Q/CR 545-2016 标准规范下载简介
Q/CR 545-2016 铁路计算机终端安全防护系统技术规范.pdf简介:
Q/CR 545-2016《铁路计算机终端安全防护系统技术规范》是由中国铁路总公司发布的一项技术标准,其目的是为了确保铁路计算机终端(包括但不限于服务器、工作站、移动终端等)的信息安全,防止数据泄露、篡改、丢失或非法访问。该规范涵盖了终端安全防护系统的总体设计、架构、功能、管理、监控和应急响应等多个方面。
主要内容可能包括但不限于:
1. 安全策略:规定了终端安全的基本原则和策略,如访问控制、身份验证、数据加密等。
2. 防护措施:要求终端应具备防病毒、防木马、防火墙、安全补丁管理、恶意软件检测等安全防护功能。
3. 安全审计:对终端的使用行为进行记录和审计,以便于追溯和应对安全事件。
4. 安全管理:强调了安全管理员的角色和职责,以及安全教育培训的要求。
5. 应急响应:规定了在遭遇安全威胁或攻击时的应急响应流程和措施。
6. 持续改进:要求定期进行安全评估和更新,以适应新的安全威胁和挑战。
总的来说,Q/CR 545-2016 是铁路行业对计算机终端安全防护的强制性标准,旨在保障铁路信息系统和数据的安全稳定运行。
Q/CR 545-2016 铁路计算机终端安全防护系统技术规范.pdf部分内容预览:
范 围 规范性引用文件 术语和定义 系统组成 技术要求 5.1 安全基本要求 5.2 互联网终端安全防护功能要求 5.3 办公业务终端安全防护功能要求 5.4 生产业务终端安全防护功能要求 5.5 终端安防系统安装要求 5.6 终端安防系统管理功能要求 5.7 终端安防系统性能要求 5.8 终端安防系统可
范 围 规范性引用文件 术语和定义 系统组成 技术要求 5.1 安全基本要求 5.2 互联网终端安全防护功能要求 5.3 办公业务终端安全防护功能要求 5.4 生产业务终端安全防护功能要求 5.5 终端安防系统安装要求 5.6 终端安防系统管理功能要求 5.7 终端安防系统性能要求 5.8 终端安防系统可
本标准按照GB/T1.1一2009给出的规则起草。 本标准由中国铁道科学研究院电子计算技术研究所归口。 本标准起草单位:中国铁路信息技术中心。 本标准主要起草人:田绵石、李杰、谭剑、刘刚、王亚民、王昕、高荣、魏晓燕、向晟 本标准版权归中国铁路总公司所有,任何单位和个人未经许可不得复制及转让。
安装在铁路计算机终端中的,接受集中管理软件统一管理【河北图集】12N1:供暖工程,执行安全策略,上报安全状态及日志的 程序。
针对安全需求不同的铁路计算机终端,制定的具有共性的基本安全配置要
铁路计算机终端安全防护系统(以下简称“终端安防系统”)应支持分级管理,应包括集中管理软 件、终端代理软件和其他实现终端安全控制需要的软硬件模块。集中管理软件部署在指定的管理服务 器中,终端代理软件部署在被管控的铁路计算机终端中,其他软硬件模块根据不同的安全控制功能按 需部署。 终端安防系统应根据铁路计算机终端安全需求的不同,分级制定安全防护策略。所有铁路计算机 终端安全防护要求均应遵守5.1的要求,在此基础上,还应遵循各自的增强要求。 铁路计算机终端分为互联网终端、办公业务终端、生产业务终端。各类终端安全防护系统功能见
图1铁路计算机终端安全防护系统功能
