下列缩略语适用于本文件。 ACL：访问控制列表（AccessControlList） DCS：分散控制系统（DistributedControlSystem） DDoS：拒绝服务(DistributedDenial of Service) DNS：域名系统（服务）协议（DomainNameSystem） FTP：文件传输协议（FileTransferProtocol) GIS：地理信息系统（GeographicInformationSystem） HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure) ICS：工业控制系统（IndustrialControlSystem) IoT：物联网(Interent of Things) MAC地址：媒体存取控制位址（MediaAccessControlAddress） MCU：微控制单元（MicroControllerUnit) PLC：可编程逻辑控制器（ProgrammableLogicController） POP3：邮局协议版本3（PostOfficeProtocol—Version3) SCADA：数据采集与监视控制系统（SupervisoryControlAndDataAcquisitionSystem） SMB：协议名(Server Message Bloc) SSH：安全外壳协议（SecureShell) SSL：安全套接层（SecureSocketsLayer) TCP：传输控制协议（TransmissionControlProtocol) UDP：用户数据报协议（UserDatagramProtocol) VLAN：虚拟局域网（VirtualLocalAreaNetwork) WAF：网站应用防火墙（WebApplicationFirewall)）

水利网络安全建设应遵循以下基本原则： a）全面完整原则：在进行网络安全建设时，应遵循本文件规定，结合实际，进行完整的网络安 全体系架构设计，全面覆盖所有安全要素； b）等级保护原则：应按照GB/T22240一2020，确定各类水利网络安全保护对象的保护等级； c）同步要求原则：水利信息化项目在规划建设运行时，应将网络安全保护措施同步规划、同步 建设、同步使用； d）适当调整原则：在进行网络安全建设时，可根据水利网络安全保护对象具体情况和特点，适 当调整部分安全要素的建设标准； e）持续改进原则：应依据本标准和GB/T22239一2020等国家标准规范要求持续完善网络安全体系

水利网络安全建设应满足以下一般要求：

a）设备安全要求：应优先选用稳定可靠的服务器、PLC、MCU、终端等计算设备，并根据需要 进行计算设备安全评估； b）软件安全要求：应优先选用稳定可靠的操作系统、PLC系统、组态软件、应用软件等软件 并根据需要进行软件安全评估； c）接人安全要求：可采用密码技术等保证接人网络的设备安全可信； d）安全服务要求：应与产品、服务提供者签订安全保密协议 旅游标准，并约定其为产品、服务提供安全 维护，在规定或者约定的期限内，不应终止提供安全维护； e）容灾备份要求：应具备容灾备份措施对重要数据进行备份

4.3水利关键信息基础设施补充要求

水利关键信息基础设施网络安全建设，应满足以下补充要求： a）设备安全要求：应对重要设备进行安全审查和评估； b）软件安全要求：应对重要软件进行安全审查和评估； c）协议安全要求：应采用具备安全校验机制的通信协议，重要的服务和通信连接应采取加密技 术措施； d）认证检测要求：关键设备和安全专用产品应当按照国家相关标准的强制性要求，采用安全认 证或者安全检测合格的产品； e）计算环境要求：应按不低于第三级网络安全保护对象的安全计算环境要求进行设计实施； f）容灾备份要求：应具备异地容灾备份措施； g）安全验收要求：峻工验收前，宜进行网络安全专项验收

5.1.1水利行业网络安全建设应包括纵深防御、统一安全服务、威胁感知预警、应急决策指挥，宜 按照图1构建。其中纵深防御应包括安全物理环境、安全计算环境、安全区域边界、安全通信网络等 部分。

图1水利行业网络安全技术体系框架图

5.1.2网络安全技术架构应包括以下内容： a）应建设水利行业协同统一的网络安全服务体系，包括网络安全情报服务、灾备服务、密码服 务、认证服务等； b）在安全物理环境基础上，应构建安全计算环境、安全区域边界、安全通信网络的3层基础 防护； c）宜构建网络安全威胁感知预警平台和网络安全应急决策指挥平台，形成贯穿所有安全活动的 安全运营管理中心。 5.1.3纵深防御应建立完善合规的物理环境、计算环境、区域边界、通信网络防护。同时应针对公 共的安全技术形成统一的安全服务，包括安全情报服务、灾备服务、密码服务、认证服务等4项 服务

