ICS35.030

CCSL09

41

河南省地方標(biāo)準(zhǔn)

DB41/T2534—2023

水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范

2023-10-31發(fā)布2024-01-29實施

河南省市場監(jiān)督管理局發(fā)布

DB41/T2534—2023

目次

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4總體要求...........................................................................1

5水利網(wǎng)絡(luò)安全.......................................................................2

6移動互聯(lián)安全.......................................................................4

7水利物聯(lián)網(wǎng)安全.....................................................................5

8水利工業(yè)控制系統(tǒng)安全...............................................................5

9數(shù)據(jù)安全保護(hù).......................................................................5

10視頻會商系統(tǒng)安全..................................................................6

I

DB41/T2534—2023

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本文件由河南省水利廳提出。

本文件由河南省水利標(biāo)準(zhǔn)化技術(shù)委員會歸口。

本文件起草單位：河南省水文水資源中心、華北水利水電大學(xué)。

本文件主要起草人：張明貴、王駿、任建勛、宋博、趙新強、劉念龍、楊栓、李延峰、宋金喜、閆

曉敏、朱齊亮、侯爵。

II

DB41/T2534—2023

水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范

1范圍

本文件規(guī)定了水利網(wǎng)絡(luò)安全、移動互聯(lián)安全、水利物聯(lián)網(wǎng)安全、水利工業(yè)控制系統(tǒng)安全、數(shù)據(jù)安全

保護(hù)和視頻會商系統(tǒng)安全等建設(shè)要求。

本文件適用于水利系統(tǒng)水利網(wǎng)絡(luò)安全建設(shè)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T28181—2022公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求

GB35114—2017公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

SL/T803—2020水利網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范

3術(shù)語和定義

SL/T803—2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

水利網(wǎng)絡(luò)

采用有線、無線、衛(wèi)星等通信方式，由計算機(jī)及相關(guān)信息軟硬設(shè)備互連構(gòu)成的承載水利信息進(jìn)行采

集、存儲、傳輸、交換、處理的網(wǎng)絡(luò)系統(tǒng)。

3.2

水利物聯(lián)網(wǎng)

采用遠(yuǎn)距離無線電、窄帶網(wǎng)絡(luò)、衛(wèi)星通信、低功耗局域網(wǎng)、移動互聯(lián)網(wǎng)和無線通信等網(wǎng)絡(luò)技術(shù)，動

態(tài)監(jiān)測、采集、傳輸水利要素、狀態(tài)和事件的信息網(wǎng)絡(luò)。

3.3

水利業(yè)務(wù)網(wǎng)

水利行業(yè)各單位網(wǎng)絡(luò)互聯(lián)構(gòu)成的非涉密專用網(wǎng)絡(luò)。

3.4

水利工業(yè)控制系統(tǒng)

水利工程中使用的控制系統(tǒng)，包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)、分散控制系統(tǒng)和其他控制系統(tǒng)。主要

用于承載水利工程中水網(wǎng)調(diào)度，水庫、大壩、閘門、水力發(fā)電、供排水監(jiān)控等水利業(yè)務(wù)。

4總體要求

4.1先進(jìn)性

1

DB41/T2534—2023

應(yīng)采用成熟先進(jìn)的信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備，最大限度的滿足各項功能需求。

4.2安全性

應(yīng)采用具有安全可信的網(wǎng)絡(luò)安全設(shè)備和技術(shù)進(jìn)行水利網(wǎng)絡(luò)安全建設(shè)。

4.3擴(kuò)展性

水利網(wǎng)絡(luò)安全建設(shè)應(yīng)具備靈活擴(kuò)展的能力。

5水利網(wǎng)絡(luò)安全

5.1安全物理環(huán)境

5.1.1第二級要求

應(yīng)符合GB/T22239—2019第二級的要求。

5.1.2第三級要求

應(yīng)符合GB/T22239—2019第三級的要求，機(jī)房門禁系統(tǒng)還應(yīng)采用國密算法。

5.2安全通信網(wǎng)絡(luò)

