标准规范下载简介
Q/CR 783.2-2020 铁路通信网络安全技术要求 第2部分:承载网.pdf简介:
Q/CR 783.2-2020 是中国铁路通信行业的标准之一,它详细规定了铁路通信网络安全技术在承载网(也称通信承载网络)中的具体要求。承载网是通信网络的基础架构,负责传输和承载各种通信业务,包括语音、数据、图像和视频等。
该标准针对铁路通信网络的承载部分,强调了网络安全的重要性,要求确保网络的稳定、可靠和安全运行,以防止未经授权的访问、数据泄露或服务中断。它可能涵盖了网络安全策略、系统安全设计、网络安全设备选型、网络安全管理、安全防护措施、安全审计与监控等方面的内容。
具体内容可能包括但不限于:
1. 网络架构设计应具备良好的安全防护能力,如采用防火墙、入侵检测系统等; 2. 数据传输应加密,以防止数据在传输过程中被窃取或篡改; 3. 定期进行安全评估和漏洞扫描,及时发现并修复安全问题; 4. 实施严格的访问控制,限制非授权用户的访问权限; 5. 建立应急响应机制,应对可能的安全事件。
理解并遵循Q/CR 783.2-2020,对于保障铁路通信系统的稳定运行,保护重要信息和业务安全具有重要意义。
Q/CR 783.2-2020 铁路通信网络安全技术要求 第2部分:承载网.pdf部分内容预览:
传输网包括骨干层传输网、汇聚层传输网、接入层传输网 传输网安全防护的范围包括SDH/MSTP、OTN、PTN
4.2传输网安全防护内容
主要包括防护对象的确定、网络及设备安全,并应符合下列要求: a)防护对象应为骨干层传输网、汇聚层传输网、接入层传输网中的各种软硬件资产,包括网络结 构、通信设备、物理线路、数据、软件、协议规程、业务承载能力等各种类型的资源; b)网络及设备安全主要包括传输网和网管系统层面的网络拓扑、网络保护与恢复、网络管理等 方面内容和要求:相关传输网网络设备和通用主机设备安全的内容和要求
4.3传输网安全防护要求
某引水工程施工组织设计24.3.1.1SDH/MSTP光网络
OTN光网络应符合下列要求: a)网络拓扑安全: 1)网络拓扑宜采用环网结构,也可采用线型网络结构; 2)可支持双传输平面; 3)应预留余波道和维护波道; 4)不同传输节点之间光缆应支持多方向物理路由; 5)光缆应预留相同物理路由备用纤芯或备用光缆,有条件的还应预留不同物理路由备用纤 芯或备用光缆; 6)不同层级的传输网之间应支持基于不同物理位置的至少两个传输节点互联,互联设备应 分离设置。 b)网络保护与恢复能力: 1)提供基于光层的OChSPRing、OCh1+1、OMSP、OLP和基于电层的ODUkSNCP、ODUk SPRing等保护策略; 2)网络保护倒换时间应小于50ms; 3)网络保护倒换机制应满足插入告警、插入越限误码、拔纤和网管人工/强制倒换等; 4)工作路径与保护路径宜选择不同的路由,工作路径与保护路径的网络抖动、色散容限
OSNR等指标应符合系统要求; 5)骨干层传输网网管应采用异地余热备方式。 c)MCN安全: 1)0SC不限制光放大器的泵浦波长; 2)0SC在线路光纤放大器失效时仍然可以使用; 3)OSC的传输应该是分段的并且具有3R功能和双向传输功能,在每个光纤放大器中继站 上,信息能被正确地接收下来,而且还可附加上新的信息; 4)OSC应具有自我管理能力,光监控通路信号丢失时有告警指示; 5)网络管理系统的其他安全要求还应符合4.3.1.1c)的要求
4.3.1.3PTN光网络
PTN光网络应符合下列要求: a)网络拓扑安全应符合4.3.1.1a)的要求。 b)网络保护与恢复能力: 1)根据业务需求提供路径线性保护、子网连接保护、单环保护、环相交保护、环相切保护等 相应的网络保护策略; 2)当链路总长度不大于1200km、拖延时间设置为0时,保护倒换时间不应大于50ms; 3)网络保护倒换机制应满足信号失效、信号劣化和网管人工/强制倒换等。 )MCN安全应符合4.3.1.1c)的要求
