SL／T 803-2020标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

SL／T 803-2020 水利网络安全保护技术规范.p*f

水利网络安全建设应遵循以下基本原则： 8）全面完整原则：在进行网络安全建设时，应遵循本文件规定，结合实际，进行完整的网络安 全体系集构设计，全面覆金所有安全要系： b）等级保护原则：应按照GB/T222402020，确定各类水利网络安全保护对象的保护等级； c）同步要求原则：水利信息化项目在规划建设运行时，应将网络安全保护措施同步规划、同步 建设、同步使用： *）适当调整原则：在进行网络安全建设时，可根据水利网络安全保护对象具体情况和特点，适 当调整部分安全要素的建设标准： e）持续改进原则：应依据本标推和GB/T222392020等国家标准规范要求持续完善网络安全体系

水利网络安全建设应满足以下一般要求！

SL/T 8032020

&）设备安全要求：应优先选用稳定可靠的服务器、PLC、MCU、终端等计算设，并根据需要 进行计算设备安全评估： b）软件安全要求：应优先选用稳定可靠的操作系统、PLC系统、组态软件、应用软件等软件， 并根据需要进行软件安全评估 e）接人安全要求：可采用密码技术等保证接人网络的设备安全可信： *）安全服务要求：应与产品、服务提供者签订安全保密协议，并约定其为产品、服务提供安全 维护，在规定或者约定的期限内，不应终止提供安全维护； e）容灾备份要求：应具备容灾备份措施对重要数据进行备份

GB/T 27637-2011 副结核分枝杆菌实时荧光PCR检测方法4.3水利关键信息基确设施补充要求

水利关键信息基确设施网络安全建设，应满足以下补充要求： 8）设各安全要求：应对重要设备进行安全审查和评估； b）软件安全要求：应对重要软件进行安全审查和评估； c）协议安全要求：应采用具备安全校验机制的通信协议，重要的服务和通信连接应采取加密技 术猎施； *）认证检测要求：关键设备和安全专用产品应当按照国家相关标准的强制性要求，采用安全认 证或者安全检测合格的产品； e）计算环境要求：应按不低于第三级网络安全保护对象的安全计算环境要求进行设计实施； ）容灾备份要求：应具备异地容灾备份措施； 8）安全验收要求：敬工验收前，宜进行网络安全专项验收

5.1.1水利行业网络安全建设应包括纵深防询、统一安全服务、成胁感知预警、应急决策指挥，宜 按照图1构建，其中织深防衡应包括安全物理环境、安全计算环境、安全区域边界、安全通信网络等 部分

图1水利行业网络安全技术体系推架图

5.1.2网络安全技术案构应包括以下内容

SL/T 8032020

8）应建设水利行业协同统一的网络安全服务体系，包括网络安全情报服务、灾备服务、密码服 务，认证服务等； b）在安全物理环境基醋上，应构建安全计算环境、安全区域边界、安全通信网络的3层基翻 防护； c宜构建网络安全成胁感知预警平台和网络安全应急决策指挥平台，形成贯穿所有安全活动的 安全运营管理中心， 1.3纵深防御应建立完普合规的物理环境、计算环境、区域边界、通信网络防护，同时应针对公 共的安全技术形成统一的安全服务，包括安全情报服务、灾各服务、密码服务、认证服务等4项 服务

*）各级节点应建设共享交换机制，与上级节点实现关键流量数据、网络安全预警等数据交互，

5.1.5应急响应应满足下列要求

5.1.5应急响应应满足下列要求！

b）各级节点可建设应急决策指挥平台，管理网内网络安全资源，对网内各类风险预警进行综合 研判和闭环处置，实现应急预案管理与策略缩排，并应与上级应急决策指挥平台进行数据 交换， 5.1.6安全运营应在织深防衡、监测预警、应急响应等各类安全设备（系统）的支撑下，建立网络 安全运营体系，识别网络安全态势，优化网络安全防御措施