5.2.1第二級要求

應(yīng)符合GB/T22239—2019第二級、SL/T803—2020和以下要求：

a)網(wǎng)絡(luò)重要節(jié)點部署訪問控制類設(shè)備，劃分安全域，配置網(wǎng)絡(luò)安全訪問控制策略，明確源地址、

目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議允許或拒絕訪問的要求，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)

基于協(xié)議和內(nèi)容的控制；

b)在無線局域網(wǎng)啟用“WPA企業(yè)/WPA2企業(yè)”加密方式、隱藏服務(wù)并關(guān)閉服務(wù)廣播功能，地址由

動態(tài)主機(jī)配置協(xié)議服務(wù)器分配或使用本單位統(tǒng)一規(guī)劃的靜態(tài)地址，并采取準(zhǔn)入控制措施；

c)部署專用加密網(wǎng)關(guān)設(shè)備，通過構(gòu)建加密通道的方式實現(xiàn)通信數(shù)據(jù)傳輸?shù)耐暾?、保密性，?/p>

用國家密碼體系技術(shù)實現(xiàn)在公共傳輸通道上建立可信虛擬專用通道；

d)在網(wǎng)絡(luò)關(guān)鍵節(jié)點處部署的網(wǎng)絡(luò)設(shè)備、安全設(shè)備同時支持互聯(lián)網(wǎng)協(xié)議第6版（IPv6）和互聯(lián)網(wǎng)

協(xié)議第4版（IPv4）雙棧；

e)通過部署單向或雙向物理隔離設(shè)備，依據(jù)交換的數(shù)據(jù)類型配置訪問控制策略，在跨網(wǎng)數(shù)據(jù)交

互過程中通過可靠的技術(shù)隔離手段進(jìn)行數(shù)據(jù)的交互。

5.2.2第三級要求

應(yīng)符合第二級a)、b)、c)、d)和以下要求：

a)設(shè)置數(shù)據(jù)安全交換平臺，依據(jù)交換的數(shù)據(jù)類型配置訪問控制策略，在跨網(wǎng)數(shù)據(jù)交互過程中通

過可靠的技術(shù)隔離手段進(jìn)行數(shù)據(jù)的交互，數(shù)據(jù)交互平臺需提供業(yè)務(wù)數(shù)據(jù)抽取、裝載、數(shù)據(jù)安

全檢測能力；

b)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備的硬件冗余；

c)在網(wǎng)絡(luò)關(guān)鍵節(jié)點部署流量采集分析設(shè)備，對全網(wǎng)安全進(jìn)行感知；

d)網(wǎng)絡(luò)規(guī)劃按照“核心層-匯聚層-接入層”的三層網(wǎng)絡(luò)架構(gòu)規(guī)劃，并基于虛擬局域網(wǎng)（VLAN）

技術(shù)劃分虛擬局域網(wǎng)。

2

DB41/T2534—2023

5.3安全區(qū)域邊界

5.3.1第二級要求

5.3.1.1應(yīng)符合GB/T22239—2019第二級、SL/T803—2020和以下要求：

a)部署訪問控制類設(shè)備，劃分網(wǎng)絡(luò)安全域，根據(jù)訪問控制策略，設(shè)置進(jìn)出雙向的訪問控制規(guī)則，

默認(rèn)情況下（除允許的通信外）拒絕所有通信，刪除多余或無效的訪問控制規(guī)則，訪問控制

規(guī)則數(shù)量最小化；

b)配置惡意代碼防護(hù)措施，保持惡意代碼防護(hù)機(jī)制的升級和更新。

5.3.1.2水利業(yè)務(wù)網(wǎng)與其他行業(yè)網(wǎng)絡(luò)連接邊界安全應(yīng)符合5.3.1.1和以下要求：

a)部署數(shù)據(jù)安全交換通道；

b)配置實時漏洞分析措施。

5.3.1.3水利業(yè)務(wù)網(wǎng)內(nèi)部互聯(lián)邊界安全應(yīng)符合5.3.1.1和以下要求：

a)在網(wǎng)絡(luò)邊界處進(jìn)行安全審計，審計重要用戶行為和重要網(wǎng)絡(luò)安全事件，并對審計記錄進(jìn)行定

期備份，保存時間不低于180d；

b)具備對無特征病毒的檢測措施。

5.3.1.4水利業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應(yīng)符合5.3.1.3和以下要求：

