a）应符合6.1.1.2； b） 机房、中心控制室、现场控制室应避开发生火灾危险程度高的区域； C 机房、中心控制室、现场控制室应避开产生粉尘、油烟、有害气体源以及存放腐蚀、易燃、易爆物 品的地方； d 机房、中心控制室、现场控制室应避开低洼、潮湿、落雷、重盐害区域和地震频繁的地方； e 机房、中心控制室、现场控制室应避开强振动源和强噪声源： f 机房、中心控制室、现场控制室应避开强电磁干扰源； g）如以上无法避免，应采取相应措施

a）应符合6.1.1.2； b） 机房、中心控制室、现场控制室应避开发生火灾危险程度高的区域； 机房、中心控制室、现场控制室应避开产生粉尘、油烟、有害气体源以及存放腐蚀、易燃、易爆物 品的地方； d 机房、中心控制室、现场控制室应避开低洼、潮湿、落雷、重盐害区域和地震频繁的地方； e 机房、中心控制室、现场控制室应避开强振动源和强噪声源； f） 机房、中心控制室、现场控制室应避开强电磁干扰源； g）如以上无法避免，应采取相应措施，

6.1.2.1第一级～第二级

GB/T408132021

a）来访人员进入机房、中心控制室、现场控制室前应提出申请并通过审批，应记录其随身携常 设备、进出时间和工作内容，应有专人陪同并限制和监控其活动范围： D 机房、中心控制室出人口应安排专人值守或配置电子门禁系统医药标准，控制、识别和记录人员的进 人员进出记录应至少保存六个月

6. 1.2.2 第三级

本项要求包括： a）应对机房、中心控制室、现场控制室划分不同管理区域，应将设备区域和维护操作区域分离； b） 应对主机房、中心控制室、现场控制室的重要工程师站、数据库、服务器等核心工业控制资产所 在区域采取视频监控或专人值守等防护措施： 来访人员进人主机房、中心控制室、现场控制室前应提出申请并通过审批，应记录其随身携带 的设备、进出时间和工作内容，应有专人陪同并限制和监控其活动范围；设备使用前应进行系 统扫描、使用过程中应进行行为监测、带出前应对工作日志等进行审计； d 机房、中心控制室出人口应配置电子门禁系统，控制、识别和记录人员的进出，人员进出记录应 至少保存六个月

应对机房、中心控制室、现场控制室划分不同管理区域，应将设备区域和维护操作区域分离； D） 应对主机房、中心控制室、现场控制室的重要工程师站、数据库、服务器等核心工业控制资产所 在区域采取视频监控或专人值守等防护措施： 来访人员进人主机房、中心控制室、现场控制室前应提出申请并通过审批，应记录其随身携带 的设备、进出时间和工作内容，应有专人陪同并限制和监控其活动范围；设备使用前应进行系 统扫描、使用过程中应进行行为监测、带出前应对工作日志等进行审计； d 机房、中心控制室出人口应配置电子门禁系统，控制、识别和记录人员的进出，人员进出记录应 至少保存六个月

本项要求包括： a）应符合6.1.2.2； b）主机房、中心控制室的重要区域应配置第二道电子门禁系统，控制、识别和记录人员的进出，人 员进出记录应至少保存六个月

冰水包拍： 应符合6.1.2.2； 主机房、中心控制室的重要区域应配置第二道电子门禁系统，控制、识别和记录人员的进出，人 员进出记录应至少保存六个月

6.1.3防盗窃和防破坏

6. 1.3. 1 第一级

本项要求包括： a）应将服务器、路由器、交换机等主要设备放置在主机房、中心控制室或现场控制室等建筑物内； b）应将室外控制设备安装在采用金属材料制作且具有防盗能力的箱体或装置中； c）应将设备或主要部件进行固定，并设置明显的不易除去的粘贴标签或铭牌等标记

