本标准规定了水利网络安全保护总体要求、安全技术体系框架、安全纵深防御能力建设要求、安全监测预警能力建设要求、安全应急响应能力建设要求、安全运营要求和安全监督检查要求。本标准适用于网络安全等级保护等级为一级、二级和三级的水利网络安全保护对象的网络安全保护。

水利网络安全保护对象：由计算机及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括水利基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IOT)、水利工程控制系统和水利业务应用系统(含采用移动互联技术的系统)等。

水利关键信息基础设施：一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的水利网络安全保护对象。例如：符合水利关键信息基础设施认定规则的大型水利枢纽、输水调水工程等重要基础设施的集中控制系统和水灾害防御、水资源管理等重要业务系统。

水利网络安全保护技术规范

▼

(全文略)

水利网络安全建设应遵循以下基本原则：

a)全面完整原则：在进行网络安全建设时，应遵循本文件规定，结合实际，进行完整的网络安全体系架构设计，全面覆盖所有安全要素;

a)等级保护原则：应按照 GB/T 22240-2020，确定各类水利网络安全保护对象的保护等级;

c)同步要求原则：水利信息化项目在规划建设运行时，应将网络安全保护措施同步规划、同步建设、同步使用;

d)适当调整原则：在进行网络安全建设时，可根据水利网络安全保护对象具体情况和特点，适当调整部分安全要素的建设标准;

e)持续改进原则：应依据本标准和GB/T 22239-2020等国家标准规范要求持续完善网络安全体系。

水利网络安全建设应满足以下一般要求：

a)设备安全要求：应优先选用稳定可靠的服务器、PLC、MCU、终端等计算设备，并根据需要进行计算设备安全评估;

b)软件安全要求：应优先选用稳定可靠的操作系统、PLC系统、组态软件、应用软件等软件，并根据需要进行软件安全评估;

c)接入安全要求：可采用密码技术等保证接入网络的设备安全可信;

d)安全服务要求：应与产品、服务提供者签订安全保密协议，并约定其为产品、服务提供安全维护，在规定或者约定的期限内，不应终止提供安全维护;

e)容灾备份要求：应具备容灾备份措施对重要数据进行备份。

水利关键信息基础设施网络安全建设，应满足以下补充要求：

a)设备安全要求：应对重要设备进行安全审查和评估;

b)软件安全要求：应对重要软件进行安全审查和评估;

c)协议安全要求：应采用具备安全校验机制的通信协议，重要的服务和通信连接应采取加密技术措施;

d)认证检测要求：关键设备和安全专用产品应当按照国家相关标准的强制性要求，采用安全认证或者安全检测合格的产品;

e)计算环境要求：应按不低于第三级网络安全保护对象的安全计算环境要求进行设计实施;

f)容灾备份要求：应具备异地容灾备份措施;

g)安全验收要求：竣工验收前，宜进行网络安全专项验收。

来源：计算机与网络安全