交通运输行业网络安全等级保护基本要求 JTT1417-2022.pdf

目次前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语25 通则2 5.1 等级保护对象与安全保护等级2 5.2 安全保护能力2 5.3 安全通用要求与安全扩展要求36 第一级安全要求3 6.1 安全通用要求3 6.2 云计算安全扩展要求12 6.3 移动互联安全扩展要求13 6.4 物联网安全扩展要求13 6.5 工业控制系统安全扩展要求14 6.6 大数据安全扩展要求157 第二级安全要求15 7.1 安全通用要求15 7.2 云计算安全扩展要求32 7.3 移动互联安全扩展要求35 7.4 物联网安全扩展要求36 7.5 工业控制系统安全扩展要求36 7.6 大数据安全扩展要求388 第三级安全要求39 8.1 安全通用要求39 8.2 云计算安全扩展要求62 8.3 移动互联安全扩展要求67 8.4 物联网安全扩展要求68JT/T 14172022 8.5 工业控制系统安全扩展要求70 8.6 大数据安全扩展要求729 第四级安全要求73参考文献74JT/T 14172022前言本文件按照 GB/T 1.12020标准化工作导则 第1 部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、深信服科技股份有限公司、北京地铁科技发展有限公司、交通运输部路网监测与应急处置中心、天津港信息技术发展有限公司。本文件主要起草人:杜渐、戴明、邹然、李剑、邢宏伟、刘宇畅、赵国全、于俊杰、刘艳、邢广博、李飞、伊玮珑、乐谦、周金岭、严磊、刘晓罡、李岩、班斓。JT/T 14172022引言交通运输行业是整个国民经济的重要组成部分,是国家实施网络安全等级保护的重点行业之一,需要行业主管部门进一步加强网络安全工作的管理和指导,规范相关工作开展,切实保障行业网络安全。本文件在 GB 178591999、GB/T 222392019 等国家标准的基础上,根据交通运输行业技术发展水平和网络安全防护要求,提出针对交通运输行业不同安全保护等级对象的最低保护要求。为方便本文件的使用,抄录了 GB/T 222392019 的较多条款内容,并标明了来源。本文件条款中粗体字部分表示较高等级中增加或针对国家标准有增强的要求。JT/T 14172022交通运输行业网络安全等级保护基本要求1 范围本文件规定了交通运输行业网络安全等级保护的通则,以及第一级至第四级的安全要求。本文件适用于交通运输行业网络安全的规划设计、安全建设和监督管理。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 5271.8 信息技术 词汇 第 8 部分:安全GB 17859 计算机信息系统安全保护等级划分准则GB/T 20839 智能运输系统 通用术语GB/T 222392019 信息安全技术 网络安全等级保护基本要求JT/T 904 交通运输行业信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8、GB 17859、GB/T 20839、GB/T 22239 和 JT/T 904 界定的以及下列术语和定义适用于本文件。3.1网络安全 cyber security通过采取必要措施,防范网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性和可用性的能力。来源:GB/T 222392019,3.13.2云服务商 cloud service provider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的基础设施及软件,通过网络交付云计算的资源。来源:GB/T 311672014,3.33.3云服务客户 cloud service customer使用云计算服务同云服务商建立业务关系的参与方。来源:GB/T 311672014,3.4,有修改3.4基线核查 baseline verification一种对网络设备、安全设备、主机操作系统、数据库管理系统和业务应用系统的最低安全要求配置基线进行核查的方法。1JT/T 141720223.5重要数据处理系统 important data processing system对数据进行路由转发、访问控制、网络交换、发布使用和存储的重要通信设备和计算设备。注:重要通信设备和计算设备包括但不限于边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器。3.6数据安全保护系统 data security protecti