应符合6.1.3.1； 应将通信线缆铺设在隐蔽处，可铺设在管道中

1.3.3第三级～第四级

本项要求包括： a）应符合6.1.3.2； b）应采用光、电等技术设置机房、中心控制室、现场控制室防盗报警系统或设置有专人值守的视 频监控系统； c） 应对机房、中心控制室、现场控制室的控制台等重要区域进行视频监控，监控记录应至少保存 三个月。

GB/T40813—2021

6.1.4.1 第一级一第二级

本项要求包括： a）应对室外控制设备电源、信号线路加装避雷器或浪涌保护器，并将金属管线就近接地； D 应根据室外控制设备分布，在设备集中位置设置接地汇流排、均压环、均压网等等电位连接装 置；所有设备、金属机架、外壳、管、槽等应就近接地，并应符合等电位连接要求； C 机房、中心控制室、现场控制室、现场机柜室应在所在建筑物防雷措施基础上采取加强防雷击 措施； d） 机房、中心控制室、现场控制室、现场机柜室等各类机柜、设施和设备等应通过接地系统安全 接地。

6.1.4.2第三级~第四级

本项要求包括： a）应符合6.1.4.1； b）应对机房、中心控制室、现场控制室、现场机柜室所在建筑物设置防雷保安器或 等防感应雷措施

本项要求包括： a）应将室外控制设备安装在采用金属材料或其他防火隔热材料制作且具有防火能力的箱体或装 置中； b） 机房、中心控制室、现场控制室、现场机柜室应配置灭火器，配置的灭火器类型、规格、数量和位 置应符合国家标准的要求，灭火所用的介质不宜造成二次破坏，

6.1.5.2 第二级

本项要求包括： a） 应符合6.1.5.1； b） 机房、中心控制室、现场控制室、现场机柜室应设置火灾自动消防系统，应能自动检测火情、自 动报警，并应具有自动灭火功能； 机房、中心控制室、现场控制室的内部装修材料应采用符合国家标准的难燃烧材料和非燃烧 材料

本安求包拍： a）应符合6.1.5.1； b） 机房、中心控制室、现场控制室、现场机柜室应设置火灾自动消防系统，应能自动检测火情 动报警，并应具有自动灭火功能； 机房、中心控制室、现场控制室的内部装修材料应采用符合国家标准的难燃烧材料和非燃 材料。

6. 1.5. 3第三级~第四级

a） 应符合6.1.5.2； b） 应对机房、中心控制室、现场控制室划分不同管理区域，区域间应设置隔离防火措施，并应将重 要设备和其他设备隔开； 当机房作为独立建筑物时，建筑物的耐火等级应不低于该建筑物所对应的设计防火规范中规 定的二级耐火等级； d） 当机房位于其他建筑物内时，该机房与其他部位之间应设置耐火等级不低于2h的隔墙或隔

离物，隔墙上的门应采用符合国家标准的甲级防火门。

6.1.6.1 第一级

GB/T40813202

本项要求包括： a）应将室外控制设备安装在采用金属材料或其他材料制作且具有防水能力的箱体或装置中； b） 无关的给排水管道不应穿过机房、中心控制室、现场控制室，相关的给排水管道应有可靠的防 渗漏措施： c） 机房、中心控制室、现场控制室外墙壁应采用无窗设计或采用双层固定窗并作密封、防水处理； d 如机房、中心控制室、现场控制室周围有用水设备，应有防渗水和导流措施； 应采取措施防止雨水通过机房、中心控制室、现场控制室的窗户、屋顶和墙壁渗透到机房、中心 控制室、现场控制室内

6. 1.6.2 第二级

本项要求包括： a）应符合6.1.6.1； 下积水转移或渗漏

6.1.6.3 第三级一第四级

本项要求包括： a）应符合6.1.6.2； b）应安装对水敏感的检测仪表或传感器，并对机房、中心控制室、现场控制室应在漏水隐惠处设 置漏水检测报警系统

本项要求包括： a）应符合6.1.6.2； b）应安装对水敏感的检测仪表或传感器，并对机房、中心控制室、现场控制室应在漏水隐惠负 置漏水检测报警系统

1.7.1 第一级~第二级

本项要求包括： a 机房、各控制室、现场机柜室应采用防静电地板或地面； b）应对机房、各控制室、现场机柜室内的设备采取必要的接地防静电措施； c）机房、各控制室、现场机柜室内易产生静电的地方，可采用静电消除剂和静电消除器 d）室外控制设备应就近接地，并应设置人工接地装置

本项要求包括： a） 机房、各控制室、现场机柜室应采用防静电地板或地面； b）应对机房、各控制室、现场机柜室内的设备采取必要的接地防静电措施； c）机房、各控制室、现场机柜室内易产生静电的地方，可采用静电消除剂和静电消除器； d）室外控制设备应就近接地，并应设置人工接地装置

6.1.7.2 第三级~第四级

本项要求包括： a）应符合6.1.7.1； b）应符合GB/T22239—2019中8.1.1.7b)

本项要求包括： a）应符合6.1.7.1； b）应符合GB/T22239—2019中8.1.1.7b)

本项要求包括： a）对于存在爆炸危险的组织，主机房、中心控制室应位于爆炸危险区域外，其建筑物的建筑 应根据抗爆强度分析结果进行设计； b）对于存在爆炸危险的生产车间（装置），现场控制室、现场机柜室应位于爆炸危险区域外，

GB/T40813—2021

据安全专业抗爆强度分析结果确定是否设计为抗爆结构，应根据不同的易爆因素设置监测 警装置

本项要求包括： a）应采用防火材料封堵机房、中心控制室、现场控制室、现场机柜室的孔、洞； b）应对易受鼠害的机房、中心控制室、现场控制室、现场机柜室内的缆线采取防护措施

本项要求包括： a）应采用防火材料封堵机房、中心控制室、现场控制室、现场机柜室的孔、洞； b）应对易受鼠害的机房、中心控制室、现场控制室、现场机柜室内的缆线采取防护措施。

6.1.10温湿度控制

6.1.10.1 第一级

本项要求包括： a）应在机房内设置必要的温、湿度调节装置，并使温、湿度控制在设备工作允许范围内，其中：开 机时温度、相对湿度和温度变化率宜符合GB/T2887一2011表2中C级要求，停机时温度、相 对湿度和温度变化率宜符合GB/T2887一2011表3中C级要求；应有对主机房内的温、湿度 监测记录； D 应在中心控制室、现场控制室和现场机柜室内设置必要的温、湿度调节装置，并使温、湿度控制 在设备工作充许范围内，其中：温度宜控制在冬李20℃2℃、夏季24℃土2℃，温度变化率 小于5℃/h；相对湿度宜控制在40%~60%，湿度变化率小于6%/h； C） 按GB/T7353一1999中6.9，工业控制（台）柜环境温度应控制在一5℃～40℃，相对湿度应控 制在40%~90%

本项要求包括： a）应在机房内设置必要的温、湿度调节装置，并使温、湿度控制在设备工作允许范围内，其中：开 机时温度、相对湿度和温度变化率宜符合GB/T2887一2011表2中C级要求，停机时温度、相 对湿度和温度变化率宜符合GB/T2887一2011表3中C级要求；应有对主机房内的温、湿度 监测记录； D 应在中心控制室、现场控制室和现场机柜室内设置必要的温、湿度调节装置，并使温、湿度控制 在设备工作充许范围内，其中：温度宜控制在冬季20℃土2℃、夏季24℃土2℃，温度变化率 小于5℃/h；相对湿度宜控制在40%~60%，湿度变化率小于6%/h； C） 按GB/T7353一1999中6.9，工业控制（台）柜环境温度应控制在一5℃～40℃，相对湿度应控 制在40%90%

