DB41-T 2534-2023 水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范_第1頁(yè)
DB41-T 2534-2023 水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范_第2頁(yè)
DB41-T 2534-2023 水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范_第3頁(yè)
DB41-T 2534-2023 水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范_第4頁(yè)
DB41-T 2534-2023 水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ICS

35.030CCS

L

0941 DB41/T

2534—2023水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范

發(fā)布

實(shí)施河南省市場(chǎng)監(jiān)督管理局 發(fā)

布DB41/T

2534—2023 1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語(yǔ)和定義

.........................................................................

14 總體要求

...........................................................................

15 水利網(wǎng)絡(luò)安全

.......................................................................

26 移動(dòng)互聯(lián)安全

.......................................................................

47 水利物聯(lián)網(wǎng)安全

.....................................................................

58 水利工業(yè)控制系統(tǒng)安全

...............................................................

59 數(shù)據(jù)安全保護(hù)

.......................................................................

510 視頻會(huì)商系統(tǒng)安全

..................................................................

6DB41/T

2534—2023 本文件按照GB/T

—《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由河南省水利廳提出。本文件由河南省水利標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本文件起草單位:河南省水文水資源中心、華北水利水電大學(xué)。曉敏、朱齊亮、侯爵。IIDB41/T

2534—20231 范圍保護(hù)和視頻會(huì)商系統(tǒng)安全等建設(shè)要求。本文件適用于水利系統(tǒng)水利網(wǎng)絡(luò)安全建設(shè)。2規(guī)范性引用文件文件。GB/T

22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T

28181—2022 公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求GB

35114—2017 公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求GB/T

35273—2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范SL/T

—2020 水利網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范3 術(shù)語(yǔ)和定義SL/T

—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1水利網(wǎng)絡(luò)集、存儲(chǔ)、傳輸、交換、處理的網(wǎng)絡(luò)系統(tǒng)。3.2水利物聯(lián)網(wǎng)態(tài)監(jiān)測(cè)、采集、傳輸水利要素、狀態(tài)和事件的信息網(wǎng)絡(luò)。3.3水利業(yè)務(wù)網(wǎng)水利行業(yè)各單位網(wǎng)絡(luò)互聯(lián)構(gòu)成的非涉密專用網(wǎng)絡(luò)。3.4水利工業(yè)控制系統(tǒng)用于承載水利工程中水網(wǎng)調(diào)度,水庫(kù)、大壩、閘門、水力發(fā)電、供排水監(jiān)控等水利業(yè)務(wù)。4 總體要求4.1 先進(jìn)性DB41/T

2534—2023應(yīng)采用成熟先進(jìn)的信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備,最大限度的滿足各項(xiàng)功能需求。4.2安全性應(yīng)采用具有安全可信的網(wǎng)絡(luò)安全設(shè)備和技術(shù)進(jìn)行水利網(wǎng)絡(luò)安全建設(shè)。4.3 擴(kuò)展性水利網(wǎng)絡(luò)安全建設(shè)應(yīng)具備靈活擴(kuò)展的能力。5 水利網(wǎng)絡(luò)安全5.1 安全物理環(huán)境5.1.1 第二級(jí)要求應(yīng)符合GB/T

22239—2019第二級(jí)的要求。5.1.2第三級(jí)要求應(yīng)符合GB/T

22239—2019第三級(jí)的要求,機(jī)房門禁系統(tǒng)還應(yīng)采用國(guó)密算法。5.2 安全通信網(wǎng)絡(luò)5.2.1 第二級(jí)要求應(yīng)符合GB/T

22239—2019第二級(jí)、SL/T

—2020和以下要求:a)

目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議允許或拒絕訪問(wèn)的要求,對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于協(xié)議和內(nèi)容的控制;b)

在無(wú)線局域網(wǎng)啟用“

企業(yè)/WPA2

動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器分配或使用本單位統(tǒng)一規(guī)劃的靜態(tài)地址,并采取準(zhǔn)入控制措施;c)

部署專用加密網(wǎng)關(guān)設(shè)備,通過(guò)構(gòu)建加密通道的方式實(shí)現(xiàn)通信數(shù)據(jù)傳輸?shù)耐暾?、保密性,采用?guó)家密碼體系技術(shù)實(shí)現(xiàn)在公共傳輸通道上建立可信虛擬專用通道;d)

