JTT 1417-2022 交通运输行业网络安全等级保护基本要求

学兔兔标准下载目　　次前言Ⅲ…………………………………………………………………………………………………………引言Ⅴ…………………………………………………………………………………………………………1　范围1………………………………………………………………………………………………………2　规范性引用文件1…………………………………………………………………………………………3　术语和定义1………………………………………………………………………………………………4　缩略语2……………………………………………………………………………………………………5　通则2………………………………………………………………………………………………………　5.1　等级保护对象与安全保护等级2……………………………………………………………………　5.2　安全保护能力2………………………………………………………………………………………　5.3　安全通用要求与安全扩展要求3……………………………………………………………………6　第一级安全要求3…………………………………………………………………………………………　6.1　安全通用要求3………………………………………………………………………………………　6.2　云计算安全扩展要求12………………………………………………………………………………　6.3　移动互联安全扩展要求13……………………………………………………………………………　6.4　物联网安全扩展要求13………………………………………………………………………………　6.5　工业控制系统安全扩展要求14………………………………………………………………………　6.6　大数据安全扩展要求15………………………………………………………………………………7　第二级安全要求15…………………………………………………………………………………………　7.1　安全通用要求15………………………………………………………………………………………　7.2　云计算安全扩展要求32………………………………………………………………………………　7.3　移动互联安全扩展要求35……………………………………………………………………………　7.4　物联网安全扩展要求36………………………………………………………………………………　7.5　工业控制系统安全扩展要求36………………………………………………………………………　7.6　大数据安全扩展要求38………………………………………………………………………………8　第三级安全要求39…………………………………………………………………………………………　8.1　安全通用要求39………………………………………………………………………………………　8.2　云计算安全扩展要求62………………………………………………………………………………　8.3　移动互联安全扩展要求67……………………………………………………………………………　8.4　物联网安全扩展要求68………………………………………………………………………………ⅠJT/T1417—2022学兔兔标准下载　8.5　工业控制系统安全扩展要求70………………………………………………………………………　8.6　大数据安全扩展要求72………………………………………………………………………………9　第四级安全要求73…………………………………………………………………………………………参考文献74……………………………………………………………………………………………………ⅡJT/T1417—2022学兔兔标准下载前　　言本文件按照GB/T1.1—2020《标准化工作导则　第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、深信服科技股份有限公司、北京地铁科技发展有限公司、交通运输部路网监测与应急处置中心、天津港信息技术发展有限公司。本文件主要起草人:杜渐、戴明、邹然、李剑、邢宏伟、刘宇畅、赵国全、于俊杰、刘艳、邢广博、李飞、伊玮珑、乐谦、周金岭、严磊、刘晓罡、李岩、班斓。ⅢJT/T1417—2022学兔兔标准下载引　　言交通运输行业是整个国民经济的重要组成部分,是国家实施网络安全等级保护的重点行业之一,需要行业主管部门进一步加强网络安全工作的管理和指导,规范相关工作开展,切实保障行业网络安全。本文件在GB17859—1999、GB/T22239—2019等国家标准的基础上,根据交通运输行业技术发展水平和网络安全防护要求,提出针对交通运输行业不同安全保护等级对象的最低保护要求。为方便本文件的使用,抄录了GB/T22239—2019的较多条款内容,并标明了来源。本文件条款中粗体字部分表示较高等级中增加或针对国家标准有增强的要求。ⅤJT/T1417—2022学兔兔　范围本文件规定了交通运输行业网络安全等级保护的通则,以及第一级至第四级的安全要求。本文件适用于交通运输行业网络安全的规划设计、安全建设和监督管理。2　规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8　信息技术　词汇　第8部分:安全GB17859　计算机信息系统安全保护等级划分准则GB/T20839　智能运输系统　通用术语GB/T22239—2019　信息安全技术　网络安全等级保护基本要求JT/T904　交通运输行业信息系统安全等级保护定级指南3　术语和定义GB/T5271.8、GB17859、GB/T20839、GB/T22239和JT/T904界定的以及下列术语和定义适用于本文件。