5.1.2网络安全技术架构应包括以下内容！

■监测预警应满足下列要

a）应建立采集流量数据、设备日志、主机日志、应用系统日志的数据采集系统； b）应对采集数据进行分析，发现安全事件和潜在威胁，进行风险预警； c）宜建设水利行业网络安全大数据平台，建立数据采集标准规范，对各级节点网络安全数据和 关键网络安全数据进行威胁分析； d）各级节点应建设共享交换机制，与上级节点实现关键流量数据、网络安全预警等数据交互。 5.1.5应急响应应满足下列要求： a）应建设行业应急决策指挥平台并制定网络安全事件相关数据交换标准； b）各级节点可建设应急决策指挥平台，管理网内网络安全资源，对网内各类风险预警进行综合 研判和闭环处置，实现应急预案管理与策略编排，并应与上级应急决策指挥平台进行数据 交换。 5.1.6安全运营应在纵深防御、监测预警、应急响应等各类安全设备（系统）的支撑下，建立网络 安全运营体系，识别网络安全态势，优化网络安全防御措施

a）应建立采集流量数据、设备日志、主机日志、应用系统日志的数据采集系统； b）应对采集数据进行分析，发现安全事件和潜在威胁，进行风险预警； c）宜建设水利行业网络安全大数据平台，建立数据采集标准规范，对各级节点网络安全数折 关键网络安全数据进行威胁分析； d）各级节点应建设共享交换机制，与上级节点实现关键流量数据、网络安全预警等数据交互

d）各级节点应建设共享交换机制，与上级节点实现关键流量数据、网络安全预警等数据交互。

a）应建设行业应急决策指挥平台并制定网络安全事件相关数据交换标准； b）各级节点可建设应急决策指挥平台，管理网内网络安全资源，对网内各类风险预警进行综 研判和闭环处置，实现应急预案管理与策略编排，并应与上级应急决策指挥平台进行数 交换。 5.1.6安全运营应在纵深防御、监测预警、应急响应等各类安全设备（系统）的支撑下，建立网 安全运营体系，识别网络安全态势，优化网络安全防御措施

立与之对应的网络安全运营体系

5.2.2部级建设应满足下列要求

a）应建设网络安全情报服务、灾备服务、统一密码服务、统一身份认证服务，为本级及下级网 络节点提供服务共享； b）应以不低于第三级系统安全要求开展安全物理环境、安全计算环境、安全区域边界、安全通 信网络等方面的网络安全纵深防御能力建设，应对水利关键信息基础设施采取措施进行重点 保护； c）应建设网络安全数据采集处理系统，建设威胁感知预警平台，对本级及下级网络节点的关键 网络安全数据进行统一分析，及时发现网络安全威胁； d）应建设网络安全应急决策指挥平台，对本级和行业内重要网络安全事件进行全流程处置指挥； e）应建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； f）各下级网络节点应接最高级别网络安全保护对象相应等级保护级别安全要求开展安全物理环 境、安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设 3流域级建设应满足下列要求： a）应在上级节点网络安全服务基础上，建设区域级网络安全情报服务、统一密码服务、统一上

5.2.3流域级建设应满足下列要求：

a）应在上级节点网络安全服务基础上， 建设区域级网络安全情报服务、统一密码服务、统一身 份认证服务，为本级及下级网络节点提供服务共享：

b）应以不低于第三级系统安全要求开展安全物理环境、安全计算环境、安全区域边界、安全通 信网络等方面的网络安全纵深防御能力建设，应对关键信息基础设施采取措施进行重点保护； c）应建设网络安全数据采集处理系统，建设威胁感知预警平台，对本级及下级节点的网络安全 数据进行统一分析，及时发现网络安全威胁，应与上级节点进行数据共享； d）应依托上级节点或自行建设网络安全应急决策指挥平台，对网内重要网络安全事件进行全流 程指挥处置，应与上级节点进行数据共享； e）应建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； f）各下级节点应按最高级别网络安全保护对象相应等级保护级别安全要求开展安全物理环境 安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设， 2.4省级建设应满足下列要求：

d）应依托上级节点或自行建设网络安全应急决策指挥平台，对网内重要网络安全事件进行全流 程指挥处置，应与上级节点进行数据共享； e）应建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； f）各下级节点应按最高级别网络安全保护对象相应等级保护级别安全要求开展安全物理环境 安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设。 5.2.4省级建设应满足下列要求： a）可在上级节点网络安全服务基础上，建设区域级网络安全情报服务、统一密码服务、统一身 份认证服务，为本级及下级单位提供服务共享； b）应以不低于第三级系统安全要求开展安全物理环境、安全计算环境、安全区域边界、安全通 信网络等方面的网络安全纵深防御能力建设，应对关键信息基础设施采取措施进行重点保护 c）应建设网络安全数据采集处理系统，自行或依托上级节点建设威胁感知预警平台，对本级及 下级节点的网络安全数据进行统一分析，及时发现网络安全威胁，应与上级节点进行数据 共享； d）应依托上级节点或自行建设网络安全应急决策指挥平台，对本省（自治区、直辖市）内重要 网络安全事件进行全流程指挥处置，应与上级节点进行数据共享； e）应建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； f）各下级节点应按最高级别网络安全保护对象相应等级保护级别安全要求开展安全物理环境 安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设。 5.2.5市县级建设应满足下列要求： a）应以不低于第二级系统安全要求开展有关的安全物理环境、安全计算环境、安全区域边界 安全通信网络等方面的网络安全纵深防御能力建设； b）应建设网络安全数据采集系统，宜依托上级节点威胁感知预警平台，对网络安全数据进行统 一分析，及时发现网络安全威胁； c）宜依托上级节点网络安全应急决策指挥平台，对重要网络安全事件进行全流程指挥处置； d）应依托上级节点或自行建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威肋 防护、持续监测、响应处置的闭环安全运营体系； e）各下级节点应按最高级别网络安全保护对象相应等级保护级别安全要求，开展安全物理环境 安全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设。 5.2.6大型（含重要中型）水利工程管理单位建设应满足下列要求： a）应在上级节点网络安全服务基础上，建设网络安全情报服务、灾备服务、统一密码服务、统 一身份认证服务，可根据水利工业控制系统实际情况，建设工业控制专用的网络安全情报服 务、本地灾备服务、统一密码服务、身份认证服务： b）应以不低于第三级系统安全要求（含工业控制系统扩展要求）开展安全物理环境、安全计算 环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设，并对关键信息基 础设施采取措施进行重点保护； c）应建设网络安全数据采集处理系统，自行或依托上级节点建设威胁感知预警平台，对网络安 全数据进行统一分析，及时发现网络安全威胁，应与上级节点威胁感知预警平台进行数据

