水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范DB41-T 2534-2023

ICS35.030

CCSL09

41

河南省地方標(biāo)準(zhǔn)

DB41/T2534—2023

水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范

2023-10-31發(fā)布2024-01-29實(shí)施

河南省市場(chǎng)監(jiān)督管理局發(fā)布

DB41/T2534—2023

目次

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語(yǔ)和定義.........................................................................1

4總體要求...........................................................................1

5水利網(wǎng)絡(luò)安全.......................................................................2

6移動(dòng)互聯(lián)安全.......................................................................4

7水利物聯(lián)網(wǎng)安全.....................................................................5

8水利工業(yè)控制系統(tǒng)安全...............................................................5

9數(shù)據(jù)安全保護(hù).......................................................................5

10視頻會(huì)商系統(tǒng)安全..................................................................6

I

DB41/T2534—2023

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。

本文件由河南省水利廳提出。

本文件由河南省水利標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本文件起草單位：河南省水文水資源中心、華北水利水電大學(xué)。

本文件主要起草人：張明貴、王駿、任建勛、宋博、趙新強(qiáng)、劉念龍、楊栓、李延峰、宋金喜、閆

曉敏、朱齊亮、侯爵。

II

DB41/T2534—2023

水利網(wǎng)絡(luò)安全建設(shè)技術(shù)規(guī)范

1范圍

本文件規(guī)定了水利網(wǎng)絡(luò)安全、移動(dòng)互聯(lián)安全、水利物聯(lián)網(wǎng)安全、水利工業(yè)控制系統(tǒng)安全、數(shù)據(jù)安全

保護(hù)和視頻會(huì)商系統(tǒng)安全等建設(shè)要求。

本文件適用于水利系統(tǒng)水利網(wǎng)絡(luò)安全建設(shè)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T28181—2022公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求

GB35114—2017公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

SL/T803—2020水利網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范

3術(shù)語(yǔ)和定義

SL/T803—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

水利網(wǎng)絡(luò)

采用有線、無(wú)線、衛(wèi)星等通信方式，由計(jì)算機(jī)及相關(guān)信息軟硬設(shè)備互連構(gòu)成的承載水利信息進(jìn)行采

集、存儲(chǔ)、傳輸、交換、處理的網(wǎng)絡(luò)系統(tǒng)。

3.2

水利物聯(lián)網(wǎng)

采用遠(yuǎn)距離無(wú)線電、窄帶網(wǎng)絡(luò)、衛(wèi)星通信、低功耗局域網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和無(wú)線通信等網(wǎng)絡(luò)技術(shù)，動(dòng)

態(tài)監(jiān)測(cè)、采集、傳輸水利要素、狀態(tài)和事件的信息網(wǎng)絡(luò)。

3.3

水利業(yè)務(wù)網(wǎng)

水利行業(yè)各單位網(wǎng)絡(luò)互聯(lián)構(gòu)成的非涉密專用網(wǎng)絡(luò)。

3.4

水利工業(yè)控制系統(tǒng)

水利工程中使用的控制系統(tǒng)，包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)、分散控制系統(tǒng)和其他控制系統(tǒng)。主要

用于承載水利工程中水網(wǎng)調(diào)度，水庫(kù)、大壩、閘門(mén)、水力發(fā)電、供排水監(jiān)控等水利業(yè)務(wù)。

4總體要求

4.1先進(jìn)性

1

DB41/T2534—2023

應(yīng)采用成熟先進(jìn)的信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備，最大限度的滿足各項(xiàng)功能需求。

4.2安全性

應(yīng)采用具有安全可信的網(wǎng)絡(luò)安全設(shè)備和技術(shù)進(jìn)行水利網(wǎng)絡(luò)安全建設(shè)。

4.3擴(kuò)展性

水利網(wǎng)絡(luò)安全建設(shè)應(yīng)具備靈活擴(kuò)展的能力。

5水利網(wǎng)絡(luò)安全

5.1安全物理環(huán)境

5.1.1第二級(jí)要求

應(yīng)符合GB/T22239—2019第二級(jí)的要求。

5.1.2第三級(jí)要求

應(yīng)符合GB/T22239—2019第三級(jí)的要求，機(jī)房門(mén)禁系統(tǒng)還應(yīng)采用國(guó)密算法。

5.2安全通信網(wǎng)絡(luò)

5.2.1第二級(jí)要求

應(yīng)符合GB/T22239—2019第二級(jí)、SL/T803—2020和以下要求：

a)網(wǎng)絡(luò)重要節(jié)點(diǎn)部署訪問(wèn)控制類設(shè)備，劃分安全域，配置網(wǎng)絡(luò)安全訪問(wèn)控制策略，明確源地址、

目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議允許或拒絕訪問(wèn)的要求，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)

基于協(xié)議和內(nèi)容的控制；

b)在無(wú)線局域網(wǎng)啟用“WPA企業(yè)/WPA2企業(yè)”加密方式、隱藏服務(wù)并關(guān)閉服務(wù)廣播功能，地址由

動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器分配或使用本單位統(tǒng)一規(guī)劃的靜態(tài)地址，并采取準(zhǔn)入控制措施；

c)部署專用加密網(wǎng)關(guān)設(shè)備，通過(guò)構(gòu)建加密通道的方式實(shí)現(xiàn)通信數(shù)據(jù)傳輸?shù)耐暾?、保密性，?/p>

用國(guó)家密碼體系技術(shù)實(shí)現(xiàn)在公共傳輸通道上建立可信虛擬專用通道；

d)在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處部署的網(wǎng)絡(luò)設(shè)備、安全設(shè)備同時(shí)支持互聯(lián)網(wǎng)協(xié)議第6版（IPv6）和互聯(lián)網(wǎng)

協(xié)議第4版（IPv4）雙棧；

e)通過(guò)部署單向或雙向物理隔離設(shè)備，依據(jù)交換的數(shù)據(jù)類型配置訪問(wèn)控制策略，在跨網(wǎng)數(shù)據(jù)交

互過(guò)程中通過(guò)可靠的技術(shù)隔離手段進(jìn)行數(shù)據(jù)的交互。

5.2.2第三級(jí)要求

應(yīng)符合第二級(jí)a)、b)、c)、d)和以下要求：

a)設(shè)置數(shù)據(jù)安全交換平臺(tái)，依據(jù)交換的數(shù)據(jù)類型配置訪問(wèn)控制策略，在跨網(wǎng)數(shù)據(jù)交互過(guò)程中通

過(guò)可靠的技術(shù)隔離手段進(jìn)行數(shù)據(jù)的交互，數(shù)據(jù)交互平臺(tái)需提供業(yè)務(wù)數(shù)據(jù)抽取、裝載、數(shù)據(jù)安

全檢測(cè)能力；

b)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備的硬件冗余；

c)在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署流量采集分析設(shè)備，對(duì)全網(wǎng)安全進(jìn)行感知；

d)網(wǎng)絡(luò)規(guī)劃按照“核心層-匯聚層-接入層”的三層網(wǎng)絡(luò)架構(gòu)規(guī)劃，并基于虛擬局域網(wǎng)（VLAN）

技術(shù)劃分虛擬局域網(wǎng)。

2

DB41/T2534—2023

5.3安全區(qū)域邊界

5.3.1第二級(jí)要求

5.3.1.1應(yīng)符合GB/T22239—2019第二級(jí)、SL/T803—2020和以下要求：

a)部署訪問(wèn)控制類設(shè)備，劃分網(wǎng)絡(luò)安全域，根據(jù)訪問(wèn)控制策略，設(shè)置進(jìn)出雙向的訪問(wèn)控制規(guī)則，

默認(rèn)情況下（除允許的通信外）拒絕所有通信，刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，訪問(wèn)控制

規(guī)則數(shù)量最小化；

b)配置惡意代碼防護(hù)措施，保持惡意代碼防護(hù)機(jī)制的升級(jí)和更新。

5.3.1.2水利業(yè)務(wù)網(wǎng)與其他行業(yè)網(wǎng)絡(luò)連接邊界安全應(yīng)符合5.3.1.1和以下要求：

a)部署數(shù)據(jù)安全交換通道；

b)配置實(shí)時(shí)漏洞分析措施。

5.3.1.3水利業(yè)務(wù)網(wǎng)內(nèi)部互聯(lián)邊界安全應(yīng)符合5.3.1.1和以下要求：

a)在網(wǎng)絡(luò)邊界處進(jìn)行安全審計(jì)，審計(jì)重要用戶行為和重要網(wǎng)絡(luò)安全事件，并對(duì)審計(jì)記錄進(jìn)行定