5.2.1应开展网络安全纵深防能力、网络安全监测预警能力、网络安全应急响应能力建设，宜建 立与之对应的网络安全运营体系

5.2.2部级建设应满足下列要求：

5.2.3流域级建设应满足下列要求

SL/T 8032020

SL/T 8032020

安全筑深防舞能力建设基本要求应由安全理环境、安全迪信网培、安全区域边界和安全计算环 各部分组成，应根据承载网络要全保护对象的不同等级和类型情况，并接以下要求执行！ a）网络安全等级保护只有一级的水利网络安全保护对象，应采用GB/T222392019第一级的 安全要求； b》网络安全等级保护为二级及以下的水利网络安全保护对象，应采用第二级安全要求开展安全 纵深防御能力建设； c）网络安全等级保护为三级的水利网络安全保护对象，应采用第三级安全要求开展安全织深防 街能力建设； *）存在工业控制系统、云计算环境、移动互联和物联网应用的，应在以上基础上分别落实工业 控制系统、云与虚拟化、移动互联和物联网扩展安全要求； e）存在关键信息基确设施的，应在第三级安全要求的基础上落实关健信息基确设施扩展要求

6.2.1安全物理环境应包括物理位置择、机房环境安全、物理访问控制、安全分域、防壶窃、防 破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、设备设施安全、电力供应、监控审计、电 磁防护和灾难备份中心等方面， 6.2.2第二级要求应以承载最高网络安全保护等级为第二级的保护对象，应符合GB/T50174 2017的C级标准和GB/T222392019第二级的安全要求。 6.2.3第三级要求应以承载最高网络安全保护等级为第三级的保护对象，除符合GB/T50174 2017中B级标准和GB/T222392019第三级的安全要求外，还应符合下列要求： ）应对机房和设务间的进出动益进行拍制，部要安全质控措施，进行安全温检

6.2.1安全物理环境应包括物理位置选择、机房环境安全、物理访问控制、安全分域、防盗窃、 被坏、防雷击、防火、防水和防潮、防静电、温湿度控制、设备设施安全、电力供应、监控审计、 磁防护和灾难备份中心等方面， 62.2第二级要求府以平检量高图终安全保护级为管二级的保抢对会应签合GB/T5017

8）应对机房和设备间的进册访间进行控制，部奢安全监控措施，进行安全邀检 b）应对专用移动存储介质进行统一管理，记录介质领用、接入使用、交回、维修、报度、销毁

SL/T 8032020

6.2.4关键信点基确设施委全除符合6.2.3要求外，还应符合下列要求

安全通信网络应包括网络架构、传输加密、安全审计等方面

通信网络第二级要求应符合GB/T222392019

安全通信网络第三级要求除符合GB/T22239一2019第三级安全要求外，还应符合下列要求： 8）安全区域应根据业务属性划分，可则分为内部业务区、接人区、前置交换区、公众服务区、 数据区和安全管理区等 b）数据通信应使用符合国家要求的密码技术 c）应提供通信线路、关键网络设备、安全设备的件余； *）应基于硬件设备，对要通信过程进行加解密运算和密钥管理； e）应将攻击监测数据和审计数据进行统一分析

6.3.4关缝信息基础设施安全要求

.1网络葉构安全要求除符合第三级要求外，还应符合下列要求： ）关键信息基础设施信息系统，应与其他不同等级系统之间设置技术隔高措施，实施严格访 控制策略：

SL/T 8032020

b）不应将高安全等级业务系统或其功能模块，部署到低安全等级区域；属于低安全等级区域的 业务系统或其功能模块，可部署于高安全等级区域，并按照高安全等级区域的保护策略进行 保护； 心府报供通信线隆网终设空全设务和关键计售设务简项件宜金

