标准规范下载简介
Q/CR 855-2021 铁路综合信息网内部服务网外部服务网数据安全交换技术要求.pdfICS 03.220.30
中国国家铁路集团有限公司企业标
2020.12《江苏省超低能耗居住建筑技术导则》.pdf铁路综合信息网内部服务网外部服务网
中国国家铁路集团有限公司发布
前言 范围. 规范性引用文件 术语和定义 缩略语… 5技术框架… 5.1技术架构 5.2功能结构 6功能要求… 6.1认证授权 6.2数据抽取与装载 6.3格式检查 6.4内容过滤 6.5安全审计 6.6安全监控 6.7安全隔离 安全要求… 7.1通用要求 7.2Web安全防护 7.3安全运维 性能要求. 可靠性和兼容性要求 9.1可靠性要求 9.2兼容性要求 附录A(规范性)应用场景及流程 参考文献
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国铁道科学研究院集团有限公司电子计算技术研究所归口。 本文件起草单位:中国铁路信息科技集团有限公司、中铁信安(北京)信息安全技术有限公司、中国 铁路沈阳局集团有限公司信息技术所。 本文件主要起草人:纪方、李继勇、刘刚、*昆、孙金波、季宏志、*冰、**、吴慧文。 本文件版权归中国国家铁路集团有限公司所有,任何单位和个人未经许可不得复制及转让,
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规贝 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国铁道科学研究院集团有限公司电子计算技术研究所归口。 本文件起草单位:中国铁路信息科技集团有限公司、中铁信安(北京)信息安全技术有限公司 铁路沈阳局集团有限公司信息技术所。 本文件主要起草人:纪方、李继勇、刘刚、*昆、孙金波、季宏志、*冰、**、吴慧文。 本文件版权归中国国家铁路集团有限公司所有,任何单位和个人未经许可不得复制及转让
铁路综合信息网内部服务网外部服务网数据安全交换技术要求
数据库数据databasedata 存储在关系型数据库中的数据 注:属于结构化数据
文件数据filedata 存储在长期储存设备上的数据。 注:存储在磁盘、光盘、磁带等设备上,包括办公文档、文本文档、视频文件、图片文件、图纸文件等,属于非结构化 数据。 3.6 流媒体数据 streammediadata 采用流式传输的方式在网络中播放的媒体格式数据。 注:媒体格式包括音频、视频等。 3.7 数据交换对象dataexchangeobject 数据库数据、文件数据、Web应用数据及流媒体数据等可交换的数据对象
文件数据filedata
数据安全交换服务实现文件数据、数据库数据、Web应用数据和流媒体数据在铁路综合信息网内 部服务网与外部服务网之间的安全交换。 数据安全交换服务技术架构应符合图1的规定。 注:Web应用数据指通过HTTP、HTTPS、WebService等交换的数据
图1 数据安全交换服务技术架构示意图
数据安全交换服务由外部数据交换服务、隔离交换服务和内部数据交换服务三部分组成。 外部数据交换服务与外部服务网数据交换对象对接,实现认证授权、数据抽取与装载、格式检查 内容过滤、安全审计、安全监控等功能。 隔离交换服务在内部服务网与外部服务网之间建立双向传输链路,通过协议转换,以信息摆渡的 方式实现双向数据传输,适用于文件数据、数据库数据、Web应用数据和流媒体数据双向交换。 内部数据交换服务与内部服务网数据交换对象对接,实现认证授权、数据抽取与装载、格式检查 内容过滤、安全审计、安全监控等功能。 铁路电子认证服务平台为数据安全交换服务发放和管理数字证书。铁路统一用户认证管理系统 为数据安金交换服务提供第三方认证授权功能