在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處部署的網(wǎng)絡(luò)設(shè)備、安全設(shè)備同時(shí)支持互聯(lián)網(wǎng)協(xié)議第

6

IPv6協(xié)議第

4

IPv4)雙棧;e)

通過(guò)部署單向或雙向物理隔離設(shè)備,依據(jù)交換的數(shù)據(jù)類型配置訪問(wèn)控制策略,在跨網(wǎng)數(shù)據(jù)交互過(guò)程中通過(guò)可靠的技術(shù)隔離手段進(jìn)行數(shù)據(jù)的交互。5.2.2 第三級(jí)要求應(yīng)符合第二級(jí)a)、b)、c)、d)和以下要求:a)

設(shè)置數(shù)據(jù)安全交換平臺(tái),依據(jù)交換的數(shù)據(jù)類型配置訪問(wèn)控制策略,在跨網(wǎng)數(shù)據(jù)交互過(guò)程中通過(guò)可靠的技術(shù)隔離手段進(jìn)行數(shù)據(jù)的交互,數(shù)據(jù)交互平臺(tái)需提供業(yè)務(wù)數(shù)據(jù)抽取、裝載、數(shù)據(jù)安全檢測(cè)能力;b)

提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備的硬件冗余;c)

在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署流量采集分析設(shè)備,對(duì)全網(wǎng)安全進(jìn)行感知;d)

網(wǎng)絡(luò)規(guī)劃按照“核心層-匯聚層-接入層”的三層網(wǎng)絡(luò)架構(gòu)規(guī)劃,并基于虛擬局域網(wǎng)(VLAN)技術(shù)劃分虛擬局域網(wǎng)。DB41/T

2534—20235.3安全區(qū)域邊界5.3.1 第二級(jí)要求5.3.1.1 應(yīng)符合

GB/T

22239—2019

第二級(jí)、SL/T

—2020

和以下要求:a)

默認(rèn)情況下(除允許的通信外)拒絕所有通信,刪除多余或無(wú)效的訪問(wèn)控制規(guī)則,訪問(wèn)控制規(guī)則數(shù)量最小化;b)

配置惡意代碼防護(hù)措施,保持惡意代碼防護(hù)機(jī)制的升級(jí)和更新。5.3.1.2水利業(yè)務(wù)網(wǎng)與其他行業(yè)網(wǎng)絡(luò)連接邊界安全應(yīng)符合

和以下要求:a)

部署數(shù)據(jù)安全交換通道;b)

配置實(shí)時(shí)漏洞分析措施。5.3.1.3 水利業(yè)務(wù)網(wǎng)內(nèi)部互聯(lián)邊界安全應(yīng)符合

5.3.1.1

和以下要求:a)

在網(wǎng)絡(luò)邊界處進(jìn)行安全審計(jì),審計(jì)重要用戶行為和重要網(wǎng)絡(luò)安全事件,并對(duì)審計(jì)記錄進(jìn)行定期備份,保存時(shí)間不低于

180

d;b)

具備對(duì)無(wú)特征病毒的檢測(cè)措施。5.3.1.4 水利業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應(yīng)符合

5.3.1.3

和以下要求:a)

部署單向數(shù)據(jù)導(dǎo)入,用于數(shù)據(jù)的安全交互和傳輸;b)

具備分布式異常流量攻擊防護(hù)系統(tǒng),防范拒絕服務(wù)攻擊。5.3.2 第三級(jí)要求5.3.2.1

水利業(yè)務(wù)網(wǎng)邊界安全與第二級(jí)要求相同。5.3.2.2

水利業(yè)務(wù)網(wǎng)與其他行業(yè)網(wǎng)絡(luò)連接邊界安全應(yīng)符合第二級(jí)和以下要求:a)

具備對(duì)外部訪問(wèn)主體的認(rèn)證和鑒權(quán)機(jī)制;b)

具備對(duì)傳輸數(shù)據(jù)類型進(jìn)行審計(jì)和控制的能力。5.3.2.3

水利業(yè)務(wù)網(wǎng)內(nèi)部互聯(lián)邊界安全應(yīng)符合第二級(jí)和以下要求:a)

通過(guò)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證措施,保證網(wǎng)絡(luò)邊界的完整性,監(jiān)測(cè)并限制網(wǎng)絡(luò)內(nèi)的非法外聯(lián)行為;b)