a)部署單向數(shù)據(jù)導(dǎo)入，用于數(shù)據(jù)的安全交互和傳輸；

b)具備分布式異常流量攻擊防護(hù)系統(tǒng)，防范拒絕服務(wù)攻擊。

5.3.2第三級要求

5.3.2.1水利業(yè)務(wù)網(wǎng)邊界安全與第二級要求相同。

5.3.2.2水利業(yè)務(wù)網(wǎng)與其他行業(yè)網(wǎng)絡(luò)連接邊界安全應(yīng)符合第二級和以下要求：

a)具備對外部訪問主體的認(rèn)證和鑒權(quán)機(jī)制；

b)具備對傳輸數(shù)據(jù)類型進(jìn)行審計和控制的能力。

5.3.2.3水利業(yè)務(wù)網(wǎng)內(nèi)部互聯(lián)邊界安全應(yīng)符合第二級和以下要求：

a)通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證措施，保證網(wǎng)絡(luò)邊界的完整性，監(jiān)測并限制網(wǎng)絡(luò)內(nèi)的非法外聯(lián)行為；

b)在重要邊界節(jié)點采集網(wǎng)絡(luò)端流量數(shù)據(jù)，發(fā)現(xiàn)已知和未知的惡意軟件，發(fā)現(xiàn)利用零日漏洞的高

級可持續(xù)性攻擊行為，保護(hù)網(wǎng)絡(luò)免遭零日等攻擊造成的各種風(fēng)險。

5.3.2.4水利業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應(yīng)符合第二級和以下要求：

a)對通過互聯(lián)網(wǎng)對接的業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)用層安全防護(hù)；

b)對通過互聯(lián)網(wǎng)對接的業(yè)務(wù)系統(tǒng)隱藏訪問端口。

5.4安全計算環(huán)境

5.4.1第二級要求

5.4.1.1水利業(yè)務(wù)網(wǎng)系統(tǒng)安全要求

應(yīng)符合GB/T22239—2019第二級、SL/T803—2020和以下要求：

a)具備服務(wù)器主機(jī)信息采集能力；

b)提供數(shù)據(jù)處理系統(tǒng)的熱冗余；

c)具備本地數(shù)據(jù)備份與恢復(fù)功能。

5.4.1.2水利業(yè)務(wù)網(wǎng)終端安全要求

應(yīng)符合GB/T22239—2019第二級、SL/T803—2020和以下要求：

3

DB41/T2534—2023

a)具備唯一標(biāo)識，并實現(xiàn)用戶與終端實名綁定；

b)采用密碼技術(shù)、口令認(rèn)證、生物技術(shù)和MAC認(rèn)證等鑒別技術(shù)對用戶進(jìn)行身份認(rèn)證。

5.4.2第三級要求

5.4.2.1水利業(yè)務(wù)網(wǎng)系統(tǒng)安全要求

應(yīng)符合第二級和以下要求：

a)設(shè)置并啟用管理系統(tǒng)外聯(lián)控制策略，對管理終端未經(jīng)授權(quán)的外聯(lián)行為進(jìn)行監(jiān)測和處置；

b)對重要計算設(shè)備和系統(tǒng)采用兩種或兩種以上組合鑒別技術(shù)鑒別用戶身份；

c)對重要計算設(shè)備異常行為進(jìn)行實時監(jiān)測，并提供報警和阻斷；

d)采用加密技術(shù)，對重要業(yè)務(wù)數(shù)據(jù)、水利工程技術(shù)數(shù)據(jù)、重要個人信息、重要視頻數(shù)據(jù)、重要