期備份，保存時(shí)間不低于180d；

b)具備對(duì)無(wú)特征病毒的檢測(cè)措施。

5.3.1.4水利業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應(yīng)符合5.3.1.3和以下要求：

a)部署單向數(shù)據(jù)導(dǎo)入，用于數(shù)據(jù)的安全交互和傳輸；

b)具備分布式異常流量攻擊防護(hù)系統(tǒng)，防范拒絕服務(wù)攻擊。

5.3.2第三級(jí)要求

5.3.2.1水利業(yè)務(wù)網(wǎng)邊界安全與第二級(jí)要求相同。

5.3.2.2水利業(yè)務(wù)網(wǎng)與其他行業(yè)網(wǎng)絡(luò)連接邊界安全應(yīng)符合第二級(jí)和以下要求：

a)具備對(duì)外部訪問(wèn)主體的認(rèn)證和鑒權(quán)機(jī)制；

b)具備對(duì)傳輸數(shù)據(jù)類型進(jìn)行審計(jì)和控制的能力。

5.3.2.3水利業(yè)務(wù)網(wǎng)內(nèi)部互聯(lián)邊界安全應(yīng)符合第二級(jí)和以下要求：

a)通過(guò)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證措施，保證網(wǎng)絡(luò)邊界的完整性，監(jiān)測(cè)并限制網(wǎng)絡(luò)內(nèi)的非法外聯(lián)行為；

b)在重要邊界節(jié)點(diǎn)采集網(wǎng)絡(luò)端流量數(shù)據(jù)，發(fā)現(xiàn)已知和未知的惡意軟件，發(fā)現(xiàn)利用零日漏洞的高

級(jí)可持續(xù)性攻擊行為，保護(hù)網(wǎng)絡(luò)免遭零日等攻擊造成的各種風(fēng)險(xiǎn)。

5.3.2.4水利業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)連接邊界安全應(yīng)符合第二級(jí)和以下要求：

a)對(duì)通過(guò)互聯(lián)網(wǎng)對(duì)接的業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)用層安全防護(hù)；

b)對(duì)通過(guò)互聯(lián)網(wǎng)對(duì)接的業(yè)務(wù)系統(tǒng)隱藏訪問(wèn)端口。

5.4安全計(jì)算環(huán)境

5.4.1第二級(jí)要求

5.4.1.1水利業(yè)務(wù)網(wǎng)系統(tǒng)安全要求

應(yīng)符合GB/T22239—2019第二級(jí)、SL/T803—2020和以下要求：

a)具備服務(wù)器主機(jī)信息采集能力；

b)提供數(shù)據(jù)處理系統(tǒng)的熱冗余；

c)具備本地?cái)?shù)據(jù)備份與恢復(fù)功能。

5.4.1.2水利業(yè)務(wù)網(wǎng)終端安全要求

應(yīng)符合GB/T22239—2019第二級(jí)、SL/T803—2020和以下要求：

3

DB41/T2534—2023

a)具備唯一標(biāo)識(shí)，并實(shí)現(xiàn)用戶與終端實(shí)名綁定；

b)采用密碼技術(shù)、口令認(rèn)證、生物技術(shù)和MAC認(rèn)證等鑒別技術(shù)對(duì)用戶進(jìn)行身份認(rèn)證。

5.4.2第三級(jí)要求

5.4.2.1水利業(yè)務(wù)網(wǎng)系統(tǒng)安全要求

應(yīng)符合第二級(jí)和以下要求：

a)設(shè)置并啟用管理系統(tǒng)外聯(lián)控制策略，對(duì)管理終端未經(jīng)授權(quán)的外聯(lián)行為進(jìn)行監(jiān)測(cè)和處置；

b)對(duì)重要計(jì)算設(shè)備和系統(tǒng)采用兩種或兩種以上組合鑒別技術(shù)鑒別用戶身份；

c)對(duì)重要計(jì)算設(shè)備異常行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并提供報(bào)警和阻斷；

d)采用加密技術(shù)，對(duì)重要業(yè)務(wù)數(shù)據(jù)、水利工程技術(shù)數(shù)據(jù)、重要個(gè)人信息、重要視頻數(shù)據(jù)、重要