3.1网络安全　cybersecurity通过采取必要措施,防范网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性和可用性的能力。[来源:GB/T22239—2019,3.1]3.2云服务商　cloudserviceprovider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的基础设施及软件,通过网络交付云计算的资源。[来源:GB/T31167—2014,3.3]3.3云服务客户　cloudservicecustomer使用云计算服务同云服务商建立业务关系的参与方。[来源:GB/T31167—2014,3.4,有修改]3.4基线核查　baselineverification一种对网络设备、安全设备、主机操作系统、数据库管理系统和业务应用系统的最低安全要求配置基线进行核查的方法。1JT/T1417—2022学兔兔重要数据处理系统　importantdataprocessingsystem对数据进行路由转发、访问控制、网络交换、发布使用和存储的重要通信设备和计算设备。注:重要通信设备和计算设备包括但不限于边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器。3.6数据安全保护系统　datasecurityprotectionsystem对数据进行保护的系统或工具。注:系统或工具包括但不限于数据库防火墙、数据防泄露、脱敏系统、数据库加密系统、文件加密系统。4　缩略语下列缩略语适用于本文件。AP:无线访问接入点(WirelessAccessPoint)CPU:中央处理器(CentralProcessingUnit)DDoS:拒绝服务(DistributedDenialofService)DNS:域名系统(DomainNameSystem)FTP:文件传输协议(FileTransferProtocol)HTTP:超文本传输协议(HyperTextTransferProtocol)HTTPS:超文本传输安全协议(HyperTextTransferProtocoloverSecureSocketLayer)IP:互联网协议(InternetProtocol)IT:信息技术(InformationTechnology)MAC:消息认证码(MessageAuthenticationCode)POP3:邮局协议版本3(PostOfficeProtocol-Version3)SMTP:简单邮件传输协议(SimpleMailTransferProtocol)SQL:结构化查询语言(StructuredQueryLanguage)SSH:安全外壳协议(SecureShell)SSID:服务集标识(ServiceSetIdentifier)VPN:虚拟专用网络(VirtualPrivateNetwork)WEP:有线等效加密(WiredEquivalentPrivacy)5　通则5.1　等级保护对象与安全保护等级等级保护对象,即网络安全等级保护工作中的对象,是指由计算机或其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统等。交通运输行业等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、公共利益以及公民、法人和其他组织合法权益的危害程度,由低到高划分为五个安全保护等级。交通运输行业网络安全等级保护对象的安全保护等级按照JT/T904的要求确定。5.2　安全保护能力不同级别的交通运输行业等级保护对象应具备的基本安全保护能力应符合GB/T22239—2019中2JT/T1417—2022学兔兔的规定。5.3　安全通用要求与安全扩展要求由于业务目标、使用技术及应用场景的不同,等级保护对象会以不同的形态出现,形态不同的等级保护对象面临的威胁不同,安全保护需求也应不同。为实现对不同级别和不同形态的等级保护对象的共性化和个性化保护,等级保护对象的安全要求分为安全通用要求和安全扩展要求。安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,应根据安全保护等级和使用的特定技术或特定的应用场景选择实现安全扩展要求。[来源:GB/T22239—2019,5.3]安全要求的选择应符合GB/T22239—2019中附录A的规定。6　第一级安全要求6.1　安全通用要求6.1.1　安全物理环境6.1.1.1　物理访问控制机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。[来源:GB/T22239—2019,6.1.1.1]6.1.1.2　防盗窃和防破坏应将网络设备、安全设备、服务器及存储设备等设备或主要部件进行固定,并设置明显的不易除去的标识,标识应标明资产编号、设备责任人等信息。6.1.1.3　防雷击应将各类机柜、设施和设备等通过接地系统安全接地。[来源:GB/T22239—2019,6.1.1.3]6.1.1.4　防火机房应设置手提式气体灭火器。灭火器应通过年检,应在有效期内并能够正常使用。6.1.1.5　防水和防潮应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。[来源:GB/T22239—2019,6.1.1.5]6.1.1.6　温湿度控制应设置必要的温湿度调节设施,使机房温湿度变化在设备运行所允许的范围之内。[来源:GB/T22239—2019,6.1.1.6]6.1.1.7　电力供应应在机房供电