SL/T 8032020

共享； d）应依托上级节点或自行建设网络安全应急决策指挥平台，对重要网络安全事件进行全流程指 挥处置，并与上级节点进行数据共享 e）应建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威胁防护、持续监测、响 应处置的闭环安全运营体系； f）不具备三级及以上网络安全保护对象的单位可参照本标准对其他级别网络安全保护对象的要 求进行建设。 .7中小型水利工程管理单位建设应满足下列要求： a）应以不低于第二级系统安全要求（含工业控制系统扩展要求）开展有关的安全物理环境、安 全计算环境、安全区域边界、安全通信网络等方面的网络安全纵深防御能力建设； b）应建设网络安全数据采集系统，宜依托上级节点威胁感知预警平台，对网络安全数据进行统 一分析，及时发现网络安全威胁； c）宜依托上级节点网络安全应急决策指挥平台，对重要网络安全事件进行全流程指挥处置； d）应依托上级节点或自行建立以数据为核心，网络安全资源管理为支撑，涵盖威胁预防、威胁 防护、持续监测、响应处置的闭环安全运营体系； e）具备三级及以上网络安全保护对象的单位，可参照本文件对大型及重要中型水利工程管理单 位的网络建设要求进行建设

安全纵深防御能力建设基本要求应由安全物理环境、安全通信网络、安全区域边界和安全计算环 各部分组成，应根据承载网络安全保护对象的不同等级和类型情况，并按以下要求执行： a）网络安全等级保护只有一级的水利网络安全保护对象，应采用GB/T22239一2019第一级的 安全要求； b）网络安全等级保护为二级及以下的水利网络安全保护对象，应采用第二级安全要求开展安全 纵深防御能力建设： c）网络安全等级保护为三级的水利网络安全保护对象，应采用第三级安全要求开展安全纵深防 御能力建设； d）存在工业控制系统、云计算环境、移动互联和物联网应用的，应在以上基础上分别落实工业 控制系统、云与虚拟化、移动互联和物联网扩展安全要求； e）存在关键信息基础设施的，应在第三级安全要求的基础上落实关键信息基础设施扩展要求

6.2.1安全物理环境应包括物理位置选择、机房环境安全、物理访问控制、安全分域、防盗窃、防 破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、设备设施安全、电力供应、监控审计、电 慈防护和灾难备份中心等方面。 6.2.2第二级要求应以承载最高网络安全保护等级为第二级的保护对象，应符合GB/T50174 2017的C级标准和GB/T22239一2019第二级的安全要求。 6.2.3第三级要求应以承载最高网络安全保护等级为第三级的保护对象，除符合GB/T50174 2017中B级标准和GB/T22239一2019第三级的安全要求外，还应符合下列要求：

a）应对机房和设备间的进出访问进行控制，部署安全监控措施，进行安全巡检； b）应对专用移动存储介质进行统一管理，记录介质领用、接入使用、交回、维修、报废、销毁

安全通信网络应包括网络架构、传输加密、安全审计等方面

6. 3. 2第二级要求

安全通信网络第二级要求应符合GB/T 22239一2019第二级的安全要求

安全通信网络第三级要求除符合GB/T22239一2019第三级安全要求外，还应符合下列要求： a）安全区域应根据业务属性划分，可划分为内部业务区、接入区、前置交换区、公众服务区 数据区和安全管理区等： b）数据通信应使用符合国家要求的密码技术； c）应提供通信线路、关键网络设备、安全设备的硬件允余； d）应基于硬件设备，对重要通信过程进行加解密运算和密钥管理； e）应将攻击监测数据和审计数据进行统一分析

