Q/CR 545-2016 铁路计算机终端安全防护系统技术规范.pdf
- 文档部分内容预览:
Q/CR 545-2016 铁路计算机终端安全防护系统技术规范
g 终端代理软件应提供铁路计算机终端系统服务监控功能,审计日志应包括服务名称、服务描 述、计算机名、IP地址、用户、服务启动和关闭时间等; 终端代理软件应提供铁路计算机终端打印输出行为和结果审计功能,审计日志应包括文件 名、打印时间、打印页数及份数、打印机名称、计算机名、IP地址、用户、打印是否成功等; i 终端代理软件应提供铁路计算机终端上移动存储介质使用行为审计功能,审计日志应包括移 动存储介质标识、被访问文件、访问方式、访问结果、访问时间、访问铁路计算机终端主机名、IP 地址、用户名称等; j 终端代理软件应提供铁路计算机终端光盘刻录行为和结果审计功能,审计日志应包括刻录机 型号、光盘属性、刻录文件名、所在路径、计算机名、IP地址、用户、刻录状态等; 终端代理软件应提供获取铁路计算机终端文件(夹)共享信息功能,审计日志应包括共享计算 机名、IP地址、用户、共享名称、共享路径、共享模式等; 终端代理软件应提供铁路计算机终端多操作系统检测功能,审计日志应包括所有操作系统 信息;
5. 1. 6 运行管控
运行管控满足下列要求: 应提供在线管理铁路计算机终端进程功能,包括查询主机进程列表、结束指定进程、保护重要 进程不被异常关闭等; 应提供在线管理铁路计算机终端系统服务功能,包括查询系统服务列表、启动/重启/停止指 定远程服务等; C 应提供在线管理铁路计算机终端操作系统事件日志功能,包括查询事件日志、备份事件日 志等; d) 应提供对铁路计算机终端操作系统安全策略集中配置功能,包括操作系统密码策略、系统策 略、组件策略等; 应提供对铁路计算机终端IP/MAC绑定功能,防止IP地址被随意篡改; 应提供远程桌面管理功能,包括查询、控制、接管远程铁路计算机终端桌面
角钢标准5. 1.7 行为管控
行为管控满足下列要求: a 应提供铁路计算机终端注册表操作行为控制功能,包括创建、修改、删除特定的注册表项及 键值; b) 应提供铁路计算机终端文件操作行为控制功能,包括目录及文件的读取、修改、删除、移动、重 命名等; 应提供铁路计算机终端网络访问行为控制功能,可按照IP地址、端口号、服务类型、协议类型 等进行访问控制; d) 应提供铁路计算机终端程序运行行为控制功能,采用黑名单或白名单的方式对用户的程序运 行行为进行控制。
5.3办公业务终端安全防护
应提供对铁路计算机终端连接互联网或其他网络行为发现、阻断、审计、告警功能。
数据安全存储满足下列要求: a 可对铁路计算机终端文件实施强制访问控制; 可对铁路计算机终端文件实施加密保存,加密算法应符合国家相关密码管理政策; ) 对于加密存放的文件,应提供受控的文件恢复机制; 应提供数据备份设备,为特定铁路计算机终端用户提供备份空间,应提供文件夹自动备份 功能; e) 应对铁路计算机终端内的文件进行关键词筛选检测,并支持对不符合检测要求的铁路计算机 终端进行审计、告警,并阻止其网络通信。
5.3.4移动介质管理
移动介质管理满足下列要求: a) 应对铁路计算机终端使用的移动存储介质进行标记、注册、审核,包括U盘、移动硬盘、Flash 卡等; b 应对未经标记、注册、审核过的移动存储介质(含手机、平板电脑等智能终端存储设备)接入铁 路计算机终端的行为进行审计、告警、阻断; c) 使用标记、注册、审核过的移动存储介质应通过口令、指纹、证书等方式进行身份鉴别; d 应对移动存储介质的使用进行权限控制,可按照用户、部门、安全级别等进行权限控制
5.4生产业务终端安全防护功能要习
5.4.4移动介质管理
外设控制满足下列要求: 应对带有存储功能的外设进行限制,防止通过安装专用软件,将外设以存储设备类型加载到 铁路计算机终端; b) 应能对USB接口、蓝牙、红外、1394、调制解调器、PCMCIA卡等外设端口进行禁用/启用控制; C 在离开铁路信息网络环境的情况下,能根据既定策略禁用外设端口。