6.3.4.2传输加密安全要求除符合第三级要求外，

8）通供信造应满足关键业务处理需求； b）应对不同局域网之间的远程通信，采用密码技术进行加密传输；局域网内宜对关键、敏感数 据进行加密 c）应对关键数据进行校验，保证通信信息的完整性、可用性； *）安全审计记录宜包据监测、记录系统运行状态、日带操作、故障维护、远程维护等，日志数 据留存应不少于12个月

图2安全区域边界构成围

.4.2.1安全区域边界第二级要求应符合GB/T22239一2019第二级的安全要求， 4.2.2内部边界安全应符合下列要求：

6.4.2.1，安全区域边界第二级要求应符合GB/T222392019第二级的安全要求，

SL/T 8032020

6.4.2.3互联网边界安全应符合下列要求

6.4.2.4水利业务网边界安全应符合下列要求

a）应根据访问控制策略，设置进出双向的访问控制规则，认情况下（除允许的通信外）拒绝 所有通信，剩除多余或无效的访问控制规则，访问控制规则数量最小化； b）应能对访间本级网络的异常网行

6.4.2.5外联网边界安全应符合下列要求

6.4.3.1安全区域边界第三级要求要求应符合GB/T22239一2019第三级的安全要求，

6.4.3.2内部边界安全应符合下列要求：

6.4.3.3互联网边界安全应符合下列要求

6.4.3.4水利业务网边界安全应符合下列要求

6.4.3.5外联网边果安全应符合下列恶求！

8）应能对远程访向、访同外联网等用户行为，进行行为审计和数据分析 用内容的访间控制：

SL/T 8032020

6.4.4关领信息基础设旅安全要求

SL/T 8032020

SL/T 8032020

计、人侵防范、悉意代码防范、可位 验证、数据完整性、数据保密性、数据各份恢复、 删余信点保护、个人信点保护等方面。

6.5.4关键信息基础设施安全要求

a）应对关键信息基确设施操作系统进行统一安全配置和安全加周，仅安装需要的组件和应用程 序，关闭不需要的服务、默认共享和高危口 b）应采用可信令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上组 合机制进行用户身份鉴别，并对监别数据进行保密性和完整性保护：

SL/T 8032020

a）应建立覆盖应用系统全生命周期的安全机制，基于统一身份认证服务，实现基于风险的与 鉴别、访问控制、数据加密、安全审计等安全要求； b）应对应用系统的安全性、可用性进行实时安全监测，监测内容包括内容塞改、木马植入 用性以及网络攻击等： c）宜实现关键信息基醋设施核心应用的应用级灾备建设； *）宜配置应用各用通信协议保障业务连续性

6.5.4.3数据安全除符合第三级要求外，还应符合下列要求！

6.5.4.3数据安全除符合第三级要求外，还应符

a）在数据规划和创建阶段，应实现数据的分级分类，明确数据的金要性和敏感程度； b）应采用密码技术、防泄调技术等，保证重要数据在传输、存储过程中的完整性和保密性，包 括但不限于身份监别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等；宜根据实际情况，与水利密码基础设施对接： c）应采用数据隔离技术，建设数据交换平台，实现不同敏感程度网络之间的数据交换，增强数 据在外部使用的安全性； *D应建立数据异地备份机制，开定期对备份有效性进行测试，实现业务和数据抵衡地域性灾摊 的风险，保证数据不去失以及业务正需恢复，有效提高业务连续性与数据安全： e）个人信息的收集、存储、使用、传输、披露应符合GB/T35273一2020要求，严格控制重要 数据的公开、分析、交换、共享和导出等关键环节，并采取加密、脱敏、去标识化等技术手 段，保护敏感数据安全； f）应建立业务连续性管理及容灾备份机制，重要系统和数据库应实现异地备份，安全性要求高 的业务数据，宜实现数据的异地实时备份

工业控制系统护展安全应针对工业控制系统中的现场控制和过程监控区，安全内容应包据工业 制系统的安全物理环境、安全分区原则、安全通信网络、安全区域边界、网络设备安全、工业控制 备本体安全，工业控制主机安全防护和安全计算环境等