6.3.4关键信息基础设施安全要求

.4.1网络架构安全要求除符合第三级要求外，还应符合下列要求： a）关键信息基础设施信息系统，应与其他不同等级系统之间设置技术隔离措施，实施严格访问 控制策略：

SL/T 8032020

b）不应将高安全等级业务系统或其功能模块，部署到低安全等级区域；属于低安全等级区域 业务系统或其功能模块，可部署于高安全等级区域，并按照高安全等级区域的保护策略进 保护； c）应提供通信线路、网络设备、安全设备和关键计算设备的硬件允余

a）通信信道应满足关键业务处理需求； b）应对不同局域网之间的远程通信，采用密码技术进行加密传输；局域网内宜对关键、敏感 据进行加密： c）应对关键数据进行校验，保证通信信息的完整性、可用性； d）安全审计记录宜包括监测、记录系统运行状态、日常操作、故障维护、远程维护等，日志 据留存应不少于12个月

6. 4. 2第二级要求

图2安全区域边界构成图

6.4.2.1安全区域边界第二级要求应符合GB/T22239一2019第二级的安全要求。 6.4.2.2内部边界安全应符合下列要求：

6.4.2.1安全区域边界第二级要求应符合GB/T22239一2019第二级的安全要求。

a）应根据访问控制策略，设置进出双向的访问控制规则，默认情况下（除允许的通信外）拒绝 所有通信，删除多余或无效的访问控制规则，访问控制规则数量最小化； b）应对存放集中访问控制权限或集中进行安全管理类设备或系统、认证类系统以及数据库系统 边界进行网络安全审计，对重要的用户行为和重要网络安全事件进行审计

6.4.2.3互联网边界安全应符合下列要求

a）应根据访问控制策略，设置进出双向的访问控制规则，默认情况下（除允许的通信外）拒绝 所有通信，删除多余或无效的访问控制规则，访问控制规则数量最小化； b）应在互联网网络边界，配置恶意代码防护措施： c）应在互联网网络边界进行安全审计，审计重要用户行为和重要网络安全事件； d）对审计记录应进行定期备份；

6.4.2.4水利业务网边界安全应符合下列要求！

a）应根据访问控制策略，设置进出双向的访问控制规则，默认情况下（除允许的通信外）拒绝 所有通信，删除多余或无效的访问控制规则，访问控制规则数量最小化； b）应能对访问本级网络的异常网络行为进行审计和告警，

6.4.2.5外联网边界安全应符合下列要求：

a）应根据访问控制策略，设置进出双向的访问控制规则，默认情况下（除允许的通信外）拒绝 所有通信，删除多余或无效的访问控制规则，访问控制规则数量最小化； b）应在外联网边界进行安全审计，审计重要用户行为和重要网络安全事件

6. 4.3第三级要求

6.4.3.1安全区域边界第三级要求要求应符合GB/T22239一2019第三级的安全要求。

a）对区域边界数据流应实现基于应用协议和应用内容的监测和访问控制； b）应能对非授权设备连接到内部网络的行为进行检查与限制； c）应能对内部用户非授权连接到外部网络的行为进行检查与限制； d）应限制无线网络的使用，保证无线网络通过受控的边界设备接人内部网络 e）当检测到攻击行为时，应能记录攻击源IP、攻击类型、攻击目标、攻击时间；在发生严重 侵事件时，应提供报警； f）对区域边界应进行安全审计，审计每个用户的用户行为和安全事件

6.4.3.3互联网边界安全应符合下列要求

6.4.3.4水利业务网边界安全应符合下列要求：

利业务网边界安全应符合

a）对骨干网边界数据流，宜进行基于应用协议和应用内容的访问控制； b）当检测到攻击行为时，网络安全措施应能记录攻击源IP、攻击类型、攻击目标、攻击时间； 在发生严重人侵事件时，应能报警，并宜实现自动阻断； c）对骨干网边界应进行安全审计，审计重要用户行为和安全事件； d）网络攻击监测数据和审计数据，应进行统一分析

6.4.3.5外联网边界安全应符合下列要求：

a）应能对远程访问、 坊日外 b）对外联网边界数据流， 卡应用办 和应用内容的访间控制

SL/T 8032020

c）当检测到攻击行为时，应能记录攻击源IP、攻击类型、攻击目标、攻击时间；在发生严重 侵事件时，应能报警，并宜实现自动阻断； d）对外联网边界应进行安全审计，审计用户行为和安全事件； e）网络攻击监测数据和审计数据，应进行统一分析