審計數(shù)據(jù)、身份鑒別數(shù)據(jù)等數(shù)據(jù)信息的傳輸和存儲進(jìn)行加密。

5.4.2.2水利業(yè)務(wù)網(wǎng)終端安全要求

應(yīng)符合第二級和以下要求：

a)基于角色的應(yīng)用訪問控制實現(xiàn)最小授權(quán)；

b)對終端環(huán)境進(jìn)行檢測和評估，根據(jù)評估情況動態(tài)調(diào)整其應(yīng)用訪問權(quán)限；

c)通過沙箱技術(shù)提供重要系統(tǒng)的安全訪問環(huán)境；

d)具備對惡意代碼進(jìn)程級別隔離的能力；

e)終端操作系統(tǒng)、管理系統(tǒng)、防病毒系統(tǒng)統(tǒng)一安全防護(hù)策略。

5.5云安全

5.5.1第二級要求

應(yīng)符合GB/T22239—2019第二級的要求。

5.5.2第三級要求

應(yīng)符合GB/T22239—2019第三級和以下要求：

a)通過云安全管理平臺，對物理和虛擬資源進(jìn)行安全防護(hù)、監(jiān)測、告警和攻擊阻斷；

b)能檢測虛擬機(jī)之間的資源隔離失效、非授權(quán)操作、惡意代碼感染和入侵行為等異常，進(jìn)行告

警和管控；

c)虛擬機(jī)部署環(huán)境具備訪問控制、網(wǎng)絡(luò)攻擊防護(hù)、運維審計、云內(nèi)南北向和東西向流量防護(hù)等

安全防范措施。

6移動互聯(lián)安全

6.1第二級要求

應(yīng)符合GB/T22239—2019第二級的要求。

6.2第三級要求

應(yīng)符合GB/T22239—2019第三級和以下要求：

a)對接入的移動客戶端軟件，在入網(wǎng)前進(jìn)行安全評估檢測；

b)對終端環(huán)境進(jìn)行檢測和評估，根據(jù)評估情況動態(tài)調(diào)整其應(yīng)用訪問權(quán)限；

4

DB41/T2534—2023

c)監(jiān)測非授權(quán)移動客戶端軟件；

d)對移動應(yīng)用采集的個人相關(guān)信息，進(jìn)行合規(guī)管控；

e)采用統(tǒng)一認(rèn)證、加密技術(shù)，實現(xiàn)對移動應(yīng)用的安全保護(hù)；

f)支持多層NAT場景下基于會話的精準(zhǔn)阻斷，并支持配置策略生效時段和老化時間；

g)采用沙箱技術(shù)，使終端訪問水利業(yè)務(wù)網(wǎng)敏感應(yīng)用系統(tǒng)下載的數(shù)據(jù)只能落入沙箱加密隔離存放，

且數(shù)據(jù)使用和外發(fā)行為受控，防止數(shù)據(jù)泄露。

7水利物聯(lián)網(wǎng)安全

7.1第二級要求

應(yīng)符合GB/T22239—2019第二級的要求。

7.2第三級要求

應(yīng)符合GB/T22239—2019第三級、GB35114—2017、GB/T28181—2022和以下要求：

a)采用國密算法對傳輸鏈路進(jìn)行加密；

b)對連接到水利物聯(lián)網(wǎng)的設(shè)備進(jìn)行準(zhǔn)入控制；

c)接入終端應(yīng)支持IPv6和IPv4雙棧。

8水利工業(yè)控制系統(tǒng)安全

8.1第二級要求

應(yīng)符合GB/T22239—2019第二級的要求。

8.2第三級要求

應(yīng)符合GB/T22239—2019第三級和以下要求：

a)水利工業(yè)控制系統(tǒng)與水利業(yè)務(wù)網(wǎng)之間采用物理隔離措施；

b)對服務(wù)器和客戶端操作系統(tǒng)進(jìn)行安全加固，采用數(shù)字認(rèn)證、訪問控制等安全措施；

c)基于硬件密碼模塊，對重要通信過程進(jìn)行加密；

d)對控制設(shè)備和系統(tǒng)，在上線前進(jìn)行安全性檢測；

e)對工業(yè)控制系統(tǒng)分別提供開發(fā)測