水利网络安全建设应遵循以下基本原则： 8）全面完整原则：在进行网络安全建设时，应遵循本文件规定，结合实际，进行完整的网络安 全体系集构设计，全面覆金所有安全要系： b）等级保护原则：应按照GB/T222402020，确定各类水利网络安全保护对象的保护等级； c）同步要求原则：水利信息化项目在规划建设运行时，应将网络安全保护措施同步规划、同步 建设、同步使用： d）适当调整原则：在进行网络安全建设时，可根据水利网络安全保护对象具体情况和特点，适 当调整部分安全要素的建设标准： e）持续改进原则：应依据本标推和GB/T222392020等国家标准规范要求持续完善网络安全体系

水利网络安全建设应满足以下一般要求！

SL/T 8032020

&）设备安全要求：应优先选用稳定可靠的服务器、PLC、MCU、终端等计算设，并根据需要 进行计算设备安全评估： b）软件安全要求：应优先选用稳定可靠的操作系统、PLC系统、组态软件、应用软件等软件， 并根据需要进行软件安全评估 e）接人安全要求：可采用密码技术等保证接人网络的设备安全可信： d）安全服务要求：应与产品、服务提供者签订安全保密协议牛奶标准，并约定其为产品、服务提供安全 维护，在规定或者约定的期限内，不应终止提供安全维护； e）容灾备份要求：应具备容灾备份措施对重要数据进行备份

4.3水利关键信息基确设施补充要求

水利关键信息基确设施网络安全建设，应满足以下补充要求： 8）设各安全要求：应对重要设备进行安全审查和评估； b）软件安全要求：应对重要软件进行安全审查和评估； c）协议安全要求：应采用具备安全校验机制的通信协议，重要的服务和通信连接应采取加密技 术猎施； d）认证检测要求：关键设备和安全专用产品应当按照国家相关标准的强制性要求，采用安全认 证或者安全检测合格的产品； e）计算环境要求：应按不低于第三级网络安全保护对象的安全计算环境要求进行设计实施； ）容灾备份要求：应具备异地容灾备份措施； 8）安全验收要求：敬工验收前，宜进行网络安全专项验收

5.1.1水利行业网络安全建设应包括纵深防询、统一安全服务、成胁感知预警、应急决策指挥，宜 按照图1构建，其中织深防衡应包括安全物理环境、安全计算环境、安全区域边界、安全通信网络等 部分

图1水利行业网络安全技术体系推架图

5.1.2网络安全技术案构应包括以下内容

SL/T 8032020

8）应建设水利行业协同统一的网络安全服务体系，包括网络安全情报服务、灾备服务、密码服 务，认证服务等； b）在安全物理环境基醋上，应构建安全计算环境、安全区域边界、安全通信网络的3层基翻 防护； c宜构建网络安全成胁感知预警平台和网络安全应急决策指挥平台，形成贯穿所有安全活动的 安全运营管理中心， 1.3纵深防御应建立完普合规的物理环境、计算环境、区域边界、通信网络防护，同时应针对公 共的安全技术形成统一的安全服务，包括安全情报服务、灾各服务、密码服务、认证服务等4项 服务

a）应建立采集流量数据、设备日志、主机日志、应用系统日志的数据采集系统； b）应对采集数据进行分析，发现安全事件和潜在威励，进行风险预警； c）宜建设水利行业网络安全大数据平台，建立数据采集标准规范，对各级节点网络安全数据和 关键网络安全数据进行威分析 山客级节点应设享交换机制，与上级节点实现关链流量数据、网络安全预警等数据交互 5.1.5应急响应应满足下列要求： a）应建设行业应急决策指挥平台并制定网络安全事件相关数据交换标准；

d）各级节点应建设共享交换机制，与上级节点实现关键流量数据、网络安全预警等数据交互，

5.1.5应急响应应满足下列要求

5.1.5应急响应应满足下列要求！

b）各级节点可建设应急决策指挥平台，管理网内网络安全资源，对网内各类风险预警进行综合 研判和闭环处置，实现应急预案管理与策略缩排，并应与上级应急决策指挥平台进行数据 交换， 5.1.6安全运营应在织深防衡、监测预警、应急响应等各类安全设备（系统）的支撑下，建立网络 安全运营体系，识别网络安全态势，优化网络安全防御措施

5.2.1应开展网络安全纵深防能力、网络安全监测预警能力、网络安全应急响应能力建设，宜建 立与之对应的网络安全运营体系

5.2.2部级建设应满足下列要求：

&）应建设网络安全情报服务、灾备服务、统一密码服务、统一身份认证服务，为本级及下级网 络节点提供服务共享； b）应以不低于第三级系统安全要求开展安全物理环境、安全计算环境、安全区域边界、安全通 依网络等方面的网络安全织深防御能力建设，应对水利关键信息基码设施采取措施进行重点 保护： c）应建设网络安全数据采集处理系统，建设威胁感知预警平台，对本级及下级网络节点的关键 网络安全数据进行统一分析，及时发现网络安全威协； d）应建设网络安全应急决策指挥平台，对本级和行业内金要网络安全事件进行全流程处置指挥； e）应建立以数据为核心，网络安全资源管理为支撑，涵威胁预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； 各下级网络节点应按最高级别网络安全保护对象相应等级保护级别安全要求开展安全物理环 境、安全计算环境、安全区域边界、安全通信网络等方面的网络安全深防御能力建设。 .2.3流域级建设应满足下列要求： a）应在上级节点网络安全服务基醋上，建设区域级网络安全情报服务、统一密码服务、统一身 份认证服务，为本级及下级网整节点提供服务共享：