隔离交换服务在内部服务网与外部服务网之间建立双向传输链路,通过协议转换,以信息摆渡的 式实现双向数据传输,适用于文件数据、数据库数据、Web应用数据和流媒体数据双向交换。 内部数据交换服务与内部服务网数据交换对象对接,实现认证授权、数据抽取与装载、格式检查 容过滤、安全审计、安全监控等功能。 铁路电子认证服务平台为数据安全交换服务发放和管理数字证书。铁路统一用户认证管理系统 数据安全交换服务提供第三方认证、授权功能。 2 功能结构 2.1数据安全交换服务功能应符合图2的规定,支持四种数据类型,分别为文件数据、数据库数据 eb应用数据和流媒体数据。应用场景及流程应符合附录A的规定。 2.2内、外部数据交换服务应包括以下功能: a)认证授权功能:应基于用户名/口令、数字证书、动态口令、IP/MAC绑定等技术对用户以及应 用程序进行认证授权; b)数据抽取与装载功能:数据抽取功能应从源端网络将待交换的文件数据、数据库数据、Web应 用数据、流媒体数据等数据交换对象抽取到内、外部数据交换服务;数据装载功能应从内、外 部数据交换服务将文件数据、数据库数据、Web应用数据、流媒体数据等数据交换对象装载到 目的端网络; c)格式检查功能:应对交换对象的格式根据事先定义的规则进行关于范围、长度、类型等检查; d)内容过滤功能:应对数据交换对象的内容和数据进行病毒过滤、木马查杀等; e)安全审计功能:应提供数据交换行为审计、管理员配置管理审计等功能; f)安全监控功能:应对数据交换的运行状态进行实时监控、对交换业务进行统计分析、对安全事 件实时报警等
2 数据安全交换服务功能结构示意图
a)协议剥离功能:应实现传输数据的应用协议级剥离,还原原始数据; b)隔离摆渡功能:应通过隔离部件实现原始数据的无协议交换; c)电子开关切换功能:应采用一组互斥的分时切换电子开关实现内部物理信道的通断控制,以 分时切换连接方式完成内、外部服务网的信息摆渡; d)协议重组功能:应实现原始数据的协议重新封装。 1 5.2.4数据安全交换服务应通过调用铁路电子认证服务平台、铁路统一用户认证管理系统的接口,实 现证书校验、身份认证和授权功能。
现证书校验、身份认证和授权功能
认证授权功能应符合以下规定: 1) 2 应支持采用铁路统一用户认证管理系统的认证接口、用户管理接口,实现身份认证和授权 功能; b) 应支持对访问流媒体和Web应用系统的用户进行身份认证,支持用户名/口令、数字证书、动 态口令、双因素或多因素认证等多种认证方式; c)应支持采用铁路电子认证服务平台的证书校验接口,实现证书有效性和真实性校验; d)文件数据交换、数据库数据交换时,应支持对进行数据交换的设备进行身份认证,支持IP/ MAC认证、数字证书认证等多种认证方式; e)应支持对Web应用资源进行访问授权控制。
.2.1文件数据抽取与
文件数据抽取与装载功能应符合以下规定: a)应支持主流文件传输协议的数据抽取与装载,包括但不限于FTP、FTPS、SCP、SMB SFTPNFS; b)应支持主流文件类型,包括但不限于办公文件、文本文件、流媒体文件、图像文件; c)应支持主流操作系统,包括但不限于Windows、Linux、国产操作系统; d)应支持异构文件系统之间的数据交换; e)应支持复制、移动及备份等文件数据交换方式: f)应支持实时、定时的文件数据交换; g)应支持文件交换的断点续传; ? h)应具备数据传输完整性和一致性检查机制,包括但不限于CRC校验、哈希校验。 2.2数据库数据抽取与装载 数据库数据抽取与装载功能应符合以下规定: a)应支持主流数据库系统的数据抽取与装载,包括但不限于MySQL、Oracle、SQLServer、DB2 Sybase、国产数据库系统; b)应支持主流操作系统,包括但不限于Windows、Linux、国产操作系统; c)应支持异构数据库之间的数据交换; d)应支持全量数据和增量数据的交换; e)应支持基于字段值、行、列等条件的数据交换; f)应支持实时、定时的数据交换:
Web应用数据抽取与装载
Web应用数据抽取与装载功能应符合以下规定: ) 应支持HTTP/HTTPS协议的数据抽取与装载; b) 应支持WebService(含SOAP及Restful方式)协议数据抽取与装载
6.2.4流媒体数据抽取与装载
格式检查功能应符合以下规定: a)应支持对文件类型、长度等进行格式检查;
b)应支持对数据库字段类型、长度等进行格式检查; ) 1 应支持主流Web协议的识别和检查; 1 2 应支持主流Web协议数据返回类型格式检查; e) 应支持对流媒体信令命令的检查过滤功能,包括标准流媒体协议命令及扩展的控制操作命 令、回放控制命令、设备控制命令、设备查询命令等; f)应支持流媒体编码格式的检查过滤功能。