5.4.6文件流入控制
流人生产业务终端的文件,应采用单向传输技术实现USB存储设备的数据向铁路计算机终端的单
5. 4.7 文件流出控制
文件流出控制满足下列要求: a)生产业务终端不应直接连接可刻录光驱、打印机,不应直接写人USB存储设备,其数据流出 (光盘刻录、USB存储设备导出、文件打印等)应采用集中流出形式; b) 应对数据流出发出者进行身份确认; 应对数据流出提供基于文件类型、关键词、流出用户身份等特征的自动审核;
5.5终端安防系统安装要求
终端安防系统安装满足下列要求: 集中管理软件应支持标准安装包手工安装形式进行安装部署; 终端代理软件应支持标准安装包手工安装、自动分发安装两种方式; ) 集中管理软件应支持Windows、Linux等主流操作系统; 终端代理软件应支持主流铁路计算机终端和操作系统
5.6终端安防系统管理功能要求
5.6.1集中管理软件管理功能满足以下要求
a) 应能限制未安装终端代理软件的铁路计算机终端的网络访问行为; b) 应能发现已经卸载终端代理软件的铁路计算机终端,并对其进行隔离、告警和审计等操作; 应提供升级包手工升级方式; d) 应提供管理员通过集中管理软件统一分发完成对终端代理软件升级的方式; e) 应提供对铁路计算机终端的在线管理能力,能向终端代理软件下发安全策略; f 应将铁路计算机终端与用户身份进行关联,实现基于用户的策略分发和管理功能; 名 应能针对用户或铁路计算机终端划分逻辑组,针对每一个逻辑组可配置不同的安全策略,支 持组下划分子组,不限制子组层次; h) 应提供分权限管理机制,核心管理权限分属至少两名不同权限的管理员; i 应支持分级管理方式,每一级管理中心管理本级铁路计算机终端,上级管理中心向下级管理 中心下发安全策略塔吊标准规范范本,下级管理中心向上级管理中心上报安全状态及志: j 接收终端代理软件上报信息时应验证信息的完整性、可信性。 5.6.2 终端代理软件管理功能满足以下要求: a 当铁路计算机终端与管理服务器之间的网络连接断开时,应能执行既定的安全策略; b 应对用户进行身份认证; 应收集并上报铁路计算机终端的在线状态、策略执行结果及审计日志等信息,保证离线的铁 路计算机终端上线时及时上报在线状态、策略执行结果及审计日志等信息
5.7终端安防系统性能要求
终端安防系统性能满足下列要求: a)集中管理软件与终端代理软件之间的通信数据传输速率可调,通信时间可控; b)单节点集中管理软件应支持不少于5000个铁路计算机终端的在线管理;
5.8终端安防系统可用性要求
终端安防系统可用性满足下列要求: a 集中管理软件应支持双机热备、集群等应用模式,避免单点故障; b) 终端代理软件应与主流软件防火墙有较好的兼容性; C 终端代理软件不应与主流办公软件及铁路应用软件相冲突: d) 终端代理软件应稳定运行,执行安全策略,并将相关审计日志等信息进行上报; 终端代理软件在操作系统安全模式下,应能执行既定的安全策略; f 终端代理软件应随操作系统启动,并采取措施防止非授权用户强行终止终端代理程序、破坏 终端代理程序运行目录和相关文件、修改终端代理程序的启动类型等操作;
g)终端代理软件应保证铁路计算机终端有效执行终端安防系统分发的安全策略,防止非授权用 户通过虚拟机等手段拒绝执行安全策略; h)终端代理软件不应被主流防病毒软件识别为病毒或恶意代码
交通标准[1]GA/T671一2006信息安全技术终端计算机系统安全等级技术要求 [2]】GB17859一1999计算机信息系统安全保护等级划分准则 [3]GB/T29240一2012信息安全技术终端计算机通用安全技术要求与测试评价方法 [4] GB/T30278—2013 信息安全技术 政务计算机终端核心配置规范
....- 相关专题: