标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
SL_T 803-2020 水利网络安全保护技术规范(清晰无水印)下列缩略语适用于本文件。 ACL:访问控制列表(AccessControlList) DCS:分散控制系统(DistributedControlSystem) DDoS:拒绝服务(DistributedDenial of Service) DNS:域名系统(服务)协议(DomainNameSystem) FTP:文件传输协议(FileTransferProtocol) GIS:地理信息系统(GeographicInformationSystem) HTTPS:超文本传输安全协议(HypertextTransferProtocolSecure) ICS:工业控制系统(IndustrialControlSystem) IoT:物联网(Interent of Things) MAC地址:媒体存取控制位址(MediaAccessControlAddress) MCU:微控制单元(MicroControllerUnit) PLC:可编程逻辑控制器(ProgrammableLogicController) POP3:邮局协议版本3(PostOfficeProtocol—Version3) SCADA:数据采集与监视控制系统(SupervisoryControlAndDataAcquisitionSystem) SMB:协议名(Server Message Bloc) SSH:安全外壳协议(SecureShell) SSL:安全套接层(SecureSocketsLayer) TCP:传输控制协议(TransmissionControlProtocol) UDP:用户数据报协议(UserDatagramProtocol) VLAN:虚拟局域网(VirtualLocalAreaNetwork) WAF:网站应用防火墙(WebApplicationFirewall))
水利网络安全建设应遵循以下基本原则: a)全面完整原则:在进行网络安全建设时,应遵循本文件规定,结合实际,进行完整的网络安 全体系架构设计,全面覆盖所有安全要素; b)等级保护原则:应按照GB/T22240一2020,确定各类水利网络安全保护对象的保护等级; c)同步要求原则:水利信息化项目在规划建设运行时,应将网络安全保护措施同步规划、同步 建设、同步使用; d)适当调整原则:在进行网络安全建设时,可根据水利网络安全保护对象具体情况和特点,适 当调整部分安全要素的建设标准; e)持续改进原则:应依据本标准和GB/T22239一2020等国家标准规范要求持续完善网络安全体系
GB/T 15092.1-2020 器具开关 第1部分:通用要求水利网络安全建设应满足以下一般要求:
a)设备安全要求:应优先选用稳定可靠的服务器、PLC、MCU、终端等计算设备,并根据需要 进行计算设备安全评估; b)软件安全要求:应优先选用稳定可靠的操作系统、PLC系统、组态软件、应用软件等软件 并根据需要进行软件安全评估; c)接人安全要求:可采用密码技术等保证接人网络的设备安全可信; d)安全服务要求:应与产品、服务提供者签订安全保密协议,并约定其为产品、服务提供安全 维护,在规定或者约定的期限内,不应终止提供安全维护; e)容灾备份要求:应具备容灾备份措施对重要数据进行备份
4.3水利关键信息基础设施补充要求
水利关键信息基础设施网络安全建设,应满足以下补充要求: a)设备安全要求:应对重要设备进行安全审查和评估; b)软件安全要求:应对重要软件进行安全审查和评估; c)协议安全要求:应采用具备安全校验机制的通信协议,重要的服务和通信连接应采取加密技 术措施; d)认证检测要求:关键设备和安全专用产品应当按照国家相关标准的强制性要求,采用安全认 证或者安全检测合格的产品; e)计算环境要求:应按不低于第三级网络安全保护对象的安全计算环境要求进行设计实施; f)容灾备份要求:应具备异地容灾备份措施; g)安全验收要求:峻工验收前,宜进行网络安全专项验收
5.1.1水利行业网络安全建设应包括纵深防御、统一安全服务、威胁感知预警、应急决策指挥,宜 按照图1构建。其中纵深防御应包括安全物理环境、安全计算环境、安全区域边界、安全通信网络等 部分。
图1水利行业网络安全技术体系框架图
5.1.2网络安全技术架构应包括以下内容: a)应建设水利行业协同统一的网络安全服务体系,包括网络安全情报服务、灾备服务、密码服 务、认证服务等; b)在安全物理环境基础上,应构建安全计算环境、安全区域边界、安全通信网络的3层基础 防护; c)宜构建网络安全威胁感知预警平台和网络安全应急决策指挥平台,形成贯穿所有安全活动的 安全运营管理中心。 5.1.3纵深防御应建立完善合规的物理环境、计算环境、区域边界、通信网络防护。同时应针对公 共的安全技术形成统一的安全服务,包括安全情报服务、灾备服务、密码服务、认证服务等4项 服务
5.1.2网络安全技术架构应包括以下内容!