審計(jì)數(shù)據(jù)、身份鑒別數(shù)據(jù)等數(shù)據(jù)信息的傳輸和存儲(chǔ)進(jìn)行加密。

5.4.2.2水利業(yè)務(wù)網(wǎng)終端安全要求

應(yīng)符合第二級(jí)和以下要求：

a)基于角色的應(yīng)用訪問(wèn)控制實(shí)現(xiàn)最小授權(quán)；

b)對(duì)終端環(huán)境進(jìn)行檢測(cè)和評(píng)估，根據(jù)評(píng)估情況動(dòng)態(tài)調(diào)整其應(yīng)用訪問(wèn)權(quán)限；

c)通過(guò)沙箱技術(shù)提供重要系統(tǒng)的安全訪問(wèn)環(huán)境；

d)具備對(duì)惡意代碼進(jìn)程級(jí)別隔離的能力；

e)終端操作系統(tǒng)、管理系統(tǒng)、防病毒系統(tǒng)統(tǒng)一安全防護(hù)策略。

5.5云安全

5.5.1第二級(jí)要求

應(yīng)符合GB/T22239—2019第二級(jí)的要求。

5.5.2第三級(jí)要求

應(yīng)符合GB/T22239—2019第三級(jí)和以下要求：

a)通過(guò)云安全管理平臺(tái)，對(duì)物理和虛擬資源進(jìn)行安全防護(hù)、監(jiān)測(cè)、告警和攻擊阻斷；

b)能檢測(cè)虛擬機(jī)之間的資源隔離失效、非授權(quán)操作、惡意代碼感染和入侵行為等異常，進(jìn)行告

警和管控；

c)虛擬機(jī)部署環(huán)境具備訪問(wèn)控制、網(wǎng)絡(luò)攻擊防護(hù)、運(yùn)維審計(jì)、云內(nèi)南北向和東西向流量防護(hù)等

安全防范措施。

6移動(dòng)互聯(lián)安全

6.1第二級(jí)要求

應(yīng)符合GB/T22239—2019第二級(jí)的要求。

6.2第三級(jí)要求

應(yīng)符合GB/T22239—2019第三級(jí)和以下要求：

a)對(duì)接入的移動(dòng)客戶端軟件，在入網(wǎng)前進(jìn)行安全評(píng)估檢測(cè)；

b)對(duì)終端環(huán)境進(jìn)行檢測(cè)和評(píng)估，根據(jù)評(píng)估情況動(dòng)態(tài)調(diào)整其應(yīng)用訪問(wèn)權(quán)限；

4

DB41/T2534—2023

c)監(jiān)測(cè)非授權(quán)移動(dòng)客戶端軟件；

d)對(duì)移動(dòng)應(yīng)用采集的個(gè)人相關(guān)信息，進(jìn)行合規(guī)管控；

e)采用統(tǒng)一認(rèn)證、加密技術(shù)，實(shí)現(xiàn)對(duì)移動(dòng)應(yīng)用的安全保護(hù)；

f)支持多層NAT場(chǎng)景下基于會(huì)話的精準(zhǔn)阻斷，并支持配置策略生效時(shí)段和老化時(shí)間；

g)采用沙箱技術(shù)，使終端訪問(wèn)水利業(yè)務(wù)網(wǎng)敏感應(yīng)用系統(tǒng)下載的數(shù)據(jù)只能落入沙箱加密隔離存放，

