DB42/T 1876-2022标准规范下载简介
DB42/T 1876-2022 北斗高精度位置服务平台技术要求.pdfICS07.040 CCS A 75
DB42/T 1876202
nnical requirements of Beidou highprecision positionservice platform
湖北省市场监督管理局
大桥工程主墩上部结构挂篮施工方案省市场监督管理局 发
DB42/T18762022
前合 范围 规范性引用文件 术语和定义 缩略语 平台体系架构与功能 5.1基本原则 5.2平台体系架构 5.3平台功能要求 平台性能要求 接口设计原则和要求 7.1接口设计原则 7.2一般要求 7.3安全要求 7.4传输控制要求 7.5接口访问要求 平台可靠性, 8.1稳定性 8.2备份和恢复 平台安全要求 9.1物理层安全要求 9.2网络层安全要求 9.3安全审计要求, 9.4数据安全要求, 9.5终端设备安全要求 9.6Web信息安全要求 10运行和维护管理 10. 1 总体要求 10.2 用户管理, 10.3运行操作管理 10.4 运行维护管理 10.5 系统启用和终止管理 附录A(资料性) 终端访问平台接口协议. A. 1 基本认证方案 A. 2 STR挂载点参数说明
DB42/T 18762022
DB42/T18762022
DB42/T18762022
斗高精度位置服务平台技术要
本文件规定了北斗高精度位置服务平台体系架构与功能、性能要求,接口设计原则和要求、平 性、平台安全要求、运行和维护管理的要求 本文件适用于北斗高精度位置服务平台的部署、运行及功能拓展,
DB42/T 18762022
3.4 鉴别信息authenticationinformation 用以确认身份真实性的信息。 3.5 风险评估riskassessment 通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析, 对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息 系统安全风险的过程。
基本原则如下: a)满足系统标准性建设要求。通信协议符合标准的业内主流规范,满足对浏览器及桌面客户端的 兼容性; 6 满足系统可维护性要求。提供简洁易操作的平台管理界面工具,方便运维人员对平台进行管理 维护; C 满足系统可测试性要求。核心服务接口满足可测试要求,能独立确认服务接口功能及性能指标 达到用户要求; d 满足系统动态可扩展性要求。功能模块的扩展,不影响现有系统的运行及功能
北斗高精度位置服务平台体系架构应包括统一资源层、平台软件层、服务层、应用层。平 构见图1。
DB42/T18762022
图1北斗高精度位置服务平台体系架构
统一资源层,提供统一的硬件资源环境和维护基础设施,承载各类数据资源和业务模块的运行,实 现海量用户访问,高并发、高可用、可方便维护、可快速扩展、开放的集群计算资源管理。 平台软件层,提供平台各模块的基础软件环境,包括平台基础软件和基础软件服务。平台软件包括 关系型数据库、非关系型数据库、Web服务器、消息队列等。基础软件服务包括平台日志,统一接入服 务、认证服务,大容量实时终端位置数据和历史终端位置数据的统一存储,数据共享查询服务等基础服 务。 服务层,对外的终端和应用提供服务。服务层主要包括应用服务、位置服务。位置服务包括北斗高 精度定位服务、地图服务、室内定位服务、导航网格码转换服务、坐标转换服务等;应用服务包括终端 状态查询服务、历史轨迹查询服务、第三方应用系统服务及其他服务。 应用层,基于平台服务开发部署的位置相关应用。 运行管理,提供平台各个层的运维管理,主要包括运行监控、故障恢复、配置管理等。 信息安全,针对平台各层的网络安全、敏感数据访问安全保护、涉密信息分级管理等。 标准规范,平台各层的运维管理规范、安全加密标准、数据标准、协议标准、输入输出接口规范等
北斗高精度位置服务平台应实现海量数据的存储、传输、共享、管理,实时数据解码及分析,数据 下载,并应至少包括下列功能。 a)实现大规模并发用户对平台的操作和应用。 b 提供基于北斗的高精度定位及增值功能。基于北斗地基增强系统,融合伪距差分、载波相位差 分、广域差分、基站定位等多种技术,能够提供全天候、大范围、实时米级至厘米级的定位服 务。 支持实时数据解码以及数据质量分析,对从各个参考站获取到的观测数据进行解码以及数据 相关质量的预处理,并根据时间戳进行各个站点数据的同步