6.4.4关键信息基础设施安全要求

41内部这安全际付合第三级安求，还应付百下别安求： a）应通过逻辑隔离或物理隔离技术，实现内部区域边界的访问控制； b）应对内部边界，设置严格的访问控制策略，访问控制策略达到端口级； c）应能对内部网络的安全事件和威胁进行安全检测，基于流量检测多种网络协议中的攻击行为

b）应对内部边界，设置严格的访问控制策略，访问控制策略达到端口级； c）应能对内部网络的安全事件和威胁进行安全检测，基于流量检测多种网络协议中的攻击行为 .4.4.2互联网边界安全除符合第三级要求外，还应符合下列要求： a）应建立不同网络安全等级系统、不同业务系统、不同区域之间的安全互联和访问控制策略 策略达到端口级； b）应对不同网络安全等级系统、不同业务系统、不同区域之间的互操作、数据交换和信息流量 进行严格控制，限制数据从高等级系统流向低等级系统； c）应对进出网络的数据流实现基于应用协议和应用内容的访问控制； d）应采用严格的接人控制措施，对未授权设备进行动态检测及管控，仅允许通过授权和安全评 估的软硬件运行，保证系统和设备接入的可信性； e）应对不同局域网远程通信采用安全防护措施，采用密码技术对通信双方进行验证 f）应在网络边界设置业务优先级，优先保障关键信息基础设施业务运行； g）应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为； h）应能对高级威胁进行安全检测，基于流量检测多种网络协议中的攻击行为； i）应在互联网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威胁感知预警平台。 4.4.3水利业务网边界安全除符合第三级要求外，还应符合下列要求： a）应通过逻辑隔离技术，实现骨干网边界的访问控制，访问控制策略达到IP地址级； b）应在骨干网边界检测和限制从内部发起的网络攻击行为，对网络行为进行分析，实现对网络 攻击特别是未知新型网络攻击的检测和分析；当检测到攻击行为时，应记录攻击源IP、攻击 类型、攻击目的、攻击时间；在发生严重入侵事件时，应提供报警和阻断 c）应能对高级威胁进行安全检测，基于流量检测多种网络协议中的攻击行为； d）应在骨干网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威胁感知预警平台。 4.4.4外联网边界安全除符合第三级要求外，还应符合下列要求： a）应在外联网边界部署防恶意代码设备，实现区域边界的病毒防护以及恶意代码防范，并维护 恶意代码防护机制的升级和更新； b）应在外联网边界部署检测、防止或限制从外部发起的网络攻击行为的设备； c）应在外联网边界对网络行为进行分析，实现对网络攻击特别是未知新型网络攻击的检测和分 析；当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间；在发生严重 人侵事件时，应能报警，并宜实现自动阻断； d）应能对高级威胁进行安全检测，基于流量检测多种网络协议中的攻击行为； e）应在外联网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威胁感知预警平台。

b）应在骨干网边界检测和限制从内部发起的网络攻击行为，对网络行为进行分析，实现对网络 攻击特别是未知新型网络攻击的检测和分析；当检测到攻击行为时，应记录攻击源P、攻击 类型、攻击目的、攻击时间；在发生严重入侵事件时，应提供报警和阻断； c）应能对高级威胁进行安全检测，基于流量检测多种网络协议中的攻击行为； d）应在骨干网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威胁感知预警平台， 4.4.4外联网边界安全除符合第三级要求外，还应符合下列要求： a）应在外联网边界部署防恶意代码设备，实现区域边界的病毒防护以及恶意代码防范，并维护 恶意代码防护机制的升级和更新： b）应在外联网边界部署检测、防止或限制从外部发起的网络攻击行为的设备； c）应在外联网边界对网络行为进行分析，实现对网络攻击特别是未知新型网络攻击的检测和分 析；当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间；在发生严重 人侵事件时，应能报警，并宜实现自动阻断； d）应能对高级威胁进行安全检测，基于流量检测多种网络协议中的攻击行为； e）应在外联网边界部署审计系统，收集、记录区域边界的相关安全事件，并将审计记录转换为 约定格式，发送至安全威胁感知预警平台

SL/T8032020

安全计算环境防护手段应包括身份鉴别、访控制、安全审计、入侵防范、恶意代码防范、可信 验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面

6. 5. 2第二级要求

6. 5.3第三级要求

安全计算环境除符合GB/T22239一2019第三级安全要求外，还应符合下列要求： a）应设置并启用管理端外联控制策略，对管理终端未经授权的外联行为进行监测和处置，未 经授权，不应通过任何形式连接外部网络；不应使用USB接口，为手机等外部设备充电； b）应对重要计算设备和系统采用密码技术、生物技术等两种或两种以上组合的鉴别技术鉴别用 户身份； c）应对重要计算设备的人侵或异常行为进行实时监测，并在发生严重人侵事件时，提供报警和 阻断；报警和审计记录，应发送至安全威胁感知预警平台； d）应采用密码技术，对身份鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视 频数据、重要个人信息、水利工程技术数据等数据的传输和存储进行加密； e）应对网站系统进行安全审计，包括前台用户的注册、登录、关键业务操作等行为日志记录 后台内容管理用户的登录、网站内容编辑、审核及发布等行为日志记录，系统管理用户的登 录、账号及权限管理等系统管理操作日志记录；宜指定独立的审计管理员，负责管理审计 日志； f）应提供重要数据处理系统的软硬件几余： g）应将网络攻击监测数据和审计数据发送至安全威胁感知预警平台进行统一分析； h）在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应在境内存储