符合下列要求： a）服务器和客户增均应使用安全加周的探作系统，并采取数字证书认证、传输加密和访问控制 等措施； b）应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、申行口、多余网口或服务幅口 等；确需保留的服务，应通过相关的技术措施，进行安全防护和严格的监控管理； c）应基于硬件密码模块，对金要通信过程进行加密； *）应对控制设各和系统，在上线前进行安全性检测； e）应对工业控制系统的开发，测试和运行，分别提供独立环境： 控制设备固件更新前应经过评估测试： 8）宜对工业控制系统的安全信息进行采集、分析与预警

5.4.1安全分区原则安全分区应符合下列要求： a）工业控制系统分区分域应符合保护核心、有效隔原则，分成现场控制区、过程监控区； b）对水利生产实现直接控制的系统、业务模块以及未来对水利生产有直接控制功能的业务系统 置于现场控制区； c）现场控制区、过程监控区和水利业务网之间，功能应相对独立，不应网络混用； *）在现场控制区、过程监控区内，应根据网络应用特点、重要性程度等因素，划分不同的子网 或区域； e）不应将没有防护的工业控制网络与互联网连接。 注：现场控制区中的业务系统，包指实时阅环控制的SCADA系筑、实时动态监测系策，安全自动控制系统及保 护工作结，如门控制系残、机组监控案就、系站监轻系统、度备监测票统等。过程监控区中的业务来残， 包插采集蓝测统、生产数据采集分析系洗等

置于现场控制区； c）现场控制区、过程监控区和水利业务网之间，功能应相对独立，不应网络混用； *）在现场控制区、过程监控区内，应根据网络应用特点、重要性程度等因素，划分不同的子网 或区域； e）不应将没有防护的工业控制网络与互联网连接。 注：现场控制区中的业务系统，包循实时阅环控制的SCADA系筑、实时动态监测系统：安全自动控制铣及保 护工作站，如阴门控制系统、机组监控系统、系站监控系统、设备监测系统等。过程监控区中的业务系统 包插采集蓝测系统、生产数据采集分析系统等， 6.4.2安全区域边界除符合第三级要求外，还应符合下列要求： 8）现场控制区与过程监控区之间，应来用其有访间控制功能安全可靠的设备实现逻册需离、报文 过滤、访尚控制等功切能；设备功能、性脂、电热乘容性，应经过国家相关部门的认证和测试： b）过程监控区与水利业务网之间，应进行物理隔离，或部署工业控制单向隔离装置进行访问 控制； c）现场控制区、过程监控区的边界，宜建立白名单机制：控制粒度达到工业协议内容级； ）过程监控区与水利业务网边界，可部署网络人侵检测系统，合理设置检测观购：检测规则应 包含工业控制系统专有攻击特征库，检测发现陷藏于流网络边界正常信息流中的入侵行为， 分析潜在威励并进行安全审计； e）设备生产厂商或外部单位，不应远程连接现场控制区中的业务系统及设备：内部远程维护业 务系统应进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。 6.4.3安全迪信网除符合第三级要求外，还应符合下列要求！ &）应采取逐级通信原则，仅允许上下级连接网络进行通信，不应越级通信； b）现杨控制区与上级网络连接，应使用独立的网络链路； c）过程监控区系统与上级集控中心远程通信时，应采用认证、加密、访问控制等技术猎施； d）宜对关键节点、关键业务设备进行设备级标识和认证 e）宜配备不同服务商的备用通信网络服务 6.4.4网络安全设备除符合第三级要求外，还应符合下列要求： 8）应通过安全配置确保现场控制区、过程监控区的核心交换机、汇聚交换机、边界防火墙、单