DB42/T 18762022
d 支持多源空间信息融合与服务。基于位置信息数据库、基础地理空间数据库、专题信息数据库 等多源数据实现信息的快速融合与服务, 支持应用服务接口功能。为企业和个人开发者提供接口功能,提供室内定位系统、实时终端位 置信息、专题电子地图、行业应用系统等服务接口。 f)支持数据源可用性配置,可配置数据源的数据可用性比例
平台性能要求如下; a)平台响应时间≤5s; b) 支持7×24h不间断运行; C 基准站接入数量≥200; d 能支持至少100万台终端接入的能力; 具有定位数据高并发处理能力:平均100000条/s; f 支持分布式部署; RTK定位服务精度指标:平面优于0.05m,高程优于0.1m; RTD定位服务精度指标:平面优于1m+1ppmD,高程优于1.5m+1ppmD
接口设计满足以下原则: 标准化。为后期系统与其他系统兼容或进一步扩充,系统建设应满足标准化原则; b 易用性。接口设计应简单,易于理解; 安全性。为保证涉密数据的安全及保密问题,接口的设计应采用专业的信息安全机制; d)可扩展性。接口应能根据业务发展单独进行横向可扩展,而不影响系统的功能及运行:
接口应满足以下一般要求。 a) 接口应实现对外部系统的接入提供企业级的支持,在系统的高并发和大容量的基础上提供安 全可靠的接入。 D 提供有效的系统的可监控机制,使得接口的运行情况可监控,便于及时发现错误及排除故障。 在进行扩容、新业务扩展时,应能提供快速、方便和准确的实现方式,为企业和个人开发者提 供接口功能,提供实时终端位置信息、专题电子地图、行业应用系统等服务接口。
接口安全应满足如下要求: a)为了保证系统的安全运行,各种接口方式都应该保证其接入的安全性; b) 根据接口连接特点与业务特色,制定专门的安全技术实施策略,保证接口的数据传输和数据处 理的安全性; C 系统应在接入点的网络边界实施接口安全控制:
DB42/T 18762022
d)接口的安全控制在逻辑上包括:安全评估、访问控制、入侵检测、口令认证、安全审计、防恶 意代码、加密等内容
系统应采用传输控制手段降低接口网络负担, 提高接口吞吐能力,保证系统的整体处理能力。
终端访问平台接口协议见附录A。
稳定性应满足如下要求: a)持续运行7天未出现导致系统岩机的严重错误; b)系统可用性达到95%,即固定解历元除以实际观测历元大于95%。
物理层安全要求如下。 环境安全要求。机房设计应符合GB/T2887规定的要求。为防止电磁泄漏,系统内部设备采用 屏蔽、抗干扰等技术,当系统遭到危害时,能实施完善的容错和故障修复措施。 设备安全要求如下: 1)计算机服务器应满足GB/T22239中信息系统安全等级保护等级的要求; 2 应符合GB/T31722对于信息安全风险管理的相关要求; 3) 使用虚拟技术,将不同品牌的存储设备进行统一管理,资源进行统一调配、动态扩展;使 用快照、镜像等技术完成存储的本地复制和异地容灾工作。 c)布线安全要求。布线系统除了传输速度有要求外,还要求具有抗干扰性、抗窃听性等。
DB42/T 18762022
a 网络架构设计应统筹考虑涉密信息系统安全等级、网络建设规模、业务安全性需求等,准确划 分安全域; 6 互联网宽带应充分考虑使用人数和使用高峰期的并发要求。应对访问进行控制: 采用较为成熟的网络及系统监控设备及软件,对网络及系统常见操作进行实时检查、监控、报 警和阻断,防止网络攻击行为; d 防火墙应性能良好、方便配置和管理、状态监控手段完备,并符合GB/T20281的要求; 网络层应具备系统资源占用少,易于部署和管理,病毒防护能力强的防病毒软件
9.3.1日志安全审计
9.3.2软件安全审讯
9.3.3平台安全审讯
平台安全审计提供对平台日志的多条件组合查询、检索、报表功能,并通过关联分析和深度挖掘, 分析和洞察平台的使用情况,发现其中的漏洞和风险,减少平台各业务数据泄漏和丢失的机率。平台安 全审计要求如下。 a)平台应独立记录所有访问服务的行为,自动生成的审计报告可以发现服务被访问、使用的情况 b)平台应记录用户使用服务的情况、数据存储的轨迹并提供数据存储分析报告。 平台全面监控服务运行状态,跟踪服务使用情况,发现潜在的服务冲突风险。 d 平台对服务可用性进行实时的监控,当发现可用性异常时可以在第一时间发送安全告警。同时 还记录重要服务的变化过程,当服务出现问题时,服务安全审计可以减少服务损失。 e 平台对被调用的服务提供全面的记录与审计,通过安全审计为司法调查提供便利。 平台应记录自身运行的情况,清晰了解到平台为提供服务长期可用性所做的工作,降低可用性 风险