5.2.3流域级建设应满足下列要求

SL/T 8032020

b）应以不低于第三级系统安全要求开展安全物理环境、安全计算环境、安全区域边界、安全通 信网络等方面的网络安全织深防御能力建设，应对关键信点基醋设施采取措施进行重点保护 c）应建设网络安全数据采集处理系统，建设威胁感知预警平台，对本级及下级节点的网络安全 数据进行统一分析，及时发现网络安全威胁，应与上级节点进行数据共享； d）应依托上级节点或自行建设网络安全应急决策指挥平台，对网内重要网络安全事件进行全流 程指挥处置，应与上级节点进行数据共享； e）应建立以数据为核心，网络安全资源管理为支撑，涵盖成胁预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； 》各下级节点应接最高级别网络安全保护对象相应等级保护级别安全要求开展安全物理环境 安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设，

8）可在上级节点网络安全服务基醋上，建设区域级网络安全情报服务、统一密码服务、统一身 份认证服务，为本级及下级单位提供服务共享； b）应以不低于第三级系统安全要求开展安全物理环境、安全计算环境、安全区域边界、安全通 信网络等方面的网络安全织深防御能力建设，应对关键信息基醋设施采取措施进行重点保护； c）应建设网络安全数据采集处理系统，自行或依托上级节点建设威胁感知预警平台，对本级及 下级节点的网络安全数据进行统一分析，及时发现网络安全威胁，应与上级节点进行数据 共享； d）应依托上级节点或自行建设网络安全应急决策指挥平台，对本省（自治区、直辖市）内重要 网络安全事件进行全流程指挥处置，应与上级节点进行数据共享： e）应建立以数据为核心，网络安全资源管理为支撑，通盖成预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； 各下级节点应按最高级别网络安全保护对象相应等级保护级别安全要求开展安全物理环境、 安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设， .2.5市县级建设应满足下列要求： a）应以不低于第二级系统安全要求开展有关的安全物理环境、安全计算环境、安全区域边界、 安全通信网络等方面的网络安全纵深防御能力建设； b）应建设网络安全数据采集系统，宜依托上级节点威胁感知预警平台，对网络安全数据进行统 一分析，及时发现网络安全威胁； c）宜依托上级节点网络安全应急决策指挥平台，对重要网络安全事件进行全流程指挥处置： d）应依托上级节点或自行建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威胁 防护、持续监测、响应处置的闭环安全运营体系； e）各下级节点应按最高级别网络安全保护对象相应等级保护级别安全要求，开展安全物理环境、 安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设 2.6大型（含重要中型）水利工程管理单位建设应满足下列要求： a）应在上级节点网络安全服务基确上，建设网络安全情报服务、灾备服务、统一密码服务、统 一身份认证服务，可根据水利工业控制系统实际情况，建设工业控制专用的网络安全情报服 务、本地灾备服务、统一密码服务、身份认证服务； b）应以不低于第三级系统安全要求（含工业控制系统扩展要求）开展安全物理环境、安全计算 环境、安全区域边界、安全通信网络等方面的网络安全织深防街能力建设，并对关键信点基 础设施采取措施进行金点保护： c）应建设网络安全数据采集处理系统，自行或依托上级节点建设威胁感知预警平台，对网络安 全数据进行统一分析，及时发现网络安全威胁，应与上级节点威胁感知预警平台进行数据

SL/T 8032020

共享： 应依托上级节点或自行建设网络安全应急决策指挥平台，对重要网络安全件进行全流程指 挥处置，并与上级节点进行数据共享： e）应建立以数据为核心，网络安全资源管理为支撑，涵盖成胁预防、威胁防护、持续监测、响 应处置的闭环安全送营体系： D不具各三级及以上网络安全保护对象的单位可参照本标推对其他级别网络安全保护对象的要 求进行建设， 5.2.7中小型水利工程管理单位建设应满足下列要求： a）应以不低于第二级系统安全要求（含工业控制系统扩展要求）开展有关的安全物理环境、安 全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设： b）应建设网络安全数据采集系统，宜依托上级节点成胁感知预警平台，对网络安全数据进行统 一分析，及时发现网络安全威胁； c）宜依托上级节点网络安全应急决策指挥平台，对重要网络安全事件进行全流程指挥处置： d应依托上级节点或自行建立以数据为核心，网络安全资源管理为支撑，商金戚防、威励 防护、持续监测、响应处置的闭环安全运营体系； e）其备三级及以上网络安全保护对象的单位，可参照本文件对大型及重要中型利工程誉理单 位的网络建设要求进行建设