8）现场控制区与过程监控区之间，应来用具有访间控制功能安全可靠的设备实现逻辑隔离、报文 过滤、访问控制等功能；设备功能、性能、电磁莱容性，应经过家相关部门的认证和测试： b）过程监控区与水利业务网之间，应进行物理隔离，或部署工业控制单向隔离装置进行访问 控制； c）现场控制区、过程监控区的边界，宜建立白名单机制：控制粒度达到工业协议内容级； d）过程监控区与水利业务网边界，可部署网络入侵检测系统，合理设置检测规则：检测规则应 包含工业控制系统专有攻击特征库，检测发现陷藏于流网络边界正常信息流中的入侵行为， 分析潜在威励并进行安全审计； e）设备生产厂商或外部单位，不应远程连接现场控制区中的业务系统及设备：内部远程维护业 务系统应进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。 6.4.3安全通信网络除符合第三级要求外，还应符合下列要求：

8）应来取遂级通原则，仅充许上下级连接网络进行通信，不应越级通信； b）现场控制区与上级网络连接，应使用独立的网络链路； c）过程监控区系统与上级集控中心远程通信时，应采用认证、加密、访问控制等技术措施； d）宜对关键节点、关键业务设备进行设备级标识和认证； ）宜配务不同服务商的备用通信网络眼务

8）应通过安全配置确保现场控制区、过程监控区的核心交换机、汇聚交换机、边界防火墙、单 向隔离装量等网设备，安全设备直总的安全性：

SL/T S032020

b）对叠录网络设备、安全设客的用户，应进行身份监别及权限控制，只允许相关管理、护人 员等登录设备； c）远程登录网络设备、安全设备，应采用HTTPS、SSH等加密方式： d）应限定远程管理网络设备、安全设备的IP地址； e）网络设备、安全设备用户口令，应符合复杂度要求，并定期更换；条件允许时，可对安全设 备的系统管理员、安全管理员、审计员等特权用户实施双因子认证； f）应及时清理网络设备、安全设备上临时用户、多余用户

&）应使用自动化工具，持续对工业控制系统进行安全监视，包据配置管理、系统变更、运行状 态和运行环境安全等 b）过程监控区内应部署工业控制流量审计系统对流置进行审计，应对工业控制协设进行深度包 解析，自动识别工业控制设备的迪信关系，及时发现隐载在正需流量中的异需数据包，实时 监测针对工业协议的网络攻击、用户误探作、用户违规探操作、非法设备接入等异常行为 c）过程监控区内应部署安全日志审计设备，应对操作系统、数据库、业务应用的重要探作进行 记录、分析；远程用户登录本地系统的操作行为，应进行安全审计； d）应包括对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安 全设施运行日志等集中收集、自动分析、安全审计，

6.4.8数据安全除符合第三级要求外，还应符个

8）应识别和建立重要、关键工业控制业务数据清单； b）应确保静态存储的重要工业控制业务数据，不被非法访问、期除、修改：应采用加密存储耳 隔高保护，设置边问控制功能：

，4.9备份与容灾除符合第三级要求外，还应符合下列要求： &）应结合自身业务和数据库实际，对生产监控系统的数据备份采取重要性分级管理，并确保重 要业务数据至少可恢复至1天前： b）关键主机设备、网络设备或关链部件，应配置完余； C）应定期对关键业务的数据进行备份，实现重要数据备份与恢复；备份系统存储容量，应至少 满足12个月存储数据量要求； d）应定期进行备份数据恢复测试，测试应在测试环境中进行，确保实际备份数据的异机可恢复 性，测试过程应做好记录及分析： e）应加强备份文件的自身安全控，各份数据文作不应保存在本机磁盘、个人移动存储等存储 介质上，

6.7云与虚拟化扩展安全

云与虚拟化扩展安全除符合GB/T22239一2019第三级的云计算安全扩展要求外，还应符合下列 要求： 8）应通过云安全管理平台，对物理和虚拟资源进行安全防护、监测、告警和攻击阻断 b）应能检测虚拟机之间的资源隔离失效、非授权探作、恶意代码感染和人侵行为等异常，进行 告和管控