6.1.10.2第二级～第四级

项要求包括： a）应符合6.1.10.1b)和c）； D 应在机房内设置必要的温、湿度调节装置，并使温、湿度控制在设备工作允许范围内，其中：开 机时温度、相对湿度和温度变化率宜符合GB/T2887一2011表2中B级要求，停机时温度、相 对湿度和温度变化率宜符合GB/T2887一2011表3中B级要求；应有对主机房内的温、湿度 监测记录装置。

现要求包活 a）应符合6.1.10.1b）和c)； b 应在机房内设置必要的温、湿度调节装置，并使温、湿度控制在设备工作允许范围内，其中：开 机时温度、相对湿度和温度变化率宜符合GB/T2887一2011表2中B级要求，停机时温度、相 对湿度和温度变化率宜符合GB/T2887一2011表3中B级要求；应有对主机房内的温、湿度 监测记录装置

6.1.11.1第一级

应在机房、中心控制室供电系统中设置稳压稳频装置和过电压防护设备，供电系统的容量应具有 的余量。

[6. 1.11.2第二级

本项要求包括： a）应符合6.1.11.1； b） 应为机房、中心控制室、现场控制室、现场机柜室配备不间断电源等短期备用电力供应装置，并 应满足设备在断电情况下的持续供电时间不低于20min

本项要求包括： a）应符合6.1.11.1； b）应为机房、中心控制室、现场控制室、现场机柜室配备不间断电源等短期备用电力供应装置，并 应满足设备在断电情况下的持续供电时间不低于20min

6.1.11.3第三级

GB/T40813202

a）应符合6.1.11.2； b）应采用穴余或并行的电力电缆线路为机房、中心控制室的计算机系统供电，输入电源应采用双 路市电自动切换供电方式

6.1.11.4第四级

本项要求包括： a）应符合6.1.11.3； b）应为机房、中心控制室设置双路市电（或市电、备用柴油发电机）和不间断电源系统，并应满足 为关键设备在断电情况下持续供电2h以上

本项要求包括： a）应符合6.1.11.3; b）应为机房、中心控制室设置双路市电（或市电、备用柴油发电机）和不间断电源系统，并应满足 为关键设备在断电情况下持续供电2h以上

6. 1.12电磁防护

6.1.12.1 第一级

本项要求包括： a）处于强电磁干扰区和有保密要求的机房应设置电磁屏蔽室； b）应符合GB/T22239—2019中6.5.1.1b)

本项要求包括： a）处于强电磁干扰区和有保密要求的机房应设置电磁屏蔽室； b）应符合GB/T22239—2019中6.5.1.1b)

6.1.12.2第二级

本项要求包括： a）应符合6.1.12.1； b 应符合GB/T22239—2019中7.1.1.10； 电力电缆不宜穿过中心控制室、现场控制室，当受条件限制需要穿过时，应采取屏蔽 d）对集中存储、处理、传输敏感数据的设备，应考虑电磁信息泄露防护措施。

本项要求包括： a）应符合6.1.12.1； b）应符合GB/T22239—2019中7.1.1.10； C 电力电缆不宜穿过中心控制室、现场控制室，当受条件限制需要穿过时，应采取屏蔽措施 d）对集中存储、处理、传输敏感数据的设备，应考虑电磁信息泄露防护措施

6.1.12.3第三级

本项要求包括： a 应符合6.1.12.2； b) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； C 应对重要工艺控制环路所涉及设备采取免受无线注人攻击和干扰的风险防护措施； d) 应对涉及敏感数据的关键设备和磁媒体采取防敏感信息泄露或受到电磁攻击的电磁屏蔽 措施

6.1.12.4第四级

本项要求包括： a）应符合6.1.12.3[6.1.12.3d)除外］； b）应对涉及敏感数据的关键设备和磁媒体或关键区域采取防敏感信息泄露或受到电磁攻击的电 磁屏蔽措施

