應(yīng)確保系統(tǒng)的安全性、可靠性和合規(guī)性。6.2確定防護(hù)對(duì)象及范圍確定網(wǎng)絡(luò)安全防護(hù)的對(duì)象和具體防護(hù)范圍。6.3確定安全防護(hù)等級(jí)網(wǎng)絡(luò)安全防護(hù)等級(jí)應(yīng)根據(jù)系統(tǒng)的重要性和潛在風(fēng)險(xiǎn)，按第8章的規(guī)定進(jìn)行防護(hù)等級(jí)的確6.4制定安全防護(hù)方案安全防護(hù)方案應(yīng)根據(jù)防護(hù)對(duì)象和防護(hù)等級(jí)制定，并應(yīng)包括下列內(nèi)容：a）安全策略：明確系統(tǒng)的安全目標(biāo)、安全原則和安全措施；5b）技術(shù)措施：根據(jù)防護(hù)等級(jí)，選擇合適的安全技術(shù)措施，如防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)加密等；c）管理措施：制定安全管理制度，并應(yīng)包括人員管理、訪問(wèn)控制、安全審計(jì)等；d）應(yīng)急響應(yīng)計(jì)劃：應(yīng)制定應(yīng)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)計(jì)劃，確保在發(fā)生安全事件時(shí)應(yīng)能夠迅速、有效地進(jìn)行處理。6.5實(shí)施安全防護(hù)措施安全防護(hù)措施應(yīng)按制定的安全防護(hù)方案實(shí)施，并應(yīng)包括下列內(nèi)容：a）設(shè)備選型與部署：選擇符合安全要求的設(shè)備，并應(yīng)進(jìn)行合理部署；b）系統(tǒng)配置與優(yōu)化：對(duì)系統(tǒng)進(jìn)行安全配置，各項(xiàng)安全措施應(yīng)具備有效性；c）人員培訓(xùn)與管理：對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)，并應(yīng)具備安全意識(shí)和操作技能。6.6驗(yàn)收與評(píng)估在安全防護(hù)措施實(shí)施完成后，應(yīng)進(jìn)行驗(yàn)收與評(píng)估，安全防護(hù)系統(tǒng)應(yīng)符合預(yù)定的安全防護(hù)要求。驗(yàn)收與評(píng)估應(yīng)包括下列內(nèi)容：a）技術(shù)驗(yàn)證：對(duì)實(shí)施的安全技術(shù)措施進(jìn)行驗(yàn)證，并應(yīng)其有效性和可靠性；b）管理審查：審查安全管理制度的執(zhí)行情況，并應(yīng)其符合要求；c）性能評(píng)估：評(píng)估系統(tǒng)的性能，安全防護(hù)措施不應(yīng)對(duì)系統(tǒng)正常運(yùn)行產(chǎn)生負(fù)面影響。6.7持續(xù)監(jiān)控與改進(jìn)安全防護(hù)應(yīng)持續(xù)監(jiān)控安全狀態(tài)，并應(yīng)根據(jù)實(shí)際情況進(jìn)行改進(jìn)。持續(xù)監(jiān)控與改進(jìn)應(yīng)包括下列內(nèi)容：a）安全監(jiān)控：實(shí)時(shí)監(jiān)控系統(tǒng)的安全狀態(tài)，并應(yīng)對(duì)出現(xiàn)的問(wèn)題應(yīng)及時(shí)處置；b）定期評(píng)估：定期對(duì)系統(tǒng)的安全防護(hù)措施進(jìn)行評(píng)估，并應(yīng)及時(shí)發(fā)現(xiàn)潛在的安全隱患；c）持續(xù)改進(jìn)：根據(jù)評(píng)估結(jié)果，不斷優(yōu)化安全防護(hù)措施，提升系統(tǒng)的安全性。7安全責(zé)任界定7.1總體要求7.1.1相關(guān)方應(yīng)明確各自的安全責(zé)任，城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全應(yīng)有效實(shí)施。7.1.2相關(guān)方應(yīng)包括供熱企業(yè)、系統(tǒng)設(shè)計(jì)商、設(shè)備生產(chǎn)商、系統(tǒng)開(kāi)發(fā)及集成商、系統(tǒng)運(yùn)維7.2供熱企業(yè)7.2.1供熱企業(yè)應(yīng)負(fù)責(zé)整體安全管理和監(jiān)督，并應(yīng)確保整個(gè)供熱系統(tǒng)的網(wǎng)絡(luò)安全。