安全筑深防舞能力建设基本要求应由安全理环境、安全迪信网培、安全区域边界和安全计算环 各部分组成，应根据承载网络要全保护对象的不同等级和类型情况，并接以下要求执行！ a）网络安全等级保护只有一级的水利网络安全保护对象，应采用GB/T222392019第一级的 安全要求； b》网络安全等级保护为二级及以下的水利网络安全保护对象，应采用第二级安全要求开展安全 纵深防御能力建设； c）网络安全等级保护为三级的水利网络安全保护对象，应采用第三级安全要求开展安全织深防 街能力建设； d）存在工业控制系统、云计算环境、移动互联和物联网应用的，应在以上基础上分别落实工业 控制系统、云与虚拟化、移动互联和物联网扩展安全要求； e）存在关键信息基确设施的，应在第三级安全要求的基础上落实关健信息基确设施扩展要求

6.2.1安全物理环境应包括物理位置择、机房环境安全、物理访问控制、安全分域、防壶窃、防 破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、设备设施安全、电力供应、监控审计、电 磁防护和灾难备份中心等方面， 6.2.2第二级要求应以承载最高网络安全保护等级为第二级的保护对象，应符合GB/T50174 2017的C级标准和GB/T222392019第二级的安全要求。 6.2.3第三级要求应以承载最高网络安全保护等级为第三级的保护对象，除符合GB/T50174 2017中B级标准和GB/T222392019第三级的安全要求外，还应符合下列要求： ）应对机房和设务间的进出动益进行拍制，部要安全质控措施，进行安全温检

6.2.1安全物理环境应包括物理位置选择、机房环境安全、物理访问控制、安全分域、防盗窃、 被坏、防雷击、防火、防水和防潮、防静电、温湿度控制、设备设施安全、电力供应、监控审计、 磁防护和灾难备份中心等方面， 62.2第二级要求府以平检量高图终安全保护级为管二级的保抢对会应签合GB/T5017

8）应对机房和设备间的进册访间进行控制，部奢安全监控措施，进行安全邀检 b）应对专用移动存储介质进行统一管理，记录介质领用、接入使用、交回、维修、报度、销毁

SL/T 8032020

6.2.4关键信点基确设施委全除符合6.2.3要求外，还应符合下列要求

安全通信网络应包括网络架构、传输加密、安全审计等方面

通信网络第二级要求应符合GB/T222392019

安全通信网络第三级要求除符合GB/T22239一2019第三级安全要求外，还应符合下列要求： 8）安全区域应根据业务属性划分，可则分为内部业务区、接人区、前置交换区、公众服务区、 数据区和安全管理区等 b）数据通信应使用符合国家要求的密码技术 c）应提供通信线路、关键网络设备、安全设备的件余； d）应基于硬件设备，对要通信过程进行加解密运算和密钥管理； e）应将攻击监测数据和审计数据进行统一分析

6.3.4关缝信息基础设施安全要求

.1网络葉构安全要求除符合第三级要求外，还应符合下列要求： ）关键信息基础设施信息系统，应与其他不同等级系统之间设置技术隔高措施，实施严格访 控制策略：

SL/T 8032020

b）不应将高安全等级业务系统或其功能模块，部署到低安全等级区域；属于低安全等级区域的 业务系统或其功能模块，可部署于高安全等级区域，并按照高安全等级区域的保护策略进行 保护； 心府报供通信线隆网终设空全设务和关键计售设务简项件宜金

6.3.4.2传输加密安全要求除符合第三级要求外，

8）通供信造应满足关键业务处理需求； b）应对不同局域网之间的远程通信，采用密码技术进行加密传输；局域网内宜对关键、敏感数 据进行加密 c）应对关键数据进行校验，保证通信信息的完整性、可用性； d）安全审计记录宜包据监测、记录系统运行状态、日带操作、故障维护、远程维护等，日志数 据留存应不少于12个月

图2安全区域边界构成围

.4.2.1安全区域边界第二级要求应符合GB/T22239一2019第二级的安全要求， 4.2.2内部边界安全应符合下列要求：

6.4.2.1，安全区域边界第二级要求应符合GB/T222392019第二级的安全要求，

a）应根据访问控制策略，设置进出双向的访问控制规则，歌认情况下（除允许的通信外）拒绝 所有通，前除多余或无效的访同控制规则，访向控制规则数量最小化 b）应对存效集中访问控制权限或集中进行安全管理类设备或系统、认证类系统以及数据库系统 边界进行网络安全审计，对重要的用户行为和重要网络安全事件进行审计

SL/T 8032020

6.4.2.3互联网边界安全应符合下列要求

a）应根据访间控制策略，设置进出双向的访问控制规则，款认情况下（除允许的通信外）拒 所有通信，剩除多余或无效的访问控制规则，访问控制规则数量最小化； b）应在互联网网络边界，配置惠意代码防护措施； c）应在互联网网络边界进行安全审计，审计要用户行为和重要网络安全事件 d）对审计记录应进行定期备份： e）应能检测互联同网络边界的攻击行为，并进行告警