■监测预警应满足下列要
d)各级节点应建设共享交换机制,与上级节点实现关键流量数据、网络安全预警等数据交互。
立与之对应的网络安全运营体系
5.2.2部级建设应满足下列要求
5.2.3流域级建设应满足下列要求:
a)应在上级节点网络安全服务基础上, 建设区域级网络安全情报服务、统一密码服务、统一身 份认证服务,为本级及下级网络节点提供服务共享:
SL/T 8032020
安全纵深防御能力建设基本要求应由安全物理环境、安全通信网络、安全区域边界和安全计算环 各部分组成,应根据承载网络安全保护对象的不同等级和类型情况,并按以下要求执行: a)网络安全等级保护只有一级的水利网络安全保护对象,应采用GB/T22239一2019第一级的 安全要求; b)网络安全等级保护为二级及以下的水利网络安全保护对象,应采用第二级安全要求开展安全 纵深防御能力建设: c)网络安全等级保护为三级的水利网络安全保护对象,应采用第三级安全要求开展安全纵深防 御能力建设; d)存在工业控制系统、云计算环境、移动互联和物联网应用的,应在以上基础上分别落实工业 控制系统、云与虚拟化、移动互联和物联网扩展安全要求; e)存在关键信息基础设施的,应在第三级安全要求的基础上落实关键信息基础设施扩展要求
6.2.1安全物理环境应包括物理位置选择、机房环境安全、物理访问控制、安全分域、防盗窃、防 破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、设备设施安全、电力供应、监控审计、电 慈防护和灾难备份中心等方面。 6.2.2第二级要求应以承载最高网络安全保护等级为第二级的保护对象,应符合GB/T50174 2017的C级标准和GB/T22239一2019第二级的安全要求。 6.2.3第三级要求应以承载最高网络安全保护等级为第三级的保护对象,除符合GB/T50174 2017中B级标准和GB/T22239一2019第三级的安全要求外,还应符合下列要求:
a)应对机房和设备间的进出访问进行控制,部署安全监控措施,进行安全巡检; b)应对专用移动存储介质进行统一管理,记录介质领用、接入使用、交回、维修、报废、销毁
安全通信网络应包括网络架构、传输加密、安全审计等方面
6. 3. 2第二级要求
安全通信网络第二级要求应符合GB/T 22239一2019第二级的安全要求
安全通信网络第三级要求除符合GB/T22239一2019第三级安全要求外,还应符合下列要求: a)安全区域应根据业务属性划分,可划分为内部业务区、接入区、前置交换区、公众服务区 数据区和安全管理区等: b)数据通信应使用符合国家要求的密码技术; c)应提供通信线路、关键网络设备、安全设备的硬件允余; d)应基于硬件设备,对重要通信过程进行加解密运算和密钥管理; e)应将攻击监测数据和审计数据进行统一分析
6.3.4关键信息基础设施安全要求
.4.1网络架构安全要求除符合第三级要求外,还应符合下列要求: a)关键信息基础设施信息系统,应与其他不同等级系统之间设置技术隔离措施,实施严格访问 控制策略:
SL/T 8032020
b)不应将高安全等级业务系统或其功能模块,部署到低安全等级区域;属于低安全等级区域 业务系统或其功能模块,可部署于高安全等级区域,并按照高安全等级区域的保护策略进 保护; c)应提供通信线路、网络设备、安全设备和关键计算设备的硬件允余
a)通信信道应满足关键业务处理需求; b)应对不同局域网之间的远程通信,采用密码技术进行加密传输;局域网内宜对关键、敏感 据进行加密: c)应对关键数据进行校验,保证通信信息的完整性、可用性; d)安全审计记录宜包括监测、记录系统运行状态、日常操作、故障维护、远程维护等,日志 据留存应不少于12个月
6. 4. 2第二级要求
图2安全区域边界构成图
6.4.2.1安全区域边界第二级要求应符合GB/T22239一2019第二级的安全要求。 6.4.2.2内部边界安全应符合下列要求:
6.4.2.1安全区域边界第二级要求应符合GB/T22239一2019第二级的安全要求。
6.4.2.3互联网边界安全应符合下列要求
6.4.2.4水利业务网边界安全应符合下列要求!
