标准规范下载简介
Q/CR 854-2021 铁路网络安全扩展要求 铁路云平台安全防护.pdfICS 03.220.30
中国国家铁路集团有限公司企业标
中国国家铁路集团有限公司发布
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国铁道科学研究院电子计算技术研究所归口。 本文件起草单位:中国铁路信息科技集团有限公司、中国铁路上海局集团有限公司、中国铁路广州 局集团有限公司、中国铁道科学研究院集团有限公司电子计算机技术研究所。 本文件主要起草人:高明星、王昆、孔繁鹏、季宏志、纪方、董鹏、杨靖凡、齐胜。 本文件版权归中国国家铁路集团有限公司所有,任何单位及个人未经许可不得复制及转让【精品】砼技术交底,
文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 文件由中国铁道科学研究院电子计算技术研究所归口。 文件起草单位:中国铁路信息科技集团有限公司、中国铁路上海局集团有限公司、中国铁路广州 有限公司、中国铁道科学研究院集团有限公司电子计算机技术研究所。 文件主要起草人:高明星、王昆、孔繁鹏、季宏志、纪方、董鹏、杨靖凡、齐胜。 文件版权归中国国家铁路集团有限公司所有,任何单位及个人未经许可不得复制及转让,
文件的云平台安全防护模型架构基于GB/个22239一2019和Q/CR772一2020设计,并针对铁路 的特点对Q/CR772一2020进行补充和完善。 本文件中,8.2.1、8.2.2、8.3.2、8.3.3、8.3.4、8.4.1、8.4.3、8.4.5、8.4.6、8.4.7、8.5.1、8.5.2 8.5.4、8.6.1、8.6.2、8.6.4、9.2.1、9.2.2、9.3.2涉及较高等级中增加或增强的要求。
铁路网络安全扩展要求铁路云平台安全防护
铁路网络安全扩展要求铁路云平台安全防护
本文件规定了铁路云平台安全防护架构及基本要求以及铁路信息网络安全等级保护第一级到第 四级云平台安全防护要求。 本文件适用于铁路信息网络中云平台等级保护对象安全建设实施、运行维护和管理。
云平台安全防护架构及基本要求
铁路信息网络中云平台等级保护对象安全建设实施、运行维护和管理应符合GB/T22239一2019 和Q/CR772一2020的规定以及本文件中对应安全防护等级的要求。 本文件整体安全保防护按照安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全云 管平台和安全运维管理进行划分,安全防护架构见图1。
本文件对应GB/T22239一2019将云平台分为第一级云平台、第二级云平台、第三级云平台、第四 级云平台。其中第一级云平台为最高承载等级保护一级应用的云平台;第二级云平台为最高承载等级 保护二级及以下等级应用的云平台;第三级云平台为最高承载等级保护三级及以下等级应用的云平 台;第四级云平台为最高承载等级保护四级及以下等级应用的云平台。云平台不承载高于其安全保护 等级的业务应用系统。各级云平台应符合Q/CR772一2020对应等级的规定,并符合本文件第6章至 第9章的规定。 铁路综合信息网外部服务网和内部服务网的云平台应分别部署。部署于外部服务网的云平台、部 署于内部服务网的云平台和部署于安全生产网的云平台之间的网间隔离应符合Q/CR656一2018的规 定。各铁路专用信息网的云平台应单独建设。且网间隔离应符合Q/CR656一2018的规定。 铁路云平台所使用的设备配置应符合Q/CR655一2018的规定。
本项要求包括: 1 铁路云平台所使用的基础设施应位于中国境内; b) 铁路网络业务所使用的云平台基础设施应位于中国境内。
铁路云平台所使用的基础设施应位于中国境内; b) 铁路网络业务所使用的云平台基础设施应位于中国境内
本项要求包括: a)应实现云平台不同云服务用户之间的隔离; b)应使云平台具有根据云服务用户业务需求提供通信传输、边界防护、人侵防范等安全机制的 能力; C) 云平台网络中关键设备及通信链路应采用余架构,网络带宽应符合云服务用户业务峰值 需求; d) 云平台不应承载比自身等级保护级别高的应用。
本项要求包括: 1) 应为云平台所承载的不同业务配置不同的网络区域,应在云平台网络边界和区域
向控制策略,并在默认情况下除充许通信受控接口外拒绝所有通信: D) )应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; C) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应在云平台网络边界和区域之间部署边界防护设备,使云平台能根据会话状态信息为进出数 据流提供明确的允许/拒绝访问的能力; e)应在云平台网络边界部署访问控制机制,并设置访问控制规则