6.5.4关键信息基础设施安全要求

a）应对关键信息基础设施操作系统进行统一安全配置和安全加固，仅安装需要的组件和应用程 序，关闭不需要的服务、默认共享和高危端口； b）应采用可信令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上组 合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护：

SL/T 8032020

c）应对关键信息基础设施运行终端进行安全管控，设置访问控制策略，严格输人输出管理； d）应采用统一的认证、加密技术，实现对关键信息基础设施的认证和加密； e）应对关键信息基础设施服务器，部署统一的防病毒、防入侵和主机审计措施，应能及时发现 漏洞、人侵行为和高级网络威胁，并在发生攻击事件时进行告警并阻断； f）应对关键基础设施的基础信息资源部署数据灾备措施； g）应对重要业务操作或异常用户操作行为形成记录清单； h）应对重要业务数据资源的操作，基于安全标记等技术实现访问控制： i）应使用自动化机制，来支持系统账户、配置库、漏洞库、补丁库、病毒库等的管理，漏洞和 补丁应在经过验证后及时修补，

g）应对重要业务操作或异常用户操作行为形成记录清单； h）应对重要业务数据资源的操作，基于安全标记等技术实现访问控制； i）应使用自动化机制，来支持系统账户、配置库、漏洞库、补丁库、病毒库等的管理，漏洞和 补丁应在经过验证后及时修补。 5.4.2应用安全除符合第三级要求外，还应符合下列要求： a）应建立覆盖应用系统全生命周期的安全机制，基于统一身份认证服务，实现基于风险的身份 鉴别、访问控制、数据加密、安全审计等安全要求； b）应对应用系统的安全性、可用性进行实时安全监测，监测内容包括内容篡改、木马植入、可 用性以及网络攻击等； c）宜实现关键信息基础设施核心应用的应用级灾备建设； d）宜配置应用备用通信协议保障业务连续性。 5.4.3数据安全除符合第三级要求外，还应符合下列要求：

6.5.4.2应用安全除符合第三级要求外，还应符合下列要求：

a）应建立覆盖应用系统全生命周期的安全机制，基于统一身份认证服务，实现基于风险的具 鉴别、访问控制、数据加密、安全审计等安全要求； b）应对应用系统的安全性、可用性进行实时安全监测，监测内容包括内容改、木马植人、 用性以及网络攻击等； ）宜实现关键信息基础设施核心应用的应用级灾备建设； d）宜配置应用备用通信协议保障业务连续性

6.5.4.3数据安全除符合第三级要求外，还应符合

a）在数据规划和创建阶段，应实现数据的分级分类，明确数据的重要性和敏感程度； b）应采用密码技术、防泄漏技术等，保证重要数据在传输、存储过程中的完整性和保密性，包 括但不限于身份鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等；宜根据实际情况，与水利密码基础设施对接； c）应采用数据隔离技术，建设数据交换平台，实现不同敏感程度网络之间的数据交换，增强数 据在外部使用的安全性； d）应建立数据异地备份机制，并定期对备份有效性进行测试，实现业务和数据抵御地域性灾难 的风险，保证数据不丢失以及业务正常恢复，有效提高业务连续性与数据安全； e）个人信息的收集、存储、使用、传输、披露应符合GB/T35273一2020要求，严格控制重要 数据的公开、分析、交换、共享和导出等关键环节，并采取加密、脱敏、去标识化等技术手 段，保护敏感数据安全； f）应建立业务连续性管理及容灾备份机制，重要系统和数据库应实现异地备份；安全性要求高 的业务数据，宜实现数据的异地实时备份

3.6工业控制系统扩展5

工业控制系统扩展安全应针对工业控制系统中的现场控制和过程监控区，安全内容应包括工业 制系统的安全物理环境、安全分区原则、安全通信网络、安全区域边界、网络设备安全、工业控制 备本体安全、工业控制主机安全防护和安全计算环境等。

6. 6. 2第二级要求

6. 6.3第三级要求

等合下列要求： a）服务器和客户端均应使用安全加固的操作系统，并采取数字证书认证、传输加密和访问控制 等措施； b）应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口、多余网口或服务端口 等；确需保留的服务，应通过相关的技术措施，进行安全防护和严格的监控管理； c）应基于硬件密码模块，对重要通信过程进行加密； d）应对控制设备和系统，在上线前进行安全性检测； e）应对工业控制系统的开发、测试和运行，分别提供独立环境： f）控制设备固件更新前应经过评估测试； g）宜对工业控制系统的安全信息进行采集、分析与预警

6.6.4关键信息基础设施安全要求

6.6.4.1安全分区原则安全分区应

6.4.1安全分区原则安全分区应符合下列要求： a）工业控制系统分区分域应符合保护核心、有效隔离原则，分成现场控制区、过程监控区； b）对水利生产实现直接控制的系统、业务模块以及未来对水利生产有直接控制功能的业务系统 置于现场控制区； c）现场控制区、过程监控区和水利业务网之间，功能应相对独立，不应网络混用； d）在现场控制区、过程监控区内，应根据网络应用特点、重要性程度等因素，划分不同的子网 或区域； e）不应将没有防护的工业控制网络与互联网连接。 注：现场控制区中的业务系统，包括实时闭环控制的SCADA系统、实时动态监测系统，安全自动控制系统及保 护工作站，如闸门控制系统、机组监控系统、泵站监控系统、设备监测系统等。过程监控区中的业务系统， 包括采集监测系统、生产数据采集分析系统等

