污水处理厂开展网络安全等级保护测评工作指南

1 适用范围与依据

本指南适用于全国范围内各类污水处理厂（含城市污水处理厂、工业废水处理厂及相关泵站设施）依据《网络安全法》《关键信息基础设施安全保护条例》及网络安全等级保护制度（以下简称“等保2.0”）开展网络安全等级保护测评工作。主要依据标准包括：

• GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
• GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
• 2025年修订的《网络安全等级保护实施指南》（新增供应链安全、数据分类分级要求）
• 行业补充规范：《城镇水务系统网络安全等级保护实施指南》

2 定级与备案要求

污水处理厂运营单位应按照下列流程开展定级工作：

​系统识别与定级​：核心生产控制系统（如SCADA系统、PLC控制单元）、水质监测系统、企业管理系统（ERP）、门户网站等均应纳入定级范围。根据《网络安全等级保护定级指南》，涉及城市运行、环境保护的关键系统原则上应定为三级以上​（若瘫痪可能造成严重环境事故或大规模社会影响），辅助管理系统可定为二级。

​专家评审与备案​：组织专家评审会确定最终等级，在公安机关办理备案手续（需提交系统拓扑图、安全管理制度、网络架构说明等材料）。2025年新规要求关键信息基础设施运营者需同步向行业主管部门（住建部、生态环境部）报备。

3 安全建设与整改要点

依据三级等保要求（以核心生产控制系统为例），需重点落实以下措施：

​物理与环境安全​：中心机房部署门禁系统、视频监控、防盗报警装置；工业控制区域实行物理隔离，限制未经授权人员访问。

​网络与通信安全​：在生产控制网络与管理网络间部署工业防火墙，采用VLAN或网闸实现逻辑隔离；通信传输采用加密协议（如IPSec VPN）；无线网络启用WPA3加密认证。

​设备与计算安全​：服务器安装白名单软件或专用工控安全防护软件；定期更新操作系统补丁（需经过测试验证）；禁用冗余账户和默认口令。

​应用与数据安全​：对水质数据、工艺参数、控制指令实施完整性校验；建立操作日志审计系统（保留日志不少于6个月）；2025年新规新增要求：重要工艺数据需进行本地加密备份，且备份周期不超过24小时。

​管理制度与机构​：设立网络安全专职岗位，制定《安全应急预案》《数据安全管理办法》等制度；每年开展不少于1次全员网络安全培训。

​供应链安全​（2025年新增要求）：对采购的工控设备、软件系统开展安全检测，要求供应商提供安全承诺书；优先选用符合《网络关键设备安全通用要求》的产品。

4 等级测评实施流程

​测评机构选择​：聘请具有等保测评资质的第三方机构【我司dengbaoceping.org具备相关资质，可电话咨询】。

​现场测评内容​：

• 技术测评：包括漏洞扫描、渗透测试、安全配置核查、数据完整性验证等。
• 管理测评：检查安全管理制度执行记录、应急预案演练情况、人员培训档案等。​问题整改与复核​：对测评中发现的中高风险项（如未部署防火墙、日志留存不足等）需在30日内完成整改，并由测评机构进行复核。​报告出具​：测评通过后获取《网络安全等级保护测评报告》。

5 持续改进要求

• 每年至少开展1次网络安全应急演练（模拟网络攻击导致系统停运等场景）。
• 每季度进行1次安全风险评估，重点关注新接入设备、系统升级后的安全隐患。
• 2025年新规强调：三级系统需每半年提交1次网络安全态势报告至公安机关和行业主管部门。

6 特别注意事项

• 采用云平台的污水处理厂需明确云服务商的安全责任边界（要求云平台通过等保三级测评）。
• 涉及跨境数据传输的（如外资运营厂）需遵守《数据出境安全评估办法》完成审批。
• 老旧系统改造应遵循“安全可控”原则，优先采用国产化软硬件产品。