标准规范下载简介
Q/CR 855-2021 铁路综合信息网内部服务网外部服务网数据安全交换技术要求.pdf简介:
Q/CR 855-2021 是中国铁路的行业标准,它详细规定了铁路综合信息网的数据安全交换技术要求。这个标准主要关注的是铁路系统内部服务网(Intranet)和外部服务网(Extranet)之间的数据安全传输和交换。以下是其主要内容简介:
1. 数据安全性:强调数据在传输过程中必须有高度的保护,防止数据被篡改、丢失或非法获取。这包括使用加密技术,如HTTPS、SSL/TLS等,确保数据的机密性和完整性。
2. 身份验证:规定了用户和系统之间的身份验证机制,确保只有授权的用户和系统才能访问网络资源,防止未经授权的访问。
3. 访问控制:对数据访问进行了严格的控制,根据用户的角色和权限分配不同的访问级别,防止越权访问。
4. 安全审计:要求建立全面的日志记录和审计系统,以便追踪和审计数据交换活动,便于在发生安全事件时进行调查。
5. 防火墙和安全设备:规定了网络边界的安全设备如防火墙的配置和管理,以及入侵检测和预防系统的应用。
6. 安全更新和维护:强调定期进行系统安全检查,及时更新安全补丁,防止已知的安全漏洞被利用。
7. 应急响应:制定应急响应计划,以应对可能的安全事件,包括数据泄露、攻击等。
总的来说,Q/CR 855-2021 是为了保障铁路综合信息网的数据安全,确保网络的稳定运行,并符合国家和行业的数据安全法规要求。
Q/CR 855-2021 铁路综合信息网内部服务网外部服务网数据安全交换技术要求.pdf部分内容预览:
数据库数据databasedata 存储在关系型数据库中的数据 注:属于结构化数据
文件数据filedata 存储在长期储存设备上的数据。 注:存储在磁盘、光盘、磁带等设备上,包括办公文档、文本文档、视频文件、图片文件、图纸文件等,属于非结构化 数据。 3.6 流媒体数据 streammediadata 采用流式传输的方式在网络中播放的媒体格式数据。 注:媒体格式包括音频、视频等。 3.7 数据交换对象dataexchangeobject 数据库数据、文件数据、Web应用数据及流媒体数据等可交换的数据对象
02全国统一安装工程预算定额 第二册 电气设备安装工程文件数据filedata
数据安全交换服务实现文件数据、数据库数据、Web应用数据和流媒体数据在铁路综合信息网内 部服务网与外部服务网之间的安全交换。 数据安全交换服务技术架构应符合图1的规定。 注:Web应用数据指通过HTTP、HTTPS、WebService等交换的数据
图1 数据安全交换服务技术架构示意图
数据安全交换服务由外部数据交换服务、隔离交换服务和内部数据交换服务三部分组成。 外部数据交换服务与外部服务网数据交换对象对接,实现认证授权、数据抽取与装载、格式检查 内容过滤、安全审计、安全监控等功能。 隔离交换服务在内部服务网与外部服务网之间建立双向传输链路,通过协议转换,以信息摆渡的 方式实现双向数据传输,适用于文件数据、数据库数据、Web应用数据和流媒体数据双向交换。 内部数据交换服务与内部服务网数据交换对象对接,实现认证授权、数据抽取与装载、格式检查 内容过滤、安全审计、安全监控等功能。 铁路电子认证服务平台为数据安全交换服务发放和管理数字证书。铁路统一用户认证管理系统 为数据安金交换服务提供第三方认证授权功能
