铁路云计算安全标准研究与实践

纪方; 田海波; 刘鹏宇

铁路云计算安全标准研究与实践

中国铁路信息科技集团有限公司，北京　100844

基金项目: 中国铁路总公司科技研究开发计划课题（P2018S001）

详细信息

作者简介:
纪　方，高级工程师

田海波，工程师

中图分类号: U29 : TP393
计量
- 文章访问数: 117
- HTML全文浏览量: 111
- PDF下载量: 49
出版历程
- 收稿日期: 2020-03-26
- 刊出日期: 2020-09-24

Research and practice of railway cloud computing security standards

China Railway Information Technology Group Co. Ltd., Beijing　100844, China

摘要

摘要: 为促进铁路云计算安全的合规性，对网络安全等级保护（简称：等级保护）2.0 制度进行了深入研究，分析了等级保护制度中云服务商与云用户的相互关系。对中国国家铁路集团有限公司主数据中心云平台的等级保护测评情况进行了分析研究，为铁路云计算安全标准合规工作提供参考。
- 云计算安全 /
- 网络安全 /
- 等级保护 /
- 测评
Abstract: In order to promote the compliance of railway cloud computing security, this article studied the network security level protection (hereinafter referred to as level protection) 2.0 system deeply, and analyzed the relationship between cloud service providers and cloud users in the hierarchical protection system. The article also analyzed and studied the classified protection evaluation of the cloud platform of the master data center of China Railway, so as to provide reference for the compliance of railway cloud computing security standards.
- cloud computing security /
- network security /
- classified protection /
- evaluation

HTML全文

图 1 云计算等级保护技术要求

下载: 全尺寸图片幻灯片

图 2 云计算服务模式与控制范围的关系

下载: 全尺寸图片幻灯片

图 3 主数据中心安全架构

下载: 全尺寸图片幻灯片

表 1 等级保护可信验证技术要求

等级	按级监管	保护级	可信保障
一级	自主保护	自主访问	基础软件可信
二级	指导保护	审计（自主访问）	应用程序验证
三级	监管检查	标记（强制访问）	执行动态度量
四级	强制监督检查	结构化保证	实时关联感知
五级	专门监督检查	实时监控	实时处置

下载: 导出CSV

表 2 第三级云计算安全扩展要求指标

扩展类型	安全类	安全控制点	测评项数
技术类要求	安全物理环境	基础设施位置	1
	安全通信网络	网络架构	5
	安全区域边界	访问控制	2
		入侵防范	4
		安全审计	2
	安全计算环境	身份鉴别	1
		访问控制	2
		入侵防范	3
		镜像和快照保护	3
		数据完整性和保密性	4
		数据备份恢复	4
		剩余信息保护	2
	安全管理中心	集中管控	4
管理类要求	安全建设管理	云服务商选择	5
	安全建设管理	供应链管理	3
	安全运维管理	云计算环境管理	1
安全扩展要求指标数量统计			46

下载: 导出CSV

参考文献(13)

[1]	王惠莅,杨晨,杨建军. 美国国家标准和技术研究院信息安全标准化系列研究(十三) 美国NIST云计算安全标准跟踪及研究 [J]. 信息技术与标准化,2012(6):49-52. DOI: 10.3969/j.issn.1671-539X.2012.06.013
[2]	姚远,左晓栋. 云计算安全国家标准研究 [J]. 电子技术应用,2014,40(8):4-6,9. DOI: 10.3969/j.issn.0258-7998.2014.08.002
[3]	陈兴蜀,杨露, 罗永刚,等. 国内外云计算安全标准研究 [J]. 信息安全研究,2016,2(5):424-428.
[4]	Security Guidance for Critical Areas of Focus in Cloud Computing-v4.0[EB/OL].[2017-07-26].https://cloudsecurityalliance.org/artifacts/security-guidance-v4/.
[5]	全国信息安全标准化委员会.云计算安全服务指南: GB/T 31167-2014[S]. 北京: 中国标准出版社, 2014.
[6]	全国信息安全标准化委员会.云计算服务安全能力要求: GB/T 31168-2014[S]. 北京: 中国标准出版社, 2014.
[7]	袁慧. 网络安全等级保护2.0制度的研究和探讨 [J]. 信息与电脑(理论版),2020,32(1):223-224.
[8]	马　力. 网络安全等级保护2.0标准体系介绍[EB/OL].[2020-05-20]. http://www.djbh.net/webdev/web/HomeWebAction.do?p=getGzjb&id=8a818256721b693f01723014d841000a.
[9]	张振峰,张志文,王睿超. 网络安全等级保护2.0云计算安全合规能力模型 [J]. 信息网络安全,2019(11):1-7.
[10]	全国信息安全标准化委员会.信息安全技术网络安全等级保护基本要求: GB/T 22239-2019[S]. 北京: 中国标准出版社, 2019.
[11]	汤飞,张彦. 云计算环境下信息系统安全防护 [J]. 铁路计算机应用,2015,24(2):71-75.
[12]	全国信息安全标准化委员会.信息安全技术网络安全等级保护测评要求: GB/T 28448-2019[S]. 北京: 中国标准出版社, 2019.
[13]	全国信息安全标准化委员会.信息安全技术网络安全等级保护测评过程指南: GB/T 28449-2018[S]. 北京: 中国标准出版社, 2019.