标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
Q/CR 783.2-2020 铁路通信网络安全技术要求 第2部分:承载网.pdf5.3.1.1网络拓扑
网络拓扑应符合以下要求: 数据网骨干网包括核心节点、汇聚节点、接入节点,节点间宜采用网状连接;数据网区域网包 括核心节点、汇聚节点、接入节点; b) 数据网骨干网络及国铁集团区域网络应设置1个自治域系统,各铁路局集团公司区域网络应 分别独立设置自治域系统:
5.3.1.2网络保护与恢复
网络保护与恢复应符合以下要求: a)骨干网络各节点及区域网络核心节点、汇聚节点等重要节点应采用设备热备份的保护措施; b) 11 节点间宜由具有保护能力的传输网络提供,也可采用光纤直连;当有2条直连链路时,应采用 不同物理路由的链路; c)数据网应根据业务或应用的需求采用链路聚合、转发检测、保护倒换、重路由等安全保护 措施; d) 应根据需求采用业务负荷分担、网络异常流量监控等安全保护措施; e)骨干网络、区域网络的网管系统应采用热备份; f 1 灾难恢复应根据业务优先级及QoS设置方案,按优先级高低顺序依次恢复业务网络的通信
DB/T 70-2018 地震观测异常现场核实报告编写 地下流体5.3.1.3网络管理
5.3.1.4网络安全防范
网络安全防范应符合以下要求: a)对管理和维护用户应启用登录失败保护和处理措施; b)采用有效的QoS和流量管理策略,保证管理和控制信息具有较高的优先级,对IPv4协议下的 网内广播、IPv6协议下的泛播以及两种协议下的组播类数据流量进行必要的限制和管理; c)网络设备的软件应具备实时操作、信息处理、更新升级、差错防护和故障定位等功能; d)限制和禁用可能造成漏洞的服务和端口,在系统边界启用必要的防攻击、防人侵措施,系统相 关软件应及时安装补丁,定期检查更新; e)在控制平面,网络和设备应根据实际情况对相关控制信息进行有效合理的加密、认证和过 滤;对于目的地址为设备本身的数据包,应具有有效的攻击识别和防范能力;对于异常数据流 量具有识别和处理能力; f)各类设备及系统应启用完整的安全日志功能,并实现日志的管理和安全审计,安全日志及审 计记录应通过安全机制在本地或外部设备上进行记录、输出、存储,日志记录保存时间不少于 180d、审计记录保存时间不少于180d。
网络监测应付合以下安求: a)根据不同的业务类型对业务流量分别进行上行和下行的流量监测,对不同流向的业务流量分 别进行监测;包括平均及峰值流量监测; b)支持基于NetStream(V5及以上)/Netflow(V5及以上)/sflow(V4及以上)采集格式,采样率不 低于1/1000;支持对域内和域间流量进行检测,支持对异常网络流量和异常业务流量进行预 警;支持对异常流量的类型分析、来源追溯和风险分级,同时醒目标示; c)支持MPLSVPN流量分析,包括VPN的总体流量趋势、VPN内的业务流量、VPN内各节点 (源、目的IP)的流量、VPN内会话流量等;支持对VPN流量分析任务的创建和流量异常的判 定和告警。区域内流量监测应实现监测区域网络到骨干网络的链路流量以及业务流量情况 支持对链路进行实时均衡性分析,并生成对应链路的流量数据及展现流量趋势图; d)异常网络流量预警功能应支持对异常流量的自定义发现和预警; e)支持通过端口、路由分析,及时发现业务流量异常并预警; f) 2 数据网和网管系统在遭受攻击或入侵时,安全设备应能及时准确的提供攻击或入侵的报警
设备安全应符合下列要求: a)网络设备安全: 1)路由器设备的安全要求应符合YD/T1096、YD/T1097、YD/T1358、YD/T1359、YD/T 1452、YD/T1454等有关技术标准的规定; 2)数据网设备中具备路由引擎、交换、电源、主控等功能的板卡应余配置; 3)网管系统服务器、存储等重要设备应采用余的方式; 4)路由器设备应进行覆盖用户安全标识和认证、数据保护、设备容错、访问控制、安全日志 与审计、资源调度和安全管理等方面内容的安全检测。 b)通用服务器、工作站、终端、数据库等通用主机设备安全: 1)通用主机设备的安全应符合相关设备技术规范、设备安全要求; 2)通用主机设备应进行覆盖用户安全标识和认证、数据保护、设备容错、访问控制、安全日 志与审计、资源调度和安全管理等方面内容的安全检测; 3)定期更新通用设备操作系统和相关应用的账号口令; 4)重要的服务器、数据库等主机应使用安全性较高的身份鉴别措施对用户进行身份鉴别; 5)定期检查并及时安装操作系统补丁,定期检查和更新防恶意代码软件相关恶意代码库; 6)配置IPv6的主机设备应安装主机防火墙,能够对无状态自动配置进行控制并有效处理 协议报文选路扩展头
5.3.3灾难备份及恢复要求
