ICS 45.120 CCS S70 团体标准 T/CITSA43-2024 轨道交通车辆 以太网控制网络防火墙技术要求 Railtransit vehicle -Technicalrequirements for firewal1 forEthernetControlNetwork 2024-10-16发布 2024-11-30实施 中国智能交通协会 发布
T/C1TSA43-2024 目次 前言 1范围.. 2规范性引用文件 3术语和定义 4缩略语.. 5产品描述 6运用条件.
7技术要求.. 7.1功能要求 7.2性能要求 7.3自身安全要求 7.4软件要求, 7.5接口要求, 8检验.. 8.1检验分类 8.2型式检验.
8.3出厂检验.
8.4装车试验 附录A(资料性)车辆以太网控制网络防火墙应用场景
T/C1TSA 43-2024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中车南京浦镇车辆有限公司提出.
本文件由中国智能交通协会归口.
本文件起草单位:中车南京浦镇车辆有限公司、中车青岛四方机车车辆股份有限公司、公安部第三 研究所、中车大连电力牵引研发中心有限公司、中车大连机车车辆有限公司、杭州中电安科现代科技有 限公司、中车青岛四方车辆研究限公司、北京珞安科技有限责任公司、同济大学、上海泽高电子工 程技术股份有限公司.
本文件主要起草人:陈关霞、齐玉玲、林业、茅巡、王春萌、唐婧、邹春明、于人生、丛培鹏、张 俊峰、张中豪、陆学鹏、沈拓、薛腾辉、邓辰鑫.
I1
T/CITSA 43-2024 轨道交通车辆 以太网控制网络防火墙技术要求 1范围 本文件规定了城市轨道交通车辆以太网控制网络防火墙的运用条件、技术要求及检验要求等.
本文件适用于城市轨道交通车辆,其它轨道交通车辆可参照执行.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T20281一2020信息安全技术防火墙安全技术要求和测试评价方法 GB/T25069-2022信息安全技术术语 GB/T25119-2021轨道交通机车车辆电子装置 GB/T32347.1轨道交通设备环境条件第1部分:机车车辆设备 GB/T37933-2019信息安全技术工业控制系统专用防火墙技术要求 GB/T37941信息安全技术工业控制系统网络审计产品安全技术要求 3术语和定义 GB/T20281-2020和GB/T25069-2022界定的以及下列术语和定义适用于本文件.
3. 1 防火墙firewall 对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品.
[来源:GB/T20281-2020,3.1] 3.2 车辆以太网控制网络vehicleEthernetcontrolnetwork 基于以太网构建的轨道交通车辆控制网络,实现列车控制、诊断、显示告警及存储分析等功能.
3. 3 车辆以太网控制网络防火墙vehicleEthernetcontrolnetworkfirewal1 部署于车辆网络控制系统中不同的安全域之间或安全边界处,具备网络层访间控制及过滤、车载通 信协议规约检查和过滤功能,并具备高可用性,能够适应于轨道交通车载使用环境的安全网关类产品.
4缩略语 下列缩略语适用于本文件.
ARP:地址解析协议(Address Resolution Protocol) CPU:中央处理器(Central Processing Unit) DNAT: 目的地址转换(Destination Network Address Translation) ESD:静电放电(Electro-Static Discharge) FTP:文件传输协议(FileTransfer Protocol) HTML:超文本标记语言(Hyper Text Markup Language) HTTP:超文本传输协议(Hypertext Transfer Protocol)
T/C1TSA 43-2024 ICMP:因特网控制报文协议(Internet Control Message Protocol) IP:网际互连协议(Internet Protocol) LTE:长期演进(Long Term Evolution) MAC:介质访间控制(Media Access Control) MCG:移动通讯网关(Mobile Communication Gateway) MDI:介质相关类设备(Medium Dependent Interface) MDI-X:介质相关类交叉设备(Medium Dependent Interface cross-over) NAT:网络地址转换(Network Address Translation) PDF:便携式文档格式(Portable DocumentFormat) RTSP:实时流传输协议(RealTime Streaming Protocol) SFTP:安全文件传输协议(Secret File Transfer Protocol) SNAT:源网络地址转换(Source NAT) SNMP:简单网络管理协议(Simple Network Management Protocol) SSH:安全外壳协议(Secure Shel1) TCMS:列车控制和管理系统(Train Controland Management System) TCP:传输控制协议(Transmission ControlProtocol) TRDP:列车实时数据协议(Train Real-time Data Protocol) UDP:用户数据报协议(User Datagram Protocol) VCU:车载控制单元(Vehicle ControlUnit) VLAN:虚拟局域网(Virtual LocalArea Network) WLAN:无线局域网(Wireless LocalArea Network) 5产品描述 车辆以太网控制网络防火墙是应用于轨道交通车辆车载控制系统安全边界的一类特殊防火墙,既要 满足GB/T37933中防火墙的基本要求,又要满足轨道交通车辆环境下的特殊要求,其典型部署场景见附 录A. 6运用条件 6.1设备安装在车体内.
6.2设备的高低温、交变湿热、电源过电压、电磁兼容、绝缘、低温存放等性能应满足GB/T25119 的要求,见本文件8.1.
6.3设备的冲击和振动应满足GB/T21563中1类B级的要求.
6.4环境温度范围:-25℃~45℃,允许在不低于-40C的环境下存放.
6.5因各城市所处地区不同面存在气候条件的差异,超出以上规定条件时,由供需双方按GB/T32347.1 的规定值协商确定.
6.6产品应满足国家网络安全专用产品的监管要求,由具备资格的机构安全认证合格或者安全检验符 合要求,具有安全认证证书或者安全检测证书.
6.7设备装车运用前应通过车载产品相关设备型式检验并取得报告.
7技术要求 7.1功能要求 7.1.1访问控制功能 7.1.1.1产品应基于五元组的安全策略:源IP、目的IP、源端口、目的端口、传输层协议类型,应支 持MAC地址、时间的部分或全部组合.
7.1.1.2产品应支持针对协议的数据过滤,包括但不限于TCP/IP、UDP、Telnet、SFTP、SSH、RTSP 等.
2