7.2.2供熱企業(yè)職責(zé)應(yīng)包括下列內(nèi)容：a）制定并執(zhí)行整體網(wǎng)絡(luò)安全策略；b）監(jiān)督和評(píng)估各相關(guān)方的安全工作執(zhí)行情況；c）確保網(wǎng)絡(luò)安全防護(hù)措施符合國(guó)家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)；d）組織協(xié)調(diào)網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)和處理。67.3系統(tǒng)設(shè)計(jì)商7.3.1系統(tǒng)設(shè)計(jì)商應(yīng)負(fù)責(zé)系統(tǒng)設(shè)計(jì)方案的安全性，設(shè)計(jì)方案應(yīng)符合相關(guān)安全標(biāo)準(zhǔn)。7.3.2系統(tǒng)設(shè)計(jì)商職責(zé)應(yīng)包括下列內(nèi)容：a）根據(jù)供熱系統(tǒng)的特點(diǎn)和安全需求，制定符合網(wǎng)絡(luò)安全等級(jí)保護(hù)要求的設(shè)計(jì)方案；b）在設(shè)計(jì)方案中明確安全防護(hù)措施和技術(shù)要求；c）提供設(shè)計(jì)方案的安全性評(píng)估報(bào)告；d）協(xié)助供熱企業(yè)進(jìn)行安全策略的制定。7.4設(shè)備生產(chǎn)商7.4.1設(shè)備生產(chǎn)商應(yīng)負(fù)責(zé)提供符合安全標(biāo)準(zhǔn)的設(shè)備。7.4.2設(shè)備生產(chǎn)商職責(zé)應(yīng)包括下列內(nèi)容：a）按照國(guó)家和行業(yè)標(biāo)準(zhǔn)生產(chǎn)網(wǎng)絡(luò)安全設(shè)備；b）提供設(shè)備的第三方權(quán)威機(jī)構(gòu)（國(guó)家或省部級(jí)）出具的安全性認(rèn)證和檢測(cè)報(bào)告；c）確保設(shè)備在出廠時(shí)無(wú)已知的安全漏洞；d）提供設(shè)備的安全使用手冊(cè)和技術(shù)支持。7.5系統(tǒng)開(kāi)發(fā)及集成商7.5.1系統(tǒng)開(kāi)發(fā)及集成商應(yīng)負(fù)責(zé)系統(tǒng)的開(kāi)發(fā)和集成工作，系統(tǒng)應(yīng)符合設(shè)計(jì)方案的安全要求。7.5.2系統(tǒng)開(kāi)發(fā)及集成商職責(zé)應(yīng)包括下列內(nèi)容：a）按照設(shè)計(jì)方案進(jìn)行系統(tǒng)開(kāi)發(fā)和集成；b）在開(kāi)發(fā)和集成過(guò)程中實(shí)施必要的安全措施；c）提供第三方權(quán)威機(jī)構(gòu)出具的系統(tǒng)安全性測(cè)試報(bào)告；d）協(xié)助供熱企業(yè)進(jìn)行系統(tǒng)的安全配置和優(yōu)化。7.6系統(tǒng)運(yùn)維商7.6.1系統(tǒng)運(yùn)維商負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)，確保系統(tǒng)運(yùn)行過(guò)程中采取的安全措施及配置的安全策略符合安全標(biāo)準(zhǔn)。7.6.2系統(tǒng)運(yùn)維商職責(zé)應(yīng)包括下列內(nèi)容：a）按照安全策略進(jìn)行系統(tǒng)的日常運(yùn)行維護(hù)；b）定期檢查和更新安全配置，確保系統(tǒng)安全運(yùn)行；c）監(jiān)控系統(tǒng)安全狀態(tài)，及時(shí)發(fā)現(xiàn)并處理安全事件；d）提供系統(tǒng)運(yùn)行的安全報(bào)告，并根據(jù)需要進(jìn)行安全改進(jìn)。8安全等級(jí)保護(hù)定級(jí)8.1定級(jí)原則8.1.1城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)應(yīng)符合GB/T22240的規(guī)定。8.1.2在進(jìn)行定級(jí)時(shí)，應(yīng)綜合考慮城鎮(zhèn)供熱系統(tǒng)的重要性、業(yè)務(wù)依賴程度、遭受侵害時(shí)對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的損害程度等因素，確定其安全保護(hù)等級(jí)。