6.7.3关键信息基础设施安全要求

云与虚拟化扩展安全除符合第三级要求外，还应符合下列要求： &）云平台应具备身份认证、访问控制、权限控制等功能； b）应对虚拟机之间、虚拟机与宿主机之间的流量进行监控和访问控制；发现攻击行为，应能告 警井阻断： c）应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意塞改；应采取密码技术或 其他技术手段，防止虚拟机镜像、快照中可能存在敏感资源被非法访问； d）应采用安全措施，实现虚机主机的防护、隔离、补丁修补和安全加周

6.8移动互联扩展安全

移动互联展安全除特合GB/T22239一 ）应对正式运行的移动应用客户端软件，在入网前进行安全评估检测 b）宜监测非法移动应用客户增软件： c）应对移动应用采集的个人相关信息，进行合规管控； d）应采用统一的认证，加密技术，实现对秘动应用的安全保护

e）应采取网络准人技术，对无线接入设备进行管控。

6.8.3关链信息基础设施安全要求

SL/T S032020

移动互联扩展安全应对APP在人网前进行题私保护和漏润安全检测，通过检测后方可人网

6. 9. 1第二级要求

6.9.3关链信息基础设施安全要求

物联网扩安全来集或监控设各宜采用加密技术确保数据传输的保密性和完整性。

安全监测预警能力建设，应根据网络中承效的信点系统获况，接下列要求执行： &）定级系统均为网络安全等级保护第二级及以下的，应采用第二级安全要求，开展安全监测预 警能力建设 b）定级系统最高等级含有网络安全等级保护第三级的，应采用第三级安全要求，开展安全监测 警能力建设； c）存在工业控制系统的，应在8）、b）规定基谢上，落实工业控制系统折展要求： d）存在关键依息基确设施的，应在&）、b）规定基醋上，落实关键信息基础设施扩展要求； e）宜建设网络安全威胁感知预警平台，预警平台宜具备安全依息采集、威胁感知、分析展示等 功能，

QB/T 1520-2013 家用和类似用途电动洗碗机7.21第二级安全要求

7.2.1.2物理环境信点应满足如下要求：

8）应采集机房基础信息，包括物理位置、周边环境、出人口、电力供应、安防措施等信息； b）应采集配线间信息，包括物理位置、消防设施、安防措施等信息； c）应采集机房网络物理链路信总，包括设备连接，线路铺设、配线架部署等信点； d）应实时采集机房人员出入信息，包括出入时间，所属单位、进人原固等信息； e）应实时采您机房环境监控信点，包括电力、消防、温度、湿度等信点

7.2. 1. 3龄产信点应满足如下要求

8）应采集网络设备、安全设备依息，包括设备型号、固件版本、物理位置、设备用途、责任单 位、责任人等； b）应采集服务器信息，包括设备型号、操作系统版本、IP地址/MAC地址、应用部署、应用访 问路径、在用端口、楚用端口、启用服务、中间件版本、数据库版本、安全软件安装情况

SL/T 8032020

物理位置、设备用途、贵任单位、贵任人等； c）应采集存储设备信息，包括设备型号、系统版本、存储容量、物理位置、设备用途、责任单 位、责任人等； d）应采集终端设备信息，包设备型号、探作系统版本、IP地址/MAC地址、安全软件安装情 况、物理位置、设备用途、责任单位、责任人等： e）应采集上位机、PLC等设备信息，包括设备型号、固件版本、物理位置、设备用途、责任单 位、责任人等； 应能对物理资产下客个服务进行管理GB 28402-2012 食品安全国家标准 食品添加剂 普鲁兰多糖，可对中间件、数据库、其他应用服务进行管理，可结 合流量发现资产下的新塑服务； g）可通过SNMP获取、流量发现等手段自动发现未知资产的IP地址/MAC地址、服务等情况 h）可根据SNMP获敢的翻产信点生成网酪拓扑

7.2.1.4运行状态信点应满足如下要求