且數(shù)據(jù)使用和外發(fā)行為受控，防止數(shù)據(jù)泄露。

7水利物聯(lián)網(wǎng)安全

7.1第二級(jí)要求

應(yīng)符合GB/T22239—2019第二級(jí)的要求。

7.2第三級(jí)要求

應(yīng)符合GB/T22239—2019第三級(jí)、GB35114—2017、GB/T28181—2022和以下要求：

a)采用國(guó)密算法對(duì)傳輸鏈路進(jìn)行加密；

b)對(duì)連接到水利物聯(lián)網(wǎng)的設(shè)備進(jìn)行準(zhǔn)入控制；

c)接入終端應(yīng)支持IPv6和IPv4雙棧。

8水利工業(yè)控制系統(tǒng)安全

8.1第二級(jí)要求

應(yīng)符合GB/T22239—2019第二級(jí)的要求。

8.2第三級(jí)要求

應(yīng)符合GB/T22239—2019第三級(jí)和以下要求：

a)水利工業(yè)控制系統(tǒng)與水利業(yè)務(wù)網(wǎng)之間采用物理隔離措施；

b)對(duì)服務(wù)器和客戶端操作系統(tǒng)進(jìn)行安全加固，采用數(shù)字認(rèn)證、訪問(wèn)控制等安全措施；

c)基于硬件密碼模塊，對(duì)重要通信過(guò)程進(jìn)行加密；

d)對(duì)控制設(shè)備和系統(tǒng)，在上線前進(jìn)行安全性檢測(cè)；

e)對(duì)工業(yè)控制系統(tǒng)分別提供開(kāi)發(fā)測(cè)試和運(yùn)行環(huán)境；

f)控制設(shè)備固件更新前進(jìn)行評(píng)估和測(cè)試；

g)對(duì)工業(yè)控制系統(tǒng)的安全信息進(jìn)行采集、分析與預(yù)警；

h)對(duì)工業(yè)控制環(huán)網(wǎng)采取安全監(jiān)測(cè)措施。

9數(shù)據(jù)安全保護(hù)

9.1第二級(jí)要求

應(yīng)符合以下要求：

a)數(shù)據(jù)在境內(nèi)存儲(chǔ)；

b)采用數(shù)據(jù)隔離、脫敏技術(shù)，實(shí)現(xiàn)不同等級(jí)網(wǎng)絡(luò)之間的數(shù)據(jù)交換。

9.2第三級(jí)要求

5

DB41/T2534—2023

應(yīng)符合第二級(jí)和以下要求：

a)建立數(shù)據(jù)異地備份機(jī)制，并定期對(duì)備份數(shù)據(jù)進(jìn)行驗(yàn)證測(cè)試；

b)建立業(yè)務(wù)連續(xù)性管理及容災(zāi)備份機(jī)制，保障重要業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)性；

c)采用密碼技術(shù)、防泄漏技術(shù)等，保證重要數(shù)據(jù)在傳輸、存儲(chǔ)過(guò)程中的完整性和保密性；

d)個(gè)人信息的收集、傳輸、存儲(chǔ)、使用符合GB/T35273—2020要求，采取加密、脫敏、去標(biāo)識(shí)

化等技術(shù)手段，保護(hù)敏感數(shù)據(jù)安全。

10視頻會(huì)商系統(tǒng)安全

10.1第二級(jí)要求

應(yīng)符合GB/T28181—2022和以下要求:

a)在視頻會(huì)商系統(tǒng)接入邊界部署下一代防火墻，防止非授權(quán)接入；

b)定期對(duì)視頻會(huì)商系統(tǒng)進(jìn)行漏洞掃描。

10.2第三級(jí)要求

應(yīng)符合第二級(jí)和以下要求:

a)采取協(xié)議識(shí)別和準(zhǔn)入措施，防止非授權(quán)接入；

b)對(duì)水利業(yè)務(wù)網(wǎng)視頻會(huì)商系統(tǒng)和互聯(lián)網(wǎng)接入終端進(jìn)行隔離控制。

6

DB41/T2534—2023

目次

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語(yǔ)和定義.........................................................................1

4總體要求...........................................................................1

5水利網(wǎng)絡(luò)安全.......................................................................2

6移動(dòng)互聯(lián)安全.......................................................................4

7水利物聯(lián)網(wǎng)安全.....................................................................5

8水利工業(yè)控制系統(tǒng)安全...............................................................5

9數(shù)據(jù)安全保護(hù).......................................................................5

10視頻會(huì)商系統(tǒng)安全..................................................................6

I

DB41/T2534—2023

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。

本文件由河南省水利廳提出。

本文件由河南省水利標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本文件起草單位：河南省水文水資源中心、華北水利水電大學(xué)。

本文件主要起草人：張明貴、王駿、任建勛、宋博、趙新強(qiáng)、劉念龍、楊栓、李延峰、宋金喜、閆

曉敏、朱齊亮、侯爵。

II