在重要邊界節(jié)點(diǎn)采集網(wǎng)絡(luò)端流量數(shù)據(jù),發(fā)現(xiàn)已知和未知的惡意軟件,發(fā)現(xiàn)利用零日漏洞的高級(jí)可持續(xù)性攻擊行為,保護(hù)網(wǎng)絡(luò)免遭零日等攻擊造成的各種風(fēng)險(xiǎn)。5.3.2.4 水利業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應(yīng)符合第二級(jí)和以下要求:a)

對(duì)通過(guò)互聯(lián)網(wǎng)對(duì)接的業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)用層安全防護(hù);b)

對(duì)通過(guò)互聯(lián)網(wǎng)對(duì)接的業(yè)務(wù)系統(tǒng)隱藏訪問(wèn)端口。5.4 安全計(jì)算環(huán)境5.4.1 第二級(jí)要求5.4.1.1 水利業(yè)務(wù)網(wǎng)系統(tǒng)安全要求應(yīng)符合GB/T

22239—2019第二級(jí)、SL/T

—2020和以下要求:a)

具備服務(wù)器主機(jī)信息采集能力;b)

提供數(shù)據(jù)處理系統(tǒng)的熱冗余;c)

具備本地?cái)?shù)據(jù)備份與恢復(fù)功能。5.4.1.2 水利業(yè)務(wù)網(wǎng)終端安全要求應(yīng)符合GB/T

22239—2019第二級(jí)、SL/T

—2020和以下要求:DB41/T

2534—2023a)

具備唯一標(biāo)識(shí),并實(shí)現(xiàn)用戶與終端實(shí)名綁定;b)

采用密碼技術(shù)、口令認(rèn)證、生物技術(shù)和

認(rèn)證等鑒別技術(shù)對(duì)用戶進(jìn)行身份認(rèn)證。5.4.2 第三級(jí)要求5.4.2.1 水利業(yè)務(wù)網(wǎng)系統(tǒng)安全要求應(yīng)符合第二級(jí)和以下要求:a)

設(shè)置并啟用管理系統(tǒng)外聯(lián)控制策略,對(duì)管理終端未經(jīng)授權(quán)的外聯(lián)行為進(jìn)行監(jiān)測(cè)和處置;b)

對(duì)重要計(jì)算設(shè)備和系統(tǒng)采用兩種或兩種以上組合鑒別技術(shù)鑒別用戶身份;c)

對(duì)重要計(jì)算設(shè)備異常行為進(jìn)行實(shí)時(shí)監(jiān)測(cè),并提供報(bào)警和阻斷;d)

采用加密技術(shù),對(duì)重要業(yè)務(wù)數(shù)據(jù)、水利工程技術(shù)數(shù)據(jù)、重要個(gè)人信息、重要視頻數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、身份鑒別數(shù)據(jù)等數(shù)據(jù)信息的傳輸和存儲(chǔ)進(jìn)行加密。5.4.2.2 水利業(yè)務(wù)網(wǎng)終端安全要求應(yīng)符合第二級(jí)和以下要求:a)

基于角色的應(yīng)用訪問(wèn)控制實(shí)現(xiàn)最小授權(quán);b)

對(duì)終端環(huán)境進(jìn)行檢測(cè)和評(píng)估,根據(jù)評(píng)估情況動(dòng)態(tài)調(diào)整其應(yīng)用訪問(wèn)權(quán)限;c)

通過(guò)沙箱技術(shù)提供重要系統(tǒng)的安全訪問(wèn)環(huán)境;d)

具備對(duì)惡意代碼進(jìn)程級(jí)別隔離的能力;e)

終端操作系統(tǒng)、管理系統(tǒng)、防病毒系統(tǒng)統(tǒng)一安全防護(hù)策略。5.5 云安全5.5.1 第二級(jí)要求應(yīng)符合GB/T

22239—2019第二級(jí)的要求。5.5.2 第三級(jí)要求應(yīng)符合GB/T

22239—2019第三級(jí)和以下要求:a)

通過(guò)云安全管理平臺(tái),對(duì)物理和虛擬資源進(jìn)行安全防護(hù)、監(jiān)測(cè)、告警和攻擊阻斷;b)

能檢測(cè)虛擬機(jī)之間的資源隔離失效、非授權(quán)操作、惡意代碼感染和入侵行為等異常,進(jìn)行告警和管控;c)

虛擬機(jī)部署環(huán)境具備訪問(wèn)控制、網(wǎng)絡(luò)攻擊防護(hù)、運(yùn)維審計(jì)、云內(nèi)南北向和東西向流量防護(hù)等安全防范措施。6 移動(dòng)互聯(lián)安全6.1 第二級(jí)要求應(yīng)符合GB/T