a)应根据访问控制策略,设置进出双向的访问控制规则,默认情况下(除允许的通信外)拒绝 所有通信,删除多余或无效的访问控制规则,访问控制规则数量最小化; b)应能对访问本级网络的异常网络行为进行审计和告警,
6.4.2.5外联网边界安全应符合下列要求:
6. 4.3第三级要求
6.4.3.1安全区域边界第三级要求要求应符合GB/T22239一2019第三级的安全要求。
6.4.3.3互联网边界安全应符合下列要求
6.4.3.4水利业务网边界安全应符合下列要求:
利业务网边界安全应符合
6.4.3.5外联网边界安全应符合下列要求:
a)应能对远程访问、 坊日外 b)对外联网边界数据流, 卡应用办 和应用内容的访间控制
SL/T 8032020
6.4.4关键信息基础设施安全要求
SL/T8032020
安全计算环境防护手段应包括身份鉴别、访控制、安全审计、入侵防范、恶意代码防范、可信 验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面
6. 5. 2第二级要求
6. 5.3第三级要求
6.5.4关键信息基础设施安全要求
a)应对关键信息基础设施操作系统进行统一安全配置和安全加固,仅安装需要的组件和应用程 序,关闭不需要的服务、默认共享和高危端口; b)应采用可信令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上组 合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护:
SL/T 8032020
g)应对重要业务操作或异常用户操作行为形成记录清单; h)应对重要业务数据资源的操作,基于安全标记等技术实现访问控制; i)应使用自动化机制,来支持系统账户、配置库、漏洞库、补丁库、病毒库等的管理,漏洞和 补丁应在经过验证后及时修补。 5.4.2应用安全除符合第三级要求外,还应符合下列要求: a)应建立覆盖应用系统全生命周期的安全机制,基于统一身份认证服务,实现基于风险的身份 鉴别、访问控制、数据加密、安全审计等安全要求; b)应对应用系统的安全性、可用性进行实时安全监测,监测内容包括内容篡改、木马植入、可 用性以及网络攻击等; c)宜实现关键信息基础设施核心应用的应用级灾备建设; d)宜配置应用备用通信协议保障业务连续性。 5.4.3数据安全除符合第三级要求外,还应符合下列要求:
6.5.4.2应用安全除符合第三级要求外,还应符合下列要求:
a)应建立覆盖应用系统全生命周期的安全机制,基于统一身份认证服务,实现基于风险的具 鉴别、访问控制、数据加密、安全审计等安全要求; b)应对应用系统的安全性、可用性进行实时安全监测,监测内容包括内容改、木马植人、 用性以及网络攻击等; )宜实现关键信息基础设施核心应用的应用级灾备建设; d)宜配置应用备用通信协议保障业务连续性
6.5.4.3数据安全除符合第三级要求外,还应符合
a)在数据规划和创建阶段,应实现数据的分级分类,明确数据的重要性和敏感程度; b)应采用密码技术、防泄漏技术等,保证重要数据在传输、存储过程中的完整性和保密性,包 括但不限于身份鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等;宜根据实际情况,与水利密码基础设施对接; c)应采用数据隔离技术,建设数据交换平台,实现不同敏感程度网络之间的数据交换,增强数 据在外部使用的安全性; d)应建立数据异地备份机制,并定期对备份有效性进行测试,实现业务和数据抵御地域性灾难 的风险,保证数据不丢失以及业务正常恢复,有效提高业务连续性与数据安全; e)个人信息的收集、存储、使用、传输、披露应符合GB/T35273一2020要求,严格控制重要 数据的公开、分析、交换、共享和导出等关键环节,并采取加密、脱敏、去标识化等技术手 段,保护敏感数据安全; f)应建立业务连续性管理及容灾备份机制,重要系统和数据库应实现异地备份;安全性要求高 的业务数据,宜实现数据的异地实时备份