隔离交换服务在内部服务网与外部服务网之间建立双向传输链路,通过协议转换,以信息摆渡的 式实现双向数据传输,适用于文件数据、数据库数据、Web应用数据和流媒体数据双向交换。 内部数据交换服务与内部服务网数据交换对象对接,实现认证授权、数据抽取与装载、格式检查 容过滤、安全审计、安全监控等功能。 铁路电子认证服务平台为数据安全交换服务发放和管理数字证书。铁路统一用户认证管理系统 数据安全交换服务提供第三方认证、授权功能。 2 功能结构 2.1数据安全交换服务功能应符合图2的规定,支持四种数据类型,分别为文件数据、数据库数据 eb应用数据和流媒体数据。应用场景及流程应符合附录A的规定。 2.2内、外部数据交换服务应包括以下功能: a)认证授权功能:应基于用户名/口令、数字证书、动态口令、IP/MAC绑定等技术对用户以及应 用程序进行认证授权; b)数据抽取与装载功能:数据抽取功能应从源端网络将待交换的文件数据、数据库数据、Web应 用数据、流媒体数据等数据交换对象抽取到内、外部数据交换服务;数据装载功能应从内、外 部数据交换服务将文件数据、数据库数据、Web应用数据、流媒体数据等数据交换对象装载到 目的端网络; c)格式检查功能:应对交换对象的格式根据事先定义的规则进行关于范围、长度、类型等检查; d)内容过滤功能:应对数据交换对象的内容和数据进行病毒过滤、木马查杀等; e)安全审计功能:应提供数据交换行为审计、管理员配置管理审计等功能; f)安全监控功能:应对数据交换的运行状态进行实时监控、对交换业务进行统计分析、对安全事 件实时报警等
2 数据安全交换服务功能结构示意图
a)协议剥离功能:应实现传输数据的应用协议级剥离,还原原始数据; b)隔离摆渡功能:应通过隔离部件实现原始数据的无协议交换; c)电子开关切换功能:应采用一组互斥的分时切换电子开关实现内部物理信道的通断控制,以 分时切换连接方式完成内、外部服务网的信息摆渡; d)协议重组功能:应实现原始数据的协议重新封装。 1 5.2.4数据安全交换服务应通过调用铁路电子认证服务平台、铁路统一用户认证管理系统的接口,实 现证书校验、身份认证和授权功能。
现证书校验、身份认证和授权功能
认证授权功能应符合以下规定: 1) 2 应支持采用铁路统一用户认证管理系统的认证接口、用户管理接口,实现身份认证和授权 功能; b) 应支持对访问流媒体和Web应用系统的用户进行身份认证,支持用户名/口令、数字证书、动 态口令、双因素或多因素认证等多种认证方式; c)应支持采用铁路电子认证服务平台的证书校验接口,实现证书有效性和真实性校验; d)文件数据交换、数据库数据交换时,应支持对进行数据交换的设备进行身份认证,支持IP/ MAC认证、数字证书认证等多种认证方式; e)应支持对Web应用资源进行访问授权控制。
.2.1文件数据抽取与
文件数据抽取与装载功能应符合以下规定: a)应支持主流文件传输协议的数据抽取与装载,包括但不限于FTP、FTPS、SCP、SMB SFTPNFS; b)应支持主流文件类型,包括但不限于办公文件、文本文件、流媒体文件、图像文件; c)应支持主流操作系统,包括但不限于Windows、Linux、国产操作系统; d)应支持异构文件系统之间的数据交换; e)应支持复制、移动及备份等文件数据交换方式: f)应支持实时、定时的文件数据交换; g)应支持文件交换的断点续传; ? h)应具备数据传输完整性和一致性检查机制,包括但不限于CRC校验、哈希校验。 2.2数据库数据抽取与装载 数据库数据抽取与装载功能应符合以下规定: a)应支持主流数据库系统的数据抽取与装载,包括但不限于MySQL、Oracle、SQLServer、DB2 Sybase、国产数据库系统; b)应支持主流操作系统,包括但不限于Windows、Linux、国产操作系统; c)应支持异构数据库之间的数据交换; d)应支持全量数据和增量数据的交换; e)应支持基于字段值、行、列等条件的数据交换; f)应支持实时、定时的数据交换:
Web应用数据抽取与装载
Web应用数据抽取与装载功能应符合以下规定: ) 应支持HTTP/HTTPS协议的数据抽取与装载; b) 应支持WebService(含SOAP及Restful方式)协议数据抽取与装载
6.2.4流媒体数据抽取与装载
格式检查功能应符合以下规定: a)应支持对文件类型、长度等进行格式检查;
b)应支持对数据库字段类型、长度等进行格式检查; ) 1 应支持主流Web协议的识别和检查; 1 2 应支持主流Web协议数据返回类型格式检查; e) 应支持对流媒体信令命令的检查过滤功能,包括标准流媒体协议命令及扩展的控制操作命 令、回放控制命令、设备控制命令、设备查询命令等; f)应支持流媒体编码格式的检查过滤功能。
内容过滤功能应符合以下规定: 应支持对办公文件等内容进行关键字过滤; ? 应支持对文件数据进行病毒过滤,木马查杀; ) 应支持对数据库字段内容进行关键字过滤; d) 应支持对数据库字段数据进行病毒过滤,木马查杀; e) 应支持URL长度及关键字过滤; f) 应支持Web协议内容还原安全检查; g) 应支持Web协议还原病毒过滤,木马查杀; h)应支持SOAP函数名过滤,支持函数参数检查。
采用隔离交换服务作为连接通道,通过协议剥离、数据摆渡和协议还原,以原始数据摆渡的方式实 现数据的双向交换。安全隔离服务应符合以下规定: a)应采用硬件专用隔离部件建立内外部服务网间的可信物理通道; b)应支持应用协议的剥离及还原重组; c)应支持基于非网络协议的数据协议隔离; d)应采用互斥的分时切换电子开关实现内部物理信道的通断控制。
数据安全交换服务的网络安全等级保护应符合铁路综合信息网局域网基础设施的网络安全 保护相关规定
Web安全防护应符合以下规定: a)应支持对SQL注人、XSS跨站、Webshell上传、常见Web服务器漏洞攻击、核心文件非授权访 问、路径穿越、恶意扫描等攻击防护; b)应支持对SYNFLOOD、IP欺骗性攻击、UDP洪水攻击等拒绝服务攻击防护; c)应支持对协议内容还原,病毒过滤,木马查杀; d)应支持HTTP协议双向检测DL/T 1916-2018 便携式烟气逃逸氨测量系统技术要求,支持标准协议命令及数据返回类型过滤,支持对请求内容及响 应内容安全检查。
对数据安全交换服务的安全运维应符合以下规定: a)应支持对登录数据安全交换服务的管理员IP地址进行限制; b)应支持通过集中登录与审计系统对数据安全交换服务进行远程运维; e)应支持对登录数据安全交换服务的管理员进行身份鉴别,且应符合Q/CR655一2018的 d)应根据分权管理原则.对管理员权限进行管理。
数据安全交换服务性能应符合以下规定: a)文件数据交换:文件数据交换个数(10kB文件)不小于300个/s;文件数据交换吞吐量不小于 300Mbit/s; b)数据库数据交换:数据库数据交换传输吞吐量不小于200Mbit/s;数据库到数据库传输记录数 不小于1000条/s; c)Web应用数据交换:最大传输延时不大于200ms;最大并发请求数不小于2000;吞吐量不小 于400Mbit/s; 2 d 流媒体数据交换:最大传输延时不大于20ms;视频传输能力不低于200路并发(每路D1画 质,2Mbit/s);适用码流从20kbit/s到8Mbit/s;数据包丢失率不大于0.8%
数据安全交换服务性能应符合以下规定: a)文件数据交换:文件数据交换个数(10kB文件)不小于300个/s;文件数据交换吞吐量不小于 300Mbit/s;; b)数据库数据交换:数据库数据交换传输吞吐量不小于200Mbit/s;数据库到数据库传输记录数 不小于1000条/s; c)Web应用数据交换:最大传输延时不大于200ms;最大并发请求数不小于2000;吞吐量不小 于400Mbit/s; d 2 流媒体数据交换:最大传输延时不大于20ms;视频传输能力不低于200路并发(每路D1画 质,2Mbit/s);适用码流从20kbit/s到8Mbit/s;数据包丢失率不大于0.8%
数据安全交换服务可靠性应符合以下规定: 应支持热备部署,服务故障时自动切换至备机; b)应支持集群部署,支持横向扩展。
数据安全交换服务兼容性应符合以下规定: 1) 应支持IPv6网络环境DB14∕T 558-2010 山西省公路绿化设计技术规程,应支持IPv4/IPv6双栈网络环境; b) 外部数据交换服务和内部数据交换服务应支持云环境部署,