附件2
Q/CR656-2018《铁路综合信息网局域网安全防护技术要求》
第1号修改单
(Q/CR656-2018XG1-2023)
修改内容
一、第二章
原条款:
2规范性引用文件
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
Q/CR545-2016铁路计算机终端安全防护系统技术规范
Q/CR655-2018铁路信息系统设备安全配置基线
修改为:
2规范性引用文件
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
Q/CR545-2016铁路计算机终端安全防护系统技术规范
Q/CR655-2018铁路信息系统设备安全配置基线
Q/CR772铁路网络安全等级保护基本要求安全通用要求
二、4.3条
原条款:
4.3网络安全防护基本要求
铁路综合信息网IP地址的分配和使用应遵从铁路计算机网络IP地址分配与管理相关要求.铁路综合信息网移动智能终端应符合铁路站(场)局域网移动智能终端安全接入平台的相关
要求.
铁路综合信息网局域网的网络设备及网络安全设备的配置应符合Q/CR655-2018(《铁路信息系统设备安全配置基线》)的相关要求.
铁路综合信息网局域网的网络安全设备所制定的安全策略应采用白名单机制、遵循权限最小化原则.
修改为:
4.3网络安全防护基本要求
铁路综合信息网IP地址的分配和使用应遵从铁路计算机网络IP地址分配与管理相关要求.
铁路综合信息网移动智能终端应符合铁路站(场)局域网移动智能终端安全接入平台的相关要求.
铁路综合信息网局域网的网络设备及网络安全设备的配置应符合Q/CR655-2018的相关规定.
化原则. 铁路综合信息网局域网的网络安全设备所制定的安全策略应采用白名单机制、遵循权限最小
局域网基础环境应根据其确定的网络安全等级保护级别,符合Q/CR772规定的对应等级的安全保护要求.
三、图1
原图1:
图1铁路综合信息网架构示意
修改为:
图1铁路综合信息网架构示意
四、5.1.1条
原条款:
5.1.1外部服务网架构
外部服务网分为应用类服务区、运维管理区、广域网接入区、专线接入区、终端接入区和互联网接入区.外部服务网架构如图2所示.
应用类服务区主要用于部署与互联网有关的业务服务.
运维管理区用于实现对外部服务网的集中运维管理、统一监控.
广域网接入区用于实现总公司和铁路局集团公司外部服务网的安全互联、数据路由以及集中管控.
专线接入区用于实现对总公司内部和外部单位的安全接入和管控.
终端接入区主要用于外部服务网中办公类有线无线终端用户的安全接入和管控.
互联网接入区用于实现外部服务网对互联网的安全接入和管控.
修改为:
5.1.1外部服务网架构
外部服务网分为应用类服务区、运维管理区、广域网接入区、专线接入区、终端接入区和互联网接入区.外部服务网架构如图2所示.
应用类服务区主要用于部署与互联网有关的业务服务.
运维管理区用于实现对外部服务网的集中运维管理、统一监控.
广域网接入区用于实现总公司和铁路局集团公司、铁路局集团公司与站段外部服务网的安全
互联、数据路由以及集中管控.
专线接入区用于实现对总公司内部和外部单位的安全接入和管控.终端接入区主要用于外部服务网中办公类有线无线终端用户的安全接入和管控.互联网接入区用于实现外部服务网对互联网的安全接入和管控.
五、5.1.2.3条
原条款:
5.1.2.3广域网接入区
广域网接入区要求如下:a)铁路总公司与铁路局集团公司局域网应仅通过各自的广域网接入区互联:b)铁路局集团公司间进行数据交换时应通过总公司广域网接入区进行数据转发、路由控制和防范处置.
修改为:
5.1.2.3广域网接入区
广域网接入区要求如下: a)铁路总公司与铁路局集团公司局域网应仅通过各自的广域网接入区互联:b)铁路局集团公司和站段应仅通过各自的广域网接入区互联:c)铁路局集团公司间进行数据交换时应通过总公司广域网接入区进行数据转发、路由控制和防范处置.
六、全文及图
原条款:
全文及对应图中的“应用类服务区”、“应用类服务器区”.
修改为:
全文及对应图中的“应用服务区”.