6.4.2.4水利业务网边界安全应符合下列要求

a）应根据访问控制策略，设置进出双向的访问控制规则，认情况下（除允许的通信外）拒绝 所有通信，剩除多余或无效的访问控制规则，访问控制规则数量最小化； b）应能对访间本级网络的异常网行

6.4.2.5外联网边界安全应符合下列要求

a）应根据访问控制策略，设置进出双向的访问控制规则， 款认请况下（除充许的迪布外）拒 所有通信，剩除多余或无效的访间控制规则，访问控制规则数量最小化； b）应在外联网边界进行安全审计，审计重要用户行为和重要网络安全事件

6.4.3.1安全区域边界第三级要求要求应符合GB/T22239一2019第三级的安全要求，

6.4.3.2内部边界安全应符合下列要求：

a）对区域边界数据流应实现基于应用协议和应用内容的监测和访问控制： b）应能对非投权设备连接到内部网络的行为进行检查与限制； ）应能对内部用户非投权连接到外部网络的行为进行检查与限制； d）应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络； e）当检测到改击行为时，应能记录攻击源IP、攻击类型、改击目标、攻击时间：在发生严重人 仅事件时，应提供报警： 群成动思南单得安合宝计

6.4.3.3互联网边界安全应符合下列要求

6.4.3.4水利业务网边界安全应符合下列要求

b）当检测到政击行为时，网络安全措施应能记录攻击源IP、攻击类型、攻击目标、攻击时间： 在发生严重入侵事件时，应能报警，并宜实现自动阻断； c）对骨干网边界应进行安全审计，审计金要用户行为和安全事件； d）网络攻击监测数据和审计数据，应进行统一分析，

6.4.3.5外联网边果安全应符合下列恶求！

8）应能对远程访向、访同外联网等用户行为，进行行为审计和数据分析 用内容的访间控制：

SL/T 8032020

c）当检测到攻击行为时，应能记录政击源IP、攻击类型、改击目标、政击时间；在发生严金入 假事件时，应能报警，并宜实现自动阻断； d）对外联网边界应进行安全审计，审计用户行为和安全事件 e）网络攻击监测数据和审计数据，应进行统一分析，

6.4.4关领信息基础设旅安全要求

6.4.4.1内部边界安全除符合第三级要求外，还应符合下列要求： a）应通过辑隔高或物理隔离技术，实现内部区域边界的访问控制， b）应对内部边界，设置严格的访问控制策略，访问控制策略达到端口级； c）应能对内部同络的全事件和应胁进行安全检测，基于流量检测多种网络协议中的攻击行为

组》应迪过逻毒痛高或物理隔两技不，实现内部区域边界的访问控制 b）应对内部边界，设置严格的访问控制策略，访问控制策略达到端口级： ）应能对内部网络的安全事件和威胁进行安全检测，基于流量检测多种网络协议中的攻击行为 4.4.2互联网边界安全除符合第三级要求外，还应符合下列要求！ 8）应建立不同网络安全等级系统、不同业务系统、不同区域之间的安全互联和访问控制策路， 策略达到端口级； b》应对不同网器安全等级系统、不同业务系统，不同区域之间的互操作、数据交换和信总流量 进行严格控制，限制数据从高等级系统流向低等级系统； 应对进出网络的数据流实现基手应用协议和应用内容的访间控制； d）应采用严格的接人控制措施，对未权设备进行动态检测及管控，仅允许通过授权和安全评 估的软硬件运行，保证系统和设备接入的可信性； e）应对不同局域网远程通信采用安全防护措施，采用密码技术对通信双方进行验证； ）应在网络边界设置业务优先级，优先保障关键信点基确设施业务运行： 8）应在关键网络节点处检测、防止或限制从外部发起的网络政击行为： h）应能对高级威脐进行安全检测，基于流量检测多种网络协议中的攻击行为； i）应在互联网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威励感知预警平台， ，4.4.3水利业务网边界安全除符合第三级要求外，还应符合下列要求： a）应通过辑隔高技术，实现骨干网边界的访间控制，访问控制策略达到IP地址级； b）应在骨干网边界检测和限制从内部发起的网络攻击行为，对网络行为进行分析，实现对网络 攻击特别是末知新型网络攻击的检测和分析；当检测到攻击行为时，应记录攻击源IP、攻击 类型、攻击日的、改击时间：在发生严重人侵事件时，应提供报警和阻断； c）应能对高级威胁进行安全检测，基于流量检测多种网络协议中的政击行为； d）应在骨干网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威感知预警平台。 .4.4.4外联网边界安全除符合第三级要求外，还应符合下列要求： a）应在外联网边界部署防恶意代码设备，实现区域边界的病毒防护以及恶意代码防范，并维护 恶意代码防护机制的升级和更新； b）应在外联网边界部署检测，防止或限制从外部发起的网络改击行为的设备； c）应在外联网边界对网络行为进行分析，实现对网络攻击特别是未知新型网政击的检测和分 析；当检测到攻击行为时，应记录政击源IP、攻击类型、攻击目的、攻击时间；在发生严重 人侵事件时，应能报警，并宜实现自动阻断； d应能对高级威胁进行安全检测，基于流量检测多种网络协议中的政击行为； e）应在外联网边异部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威胁感知预警平台，