4.3.1.4ASON光网络
当在SDH/MSTP、OTN系统上加载ASON光网络时,还应符合下列要求: a)网络拓扑安全: 1)网络拓扑宜采用网状网结构; 2)网络节点之间应支持2条以上不同物理路由; 3)应预留余通道和维护通道; 4)光缆应预留备用纤芯或备用光缆。 b)网络保护与恢复能力: 1)提供基于传送平面的网络保护能力,提供基于控制平面的1+1、M:N等保护策略; 2)小于1200km传输距离的环网,网络保护倒换时间应小于50ms; 3)网络保护倒换机制应满足插入告警、插入越限误码、拔纤和网管人工/强制倒换等; 4)工作路径与保护路径宜选择不同的物理路由,工作路径与保护路径的网络抖动、色散容 限、OSNR等指标应符合系统要求; 5)支持路径恢复和本地恢复的网络恢复机制; 6)支持无保护业务、保护和恢复业务的软重路由,软重路由的业务受损时间应小于50ms。 c)MCN安全应符合4.3.1.2c)的要求。 d)SCN安全: 1)恢复消息应可靠和快速传送; 2)防止未经授权的用户接入; 3)在管理域边界,只允许管理域之间满足要求的消息通过域间接口,不满足要求的消息禁 止通过域间接口; 4)支持允余路由; 5)SCN自身应提供1+1保护和重路由方式等保护和恢复机制。
4.3.2设备安全要求
SDH/MSTP设备安全应符合下列要求: a)SDH设备安全应符合CB/T7611、CB/T16712、GB/T20185、YD/T900、YD/T1017、YD/T 1022、YD/T 1167、YD/T 1289.1、YD/T1289.2、YD/T 1289. 3、YD/T 1289. 4、YD/T 1420、YD/T 2376.1等标准的相关要求;MSTP设备安全应符合YD/T1238、YD/T1474、YD/T2376.3等标 准的相关要求; b)支持具备主控、交叉、时钟、电源等功能的关键板件热备;SDH设备支持2Mbit/s支路处理板 N+1热备;MSTP设备支持2Mbit/s、FE支路板的余保护,实现方式为1+1或M:N;发生保 护倒换时,业务受损时间应小于50ms; C) 2 MSTP设备以太网接口的异常帧检测、自协商、汇聚等功能应符合YD/T1276的相关要求,流 量控制、吞吐量、时延、VLAN、二层交换等功能应符合YD/T1238的相关要求; d)设备的网管系统应支持用户操作级别及权限划分、用户安全管理、用户权限控制、操作日志管 理、登录日志管理等安全管理功能,并符合YD/T1289.2的相关要求; e)设备的串口、以太网口等本地物理管理接口应缺省关闭,并支持根据用户权限在本地或远程 启用和关闭物理管理接口;若本地用户和远程用户权限相同,则本地用户优先级高; f) 设备的网管系统应支持冷备份和热备份的余备份功能,包括网管系统软、硬件和网管数据
通信网络的余备份等; 设备的网管系统客户端、服务器等应缺省关闭不必要的物理接口、软件进程服务等,并支持根 据用户权限在本地启用和关闭物理接口
4.3.2.2OTN设备
OTN设备安全应符合下列要求: a)符合YD/T 1634、YD/T 1642、YD/T1990、YD/T2149.1、YD/T 2149.2、YD/T 2149.3、YD/T 2149.4、YD/T2149.5、YD/T2149.6、YD/T2376.5、YD/T2713等标准的相关要求; b)具备主控、交叉、时钟、电源等功能的关键板件采用余保护;发生保护倒换时,业务受损时间 应小于50ms; c)设备的网管系统应支持用户操作级别及权限划分、用户安全管理、用户权限控制、操作日志管 理、登录日志管理等安全管理功能,并符合YD/T2149.1的相关要求; d) 符合4.3.2.1中e)~g)的规定