6.4.2安全区域边界除符合第三级要求外，还应

a）现场控制区与过程监控区之间，应采用具有访问控制功能安全可靠的设备实现逻辑隔离、报文 过滤、访问控制等功能；设备功能、性能、电磁兼容性，应经过国家相关部门的认证和测试； b）过程监控区与水利业务网之间，应进行物理隔离，或部署工业控制单向隔离装置进行访问 控制； c）现场控制区、过程监控区的边界，宜建立白名单机制，控制粒度达到工业协议内容级； d）过程监控区与水利业务网边界，可部署网络入侵检测系统，合理设置检测规则；检测规则应 包含工业控制系统专有攻击特征库，检测发现隐藏于流经网络边界正常信息流中的入侵行为 分析潜在威胁并进行安全审计； e）设备生产厂商或外部单位，不应远程连接现场控制区中的业务系统及设备；内部远程维护业 务系统应进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。 .4.3安全通信网络除符合第三级要求外，还应符合下列要求：

a）应采取逐级通信原则，仅允许上下级连接网络进行通信，不应越级通信； b）现场控制区与上级网络连接，应使用独立的网络链路； c）过程监控区系统与上级集控中心远程通信时，应采用认证、加密、访问控制等技术措施； d）宜对关键节点、关键业务设备进行设备级标识和认证； e）宜配备不同服务商的备用通信网络服务

4.4网络安全设备除符合第三级要求外，还应符

应通过安全配置确保现场控制区、过程监控区的核心交换机、汇聚交换机、边界防火墙、 向隔离装置等网络设备、安全设备自身的安全性：

SL/T 8032020

b）对登录网络设备、安全设备的用户，应进行身份鉴别及权限控制，只允许相关管理、维护人 员等登录设备； c）远程登录网络设备、安全设备，应采用HTTPS、SSH等加密方式： d）应限定远程管理网络设备、安全设备的IP地址； e）网络设备、安全设备用户口令，应符合复杂度要求，并定期更换；条件充许时，可对安全设 备的系统管理员、安全管理员、审计员等特权用户实施双因子认证； f）应及时清理网络设备、安全设备上临时用户、多余用户

e）网络设备、安全设备用户口令，应符合复杂度要求，并定期更换；条件允许时，可对安全设 备的系统管理员、安全管理员、审计员等特权用户实施双因子认证； f）应及时清理网络设备、安全设备上临时用户、多余用户。 6.4.5工业控制设备本体安全除符合第三级要求外，还应符合下列要求： a）应采用通过国家安全检测认证的工业控制设备和系统； b）系统的可信技术应采用安全可控的技术机制； c）宜支持安全芯片或安全固件等硬件级部件作为系统信任根，为现场设备的安全启动和数据安 全提供安全保护； d）应采取加密技术对PLC通信数据安全加密，宜采用具有通信数据加密功能的PLC设备； e）宜采用应用程序白名单技术，对工业主机内业务组件、系统组件及安全软件等执行程序进行 管控； f）应具备防止、检测、报告和消减恶意代码或非授权软件影响的能力； g）应对设备本体进行漏洞扫描和漏洞挖掘，及时修补并进行漏洞管理 h）除安全接人区外，现场控制区及过程监控区，应禁止接入无线通信的设备。 .6.4.6工业控制主机安全防护除符合第三级要求外，还应符合下列要求： a）应对现场控制区内部署防病毒软件等防止恶意代码攻击的技术措施，对代码特征库定期更新， 并应在更新代码前进行测试； b）对不适宜部署防病毒软件的服务器和客户端，应采用进程白名单管控安全防护技术；列人白 名单内的软件进程，应遵循最小化原则； c）过程监控区内的服务器和操作员终端操作系统，应及时升级系统补丁： d）现场控制区、过程监控区设备，应通过主机白名单软件对USB外设管控，对移动介质的插 入、复制、写人等操作安全审计； e）不应在过程监控区和其他区域之间，交叉使用移动存储介质以及便携计算机；确需通过外设 接人的设备，应采取安全监控措施，并履行安全接入审批手续，应在接人前采取病毒查杀等 安全预防措施。

6.6.4.7安全监测和审计除符合第三级要求外，还应符合下列要求：

a）应使用自动化工具，持续对工业控制系统进行安全监视，包括配置管理、系统变更、运行状 态和运行环境安全等； b）过程监控区内应部署工业控制流量审计系统对流量进行审计，应对工业控制协议进行深度包 解析，自动识别工业控制设备的通信关系，及时发现隐藏在正常流量中的异常数据包，实时 监测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接人等异常行为； c）过程监控区内应部署安全目志审计设备，应对操作系统、数据库、业务应用的重要操作进行 记录、分析；远程用户登录本地系统的操作行为，应进行安全审计； d）应包括对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安 全设施运行日志等集中收集、自动分析、安全审计