互联网终端安全防护功能应包含接入控制、病毒防护、补丁管理、资产管理、安全审计、运行管控、 行为管控、身份认证等; 办公业务终端安全防护功能应包含接人控制、病毒防护、补丁管理、资产管理、安全审计、运行管 控、行为管控、身份认证、外联隔离、数据安全存储、移动介质管理等; 生产业务终端安全防护功能应包含接入控制、病毒防护、补丁管理、资产管理、安全审计、运行管 控、行为管控、身份认证、外联隔离、数据安全存储、移动介质管理、外设控制、文件流人控制、文件流出 控制等。
接人控制满足下列要求: a)终端安防系统应能限制未安装终端代理程序的铁路计算机终端网络接入; 应提供对铁路计算机终端运行环境的安全检查功能,至少包括防病毒软件检查(是否安装、是 否运行、版本信息等)、重要操作系统补丁安装情况检查等
c)应能发现不符合安全检查要求的铁路计算机终端接入网络,并能隔离、告警并记录日志; d)应支持对隔离铁路计算机终端的恢复接人功能。
5. 1. 2病毒防护
铁路计算机终端安装防病毒软件,管理员通过集中管理方式对铁路计算机终端的防病毒策略 进行配置和管控; 防病毒软件应支持离线升级、自动升级两种方式升级软件版本及病毒库; C 防病毒软件应具备病毒实时监控防御功能; d 集中管理软件应能通过下发方式自动升级铁路计算机终端防病毒软件版本及病毒库; 集中管理软件应能统计全网防病毒软件安装和运行状态,并生成报表; ? f 终端代理软件应能验证病毒库来源的真实性。
补丁管理满足下列要求: a) 集中管理软件应提供对Windows操作系统及其他主流操作系统、常用软件的补丁维护及派发 功能; b) 集中管理软件应对补丁库的更新进行有效性验证: c) 集中管理软件应统计铁路信息网内铁路计算机终端的补丁下载和安装情况,支持可视化展现 以及导出; d 集中管理软件应提供多种补丁安装方式,包括自动安装、手动安装等; e 终端代理软件应自动检测铁路计算机终端的补丁安装情况,针对未安装补丁的铁路计算机终 端,能提供补丁自动下载并安装; 终端代理软件应提供用户端人机交互界面
补丁管理满足下列要求: 集中管理软件应提供对Windows操作系统及其他主流操作系统、常用软件的补丁维护及派发 功能; 集中管理软件应对补丁库的更新进行有效性验证: c 集中管理软件应统计铁路信息网内铁路计算机终端的补丁下载和安装情况,支持可视化展现 以及导出; d 集中管理软件应提供多种补丁安装方式,包括自动安装、手动安装等; e) 终端代理软件应自动检测铁路计算机终端的补丁安装情况,针对未安装补丁的铁路计算机终 端,能提供补丁自动下载并安装;
资产管理满足下列要求: ) 集中管理软件应对铁路计算机终端软件及硬件资产信息的变更进行自动更新、审计和提示; b) 集中管理软件应提供完善的资产报表及查询、统计功能: 集中管理软件收集的铁路计算机终端资产信息应包括以下信息:CPU信息、硬盘信息、BIOS 信息、网卡信息、内存信息、显卡信息、主板信息、操作系统信息、应用软件信息等; 终端代理软件应对铁路计算机终端软硬件资产信息进行自动收集并上传。
g 终端代理软件应提供铁路计算机终端系统服务监控功能,审计日志应包括服务名称、服务描 述、计算机名、IP地址、用户、服务启动和关闭时间等; 终端代理软件应提供铁路计算机终端打印输出行为和结果审计功能,审计日志应包括文件 名、打印时间、打印页数及份数、打印机名称、计算机名、IP地址、用户、打印是否成功等; i 终端代理软件应提供铁路计算机终端上移动存储介质使用行为审计功能,审计日志应包括移 动存储介质标识、被访问文件、访问方式、访问结果、访问时间、访问铁路计算机终端主机名、IP 地址、用户名称等; j 终端代理软件应提供铁路计算机终端光盘刻录行为和结果审计功能,审计日志应包括刻录机 型号、光盘属性、刻录文件名、所在路径、计算机名、IP地址、用户、刻录状态等; 终端代理软件应提供获取铁路计算机终端文件(夹)共享信息功能,审计日志应包括共享计算 机名、IP地址、用户、共享名称、共享路径、共享模式等; 终端代理软件应提供铁路计算机终端多操作系统检测功能,审计日志应包括所有操作系统 信息;