3.6工业控制系统扩展5
工业控制系统扩展安全应针对工业控制系统中的现场控制和过程监控区,安全内容应包括工业 制系统的安全物理环境、安全分区原则、安全通信网络、安全区域边界、网络设备安全、工业控制 备本体安全、工业控制主机安全防护和安全计算环境等。
6. 6. 2第二级要求
6. 6.3第三级要求
等合下列要求: a)服务器和客户端均应使用安全加固的操作系统,并采取数字证书认证、传输加密和访问控制 等措施; b)应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口、多余网口或服务端口 等;确需保留的服务,应通过相关的技术措施,进行安全防护和严格的监控管理; c)应基于硬件密码模块,对重要通信过程进行加密; d)应对控制设备和系统,在上线前进行安全性检测; e)应对工业控制系统的开发、测试和运行,分别提供独立环境: f)控制设备固件更新前应经过评估测试; g)宜对工业控制系统的安全信息进行采集、分析与预警
6.6.4关键信息基础设施安全要求
6.6.4.1安全分区原则安全分区应
6.4.1安全分区原则安全分区应符合下列要求: a)工业控制系统分区分域应符合保护核心、有效隔离原则,分成现场控制区、过程监控区; b)对水利生产实现直接控制的系统、业务模块以及未来对水利生产有直接控制功能的业务系统 置于现场控制区; c)现场控制区、过程监控区和水利业务网之间,功能应相对独立,不应网络混用; d)在现场控制区、过程监控区内,应根据网络应用特点、重要性程度等因素,划分不同的子网 或区域; e)不应将没有防护的工业控制网络与互联网连接。 注:现场控制区中的业务系统,包括实时闭环控制的SCADA系统、实时动态监测系统,安全自动控制系统及保 护工作站,如闸门控制系统、机组监控系统、泵站监控系统、设备监测系统等。过程监控区中的业务系统, 包括采集监测系统、生产数据采集分析系统等
6.4.2安全区域边界除符合第三级要求外,还应
a)现场控制区与过程监控区之间,应采用具有访问控制功能安全可靠的设备实现逻辑隔离、报文 过滤、访问控制等功能;设备功能、性能、电磁兼容性,应经过国家相关部门的认证和测试; b)过程监控区与水利业务网之间,应进行物理隔离,或部署工业控制单向隔离装置进行访问 控制; c)现场控制区、过程监控区的边界,宜建立白名单机制,控制粒度达到工业协议内容级; d)过程监控区与水利业务网边界,可部署网络入侵检测系统,合理设置检测规则;检测规则应 包含工业控制系统专有攻击特征库,检测发现隐藏于流经网络边界正常信息流中的入侵行为 分析潜在威胁并进行安全审计; e)设备生产厂商或外部单位,不应远程连接现场控制区中的业务系统及设备;内部远程维护业 务系统应进行会话控制,并采用会话认证、加密与抗抵赖等安全机制。 .4.3安全通信网络除符合第三级要求外,还应符合下列要求:
a)应采取逐级通信原则,仅允许上下级连接网络进行通信,不应越级通信; b)现场控制区与上级网络连接,应使用独立的网络链路; c)过程监控区系统与上级集控中心远程通信时,应采用认证、加密、访问控制等技术措施; d)宜对关键节点、关键业务设备进行设备级标识和认证; e)宜配备不同服务商的备用通信网络服务
4.4网络安全设备除符合第三级要求外,还应符
应通过安全配置确保现场控制区、过程监控区的核心交换机、汇聚交换机、边界防火墙、 向隔离装置等网络设备、安全设备自身的安全性:
SL/T 8032020