组）应在外联网边界部署防惠意代码设备，实现区域边界的病毒防护以及惠意代码防范，并维护 恶意代码防护机制的升级和更新； b）应在外联网边界部署检测，防止或限制从外部发起的网络放击行为的设客： c）应在外联网边界对网络行为进行分析，实现对网络攻击特别是未知新型网政击的检测和分 析；当检测到攻击行为时，应记录政击源IP、攻击类型、攻击目的、政击时间；在发生严重 人侵事件时，应能报警，并宜实现自动阻断； d应能对高级威胁进行安全检测，基于流量检测多种网络协议中的政击行为； e）应在外联网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威胁感知预警平台，

SL/T 8032020

SL/T 8032020

计、人侵防范、悉意代码防范、可位 验证、数据完整性、数据保密性、数据各份恢复、 删余信点保护、个人信点保护等方面。

安全计算环境除符合GB/T22239一2019第三级安全要求外，还应符合下列要求： a）应设置并启用管理终端外联控制策略，对管理终端未经授权的外联行为进行监测和处置，未 经投权，不应迪过任何形式连接外部网络；不应便用USB接口，为手机等外部设备充电： b）应对重要计算设备和系统采用密码技术、生物技术等两种或两种以上组合的鉴别技术鉴别用 户身份； c）应对重要计算设备的入侵或异常行为进行实时监测，并在发生严重入侵事件时，提供报警和 阻断：报警和审计记录，应发送至安全威胁感知预警平台； d）应采用密码技术，对身份鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视 额数据、重要个人信息、水利工程技术数据等数据的传输和存储进行加密； e）应对网站系统进行安全审计，包括前台用户的注册、登录、关键业务探作等行为日志记录， 后台内容管理用户的登录、网站内容编辑、审核及发布等行为日志记录，系统管理用户的登 录、账号及权限管理等系统管理操作日志记录；宜指定独立的审计管理员，负责管理审计 志： ）应提供重要数据处理系统的软硬件完余； g）应将网络攻击监测数据和审计数据发送至安全威胁感知预警平台进行统一分析； 五）在中华人民共和国城内运营中 人信点和益要数提，应在境内存做

6.5.4关键信息基础设施安全要求

a）应对关键信息基确设施操作系统进行统一安全配置和安全加周，仅安装需要的组件和应用程 序，关闭不需要的服务、默认共享和高危口 b）应采用可信令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上组 合机制进行用户身份鉴别，并对监别数据进行保密性和完整性保护：

SL/T 8032020

c）应对关键信息基础设施运行终端进行安全管控，设置访问控制策略，严格输入输出管理； D应采用统一的认证、加密技术，实现对关键信息基础设施的认证和加密： e）应对关键信息基础设施服务器，部署统一的防病毒、防人侵和主机审计措施，应能及时发现 调洞、人侵行为和高级网络感胁，并在发生政击事件时进行告警并阻断： f）应对关键基确设施的基础息资源部署数据灾备措施： g）应对重要业务操作或异常用户操作行为形成记录清单： h）应对重要业务数据资源的探作，基于安全标记等技术实现访间控制； i》应使用自动化机制，来支持系统账户、配置库、漏洞库、补丁库、病毒库等的管理，漏洞和 补丁应在经过验证后及时您补： .5.4.2应用安全除符合第三级要求外，还应符合下列要求： &）应建立覆盖应用系统全生命周期的安全机制，基于统一身份认证服务，实现基于风险的身份 鉴别、访间控制、数据加密、安全审计等安全要求； b）应对应用系统的安全性、可用性进行实时安全监测，监测内容包括内容墓改、木马植入、可 用性以及网络攻击等： e）宜实现关键信点基醋设施核心应用的应用级灾备建设； d宜配置应用各用通信协议保障业务连续性， ，5.4.3数据安全除符合第三级要求外，还应符合下列要求： a）在数据规划和创建阶段，应实现数据的分级分类，明确数据的金要性和敏感程度； b）应采用密码技术、防泄漏技术等，保证重要数据在传输、存储过程中的完整性和保密性，包 括但不限于份监别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 要个人后总等；宜根据实际情况，与利密码基册设施对接 c）应采用数据隔离技术，建设数据交换平台，实现不同敏感程度网络之间的数据交换，增强数 据在外部使用的安全性； dD应差立数据异地备份机制，并定期对备份有效性进行测试，实现业务和数据抵衡地域性灾 的风险，保证数据不丢失以及业务正需恢复，有效提高业务连续性与数据安全： e）个人信息的收集、存储、使用、传输、披露应符合GB/T35273一2020要求，严格控制重要 数据的公开、分析、交获、共享和导册等关键环节，开来取加、脱敏、丢标识化等投术争 段，保护维盛数据安全：