内容过滤功能应符合以下规定: 应支持对办公文件等内容进行关键字过滤; ? 应支持对文件数据进行病毒过滤,木马查杀; ) 应支持对数据库字段内容进行关键字过滤; d) 应支持对数据库字段数据进行病毒过滤,木马查杀; e) 应支持URL长度及关键字过滤; f) 应支持Web协议内容还原安全检查; g) 应支持Web协议还原病毒过滤,木马查杀; h)应支持SOAP函数名过滤,支持函数参数检查。
采用隔离交换服务作为连接通道,通过协议剥离、数据摆渡和协议还原,以原始数据摆渡的方式实 现数据的双向交换。安全隔离服务应符合以下规定: a)应采用硬件专用隔离部件建立内外部服务网间的可信物理通道; b)应支持应用协议的剥离及还原重组; c)应支持基于非网络协议的数据协议隔离; d)应采用互斥的分时切换电子开关实现内部物理信道的通断控制。
大楼10KV变配电工程施工组织设计数据安全交换服务的网络安全等级保护应符合铁路综合信息网局域网基础设施的网络安全 保护相关规定
Web安全防护应符合以下规定: a)应支持对SQL注人、XSS跨站、Webshell上传、常见Web服务器漏洞攻击、核心文件非授权访 问、路径穿越、恶意扫描等攻击防护; b)应支持对SYNFLOOD、IP欺骗性攻击、UDP洪水攻击等拒绝服务攻击防护; c)应支持对协议内容还原,病毒过滤,木马查杀; d)应支持HTTP协议双向检测,支持标准协议命令及数据返回类型过滤,支持对请求内容及响 应内容安全检查。
对数据安全交换服务的安全运维应符合以下规定: a)应支持对登录数据安全交换服务的管理员IP地址进行限制; b)应支持通过集中登录与审计系统对数据安全交换服务进行远程运维; e)应支持对登录数据安全交换服务的管理员进行身份鉴别,且应符合Q/CR655一2018的 d)应根据分权管理原则.对管理员权限进行管理。
数据安全交换服务性能应符合以下规定: a)文件数据交换:文件数据交换个数(10kB文件)不小于300个/s;文件数据交换吞吐量不小于 300Mbit/s; b)数据库数据交换:数据库数据交换传输吞吐量不小于200Mbit/s;数据库到数据库传输记录数 不小于1000条/s; c)Web应用数据交换:最大传输延时不大于200ms;最大并发请求数不小于2000;吞吐量不小 于400Mbit/s; 2 d 流媒体数据交换:最大传输延时不大于20ms;视频传输能力不低于200路并发(每路D1画 质,2Mbit/s);适用码流从20kbit/s到8Mbit/s;数据包丢失率不大于0.8%
数据安全交换服务性能应符合以下规定: a)文件数据交换:文件数据交换个数(10kB文件)不小于300个/s;文件数据交换吞吐量不小于 300Mbit/s;; b)数据库数据交换:数据库数据交换传输吞吐量不小于200Mbit/s;数据库到数据库传输记录数 不小于1000条/s; c)Web应用数据交换:最大传输延时不大于200ms;最大并发请求数不小于2000;吞吐量不小 于400Mbit/s; d 2 流媒体数据交换:最大传输延时不大于20ms;视频传输能力不低于200路并发(每路D1画 质,2Mbit/s);适用码流从20kbit/s到8Mbit/s;数据包丢失率不大于0.8%
数据安全交换服务可靠性应符合以下规定: 应支持热备部署,服务故障时自动切换至备机; b)应支持集群部署,支持横向扩展。
数据安全交换服务兼容性应符合以下规定: 1) 应支持IPv6网络环境,应支持IPv4/IPv6双栈网络环境; b) 外部数据交换服务和内部数据交换服务应支持云环境部署,
外部服务网应用系统向内部服务网应用系统进行文件数据交换应符合图A.1的规定,流程如下: a)外部服务网应用系统将文件上传到文件服务器; b)认证授权:外部数据交换服务对外部服务网的文件服务器进行认证授权; c)数据抽取:外部数据交换服务从文件服务器下载文件; d)格式检查和内容过滤:外部数据交换服务对文件进行格式检查和内容过滤,并发送给隔离交 换服务; e)隔离交换:隔离交换服务通过隔离技术摆渡数据,并将数据发送给内部数据交换服务; f)认证授权:内部数据交换服务对内部服务网的文件服务器进行认证授权; g)数据装载:内部交换服务将接收到的数据进行数据解析并上传到内部服务网文件服务器; h)内部服务网应用系统从文件服务器下载文件进行处理。
商业娱乐中心独立基础开挖施工方案图A.1 外部服务网到内部服务网文件数据交换流程示意图