b)对登录网络设备、安全设备的用户,应进行身份鉴别及权限控制,只允许相关管理、维护人 员等登录设备; c)远程登录网络设备、安全设备,应采用HTTPS、SSH等加密方式: d)应限定远程管理网络设备、安全设备的IP地址; e)网络设备、安全设备用户口令,应符合复杂度要求,并定期更换;条件充许时,可对安全设 备的系统管理员、安全管理员、审计员等特权用户实施双因子认证; f)应及时清理网络设备、安全设备上临时用户、多余用户
e)网络设备、安全设备用户口令,应符合复杂度要求,并定期更换;条件允许时,可对安全设 备的系统管理员、安全管理员、审计员等特权用户实施双因子认证; f)应及时清理网络设备、安全设备上临时用户、多余用户。 6.4.5工业控制设备本体安全除符合第三级要求外,还应符合下列要求: a)应采用通过国家安全检测认证的工业控制设备和系统; b)系统的可信技术应采用安全可控的技术机制; c)宜支持安全芯片或安全固件等硬件级部件作为系统信任根,为现场设备的安全启动和数据安 全提供安全保护; d)应采取加密技术对PLC通信数据安全加密,宜采用具有通信数据加密功能的PLC设备; e)宜采用应用程序白名单技术,对工业主机内业务组件、系统组件及安全软件等执行程序进行 管控; f)应具备防止、检测、报告和消减恶意代码或非授权软件影响的能力; g)应对设备本体进行漏洞扫描和漏洞挖掘,及时修补并进行漏洞管理 h)除安全接人区外,现场控制区及过程监控区,应禁止接入无线通信的设备。 .6.4.6工业控制主机安全防护除符合第三级要求外,还应符合下列要求: a)应对现场控制区内部署防病毒软件等防止恶意代码攻击的技术措施,对代码特征库定期更新, 并应在更新代码前进行测试; b)对不适宜部署防病毒软件的服务器和客户端,应采用进程白名单管控安全防护技术;列人白 名单内的软件进程,应遵循最小化原则; c)过程监控区内的服务器和操作员终端操作系统,应及时升级系统补丁: d)现场控制区、过程监控区设备,应通过主机白名单软件对USB外设管控,对移动介质的插 入、复制、写人等操作安全审计; e)不应在过程监控区和其他区域之间,交叉使用移动存储介质以及便携计算机;确需通过外设 接人的设备,应采取安全监控措施,并履行安全接入审批手续,应在接人前采取病毒查杀等 安全预防措施。
6.6.4.7安全监测和审计除符合第三级要求外,还应符合下列要求:
a)应使用自动化工具,持续对工业控制系统进行安全监视,包括配置管理、系统变更、运行状 态和运行环境安全等; b)过程监控区内应部署工业控制流量审计系统对流量进行审计,应对工业控制协议进行深度包 解析,自动识别工业控制设备的通信关系,及时发现隐藏在正常流量中的异常数据包,实时 监测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接人等异常行为; c)过程监控区内应部署安全目志审计设备,应对操作系统、数据库、业务应用的重要操作进行 记录、分析;远程用户登录本地系统的操作行为,应进行安全审计; d)应包括对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安 全设施运行日志等集中收集、自动分析、安全审计
6.4.8数据安全除符合第三级要求外,还应符合
a)应识别和建立重要、关键工业控制业务数据清单; b)应确保静态存储的重要工业控制业务数据,不被非法访问、删除、修改;应采用加密存储或 隔离保护,设置访问控制功能:
SL/T8032020
c)应对动态传输重要工业控制业务数据,进行加密传输进行保护。 4.9备份与容灾除符合第三级要求外,还应符合下列要求: a)应结合自身业务和数据库实际,对生产监控系统的数据备份采取重要性分级管理,并确保重 要业务数据至少可恢复至1天前; b)关键主机设备、网络设备或关键部件,应配置元余; c)应定期对关键业务的数据进行备份,实现重要数据备份与恢复;备份系统存储容量,应至少 满足12个月存储数据量要求; d)应定期进行备份数据恢复测试,测试应在测试环境中进行,确保实际备份数据的异机可恢复 性,测试过程应做好记录及分析; e)应加强备份文件的自身安全管控,备份数据文件不应保存在本机磁盘、个人移动存储等存储 介质上。