a) 网络灾难恢复的恢复时间应满足铁路应急预案的相关要求。 b)省 备份数据要求应符合下列要求: 1)建立全部数据和信息进行备份和恢复的管理和控制机制; 2)系统配置数据、管理员操作维护记录、用户信息等重要数据应异址备份; 3)数据备份范围和时间间隔、数据恢复能力应符合铁路相关管理规定及应急预案相关 要求
5.4安全服务与安全机制
和安全机制内容见附录A。 统提供对应的安全服务与主要安全机制时应符合
5.5安全服务与模型分层
5.5.1分层安全原则
在各层提供安全服务并配置相应的安全机制,并应符合下列要求: a) 应极小化达到安全服务目标可供选择的方法和数目; b) 可在多于一层上提供安全服务来建立安全系统; C) 应避免破坏各层的独立性; d) 如实体与下层实体提供的安全机制有关,则中间层的构建不应破坏安全机制; e) 宜采用自含模块实现附加安全功能
5.5.2安全服务与模型分层的关系
层次的安全系统,其安全服务应符合表2的要求
表2安全服务与模型分层之间的关系
表2 安全服务与模型分层之间的关系(续)
各层安全应符合下列技术要求: a)链路层安全基于密码技术,提供点到点的安全性,提供的安全服务主要为机密性,可采用 PPP、L2TP实现链路层的安全要求; b)网络层安全体系结构是为IP层环境提供可互操作的、高效的和基于密码技术的安全性,提供 的安全服务包括访问控制、无连接完整性、数据来源认证、防重放保护、机密性等,可采用 IPsec协议实现网络层的安全要求; c)传输层安全技术是为TCP/UDP环境提供可互操作的、高效的和基于密码技术的安全性,提供 的安全服务包括访问控制、完整性、数据来源认证、防重放保护、机密性等,可采用TLS、SSL协 议实现传输层的安全技术要求; d)应用层安全技术是为不同的应用环境提供可互操作的、高效的和基于密码技术的安全性,提 供的安全服务包括访问控制、完整性、实体和数据源认证、机密性和抗抵赖性,可采用SHTTP、 SMTPSNMPSSH等不同的协议实现应用层的安全要求; 各层的安全技术要求还应符合YD/T1163的相关要求
安全管理包括系统安全管理、安全服务管理和安全机制管理,是将管理信息分配于服务和机制 收集有关服务和机制的操作信息
安全机制管理涉及特定的安全机制,安全机制管理功能包括: a) 访问控制管理; b) 2 数据完整性管理; c) 2 认证管理; d) 密钥管理; e) 加密管理:
5.6.2.2访问控制管理
访问控制管理包括: a)口令等安全属性的分配; b) 对访问控制表或能力表的更新; C 在通信实体与其他提供访问控制服务的实体之间协议的使用
数据的完整性管理包括: 日) 与密钥管理的交互作用; b 建立密码参数和算法; c) 在通信实体间协议的使用。
认证管理包括: a) 向要求执行认证的实体发送说明型信息、口令或密钥: b) 在通信实体和其他提供认证服务的实体间协议的使用
5.6.2.5密钥管理
5.6.2.8通信业务填充管理
a) 预先指定的数据率; b) 指定随机数据率; c) 指定消息特征。
路由控制管理包括链路或子网的定义,并保证这些链路和子网是安全可信
无背斜拉桥灌注桩施工方案5.6.2.10公证管理
公证管理包括: a) 有关公证人信息的分配; D 有关公证人与通信实体之间协议的使用 与公证人交互作用
公证管理包括: a) 有关公证人信息的分配; D 有关公证人与通信实体之间协议的使用: 与公证人交互作用
附录A (资料性附录) 安全服务和安全机制
认证为通信实体和数据源提供认证服务DL/T 1698-2017标准下载,认证服务应有本地存储的认证信息和为认证而传递的数 据,包括: a) 实体认证:服务向实体保证,通信的对方与所声称的实体相符; b) 数据源认证:服务向实体保证数据的来源与所声称的实体相符
数据完整性服务用来对抗主动威胁,包括: a)有恢复连接完整性:为连接的所有用户数据提供完整性;并检测一个完整SDU序列内任意数 据的修改、插人、删除或重放,有恢复企图; 无恢复连接完整性:为连接的所有用户数据提供完整性;并检测一个完整SDU序列内任意数 据的修改、插人、删除或重放,无恢复企图; C) 2 选择域连接完整性:为在连接上传送的SDU的用户数据中的选择字段提供完整性;并采用确 定选择字段是否已被修改、插人、删除或重放的方式; d) 无连接完整性:当在某层提供此服务时,为上一层实体请求的完整性提供保证。本服务为单 个无连接SDU提供完整性,并采用可确定所收到的SDU是否已被修改的方式。另外也可对 重放提供有限的检测; e)选择域无连接完整性:为单个无连接SDU中的选择字段提供完整性,并采用确定选择字段是 香已被修改的方式
抗抵赖性服务可采用如下方式: 司) 有源端证据的抗抵赖性:数据的源端证据被提供给数据接受者,防止发送者否认发送过该数 据或数据内容; b) 有交付证据的抗抵赖性:数据的交付证据被提供给数据发送者,防止接受者否认接收到该数 据或数据内容