78.1.3影響供熱系統(tǒng)網(wǎng)絡(luò)安全定級(jí)的因素應(yīng)包含下列內(nèi)容：a）供熱面積；b）供熱用戶數(shù)量；c）所在地區(qū)；d）供熱方式；e）所產(chǎn)生后果的嚴(yán)重性。8.1.4根據(jù)城鎮(zhèn)供熱系統(tǒng)的特性，城鎮(zhèn)供熱系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)為GB/T22240—2020中的第二級(jí)或第三級(jí)。8.2定級(jí)劃分8.2.1綜合辦公系統(tǒng)綜合辦公系統(tǒng)安全保護(hù)等級(jí)不應(yīng)低于第二級(jí)。8.2.2管理信息系統(tǒng)管理信息系統(tǒng)的安全防護(hù)等級(jí)應(yīng)符合下列規(guī)定：a）安全保護(hù)等級(jí)不應(yīng)低于第二級(jí)；b）涉及到財(cái)務(wù)數(shù)據(jù)、用戶身份信息、國(guó)家重要單位等敏感數(shù)據(jù)、重要數(shù)據(jù)的系統(tǒng)，其安全保護(hù)等級(jí)應(yīng)為第三級(jí)。8.2.3監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)安全保護(hù)等級(jí)應(yīng)符合表1的規(guī)定。表1監(jiān)控系統(tǒng)安全保護(hù)等級(jí)>59安全防護(hù)要求9.1第二級(jí)安全9.1.1整體安全應(yīng)符合GB/T22239—2019中第7章的規(guī)定。9.1.2綜合辦公、管理信息、供熱監(jiān)控系統(tǒng)平臺(tái)應(yīng)禁止開(kāi)放無(wú)關(guān)服務(wù)及端口，發(fā)布時(shí)不應(yīng)存在CVE和CNNVD中涉及的高危漏洞。89.1.3安全系統(tǒng)應(yīng)具備自動(dòng)化漏洞掃描及修復(fù)機(jī)制。9.1.4安全系統(tǒng)應(yīng)測(cè)試評(píng)估，在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下應(yīng)對(duì)監(jiān)測(cè)、控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新，并應(yīng)具備回滾機(jī)制，補(bǔ)丁失敗后應(yīng)能自動(dòng)回退至上一穩(wěn)定版本。9.1.5供熱監(jiān)控系統(tǒng)的關(guān)鍵系統(tǒng)及設(shè)備宜進(jìn)行數(shù)據(jù)安全保護(hù)，并宜采用通過(guò)國(guó)家密碼管理部門(mén)審核的密碼算法。關(guān)鍵系統(tǒng)及設(shè)備應(yīng)包括生產(chǎn)調(diào)度監(jiān)控系統(tǒng)平臺(tái)、熱網(wǎng)遠(yuǎn)程監(jiān)測(cè)設(shè)備、換熱站采集控制柜、樓棟調(diào)節(jié)器、溫度傳感器等。9.1.6安全監(jiān)控系統(tǒng)宜采取密碼保護(hù)機(jī)制有效性監(jiān)測(cè)措施，當(dāng)發(fā)現(xiàn)機(jī)制失效時(shí)應(yīng)報(bào)警。9.1.7安全監(jiān)控系統(tǒng)宜以授權(quán)方式處理生產(chǎn)控制過(guò)程數(shù)據(jù)，數(shù)據(jù)不應(yīng)被非法篡改、丟失和延誤。9.1.8通信網(wǎng)絡(luò)宜設(shè)置審計(jì)機(jī)制，針對(duì)通信流量協(xié)議類(lèi)別、吞吐、速率、時(shí)延、抖動(dòng)、流向、異常等進(jìn)行監(jiān)測(cè)及報(bào)警，并應(yīng)將異常流量與攻擊流量留存在本地或遠(yuǎn)程審計(jì)服務(wù)器上。9.2第三級(jí)安全9.2.1整體安全應(yīng)滿足GB/T22239—2019中第8章的規(guī)定。9.2.2綜合辦公、管理信息、供熱監(jiān)控系統(tǒng)平臺(tái)應(yīng)禁止開(kāi)放無(wú)關(guān)服務(wù)及端口，發(fā)布時(shí)不應(yīng)存在CVE和CNNVD中涉及的中高危漏洞。9.2.3安全系統(tǒng)應(yīng)具備自動(dòng)化漏洞掃描及修復(fù)機(jī)制，CVE/CNNVD高危漏洞應(yīng)在48h內(nèi)修復(fù)或隔離，中危漏洞應(yīng)在7天內(nèi)