6.2网络通信安全防护

6.2.1.1 第一级

GB/T 408132021

a）应绘制与当前相符的ICS网络拓扑图，整理设备清单和核心网络设备配置文件并定期备份更 新，主要包括：设备名称、型号、网络地址等信息以及网段划分、路由、安全策略配置等信息； ） ICS应单独划分网络区域，并应与组织其他信息系统位于不同的网络区域内； C 应根据ICS区域重要性和业务需求进行安全区域划分，系统不同层次之间、同一层次不同业务 单元之间应划分为不同的安全防护区域； 应对ICS的开发、测试、运维和生产分别提供独立环境； e 应通过路由控制在业务终端与业务服务器之间建立安全的访问路径

本项要求包括： a）应符合6.2.1.1； b）应符合GB/T22239—2019中7.1.2.1b）： c）应符合GB/T22239—2019中7.5.2.1c)

本项要求包括： a）应符合6.2.1.2； 单个ICS可单独划分安全域并可划分独立子网，每个安全域应尽量少设置网络出口； 网络设备的业务处理能力应满足业务高峰期需要，并具备穴余空间； d 网络各个部分的带宽应满足业务高峰期需要，并具备穴余空间； e）通信线路、关键网络设备和关键计算设备的硬件应进行余配置

本项要求包括： a）应符合6.2.1.2； 单个ICS可单独划分安全域并可划分独立子网，每个安全域应尽量少设置网络出口 ) 网络设备的业务处理能力应满足业务高峰期需要，并具备穴余空间； d 网络各个部分的带宽应满足业务高峰期需要，并具备穴余空间； e）通信线路、关键网络设备和关键计算设备的硬件应进行余配置

本项要求包括： a）应符合6.2.1.3；

6.2.2.2 第二级

本项要求包括： a）应符合6.2.2.1:

GB/T408132021

通过广域网交换控制指令或相关数据时，应采用加密认证技术实现身份鉴别、访同控制和数据 加密传输

本项要求包括： a）应符合6.2.2.2[6.2.2.1e)除外]； b）应符合GB/T22239—2019中8.1.2.2a)； c）应符合GB/T22239—2019中8.1.2.2b）； d）应符合GB/T22239—2019中8.5.3.3c）

本项要求包括： a）应符合6.2.2.2[6.2.2.1e)除外]； b）应符合GB/T22239—2019中8.1.2.2a)； c）应符合GB/T22239—2019中8.1.2.2b)； d）应符合GB/T22239—2019中8.5.3.3c）。

本项要求包括： a）应符合6.2.2.3[6.2.2.3b)除外]； b）应符合GB/T22239—2019中9.1.2.2a)； c）通信前应采用SSL、IPSec等基于密码技术的协议对通信双方进行会话初始化验证，并应在通 过加解密验证后通信； d）应符合GB/T22239—2019中9.1.2.2d)

本项要求包括： a）应符合6.2.2.3[6.2.2.3b)除外]； b）应符合GB/T22239—2019中9.1.2.2a)； c）通信前应采用SSL、IPSec等基于密码技术的协议对通信双方进行会话初始化验证，并应在 过加解密验证后通信； d）应符合GB/T22239—2019中9.1.2.2d)

6.2.3网络设备防护

本项要求包括： a）应对登录网络设备的用户进行身份鉴别； b）应通过采取结束会话、限制非法登录次数和网络登录连接超时自动退出等策略，实现登录失败 处理功能； c）非法登录次数达到预设值时，应记录相应日志，并向网络管理主机发送报警信息： d）对网络设备进行远程管理时，应采取防止鉴别信息在网络传输过程中被窃取的措施