e）应对关键信总基础设施运行终端进行安全管控，设置访向控制策略，产帮输人辑出管理； D应来用统一的认证、加密投术，实现对关键信点基础设能的认证和加密， e）应对关键信息基础设施服务器，部署统一的防病毒、防人侵和主机审计措施，应能及时发现 调洞、人侵行为和高级网络感胁，并在发生政击事件时进行告警并阻断； f）应对关键基确设施的基础息资源部署数据灾备措施： g）应对重要业务操作或异常用户操作行为形成记录清单： h）应对重要业务数据资源的探作，基于安全标记等技术实现访间控制； i》应使用自动化机制，来支持系统账户、配置库、漏洞库、补丁库、病毒库等的管理，漏洞和 补丁应在经过验证后及时修补

a）应建立覆盖应用系统全生命周期的安全机制，基于统一身份认证服务，实现基于风险的与 鉴别、访问控制、数据加密、安全审计等安全要求； b）应对应用系统的安全性、可用性进行实时安全监测，监测内容包括内容塞改、木马植入 用性以及网络攻击等： c）宜实现关键信息基醋设施核心应用的应用级灾备建设； d）宜配置应用各用通信协议保障业务连续性

6.5.4.3数据安全除符合第三级要求外，还应符合下列要求！

6.5.4.3数据安全除符合第三级要求外，还应符

a）在数据规划和创建阶段，应实现数据的分级分类，明确数据的金要性和敏感程度； b）应采用密码技术、防泄调技术等，保证重要数据在传输、存储过程中的完整性和保密性，包 括但不限于身份监别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等；宜根据实际情况，与水利密码基础设施对接： c）应采用数据隔离技术，建设数据交换平台，实现不同敏感程度网络之间的数据交换，增强数 据在外部使用的安全性； dD应建立数据异地备份机制，开定期对备份有效性进行测试，实现业务和数据抵衡地域性灾摊 的风险，保证数据不去失以及业务正需恢复，有效提高业务连续性与数据安全： e）个人信息的收集、存储、使用、传输、披露应符合GB/T35273一2020要求，严格控制重要 数据的公开、分析、交换、共享和导出等关键环节，并采取加密、脱敏、去标识化等技术手 段，保护敏感数据安全； f）应建立业务连续性管理及容灾备份机制，重要系统和数据库应实现异地备份，安全性要求高 的业务数据，宜实现数据的异地实时备份

工业控制系统护展安全应针对工业控制系统中的现场控制和过程监控区，安全内容应包据工业 制系统的安全物理环境、安全分区原则、安全通信网络、安全区域边界、网络设备安全、工业控制 备本体安全，工业控制主机安全防护和安全计算环境等

符合下列要求： a）服务器和客户增均应使用安全加周的探作系统，并采取数字证书认证、传输加密和访问控制 等措施； b）应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、申行口、多余网口或服务幅口 等；确需保留的服务，应通过相关的技术措施，进行安全防护和严格的监控管理； c）应基于硬件密码模块，对金要通信过程进行加密； d）应对控制设各和系统，在上线前进行安全性检测； e）应对工业控制系统的开发，测试和运行，分别提供独立环境： 控制设备固件更新前应经过评估测试： 8）宜对工业控制系统的安全信息进行采集、分析与预警

5.4.1安全分区原则安全分区应符合下列要求： a）工业控制系统分区分域应符合保护核心、有效隔原则，分成现场控制区、过程监控区； b）对水利生产实现直接控制的系统、业务模块以及未来对水利生产有直接控制功能的业务系统 置于现场控制区； c）现场控制区、过程监控区和水利业务网之间，功能应相对独立，不应网络混用； d）在现场控制区、过程监控区内，应根据网络应用特点、重要性程度等因素，划分不同的子网 或区域； e）不应将没有防护的工业控制网络与互联网连接。 注：现场控制区中的业务系统，包指实时阅环控制的SCADA系筑、实时动态监测系策，安全自动控制系统及保 护工作结，如门控制系残、机组监控案就、系站监轻系统、度备监测票统等。过程监控区中的业务来残， 包插采集蓝测统、生产数据采集分析系洗等