5. 1. 6 运行管控
5. 1.7 行为管控
行为管控满足下列要求: a 应提供铁路计算机终端注册表操作行为控制功能,包括创建、修改、删除特定的注册表项及 键值; b) 应提供铁路计算机终端文件操作行为控制功能,包括目录及文件的读取、修改、删除、移动、重 命名等; 应提供铁路计算机终端网络访问行为控制功能,可按照IP地址、端口号、服务类型、协议类型 等进行访问控制; d) 应提供铁路计算机终端程序运行行为控制功能,采用黑名单或白名单的方式对用户的程序运 行行为进行控制。
5.3办公业务终端安全防护
应提供对铁路计算机终端连接互联网或其他网络行为发现、阻断、审计、告警功能。
数据安全存储满足下列要求: a 可对铁路计算机终端文件实施强制访问控制; 可对铁路计算机终端文件实施加密保存,加密算法应符合国家相关密码管理政策; ) 对于加密存放的文件,应提供受控的文件恢复机制; 应提供数据备份设备,为特定铁路计算机终端用户提供备份空间,应提供文件夹自动备份 功能; e) 应对铁路计算机终端内的文件进行关键词筛选检测,并支持对不符合检测要求的铁路计算机 终端进行审计、告警,并阻止其网络通信。
5.3.4移动介质管理
移动介质管理满足下列要求: a) 应对铁路计算机终端使用的移动存储介质进行标记、注册、审核,包括U盘、移动硬盘、Flash 卡等; b 应对未经标记、注册、审核过的移动存储介质(含手机、平板电脑等智能终端存储设备)接入铁 路计算机终端的行为进行审计、告警、阻断; c) 使用标记、注册、审核过的移动存储介质应通过口令、指纹、证书等方式进行身份鉴别; d 应对移动存储介质的使用进行权限控制,可按照用户、部门、安全级别等进行权限控制
5.4生产业务终端安全防护功能要习
5.4.4移动介质管理
外设控制满足下列要求: 应对带有存储功能的外设进行限制,防止通过安装专用软件,将外设以存储设备类型加载到 铁路计算机终端; b) 应能对USB接口、蓝牙、红外、1394、调制解调器、PCMCIA卡等外设端口进行禁用/启用控制; C 在离开铁路信息网络环境的情况下,能根据既定策略禁用外设端口。
5.4.6文件流入控制
流人生产业务终端的文件,应采用单向传输技术实现USB存储设备的数据向铁路计算机终端的单
GB/T 39077-2020 经济型奥氏体-铁素体双相不锈钢中有害相的检测方法.pdf5. 4.7 文件流出控制
文件流出控制满足下列要求: a)生产业务终端不应直接连接可刻录光驱、打印机,不应直接写人USB存储设备,其数据流出 (光盘刻录、USB存储设备导出、文件打印等)应采用集中流出形式; b) 应对数据流出发出者进行身份确认; 应对数据流出提供基于文件类型、关键词、流出用户身份等特征的自动审核;
5.5终端安防系统安装要求
住宅及商业裙楼钢筋工程施工方案终端安防系统安装满足下列要求: 集中管理软件应支持标准安装包手工安装形式进行安装部署; 终端代理软件应支持标准安装包手工安装、自动分发安装两种方式; ) 集中管理软件应支持Windows、Linux等主流操作系统; 终端代理软件应支持主流铁路计算机终端和操作系统
5.6终端安防系统管理功能要求
5.6.1集中管理软件管理功能满足以下要求