6.4.8数据安全除符合第三级要求外，还应符合

a）应识别和建立重要、关键工业控制业务数据清单； b）应确保静态存储的重要工业控制业务数据，不被非法访问、删除、修改；应采用加密存储或 隔离保护，设置访问控制功能：

SL/T8032020

c）应对动态传输重要工业控制业务数据，进行加密传输进行保护。 4.9备份与容灾除符合第三级要求外，还应符合下列要求： a）应结合自身业务和数据库实际，对生产监控系统的数据备份采取重要性分级管理，并确保重 要业务数据至少可恢复至1天前； b）关键主机设备、网络设备或关键部件，应配置元余； c）应定期对关键业务的数据进行备份，实现重要数据备份与恢复；备份系统存储容量，应至少 满足12个月存储数据量要求； d）应定期进行备份数据恢复测试，测试应在测试环境中进行，确保实际备份数据的异机可恢复 性，测试过程应做好记录及分析； e）应加强备份文件的自身安全管控，备份数据文件不应保存在本机磁盘、个人移动存储等存储 介质上。

6.7云与虚拟化扩展安全

6.7. 1第二级要求

6. 7.2第三级要求

展安全应符合GB/T22239一2019第二级的云计算

云与虚拟化扩展安全除符合GB/T22239一2019第三级的云计算安全扩展要求外，还应符合下列 要求： a）应通过云安全管理平台，对物理和虚拟资源进行安全防护、监测、告警和攻击阻断； b）应能检测虚拟机之间的资源隔离失效、非授权操作、恶意代码感染和人侵行为等异常，进行 告警和管控

6.7.3关键信息基础设施安全要求

云与虚拟化扩展安全除符合第三级要求外，还应符合下列要求： a）云平台应具备身份认证、访问控制、权限控制等功能； b）应对虚拟机之间、虚拟机与宿主机之间的流量进行监控和访问控制；发现攻击行为，应能告 警并阻断： c）应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；应采取密码技术或 其他技术手段，防止虚拟机镜像、快照中可能存在敏感资源被非法访问； d）应采用安全措施，实现虚机主机的防护、隔离、补工修补和安全加固

6.8移动互联扩展安全

6. 8. 1第二级要求

6. 8. 2第三级要求

移动互联扩展安全除符合GB/T22239一2019第三级的移动互联安全扩展要求外，还应符合下列要求： a）应对正式运行的移动应用客户端软件，在人网前进行安全评估检测； b）宜监测非法移动应用客户端软件； c）应对移动应用采集的个人相关信息，进行合规管控； d）应采用统一的认证、加密技术，实现对移动应用的安全保护

应采取网络准入技术，对无线接入设备进行管控

8.3关键信息基础设施

6. 9. 1 第二级要求

物联网扩展安全应符合GB/T22239一2019第二级的物联网

6. 9. 2第三级要求

扩展安全应符合GB/T22239一2019第三级的物联

医院标准规范范本6.9.3关键信息基础设施安全要求

SL/T 8032020

安全监测预警能力建设，应根据网络中承载的信息系统状况，接下列要求执行： a）定级系统均为网络安全等级保护第二级及以下的，应采用第二级安全要求，开展安全监测预 警能力建设： b）定级系统最高等级含有网络安全等级保护第三级的，应采用第三级安全要求，开展安全监测 预警能力建设； c）存在工业控制系统的，应在a）、b）规定基础上，落实工业控制系统扩展要求； d）存在关键信息基础设施的，应在a）、b）规定基础上，落实关键信息基础设施扩展要求； e）宜建设网络安全威胁感知预警平台；预警平台宜具备安全信息采集、威胁感知、分析展示等 功能

7.2.1第二级安全要求

7.2.1.2物理环境信息应满足如下要求

a）应采集机房基础信息，包括物理位置、周边环境、出人口、电力供应、安防措施等信息； b）应采集配线间信息，包括物理位置、消防设施、安防措施等信息； c）应采集机房网络物理链路信息，包括设备连接、线路铺设、配线架部署等信息； d）应实时采集机房人员出人信息，包括出人时间、所属单位、进人原因等信息； e）应实时采集机房环境监控信息，包括电力、消防、温度、湿度等信息

暖通空调施工组织设计7.2.1.3资产信息应满足如下要求：

a）应采集网络设备、安全设备信息，包括设备型号、固件版本、物理位置、设备用途、责任单 位、责任人等； b）应采集服务器信息，包括设备型号、操作系统版本、IP地址/MAC地址、应用部署、应用访 问路径、在用端口、禁用端口、启用服务、中间件版本、数据库版本、安全软件安装情况