Q/CR 545-2016 标准规范下载简介
Q/CR 545-2016 铁路计算机终端安全防护系统技术规范.pdfICS 03.220.01
ICS03.220.01 S.07
路计算机终端安全防护系统技术规范
T/CCMA 0079-2019 土方机械 排气烟度 装载机测量方法.pdf范 围 规范性引用文件 术语和定义 系统组成 技术要求 5.1 安全基本要求 5.2 互联网终端安全防护功能要求 5.3 办公业务终端安全防护功能要求 5.4 生产业务终端安全防护功能要求 5.5 终端安防系统安装要求 5.6 终端安防系统管理功能要求 5.7 终端安防系统性能要求 5.8 终端安防系统可
范 围 规范性引用文件 术语和定义 系统组成 技术要求 5.1 安全基本要求 5.2 互联网终端安全防护功能要求 5.3 办公业务终端安全防护功能要求 5.4 生产业务终端安全防护功能要求 5.5 终端安防系统安装要求 5.6 终端安防系统管理功能要求 5.7 终端安防系统性能要求 5.8 终端安防系统可
本标准按照GB/T1.1一2009给出的规则起草。 本标准由中国铁道科学研究院电子计算技术研究所归口。 本标准起草单位:中国铁路信息技术中心。 本标准主要起草人:田绵石、李杰、谭剑、刘刚、王亚民、王昕、高荣、魏晓燕、向晟 本标准版权归中国铁路总公司所有,任何单位和个人未经许可不得复制及转让。
安装在铁路计算机终端中的,接受集中管理软件统一管理,执行安全策略,上报安全状态及日志的 程序。
针对安全需求不同的铁路计算机终端,制定的具有共性的基本安全配置要
铁路计算机终端安全防护系统(以下简称“终端安防系统”)应支持分级管理,应包括集中管理软 件、终端代理软件和其他实现终端安全控制需要的软硬件模块。集中管理软件部署在指定的管理服务 器中,终端代理软件部署在被管控的铁路计算机终端中,其他软硬件模块根据不同的安全控制功能按 需部署。 终端安防系统应根据铁路计算机终端安全需求的不同,分级制定安全防护策略。所有铁路计算机 终端安全防护要求均应遵守5.1的要求,在此基础上,还应遵循各自的增强要求。 铁路计算机终端分为互联网终端、办公业务终端、生产业务终端。各类终端安全防护系统功能见
图1铁路计算机终端安全防护系统功能
互联网终端安全防护功能应包含接入控制、病毒防护、补丁管理、资产管理、安全审计、运行管控、 行为管控、身份认证等; 办公业务终端安全防护功能应包含接人控制、病毒防护、补丁管理、资产管理、安全审计、运行管 控、行为管控、身份认证、外联隔离、数据安全存储、移动介质管理等; 生产业务终端安全防护功能应包含接入控制、病毒防护、补丁管理、资产管理、安全审计、运行管 控、行为管控、身份认证、外联隔离、数据安全存储、移动介质管理、外设控制、文件流人控制、文件流出 控制等。
接人控制满足下列要求: a)终端安防系统应能限制未安装终端代理程序的铁路计算机终端网络接入; 应提供对铁路计算机终端运行环境的安全检查功能,至少包括防病毒软件检查(是否安装、是 否运行、版本信息等)、重要操作系统补丁安装情况检查等
c)应能发现不符合安全检查要求的铁路计算机终端接入网络,并能隔离、告警并记录日志; d)应支持对隔离铁路计算机终端的恢复接人功能。
5. 1. 2病毒防护
铁路计算机终端安装防病毒软件,管理员通过集中管理方式对铁路计算机终端的防病毒策略 进行配置和管控; 防病毒软件应支持离线升级、自动升级两种方式升级软件版本及病毒库; C 防病毒软件应具备病毒实时监控防御功能; d 集中管理软件应能通过下发方式自动升级铁路计算机终端防病毒软件版本及病毒库; 集中管理软件应能统计全网防病毒软件安装和运行状态,并生成报表; ? f 终端代理软件应能验证病毒库来源的真实性。