本项要求包括: a)应在云平台边界部署人侵防范设备,使云平台能检测到外部发起的网络攻击行为,并能记录 攻击类型、攻击时间、攻击流量等; b) 2 应在云平台网络边界和区域之间部署入侵防范设备,使云平台能检测到云服务用户发起的网 络攻击行为,并能记录攻击类型、攻击时间、攻击流量等
络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。 .4恶意代码防范 云平台应能够在关键节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和 新。 安全计算环境 4.1身份鉴别 本项要求包括: a)当远程管理云平台中的物理设备或虚拟机时,宜关闭明文远程登录协议,使用安全外壳协议 (SSH)等加密方式实现远程登录; b)宜使用铁路统一用户认证管理系统和铁路电子认证服务平台实现远程登录身份认证和授权 功能; c)宜通过部署于运维服务区的运维安全审计系统实现对云平台的远程管理。
7.3.4恶意代码防范
本项要求包括: a)兰 当远程管理云平台中的物理设备或虚拟机时,宜关闭明文远程登录协议,使用安全外壳协议 (SSH)等加密方式实现远程登录; b)宜使用铁路统一用户认证管理系统和铁路电子认证服务平台实现远程登录身份认证和授权 功能; c)宜通过部署于运维服务区的运维安全审计系统实现对云平台的远程管理。
本项要求包括: ) 应保证当虚拟机迁移时,访问控制策略随其迁移; b) 应允许云服务用户设置不同虚拟机之间的访问控制策略
本项要求包括: a)应在虚拟机上部署恶意代码防护软件以防范病毒、木马(含跳板程序、矿机程序)、蠕虫(含勒 索软件)、间谋软件等已知安全威胁和未知恶意代码、高级可持续威胁攻击(APT)等安全 威胁; b) 应定期对病毒库等知识库进行升级和更新; c)宜使用国铁集团统一部署的云安全系统恶意软件防护模块防范恶意代码。
7.4.4镜像和快照保护
a) 补丁时应及时更新操作系统镜像; 应提供虚拟机镜像 1快照完整性校验 镜家做普息基收
本项要求包括: a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定; b)应确保只有在云服务用户授权下,云平台管理员才具有云服务用户数据的访问权限。可设置 云平台安全管理员对云服务用户及数据进行管理; 应采用符合国家要求的密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整 性受到破坏时采取必要的恢复措施。
7.4.6数据备份恢复
本项要求包括: 云服务用户应在本地保存其业务数据的备份,并定期进行更新 应为云服务用户提供查询其数据及备份存储位置的能力
7.4.7剩余信息保护
本项要求包括: a)应对云平台管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作 并对这些操作进行审计; b)应通过云平台管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配 置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等; c)月 应关闭云管理平台所有不使用的管理接口,仅允许云平台管理员访问并管理云平台; d)云平台管理员账号应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小 写字母和特殊符号4类中至少3类。账号口令宜周期性更改并加密保存,宜采用两种不同认 证方式组合进行双因子认证
邮政营业综合楼空调系统安装工程施工组织设计本项要求包括: a) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配; b) 云管理平台应对云平台的安全策略进行统一下发和管理
7.5.4云服务用户管理
本项要求包括: a)应选择安全合规的云服务商,其所提供的云平台应为其所承载的业务应用系统提供相应等级 的安全保护能力; b)提供云服务时,应在服务水平协议中规定云服务的各项服务内容和具体技术指标; ) 提供云服务时,应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分 访问授权、隐私保护、行为准则、违约责任等; d) 提供云服务时,应在服务协议中规定服务合约到期时间,并在合约到期后向云服务用户提供 完整数据,并将相关数据在云平台上清除; e)云服务用户应按照安全要求设置账号口令,口令长度不应少于8个字符,应包括数字、大写字 母、小写字母和特殊符号4类中至少3类;账号口令宜加密保存。
应对云平台的各种设备(包括备份和冗余设备)、线路等硬件资产开展日常运维,实时进行在线监 控,定时开展备份配置、定期完成健康检查。
7.6.2漏洞和风险管理
应采取必要的措施识别安全漏洞和隐患地面砼垫层技术交底,对云平台发现的安全漏洞和隐患及时进行修补或评估可 能的影响后进行修补
7.6.3恶意代码防范管理