6.2.3.2 第二级

本项要求包括： a）应符合6.2.3.1； b） 应及时修改默认用户和默认口令，口令长度应不少于8位且为学母、数字或特殊字符的组合 用户名和口令不应相同，不应明文存储口令，每三个月应更换一次口令； 网络设备的标识应唯一，不应使用网络地址等易被仿冒的设备标识； d）同一网络设备的用户标识应唯一，多个人员不应共用一个账号； e）应对网络设备的管理员登录地址进行限制； 应关闭不需要的网络端口和服务，如使用SNMP服务，应采用安全性增强版本，并应设定复杂 的共享控制字段，不应使用公共或私有的默认字段

本坝要求包： 应符合6.2.3.1； b） 应及时修改默认用户和默认口令，口令长度应不少于8位且为学母、数字或特殊字符的组合 用户名和口令不应相同，不应明文存储口令，每三个月应更换一次口令； 网络设备的标识应唯一，不应使用网络地址等易被仿冒的设备标识； d）同一网络设备的用户标识应唯一，多个人员不应共用一个账号； e）应对网络设备的管理员登录地址进行限制； 应关闭不需要的网络端口和服务，如使用SNMP服务，应采用安全性增强版本，并应设定复杂 的共享控制字段，不应使用公共或私有的默认字段

a）应符合6.2.3.2； b）应实现管理员等设备特权用户的权限分离，如系统不支持，应通过采取其他技术措施对管

GB/T40813—2021

约操作行为进行审计，且管理员无权对审计记录进行操作

本项要求包括： a）应符合6.2.3.3； b）应采用口令、密码和生物识别等两种或两种以上组合的鉴别方式对用户身份进行鉴别，且其中 至少一种鉴别方式应使用密码技术实现

6.2.4.1 第一级

应符合GB/T22239—2019中7

应符合GB/T22239—2019中9.1.2.3

应符合GB/T22239—2019中9.1.2.3

6.3网络边界安全防护

6.3.1安全区域划分

本项要求包括： a）ICS与组织其他信息系统间应具有明确的网络边界； b）应基于自身业务特点将ICS内部划分为不同的安全域，安全域的划分应有利于在同一安全域 内部署统一的安全防护策略，并能对内部数据的访问和传输进行合理控制； C 应将ICS的开发、测试和生产环境分别置于不同的网络区域，区域间应进行物理或逻辑隔离

本项要求包括： a）ICS与组织管理信息系统等其他系统间应采取技术隔离措施； b）ICS内部不同安全域之间应部署具有访问控制功能或具有相当功能的安全隔离设备

本项要求包括： a）应符合6.3.2.1； b 应在ICS内部不同安全域之间采取必要的边界隔离机制，对接人ICS的设备进行识别和管控 仅允许经过授权的设备接人系统，并在防护机制失效时及时进行报警

a）应符合6.3.2.1； b）应在ICS内部不同安全域之间采取必要的边界隔离机制，对接人ICS的设备进行识别和管控 仅允许经过授权的设备接人系统，并在防护机制失效时及时进行报警

GB/T408132021

6.3.3. 1第一级

a）应符合6.3.3.1[6.3.3.1e)除外]； b）应根据网络边界安全控制策略，通过检查数据包的源地址、目的地址、传输协议、所请求的月 等，及时制止不符合安全控制策略的数据包进出该边界：

GB/T 408132021

c）应能根据会话状态信息为数据流提供允许或拒绝访问的能力，控制粒度为端口级； d 应根据数据的敏感标记允许或拒绝数据通过网络边界； e 边界的网络控制设备应根据用户与系统之间的允许访问规则，允许或拒绝对受控系统的资源 访问，控制粒度为单个用户； 部署在ICS区域边界的ICS专用防火墙等访问控制设备应具备双机热备能力，当主防火墙自 身出现断电或其他软硬件故障时，备用防火墙应能及时发现并接管主防火墙进行工作； g 按GB/T22239—2019中7.5.3.2； h）应对所有参与无线通信的用户（人员、软件进程或设备）进行授权以及执行或使用进行限制