6.7云与虚拟化扩展安全
6.7. 1第二级要求
6. 7.2第三级要求
展安全应符合GB/T22239一2019第二级的云计算
云与虚拟化扩展安全除符合GB/T22239一2019第三级的云计算安全扩展要求外,还应符合下列 要求: a)应通过云安全管理平台,对物理和虚拟资源进行安全防护、监测、告警和攻击阻断; b)应能检测虚拟机之间的资源隔离失效、非授权操作、恶意代码感染和人侵行为等异常,进行 告警和管控
6.7.3关键信息基础设施安全要求
云与虚拟化扩展安全除符合第三级要求外,还应符合下列要求: a)云平台应具备身份认证、访问控制、权限控制等功能; b)应对虚拟机之间、虚拟机与宿主机之间的流量进行监控和访问控制;发现攻击行为,应能告 警并阻断: c)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;应采取密码技术或 其他技术手段,防止虚拟机镜像、快照中可能存在敏感资源被非法访问; d)应采用安全措施,实现虚机主机的防护、隔离、补工修补和安全加固
6.8移动互联扩展安全
6. 8. 1第二级要求
6. 8. 2第三级要求
移动互联扩展安全除符合GB/T22239一2019第三级的移动互联安全扩展要求外,还应符合下列要求: a)应对正式运行的移动应用客户端软件,在人网前进行安全评估检测; b)宜监测非法移动应用客户端软件; c)应对移动应用采集的个人相关信息,进行合规管控; d)应采用统一的认证、加密技术,实现对移动应用的安全保护
应采取网络准入技术,对无线接入设备进行管控
8.3关键信息基础设施
6. 9. 1 第二级要求
物联网扩展安全应符合GB/T22239一2019第二级的物联网
6. 9. 2第三级要求
QB/T 2751-2012 甲基吡嗪扩展安全应符合GB/T22239一2019第三级的物联
6.9.3关键信息基础设施安全要求
SL/T 8032020
安全监测预警能力建设,应根据网络中承载的信息系统状况,接下列要求执行: a)定级系统均为网络安全等级保护第二级及以下的,应采用第二级安全要求,开展安全监测预 警能力建设: b)定级系统最高等级含有网络安全等级保护第三级的,应采用第三级安全要求,开展安全监测 预警能力建设; c)存在工业控制系统的,应在a)、b)规定基础上,落实工业控制系统扩展要求; d)存在关键信息基础设施的,应在a)、b)规定基础上,落实关键信息基础设施扩展要求; e)宜建设网络安全威胁感知预警平台;预警平台宜具备安全信息采集、威胁感知、分析展示等 功能
7.2.1第二级安全要求
7.2.1.2物理环境信息应满足如下要求
a)应采集机房基础信息,包括物理位置、周边环境、出人口、电力供应、安防措施等信息; b)应采集配线间信息,包括物理位置、消防设施、安防措施等信息; c)应采集机房网络物理链路信息,包括设备连接、线路铺设、配线架部署等信息; d)应实时采集机房人员出人信息,包括出人时间、所属单位、进人原因等信息; e)应实时采集机房环境监控信息,包括电力、消防、温度、湿度等信息
7.2.1.3资产信息应满足如下要求:
a)应采集网络设备、安全设备信息GB/T 22740-2008 地理标志产品 灵宝苹果,包括设备型号、固件版本、物理位置、设备用途、责任单 位、责任人等; b)应采集服务器信息,包括设备型号、操作系统版本、IP地址/MAC地址、应用部署、应用访 问路径、在用端口、禁用端口、启用服务、中间件版本、数据库版本、安全软件安装情况