补丁管理满足下列要求: a) 集中管理软件应提供对Windows操作系统及其他主流操作系统、常用软件的补丁维护及派发 功能; b) 集中管理软件应对补丁库的更新进行有效性验证: c) 集中管理软件应统计铁路信息网内铁路计算机终端的补丁下载和安装情况,支持可视化展现 以及导出; d 集中管理软件应提供多种补丁安装方式,包括自动安装、手动安装等; e 终端代理软件应自动检测铁路计算机终端的补丁安装情况,针对未安装补丁的铁路计算机终 端,能提供补丁自动下载并安装; 终端代理软件应提供用户端人机交互界面
补丁管理满足下列要求: 集中管理软件应提供对Windows操作系统及其他主流操作系统、常用软件的补丁维护及派发 功能; 集中管理软件应对补丁库的更新进行有效性验证: c 集中管理软件应统计铁路信息网内铁路计算机终端的补丁下载和安装情况,支持可视化展现 以及导出; d 集中管理软件应提供多种补丁安装方式,包括自动安装、手动安装等; e) 终端代理软件应自动检测铁路计算机终端的补丁安装情况,针对未安装补丁的铁路计算机终 端DB11/T 852-2019 有限空间作业安全技术规范,能提供补丁自动下载并安装;
资产管理满足下列要求: ) 集中管理软件应对铁路计算机终端软件及硬件资产信息的变更进行自动更新、审计和提示; b) 集中管理软件应提供完善的资产报表及查询、统计功能: 集中管理软件收集的铁路计算机终端资产信息应包括以下信息:CPU信息、硬盘信息、BIOS 信息、网卡信息、内存信息、显卡信息、主板信息、操作系统信息、应用软件信息等; 终端代理软件应对铁路计算机终端软硬件资产信息进行自动收集并上传。
g 终端代理软件应提供铁路计算机终端系统服务监控功能,审计日志应包括服务名称、服务描 述、计算机名、IP地址、用户、服务启动和关闭时间等; 终端代理软件应提供铁路计算机终端打印输出行为和结果审计功能,审计日志应包括文件 名、打印时间、打印页数及份数、打印机名称、计算机名、IP地址、用户、打印是否成功等; i 终端代理软件应提供铁路计算机终端上移动存储介质使用行为审计功能,审计日志应包括移 动存储介质标识、被访问文件、访问方式、访问结果、访问时间、访问铁路计算机终端主机名、IP 地址、用户名称等; j 终端代理软件应提供铁路计算机终端光盘刻录行为和结果审计功能,审计日志应包括刻录机 型号、光盘属性、刻录文件名、所在路径、计算机名、IP地址、用户、刻录状态等; 终端代理软件应提供获取铁路计算机终端文件(夹)共享信息功能,审计日志应包括共享计算 机名、IP地址、用户、共享名称、共享路径、共享模式等; 终端代理软件应提供铁路计算机终端多操作系统检测功能,审计日志应包括所有操作系统 信息;
5. 1. 6 运行管控
5. 1.7 行为管控
行为管控满足下列要求: a 应提供铁路计算机终端注册表操作行为控制功能,包括创建、修改、删除特定的注册表项及 键值; b) 应提供铁路计算机终端文件操作行为控制功能,包括目录及文件的读取、修改、删除、移动、重 命名等; 应提供铁路计算机终端网络访问行为控制功能,可按照IP地址、端口号、服务类型、协议类型 等进行访问控制; d) 应提供铁路计算机终端程序运行行为控制功能,采用黑名单或白名单的方式对用户的程序运 行行为进行控制。
T/CBDA 13-2018 轨道交通车站装饰装修施工技术规程5.3办公业务终端安全防护