置于现场控制区； c）现场控制区、过程监控区和水利业务网之间，功能应相对独立，不应网络混用； d）在现场控制区、过程监控区内，应根据网络应用特点、重要性程度等因素，划分不同的子网 或区域； e）不应将没有防护的工业控制网络与互联网连接。 注：现场控制区中的业务系统，包循实时阅环控制的SCADA系筑、实时动态监测系统：安全自动控制铣及保 护工作站，如阴门控制系统、机组监控系统、系站监控系统、设备监测系统等。过程监控区中的业务系统 包插采集蓝测系统、生产数据采集分析系统等， 6.4.2安全区域边界除符合第三级要求外，还应符合下列要求： 8）现场控制区与过程监控区之间，应来用其有访间控制功能安全可靠的设备实现逻册需离、报文 过滤、访尚控制等功切能；设备功能、性脂、电热乘容性，应经过国家相关部门的认证和测试： b）过程监控区与水利业务网之间，应进行物理隔离，或部署工业控制单向隔离装置进行访问 控制； c）现场控制区、过程监控区的边界，宜建立白名单机制：控制粒度达到工业协议内容级； ）过程监控区与水利业务网边界，可部署网络人侵检测系统，合理设置检测观购：检测规则应 包含工业控制系统专有攻击特征库，检测发现陷藏于流网络边界正常信息流中的入侵行为， 分析潜在威励并进行安全审计； e）设备生产厂商或外部单位，不应远程连接现场控制区中的业务系统及设备：内部远程维护业 务系统应进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。 6.4.3安全迪信网除符合第三级要求外，还应符合下列要求！ &）应采取逐级通信原则，仅允许上下级连接网络进行通信，不应越级通信； b）现杨控制区与上级网络连接，应使用独立的网络链路； c）过程监控区系统与上级集控中心远程通信时，应采用认证、加密、访问控制等技术猎施； d）宜对关键节点、关键业务设备进行设备级标识和认证 e）宜配备不同服务商的备用通信网络服务 6.4.4网络安全设备除符合第三级要求外，还应符合下列要求： 8）应通过安全配置确保现场控制区、过程监控区的核心交换机、汇聚交换机、边界防火墙、单

8）现场控制区与过程监控区之间，应来用具有访间控制功能安全可靠的设备实现逻辑隔离、报文 过滤、访问控制等功能；设备功能、性能、电磁莱容性，应经过家相关部门的认证和测试： b）过程监控区与水利业务网之间，应进行物理隔离，或部署工业控制单向隔离装置进行访问 控制； c）现场控制区、过程监控区的边界，宜建立白名单机制：控制粒度达到工业协议内容级； d）过程监控区与水利业务网边界，可部署网络入侵检测系统，合理设置检测规则：检测规则应 包含工业控制系统专有攻击特征库，检测发现陷藏于流网络边界正常信息流中的入侵行为， 分析潜在威励并进行安全审计； e）设备生产厂商或外部单位，不应远程连接现场控制区中的业务系统及设备：内部远程维护业 务系统应进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。 6.4.3安全通信网络除符合第三级要求外，还应符合下列要求：

8）应来取遂级通原则，仅充许上下级连接网络进行通信，不应越级通信； b）现场控制区与上级网络连接，应使用独立的网络链路； c）过程监控区系统与上级集控中心远程通信时，应采用认证、加密、访问控制等技术措施； d）宜对关键节点、关键业务设备进行设备级标识和认证； ）宜配务不同服务商的备用通信网络眼务

8）应通过安全配置确保现场控制区、过程监控区的核心交换机、汇聚交换机、边界防火墙、单 向隔离装量等网设备，安全设备直总的安全性：

SL/T S032020

b）对叠录网络设备、安全设客的用户，应进行身份监别及权限控制，只允许相关管理、护人 员等登录设备； c）远程登录网络设备、安全设备，应采用HTTPS、SSH等加密方式： d）应限定远程管理网络设备、安全设备的IP地址； e）网络设备、安全设备用户口令，应符合复杂度要求，并定期更换；条件允许时，可对安全设 备的系统管理员、安全管理员、审计员等特权用户实施双因子认证； f）应及时清理网络设备、安全设备上临时用户、多余用户

&）应使用自动化工具，持续对工业控制系统进行安全监视，包据配置管理、系统变更、运行状 态和运行环境安全等 b）过程监控区内应部署工业控制流量审计系统对流置进行审计，应对工业控制协设进行深度包 解析，自动识别工业控制设备的迪信关系，及时发现隐载在正需流量中的异需数据包，实时 监测针对工业协议的网络攻击、用户误探作、用户违规探操作、非法设备接入等异常行为 c）过程监控区内应部署安全日志审计设备，应对操作系统、数据库、业务应用的重要探作进行 记录、分析；远程用户登录本地系统的操作行为，应进行安全审计； d）应包括对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安 全设施运行日志等集中收集、自动分析、安全审计，

6.4.8数据安全除符合第三级要求外，还应符个

8）应识别和建立重要、关键工业控制业务数据清单； b）应确保静态存储的重要工业控制业务数据，不被非法访问、期除、修改：应采用加密存储耳 隔高保护，设置边问控制功能：

，4.9备份与容灾除符合第三级要求外，还应符合下列要求： &）应结合自身业务和数据库实际，对生产监控系统的数据备份采取重要性分级管理，并确保重 要业务数据至少可恢复至1天前： b）关键主机设备、网络设备或关链部件，应配置完余； C）应定期对关键业务的数据进行备份，实现重要数据备份与恢复；备份系统存储容量，应至少 满足12个月存储数据量要求； d）应定期进行备份数据恢复测试，测试应在测试环境中进行，确保实际备份数据的异机可恢复 性，测试过程应做好记录及分析： e）应加强备份文件的自身安全控，各份数据文作不应保存在本机磁盘、个人移动存储等存储 介质上，