PTN设备安全应符合下列要求: a)符合YD/T2336.1、YD/T 2336.2、YD/T 2336.3、YD/T 2336.4、YD/T2336.5、YD/T 2336.6 YD/T2376.6、YD/T2397等标准的相关要求; b) 支持具备主控、交换、电源等功能的关键板件热备,支持1:N(N≥1)TPS保护,业务受损时间 时间应小于50ms; 设备的网管系统应支持用户操作级别及权限划分、用户安全管理、用户权限控制、操作日志管 理、登录日志管理等安全管理功能,并符合YD/T2336的相关要求; d)符合4.3.2.1中e)~g)的规定。
PIN设备安全应符合下列婴求:
灾难备份及恢复应符合下列要求: 日a) 网络灾难恢复的恢复时间应满足铁路应急预案的相关要求。 b) 1午 备份数据应符合下列要求: 1)网络配置数据、性能数据、告警数据和安全访问数据等关键数据应有本地数据备份; 2) 数据备份范围和时间间隔、采取的备份方式、数据恢复能力应符合铁路相关管理规定及 应急预案相关要求
4.4.1安全管理范围
安全管理包括系统安全管理、安全服务管理和安全机制管理,是将管理信息分配于服务和机制内, 并收集有关服务和机制的操作信息
4.4.2.1安全机制管理功能
安全机制管理涉及特定的安全机制,安全机制管理功能包括: 访问控制管理; ? D) 数据完整性管理:
访问控制管理包括: a) 口令等安全属性的分配; b) 对访问控制表或能力表的更新; C 在通信实体与其他提供访问控制 办议的使用
数据的完整性管理包括: 与密钥管理的交互作用; b) 建立密码参数和算法; 在通信实体间协议的使用。
4.4.2.4认证管理
认证管理包括: 向要求执行认证的实体发送说明型信息、口令或密钥: b 在通信实体和其他提供认证服务的实体间协议的使用
5.1数据网安全防护范围
数据网包括骨干数据网和区域网数据,区域数据网包括国铁集团区域数据网和铁路局集 域数据网
5.2数据网安全防护内容
主要包括防护对象的确定、网络及设备安全等,并应符合下列要求: a)对象应为骨干网络和区域网络中的各种软硬件资产,包括网络结构、通信设备、物理线路、数 据、软件、协议规程、业务承载能力等各种类型的资源; b)网络及设备安全主要包括数据网和网管系统层面的网络拓扑、网络保护与恢复、网络管理、网 络安全防范和网络监测等方面内容和要求;相关数据网网络设备和通用主机设备安全的内容 和要求
【天津市】《建筑工程施工质量验收资料管理规程DB/T29-209-2011》5.3.1.1网络拓扑
网络拓扑应符合以下要求: 数据网骨干网包括核心节点、汇聚节点、接入节点,节点间宜采用网状连接;数据网区域网包 括核心节点、汇聚节点、接入节点; b) 数据网骨干网络及国铁集团区域网络应设置1个自治域系统,各铁路局集团公司区域网络应 分别独立设置自治域系统:
5.3.1.2网络保护与恢复
网络保护与恢复应符合以下要求: a)骨干网络各节点及区域网络核心节点、汇聚节点等重要节点应采用设备热备份的保护措施; b) 11 节点间宜由具有保护能力的传输网络提供JGJ/T 241-2011 人工砂混凝土应用技术规程(完整正版、清晰无水印).pdf,也可采用光纤直连;当有2条直连链路时,应采用 不同物理路由的链路; c)数据网应根据业务或应用的需求采用链路聚合、转发检测、保护倒换、重路由等安全保护 措施; d) 应根据需求采用业务负荷分担、网络异常流量监控等安全保护措施; e)骨干网络、区域网络的网管系统应采用热备份; f 1 灾难恢复应根据业务优先级及QoS设置方案,按优先级高低顺序依次恢复业务网络的通信
5.3.1.3网络管理
5.3.1.4网络安全防范