ICS 35.030 CCS L 09 41 河南省 地方标准 DB41/T 2534—2023 水利网络安全建设技术规范 2023 - 10 - 31发布 2024 - 01 - 29实施 河南省市场监督管理局 发布 DB41/T 2534 —2023 I 目次 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 总体要求 ................................ ................................ ........... 1 5 水利网络安全 ................................ ................................ ....... 2 6 移动互联安全 ................................ ................................ ....... 4 7 水利物联网安全 ................................ ................................ ..... 5 8 水利工业控制系统安全 ................................ ............................... 5 9 数据安全保护 ................................ ................................ ....... 5 10 视频会商系统安全 ................................ ................................ .. 6 DB41/T 2534 —2023 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由河南省水利厅提出。 本文件由河南省水利标准化技术委员会归口。 本文件起草单位：河南省水文水资源中心、华北水利水电大学。 本文件主要起草人：张明贵、王骏、任建勋、宋博、赵新强、刘念龙、杨栓、李延峰、宋金喜、闫 晓敏、朱齐亮、侯爵。 DB41/T 2534 —2023 1 水利网络安全建设技术规范 1 范围 本文件规定了水利网络安全、移动互联安全、水利物联网安全、水利工业控制系统安全、数据安全 保护和视频会商系统安全等建设要求。 本文件适用于水利系统水利网络安全建设。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 28181—2022 公共安全视频监控联网系统信息传输、交换、控制技术要求 GB 35114—2017 公共安全视频监控联网信息安全技术要求 GB/T 35273 —2020 信息安全技术 个人信息安全规范 SL/T 803—2020 水利网络安全保护技术规范 3 术语和定义 SL/T 803—2020界定的以及 下列术语和定义适用于本文件。 3.1 水利网络 采用有线、无线、卫星等通信方式，由计算机及相关信息软硬设备互连构成的承载水利信息进行采 集、存储、传输、交换、处理的网络系统。 3.2 水利物联网 采用远距离无线电、窄带网络、卫星通信、低功耗局域网、移动互联网和无线通信等网络技术，动 态监测、采集、传输水利要素、状态和事件的信息网络。 3.3 水利业务网 水利行业各单位网络互联构成的非涉密专用网络。 3.4 水利工业控制系统 水利工程中使用的控制系统，包括数据采集与监视控制系统、分散控制系统和其他控制系统。主要 用于承载水利工程中水网调度，水库、大坝、闸门、水力发电、供排水监控等水利业务。 4 总体要求 4.1 先进性 DB41/T 2534 —2023 2 应采用成熟先进的信息系统和网络安全设备，最大限度的满足各项功能需求。 4.2 安全性 应采用具有安全可信的网络安全设备和技术进行水利网络安全建设。 4.3 扩展性 水利网络安全建设应具备灵活扩展的能力。 5 水利网络安全 5.1 安全物理环境 5.1.1 第二级要求 应符合GB/T 22239 —2019第二级的要求。 5.1.2 第三级要求 应符合GB/T 22239—2019第三级的要求，机房门禁系统 还应采用国密算法。 5.2 安全通信网络 5.2.1 第二级要求 应符合GB/T 22239—2019第二级、 SL/T 803—2020和以下要求： a) 网络重要节点部署访问控制类设备，划分安全域，配置网络安全访问控制策略，明确源地址、 目的地址、源端口、目的端口、网络协议允许或拒绝访问的要求，对进出网络的数据流实现 基于协议和内容的控制； b) 在无线局域网启用“ WPA企业/WPA2企业”加密方式、隐藏服务并关闭服务广播功能，地址由 动态主机配置协议 服务器分配或使用本单位统一规划的静态地址，并采取准入控制措施； c) 部署专用加密网关设备，通过构建加密通道的方式实现通信数据传输的完整性、保密性，采 用国家密码体系技术实现在公共传输通道上建立可信虚拟专用通道； d) 在网络关键节点处部署的网络设备、安全设备同时支持 互联网协议第 6版（IPv6）和互联网 协议第4版（IPv4）双栈； e) 通过部署单向或双向物理隔离设备，依据交换的数据类型配置访问控制策略，在跨网数据交 互过程中通过可靠的技术隔离手段进行数据的交互。 5.2.2 第三级要求 应符合第二级 a)、b)、c)、d)和以下要求： a) 设置数据安全交换平台，依据交换的数据类型配置访问控制策略，在跨网数据交互过程中通 过可靠的技术隔离手段进行数据的交互，数据交互平台需提供业务数据抽取、装载、数据安 全检测能力； b) 提供通信线路、关键网络设备、安全设备的硬件冗余； c) 在网络关键节点部署流量采集分析设备，对全网安全进行感知； d) 网络规划按照“核心层 -汇聚层-接入层”的三层网络架构规划，并基于 虚拟局域网 （VLAN） 技术划分虚拟局域网。 DB41/T 2534 —2023 3 5.3 安全区域边界 5.3.1 第二级要求 5.3.1.1 应符合GB/T 22239—2019第二级、 SL/T 803—2020和以下要求： a) 部署访问控制类设备，划分网络安全域，根据访问控制策略，设置进出双向的访问控制规则， 默认情况下（除允许的通信外）拒绝所有通信，删除多余或无效的访问控制规则，访问控制 规则数量最小化； b) 配置恶意代码防护措施，保持恶意代码防护机制的升级和更新。 5.3.1.2 水利业务网与其他行业网络连接边界安全应符合 5.3.1.1和以下要求： a) 部署数据安全交换通道； b) 配置实时漏洞分析措施。 5.3.1.3 水利业务网内部互联边界安全应符合 5.3.1.1和以下要求： a) 在网络边界处进行安全审计，审计重要用户行为和重要网络安全事件，并对审计记录进行定 期备份，保存时间不低于 180 d； b) 具备对无特征病毒的检测措施。 5.3.1.4 水利业务网与互联网连接边界安全应符合 5.3.1.3和以下要求： a) 部署单向数据导入，用于数据的安全交互和传输； b) 具备分布式异常流量攻击防护系统，防范拒绝服务攻击。 5.3.2 第三级要求 5.3.2.1 水利业务网边界安全与第二级要求相同。 5.3.2.2 水利业务网与其他行业网络连接边界安全应符合第二级和以下要求： a) 具备对外部访问主体的认证和鉴权机制； b) 具备对传输数据类型进行审计和控制的能力。 5.3.2.3 水利业务网内部互联边界安全应符合第二级和以下要求： a) 通过网络准入认证措施，保证网络边界的完整性，监测并限制网络内的非法外联行为； b) 在重要边界节点采集网络端流量数据，发现已知和未知的恶意软件，发现利用零日漏洞的高 级可持续性攻击行为，保护网络免遭零日等攻击造成的各种风险。 5.3.2.4 水利业务网