6.7云与虚拟化扩展安全

云与虚拟化扩展安全除符合GB/T22239一2019第三级的云计算安全扩展要求外，还应符合下列 要求： 8）应通过云安全管理平台，对物理和虚拟资源进行安全防护、监测、告警和攻击阻断 b）应能检测虚拟机之间的资源隔离失效、非授权探作、恶意代码感染和人侵行为等异常，进行 告和管控

6.7.3关键信息基础设施安全要求

云与虚拟化扩展安全除符合第三级要求外，还应符合下列要求： &）云平台应具备身份认证、访问控制、权限控制等功能； b）应对虚拟机之间、虚拟机与宿主机之间的流量进行监控和访问控制；发现攻击行为，应能告 警井阻断： c）应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意塞改；应采取密码技术或 其他技术手段，防止虚拟机镜像、快照中可能存在敏感资源被非法访问； d）应采用安全措施，实现虚机主机的防护、隔离、补丁修补和安全加周

6.8移动互联扩展安全

移动互联展安全除特合GB/T22239一 ）应对正式运行的移动应用客户端软件，在入网前进行安全评估检测 b）宜监测非法移动应用客户增软件： c）应对移动应用采集的个人相关信息，进行合规管控； d）应采用统一的认证，加密技术，实现对秘动应用的安全保护

e）应采取网络准人技术，对无线接入设备进行管控。

6.8.3关链信息基础设施安全要求

SL/T S032020

移动互联扩展安全应对APP在人网前进行题私保护和漏润安全检测，通过检测后方可人网

6. 9. 1第二级要求

6.9.3关链信息基础设施安全要求

物联网扩安全来集或监控设各宜采用加密技术确保数据传输的保密性和完整性。

安全监测预警能力建设，应根据网络中承效的信点系统获况，接下列要求执行： &）定级系统均为网络安全等级保护第二级及以下的，应采用第二级安全要求，开展安全监测预 警能力建设 b）定级系统最高等级含有网络安全等级保护第三级的，应采用第三级安全要求，开展安全监测 警能力建设； c）存在工业控制系统的，应在8）、b）规定基谢上，落实工业控制系统折展要求： d）存在关键依息基确设施的，应在&）、b）规定基醋上，落实关键信息基础设施扩展要求； e）宜建设网络安全威胁感知预警平台，预警平台宜具备安全依息采集、威胁感知、分析展示等 功能，

7.21第二级安全要求

医院建设标准7.2.1.2物理环境信点应满足如下要求：

8）应采集机房基础信息，包括物理位置、周边环境、出人口、电力供应、安防措施等信息； b）应采集配线间信息，包括物理位置、消防设施、安防措施等信息； c）应采集机房网络物理链路信总，包括设备连接，线路铺设、配线架部署等信点； d）应实时采集机房人员出入信息，包括出入时间，所属单位、进人原固等信息； e）应实时采您机房环境监控信点，包括电力、消防、温度、湿度等信点

7.2. 1. 3龄产信点应满足如下要求

8）应采集网络设备、安全设备依息，包括设备型号、固件版本、物理位置、设备用途、责任单 位、责任人等； b）应采集服务器信息，包括设备型号、操作系统版本、IP地址/MAC地址、应用部署、应用访 问路径、在用端口、楚用端口、启用服务、中间件版本、数据库版本、安全软件安装情况

SL/T 8032020

物理位置、设备用途、贵任单位、贵任人等； c）应采集存储设备信息，包括设备型号、系统版本、存储容量、物理位置、设备用途、责任单 位、责任人等； d）应采集终端设备信息，包设备型号、探作系统版本、IP地址/MAC地址、安全软件安装情 况、物理位置、设备用途、责任单位、责任人等： e）应采集上位机、PLC等设备信息，包括设备型号、固件版本、物理位置、设备用途、责任单 位、责任人等； 应能对物理资产下客个服务进行管理，可对中间件、数据库、其他应用服务进行管理，可结 合流量发现资产下的新塑服务； g）可通过SNMP获取、流量发现等手段自动发现未知资产的IP地址/MAC地址、服务等情况 h）可根据SNMP获敢的翻产信点生成网酪拓扑

7.2.1.4运行状态信点应满足如下要求

&）应来集网络中所有设备运行状态信点，包措但不限于设备CPU、内存、存储、网络等利 用率； b）应采集网络中所有数据平台运行状态信息，包括命中率状况、数据库等待事件、共享存储的 使用情况、排序使用的情况、登录用户情况、各数据库空间使用莅点、segment、表、索引 数据库辑读和物理读的比例情况、表空间便用情况、表和索引的存递分布情况、数据线 状态等； c）应采集网络中所有中间件运行状态信息，包括中间件服务状态和基本性能、JVM使用情况 JMS、JTA、执行队列情况、Web应用监控、JDBC违接池、Web会话等； d）应采集通用服务运行状态信息，包括能否显示各个系统的登录界面，如提供登录用户钢结构设计图纸，应验 证是否能登录； e）应来集网络运行状态供总，包搭网络通断情况、流量占用情况等， 1临团性自应油足加下要成