铁总运〔2014〕265号-客票安全系统部分

铁总运〔2014〕265号-客票安全系统部分

ID:43744200

大小:401.88 KB

页数:34页

时间:2019-10-13

铁总运〔2014〕265号-客票安全系统部分_第1页
铁总运〔2014〕265号-客票安全系统部分_第2页
铁总运〔2014〕265号-客票安全系统部分_第3页
铁总运〔2014〕265号-客票安全系统部分_第4页
铁总运〔2014〕265号-客票安全系统部分_第5页
资源描述:

《铁总运〔2014〕265号-客票安全系统部分》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、TJ/KH015-2014铁总运【2014】265号铁路客票系统技术条件(铁路局及车站客票安全部分)1客票安全1.1总体安全架构图6-1-1如图6-1-1所示,铁路局客票安全系统分客票核心业务域和车站客票终端域两级防护,对铁路局的核心业务域按照“一个中心下的三重防护体系”实施安全防护。从计算环境、区域边界以及通信网络三个环节,分别进行安全防护,并通过统一的安全管理中心来协调工作,从而实现基于系统访问全过程的闭环控制。(1)计算环境安全防护,包含对受控业务终端进行安全加强、服务器系统进行结构化保护,实施了身份受控、操作审计、主

2、机安全和应用安全等措施,构成34计算环境安全;(1)区域边界安全防护,在车站和铁路局边界,实现了基于业务的强制访问控制策略,包含对铁路局网络实施安全监控和审计,并根据客票业务类型进行安全标记,实现了在线对网络数据包的完整性验证、安全检查和访问控制;在铁路局客票系统和其他铁路内部系统(铁路局电话订票系统、客票审核系统等)间,采用了客票外网安全接入平台,实现了核心业务域的高安全;(2)通信网络安全防护,在铁路局和铁路总公司、车站之间分别部署了安全通讯平台,实现了铁路局与铁路总公司、车站间的信息保护,包含关键信息的机密性、关键指令

3、和消息的完整性、可认证性保护等。(3)安全管理中心,主要实现了网络管理、系统管理、安全管理和安全审计等功能。同时,建立铁路局级安全管理中心的公钥基础设施(为总公司PKI公钥基础设施的延伸),铁路局PKI设施包含RA系统、从LDAP和密码设备等,为客票安全系统提供了密钥和证书管理服务。1.1设备部署34图6-2-1上图主要体现了铁路局及车站安全系统的主要设备。信息安全专用产品应符合公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》;密码产品应符合国家密码管理局相关管理规定。(1)铁路局级客票安全系统设备分为四部分:安

4、全管理中心设备、内部安全区域边界设备、外部安全区域边界设备及本地终端区安全设备。1)安全管理中心设备包含:安全管理与控制平台、安全集中配置管理器(主从)、两套相对独立数据库系统(分别用于业务交易和审计)、LVS负载均衡器、证书注册系统(RA系统)、证书/证书撤销列表存储与发布系统(LDAP34系统)、服务器密码机和安全通讯平台、核心管控器、网络管控器、主机管控器。1)内部安全区域边界设备包含:铁路局客票核心业务服务区与本地安全管理中心、客票业务终端区、铁路总公司之间的可管控防火墙;铁路局与车站之间的网络边界的可管控防火墙和基

5、于负载均衡的应用防火墙、安全通讯平台。2)外部安全区域边界设备包含:电话订票系统安全边界保护系统;收入、统计专用单向安全隔离与信息交换;旅客服务专用单向隔离与信息交换系统;客运营销子系统专用安全隔离与信息交换系统和安全接入网关。3)本地终端区安全设备包含:USBKEY证书便携设备和WINDOWS终端安全代理。(1)车站级客票安全系统设备包括:安全集中配置管理器(从)、安全通讯平台、网络管控器;车站客票业务终端配置用户和节点安全认证设备(USBKEY)和终端安全管控代理。1.1安全功能为客票系统建立符合等级保护要求的安全保障体

6、系,完成基于“一个中心”管理下“三重保护”的体系框架,对受控终端系统采用安全加强、对服务器系统采用安全管控实施结构化保护;对基于安全标记的业务流实施强制访问控制;在安全管理中心支持下,对分布在内部计算环境的各种安全机制和服务进行统一管理和调度。(1)安全计算环境通过业务终端安全加强和服务器系统结构化保护,实现客票业务核心域的计算环境安全防护功能:34通过终端安全加强,完成用户和业务终端的身份鉴权,防止身份冒用及非授权业务终端接入。同时通过安全管理中心,完成客票系统资源控制、强制访问控制、主机审计、应用审计和恶意代码防护,实现

7、售票终端的主机防护和客票应用环境安全保护,保证身份受控、主机受控、操作可审计、防范恶意代码和防止资源滥用等。通过对客票系统服务器的安全管控,实施二维强制访问控制,完成基于用户角色权限的访问控制、核心业务域的安全检查、受控终端的可信接入,实现客票服务器的结构化保护。通过代售点互联网接入管控器,完成代售点通过互联网通道的安全接入。(1)安全区域边界通过网络监控和审计、区域边界安全检查和访问控制,完成路局内网安全防护和网络边界防护功能:通过核心管控器、网络管控器、主机管控器、互联网接入管控器、可管控防火墙、可管控应用防火墙、安全隔

8、离与信息交换系统、安全接入网关等完成基于安全标记的业务交易的强制访问控制、交易完整性验证、边界安全检查和安全审计等。(2)安全通讯网络通过密码子系统和安全通讯平台完成可信路径设置、完整性和保密性保护,保证传输路径安全和传输数据内容安全。完成通信网络安全审计,并在密码子系统支持下,实现通信网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。