标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
Q/CR 854-2021 铁路网络安全扩展要求 铁路云平台安全防护.pdf本项要求包括: a) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配; b) 云管理平台应对云平台的安全策略进行统一下发和管理
7.5.4云服务用户管理
本项要求包括: a)应选择安全合规的云服务商,其所提供的云平台应为其所承载的业务应用系统提供相应等级 的安全保护能力; b)提供云服务时,应在服务水平协议中规定云服务的各项服务内容和具体技术指标; ) 提供云服务时,应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分 访问授权、隐私保护、行为准则、违约责任等; d) 提供云服务时,应在服务协议中规定服务合约到期时间,并在合约到期后向云服务用户提供 完整数据,并将相关数据在云平台上清除; e)云服务用户应按照安全要求设置账号口令,口令长度不应少于8个字符,应包括数字、大写字 母、小写字母和特殊符号4类中至少3类;账号口令宜加密保存。
应对云平台的各种设备(包括备份和冗余设备)、线路等硬件资产开展日常运维地基与基础工程施工工艺,实时进行在线监 控,定时开展备份配置、定期完成健康检查。
7.6.2漏洞和风险管理
应采取必要的措施识别安全漏洞和隐患,对云平台发现的安全漏洞和隐患及时进行修补或评估可 能的影响后进行修补
7.6.3恶意代码防范管理
a) 铁路云平台所使用的基础设施应位于中国境内; b) 铁路网络业务所使用的基础设施应位于中国境内
本项要求包括: a)应实现云平台不同云服务用户之间的隔离; b)月 应使云平台具有根据云服务用户业务需求提供通信传输、边界防护、人侵防范等安全机制的 能力; C) 云平台网络中关键设备及通信链路应采用余架构,网络带宽应符合云服务用户业务峰值 需求; 1 d) 云平台不应承载比自身等级保护级别高的应用; e) 云服务用户应具有根据业务需求自主设置安全策略的能力,包括定义选择安全组件、配置安 全策略。
本项要求包括: a) 应采用符合国家要求的校验技术或密码技术保证云平台通信过程中数据的完整性: b) 应采用符合国家要求的密码技术保证云平台通信过程中数据的保密性; C) 在云平台内部,宜针对不同安全等级的业务提供不同强度的加密技术。
本项要求包括: a)应为云平台所承载的不同业务配置不同的网络区域,应在云平台网络边界和区域之间部署边 界防护设备,并设置白名单式的访问控制策略,并在默认情况下除允许通信受控接口外拒绝 所有通信; b)除具有保密权限控制的特定业务数据流之外,其他重要业务数据不应由等级保护级别高的区 域向等级保护级别低的区域传输; c)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; d)应对源地址、目的地址、源端口、目的端日和协议等进行检查,以允许/拒绝数据包进出; e)月 应在云平台网络边界和区域之间部署边界防护设备,使云平台能根据会话状态信息为进出数 据流提供明确的允许/拒绝访问的能力; f)应在云平台网络边界部署访问控制机制,并设置访问控制规则
应在云平台边界部署人侵防范设备,使云平台能检测到外部发起的网络攻击行为,并能记录 攻击类型、攻击时间、攻击流量等:
b) 应在云平台网络边界和区域之间部署入侵防范设备,使云平台能检测到云服务用户发起的网 络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; 》) 应在云平台网络边界和区域之间部署入侵防范设备,使云平台能检测到对虚拟网络节点的网 络攻击行为,并能记录攻击类型、攻击时间、攻击流量等: d) 2 应能检测到虚拟机与物理机、虚拟机与虚拟机之间的异常流量; e) 应具有未知异常流量监测的能力和预警能力; f) 应在检测到网络攻击行为、异常流量情况时记录攻击源网际互连协议(IP)、攻击类型、攻击目 标、攻击时间,并进行告警
8.3.4恶意代码防范
本项要求包括: a)当远程管理云平台中的物理设备或虚拟机时,管理终端和云平台之间应建立双向身份验证 机制。 b)当远程管理云平台中的物理设备或虚拟机时,宜关闭明文远程登录协议,使用SSH等加密方 式实现远程登录; 宜使用铁路统一用户认证管理系统和铁路电子认证服务平台实现远程登录身份认证和授权 功能; d)宜通过部署于运维服务区的运维安全审计系统实现对云平台的远程管理。
本项要求包括: 应保证当虚拟机迁移时,访问控制策略随其迁移; 》 应允许云服务用户设置不同虚拟机之间的访问控制策略,
本项要求包括: a) 应能检测虚拟机之间的资源隔离失效,并进行告警; b) 2 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警; c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警; d) 应在虚拟机上部署入侵防御软件; e) 宜使用国铁集团统一部署的云安全系统人侵防御模块防范非法攻击行为。
8.4.4恶意代码防范
a) 应在虚拟机上部署恶意代码防护软件以防范病毒、木马(含跳板程序、矿机程序)、端虫(含勒 索软件)、间谋软件等已知安全威胁和未知恶意代码、APT等新型安全威胁; b) 应定期对病毒库等知识库进行升级和更新; C 宜使用国铁集团统一部署的云安全系统恶意代码防护模块防范恶意代码。
8.4.5镜像和快照保护
本项要求包括: a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务,并且在有新的加固 补丁时应及时更新操作系统镜像; b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改; C) 2 应采取符合国家要求的密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资 源被非法访间
3.4.6数据完整性和保密性
本项要求包括: a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定; b)应确保只有在云服务用户授权下,云平台管理员才具有云服务用户数据的访问权限。可设置 云平台安全管理员对云服务用户及数据进行管理; c) 应使用符合国家要求的密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整 性受到破坏时采取必要的恢复措施; 应支持云服务用户部署密钥管理解决方案,保证云服务用户自行实现数据的加解密过程
本项要求包括: a)云服务用户应在本地保存其业务数据的备份,并定期进行更新; b)应为云服务用户提供查询其数据及备份存储位置的能力; c)云平台的云存储服务应保证云服务用户数据存在两个以上可用的副本,各副本之间的内容应 保持一致; d)应为云服务用户将业务系统及数据迁移到其他云平台和本地系统提供技术手段,并协助完成 工致工和
8.4.8剩余信息保护
本项要求包括: a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除; b) 云服务用户删除业务应用数据时,云平台应将云存储中所有副本删除
本项要求包括: 1) 2 应对云平台管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理 并对这些操作进行审计; b)应基于云平台管理员的不同管理职责分别建立系统管理员、安全管理员和审计管理员
并对各账号赋予相应的权限; ) 1 应通过云平台管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配 置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等; d)应关闭云管理平台所有不使用的管理接口,仅允许云平台管理员访问并管理云平台; ) 2 云平台管理员账号应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小 写字母和特殊符号4类中至少3类;口令更换周期应小于90d,且3次以内不应设置相同口 令;账号口令应加密保存。云平台管理员账号应采用两种不同认证方式组合进行双因子 认证。
a) 应对云平台网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; b)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; C) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配; 云管理平台应对云平台的安全策略进行统一下发和管理; e) 应保证云平台管理流量与云服务用户业务流量分离; f)应根据云平台和云服务用户的职责划分,收集各自控制部分的审计数据并实现各自的集中 审计; 1) 应根据云平台和云服务用户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟 化安全设备等的运行状况的集中监测; D) 2 应保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的管理和分析在时间上的 一致性
8.5.4云服务用户管理
本项要求包括: a)应选择安全合规的云服务商,其所提供的云平台应为其所承载的业务应用系统提供相应等级 的安全保护能力; b)应与选定的云服务商签署保密协议,要求其不得泄露云服务用户数据; c)提供云服务时,应在服务水平协议中规定云服务的各项服务内容和具体技术指标:
d) 2 提供云服务时,应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分 访问授权、隐私保护、行为准则、违约责任等; e) 2 提供云服务时,应在服务水平协议中规定服务合约到期时,完整提供云服务用户数据,并承诺 相关数据在云平台上清除; f场 云服务用户应设置账号口令,口令长度不应少于8个字符,应包括数字、大写字母、小写字母 和特殊符号4类中至少3类;账号口令应加密保存
8.6.1设备维护管理
本项要求包括: a)应对云平台的各种设备(包括备份和余设备)、线路等硬件资产开展日常运维,实时进行在 线监控,定时开展备份配置、定期完成健康检查; b)月 应能实时展示云平台网络和系统的运行状况,对异常情况能够及时提示告警; 应保持24h云平台服务可用性监测,且监测频率不宜低于3min一次; d) 2 信息处理设备应经过审批才能带离、带人机房或办公地点,含有存储介质的设备带出工作环 境时其中重要数据应加密; e) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感 数据和授权软件无法被恢复重用
3.6.2漏洞和风险管理
本项要求包括: a)月 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能 的影响后进行修补; b) 应定期对云平台开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
8.6.3恶意代码防范管理
应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时告警、分析及处理
本项要求包括: a)应记录和保存云平台基本配置信息,包括云平台物理层网络拓扑结构、虚拟化网络拓扑结构 各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等; b) 2 应进行版本管理和选代,确保云平台物理层网络拓扑结构、虚拟化网络拓扑结构、各个设备安 装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置等参数的准确性和 实时性
DB61/T 1070-2017 美丽乡村巷道建设规范本项要求包括: 9a) 铁路云平台所使用的基础设施应位于中国境内; b)铁路网络业务所使用的基础设施应位于中国境内
本项要求包括: a)应实现云平台不同云服务用户之间的隔离; b)应使云平台具有根据云服务用户业务需求提供通信传输、边界防护、人侵防范等安全机制的 能力; C) 2 云平台网络中关键设备及通信链路应采用余架构,网络带宽应符合云服务用户业务峰值 需求; d)云平台不应承载比自身等级保护级别高的应用; e)云服务用户应具有根据业务需求自主设置安全策略的能力,包括定义选择安全组件、配置安 全策略; f)应提供对虚拟资源的主体和客体设置安全标记的能力,保证云服务用户可以依据安全标记和 强制访问控制规则确定主体对客体的访问; g)应提供通信协议转换或通信协议隔离等的数据交换方式,保证云服务用户可以根据业务需求 自主选择边界数据交换方式; h)应为第四级业务应用系统划分独立的资源池
本项要求包括: ) 应采用符合国家要求的校验技术或密码技术保证云平台通信过程中数据的完整性; b) 应采用符合国家要求的密码技术保证云平台通信过程中数据的保密性; ) 2 应在通信前采用符合国家要求的密码技术对通信的双方进行验证或认证; d) 2 应基于硬件密码模块对重要通信过程进行密码运算和密钥管理; e) 在云平台内部,宜针对不同安全等级的业务提供不同强度的加密技术。
本项要求包括: a)应为云平台所承载的不同业务配置不同的网络区域,应在云平台网络边界和区域之间部署边 界防护设备,并设置白名单式的访问控制策略,并在默认情况下除允许通信受控接口外拒绝 所有通信; b) 除具有保密权限控制的特定业务数据流之外,其他重要业务数据不应由等级保护级别高的区 域向等级保护级别低的区域传输; c)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; d)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; e)应在云平台网络边界和区域之间部署边界防护设备,使云平台能根据会话状态信息为进出数 据流提供明确的允许/拒绝访问的能力; f)应对进出网络的数据流实现基于应用协议和应用内容的访问控制;
本项要求包括: a)应在云平台边界部署人侵防范设备,使云平台能检测到外部发起的网络攻击行为,并能记录 攻击类型、攻击时间、攻击流量等; b)应在云平台网络边界和区域之间部署入侵防范设备,使云平台能检测到云服务用户发起的网 络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; c)应在云平台网络边界和区域之间部署入侵防范设备,使云平台能检测到对虚拟网络节点的网 络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; d)应能检测到虚拟机与物理机、虚拟机与虚拟机之间的异常流量; e) 应具有未知异常流量监测的能力和预警能力; f) 应在检测到网络攻击行为、异常流量情况时记录攻击源IP、攻击类型、攻击目标、攻击时间,并 进行生警
JTT1062-2016 桥梁减隔震装置通用技术条件9.3.4恶意代码防范