22239—2019第二級(jí)的要求。6.2 第三級(jí)要求應(yīng)符合GB/T

22239—2019第三級(jí)和以下要求:a)

對(duì)接入的移動(dòng)客戶端軟件,在入網(wǎng)前進(jìn)行安全評(píng)估檢測(cè);b)

對(duì)終端環(huán)境進(jìn)行檢測(cè)和評(píng)估,根據(jù)評(píng)估情況動(dòng)態(tài)調(diào)整其應(yīng)用訪問(wèn)權(quán)限;DB41/T

2534—2023c)

監(jiān)測(cè)非授權(quán)移動(dòng)客戶端軟件;d)

對(duì)移動(dòng)應(yīng)用采集的個(gè)人相關(guān)信息,進(jìn)行合規(guī)管控;e)

采用統(tǒng)一認(rèn)證、加密技術(shù),實(shí)現(xiàn)對(duì)移動(dòng)應(yīng)用的安全保護(hù);f)

支持多層

場(chǎng)景下基于會(huì)話的精準(zhǔn)阻斷,并支持配置策略生效時(shí)段和老化時(shí)間;g)

采用沙箱技術(shù),使終端訪問(wèn)水利業(yè)務(wù)網(wǎng)敏感應(yīng)用系統(tǒng)下載的數(shù)據(jù)只能落入沙箱加密隔離存放,且數(shù)據(jù)使用和外發(fā)行為受控,防止數(shù)據(jù)泄露。7 水利物聯(lián)網(wǎng)安全7.1 第二級(jí)要求應(yīng)符合GB/T

22239—2019第二級(jí)的要求。7.2 第三級(jí)要求應(yīng)符合GB/T

22239—2019第三級(jí)、GB

35114—2017、GB/T

28181—2022和以下要求:a)

采用國(guó)密算法對(duì)傳輸鏈路進(jìn)行加密;b)

對(duì)連接到水利物聯(lián)網(wǎng)的設(shè)備進(jìn)行準(zhǔn)入控制;c)

接入終端應(yīng)支持

IPv6

IPv4

雙棧。8 水利工業(yè)控制系統(tǒng)安全8.1 第二級(jí)要求應(yīng)符合GB/T

22239—2019第二級(jí)的要求。8.2 第三級(jí)要求應(yīng)符合GB/T

22239—2019第三級(jí)和以下要求:a)

水利工業(yè)控制系統(tǒng)與水利業(yè)務(wù)網(wǎng)之間采用物理隔離措施;b)

對(duì)服務(wù)器和客戶端操作系統(tǒng)進(jìn)行安全加固,采用數(shù)字認(rèn)證、訪問(wèn)控制等安全措施;c)

基于硬件密碼模塊,對(duì)重要通信過(guò)程進(jìn)行加密;d)

對(duì)控制設(shè)備和系統(tǒng),在上線前進(jìn)行安全性檢測(cè);e)

對(duì)工業(yè)控制系統(tǒng)分別提供開發(fā)測(cè)試和運(yùn)行環(huán)境;f)

控制設(shè)備固件更新前進(jìn)行評(píng)估和測(cè)試;g)

對(duì)工業(yè)控制系統(tǒng)的安全信息進(jìn)行采集、分析與預(yù)警;h)

對(duì)工業(yè)控制環(huán)網(wǎng)采取安全監(jiān)測(cè)措施。9 數(shù)據(jù)安全保護(hù)9.1 第二級(jí)要求應(yīng)符合以下要求:a)

數(shù)據(jù)在境內(nèi)存儲(chǔ);b)

采用數(shù)據(jù)隔離、脫敏技術(shù),實(shí)現(xiàn)不同等級(jí)網(wǎng)絡(luò)之間的數(shù)據(jù)交換。9.2 第三級(jí)要求DB41/T

2534—2023應(yīng)符合第二級(jí)和以下要求:a)

建立數(shù)據(jù)異地備份機(jī)制,并定期對(duì)備份數(shù)據(jù)進(jìn)行驗(yàn)證測(cè)試;b)

建立業(yè)務(wù)連續(xù)性管理及容災(zāi)備份機(jī)制,保障重要業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)性;c)

采用密碼技術(shù)、防泄漏技術(shù)等,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論