水利技术论文本项要求包括： a）应符合6.3.3.2； b）应符合GB/T22239—2019中8.5.3.2b)； c）应符合GB/T22239—2019中8.5.3.3d)

本项要求包括： a) 应符合6.3.3.3； b) 应符合GB/T22239—2019中9.1.3.2e)

本项要求包括： a）应符合6.3.3.3； 应符合GB/T22239—2019中9.1.3.2e)； c）应符合GB/T22239—2019中9.5.3.2c）。

本项要求包括： a）应在ICS网络边界、ICS内部不同安全区域边界以及重要网络节点部署专用审计设备，或启动 网络设备（系统)的审计功能并进行安全审计，审计范围应覆盖到ICS的每个用户，审计内容应 包括：设备运行状况、网络流量、用户行为、重要系统命令使用和重要安全事件等； 审计测试仅限于对软件和数据的只读访问，非只读的访问仅用于对系统文件的单独复制，审计 完成时应擦除这些复制或按审计文件要求保留这些文件并给予适当保护； 如审计测试会影响系统的可用性，应在非业务时间进行； d）应具备使用内部时钟为审计记录生成日期和时间等时间戳的功能； 应能发现并发出审计失败的警告，并具备重启审计的功能： ） 应定义审计阅值，当存储空间接近极限时，应采取备份覆盖等安全措施以正常执行审计功能； 名 当审计要求和活动涉及对运行系统验证时，应事先与管理者确定访问系统和数据的审计要求 并获批准； h 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录和保护并定期备 份，避免受到未预期的删除、修改或覆盖等，记录保存时间应不少于六个月； 应具备拒绝远程访问审计记录的功能，仅允许授权用户根据授权范围访问审计记录； ） 应根据ICS的统一安全策略实现集中审计，应定期自动统计分析所采集的审计记录并形成报

本项要求包括： 应在ICS网络边界、ICS内部不同安全区域边界以及重要网络节点部署专用审计设备，或启动 网络设备（系统)的审计功能并进行安全审计，审计范围应覆盖到ICS的每个用户，审计内容应 包括：设备运行状况、网络流量、用户行为、重要系统命令使用和重要安全事件等； 审计测试仅限于对软件和数据的只读访问，非只读的访问仅用于对系统文件的单独复制，审计 完成时应擦除这些复制或按审计文件要求保留这些文件并给予适当保护； 如审计测试会影响系统的可用性，应在非业务时间进行； d）应具备使用内部时钟为审计记录生成日期和时间等时间戳的功能； 应能发现并发出审计失败的警告，并具备重启审计的功能： ） 应定义审计國值，当存储空间接近极限时，应采取备份覆盖等安全措施以正常执行审计功能； 当审计要求和活动涉及对运行系统验证时，应事先与管理者确定访问系统和数据的审计要求 并获批准； h 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录和保护并定期备 份，避免受到未预期的删除、修改或覆盖等，记录保存时间应不少于六个月； 应具备拒绝远程访问审计记录的功能，仅允许授权用户根据授权范围访问审计记录； 应根据ICS的统一安全策略实现集中审计，应定期自动统计分析所采集的审计记录并形成报

GB/T408132021

告，应具备审计记录的查询、输出、备份等功能；对未列入集中审计范围的设备，应定期人工采 集审计数据、导人集中审计平台并进行统计分析 应具备集中管理审计事件的能力，包括：用户登录/退出事件、连接超时事件、配置变更、时间， 日期变更、审计接人、用户名/口令创建和修改等

档案标准6.3.4.3第三级一第四级

本项要求包括： a） 应符合6.3.4.2； 应能对远程访问的用户行为、使用互联网的用户行为等单独进行行为审计和数据分析； C 应具备保护审计工具和审计进程的功能，避免受到未授权访问、修改、删除或覆盖等行为的 破坏。