数据安全要求如下。 基准站观测数据宜在内网传输,如果不可避免的需要传输到外网,应采取加密措施,解算后的 差分数据禁止包含基准站的确切坐标。 通信协议:VPN、SSL。 宜选择相应的加密方式对平台存储的数据进行保护。 d 应通过部署检测等方式对重要业务和管理数据的完整性进行检测,并在检测到完整性错误时 采取必要的恢复措施。 e 应对敏感信息数据进行保护和处理。 应根据业务和管理数据的流量和重要性确定备份周期。 数据恢复应符合GB/T20988规定的要求
DB42/T18762022
终端设备安全要求如下: a)突出防范重点,包括接入网络计算机本身安全及用户操作行为安全; b)强化内部审计,包括网络级审计和对内网里用户审计; c)技术和管理并重,包括安全保密管理、制度建设以及对用户终端系统和操作行为的控制和审计
9.6Web 信息安全要求
Web信息安全要求如下。 a)信息内容保护。 1)系统分析设计时,须充分考虑应用和功能的安全性。对应用系统的不同层面,采取软件技 术安全措施。同时,要考虑不同应用层面和身份认证和代理服务器等交互。 2) 数据加密技术。通过采用一定的加密算法对信息数据进行加密,可提高信息内容的安全保 密性。 3 防病毒技术。对涉密信息系统中关键的服务器,应安装网络版防病毒软件客户端,由防病 毒服务器进行集中管理。 信息内容管理。采用身份认证技术、单点登录以及授权对各种应用的安全性增强配置服务来保 障涉密信息系统在应用层的安全。根据用户身份和现实工作申的角色和职责,确定访问应用资 源的权限。应做到对用户接入网络的控制和对信息资源访问和用户权限进行绑定。
总体要求如下。 a)平台应具备完善的运维管理体系并严格按照体系执行,系统运行维护基本要求应符合GB/T 28827.1的要求;系统运行维护的交付应符合GB/T28827.2的要求;系统运行维护的应急响 应符合GB/T28827.3的要求。 b)应建立健全的数据对接维护机制。
10.2.1用户分类管理
对用户分类管理,应根据不同安全等级满足以下要求。 a)用户分类清单:应按审查和批准的用户分类清单建立用户和分配权限。用户分类清单应包括信 息系统的所有用户的清单,以及各类用户的权限,用户权限发生变化时应及时更改用户清单内 容,必要时可以对有关用户开启审计功能。用户分类清单应包括: 1)系统用户,指系统管理员、数据库管理员、系统运维操作员等管理工作所使用的用户; 2)普通用户,指申请使用本信息系统的客户所使用的用户; 3 临时用户,指系统维护测试和第三方人员测试所使用的用户。 b 系统用户管理:在a)的基础上,应对信息系统的所有系统用户列出清单,说明各个系统用户 的权限,以及系统用户的责任人员和授权记录,定期检查系统用户的实际分配权限是否与系统 用户清单符合,对系统用户开启审计功能
DB42/T 18762022
C 普通用户管理:在a)的基础上,应对信息系统的所有 普通用户列出清单JGJ 334-2014 建筑设备监控系统工程技术规范(完整正版、清晰无水印).pdf,说明各个用户的权 限,以及用户的责任人员和授权记录,定期检查普通用户的实际分配权限是否与用户清单符合 对普通用户开启审计功能。 d 临时用户管理:在a)的基础上,应对关临时用户采取逐一审批和授权的程序,并记录备案, 定期检查这些用户的实际分配权限是否与授权符合,对这些用户开启审计功能。
10.2.2系统用户要求
10.2.3普通用户要求
普通用户,应根据不同安全等级满足以下要求。 a 普通用户一般要求:系统管理方应对普通用户明确说明使用者的责任、义务和风险,并要求提 供合法使用的声明;普通用户应保护口令等身份鉴别信息,普通用户只能是应用层的用户。 特定用户要求:在a)的基础上,可对特定普通用户提供专用通信通道,端口,特定的应用或 数据协议,以及专用设备等。 C 普通用户的限制:在b)的基础上,在关键部位,一般不允许设置普通用户
10. 2. 4临时用户要求
对临时用户,应根据不同安全等级满足以下要求。 a)临时用户的设置与删除:临时用户的设置和期限必须经过审批,使用完毕或到期应及时删除 确因周期性维护需要的,可保留用户,但需处于长期锁定状态,直到下一次维护需要时启用清江路1号普通商品房(一标段)电气施工组织设计, 设置与删除均应记录备案。 临时用户的审计:在a)的基础上,对主要部位的临时用户应进行审计,并在删除前进行风险 评估。 C 临时用户的限制:在b)的基础上,在关键部位,一般不允许设置临时用户,