ICS 45.120 CCS S70 团体标准 T/CITSA44-2024 轨道交通车辆 以太网控制网络安全审计产品技术要求 Railtransit vehicle-Technical requirements for security audit productforEthernetcontrolnetwork 2024-10-16发布 2024-11-30实施 中国智能交通协会 发布
T/C1TSA 44-2024 目次 前言.. 1范围, 2规范性引用文件 3术语和定义, 4缩略语. 5产品描述 2 6运用条件 2 7技术要求 7.1审计功能要求, 7.2管理要求, 7.3性能要求 5 7.4其它要求 8检验...... 6 6 8.1检验分类 8.2型式检验 6 8.3出厂检验 8.4装车试验 附录A(资料性) 车辆以太网控制网络安全审计产品应用场景
T/C1TSA 44-2024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中车南京浦镇车辆有限公司提出.
本文件由中国智能交通协会归口.
本文件起草单位:中车南京浦镇车辆有限公司、中车株洲电力机车有限公司、中车青岛四方机车车 辆股份有限公司、中车大连机车车辆有限公司、中车大连电力牵引研发中心有限公司、公安部第三研究 所、杭州中电安科有限公司、北京威努特技术有限公司.
本文件主要起草人:张军贤、张潜、林业、王乐、涂本荣、黄众、崔玉龙、张朋、王建强、邹春明、 苗维杰、姜晓波.
I1
T/CITSA 44-2024 轨道交通车辆 以太网控制网络安全审计产品技术要求 1范围 本文件规定了城市轨道交通车辆以太网控制网络安全审计产品的运用条件、安全技术要求和检验要 求等.
本文件适用于城市轨道交通车辆,其它轨道交通车辆可参照执行.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T20945-2023信息安全技术信息系统安全审计产品技术规范 GB/T21563轨道交通机车车辆设备冲击和振动试验 GB/T25069信息安全技术术语 GB/T25119-2021轨道交通机车车辆电子装置 GB/T28029.4轨道交通电子设备列车通信网络(TCN)第2-3部分:TCN通信规约 GB/T32347.1轨道交通设备环境条件第1部分:机车车辆设备 GB/T37941信息安全技术工业控制系统网络审计产品安全技术要求 3术语和定义 GB/T20945-2023和GB/T25069-2022界定的及下列术语和定义适用于本文件.
3.1 安全审计securityaudit 对网络、信息系统及其组件的记录与活动的独立评审和考察,以测试系统控制的充分程度,确保对 于既定安全策略和运行规程的符合性,发现安全违规,并在控制、安全策略和过程三方面提出改进建议.
[来源:GB/T20945-2023 3.4] 3.2 车辆以太网控制网络vehicleEthernet controlnetwork 基于以太网构建的轨道交通车辆控制网络,实现列车控制、诊断、显示告警及存储分析等功能.
3.3 车辆以太网控制网络通信协议vehicleEthernetcontrolnetworkmunicationprotocol 应用于轨道交通车辆以太网控制网络中各控制器设备之间的网络通信报文规约.
3.4 车辆以太网控制网络安全审计产品vehicleEthernetcontrolnetworksecurityauditproducts 部署于车载以太网控制网络中,对网络流量进行采集、记录和分析,并针对特定事件采取相应匹配 动作的产品.
4缩略语 下列缩略语适用于本文件.
CPU:中央处理器(Central Processing Unit) FTP:文件传输协议(File Transfer Protocol) HTTP:超文本传输协议(Hyper Text Transfer Protocol)
T/C1TSA 44-2024 IP:网际互联协议(Internet Protocol) MAC:媒体接入控制(Media Access Service) MDI:与介质有关的接口(Medium DependentInterface) SDTv2:安全数据传输v2版本(Safe Data Transmission version 2) SNMP:简单网络管理协议(Simple Network Management Protocol) TCMS:列车控制和管理系统(Train Control and Management System) TRDP:列车实时数据协议(Train Real-time Data Protocol) VCU:车辆控制单元(Vehicle ControlUnit) URI:统一资源标识符(Uniform Resource Identifier) URL:统一资源定位符(Uniform Resource Locator) 5产品描述 车辆以太网控制网络安全审计产品是应用于轨道交通车辆车载以太网控制网络中,通过对网络通信 流量采集、分析,监测车辆以太网控制网络中的非法活动或行为,并提供报警,对车辆以太网控制网络 流量完成审计功能的产品.
设备可以是一体化硬件设备,也可以是分体式硬件设备,采用旁路方式接入到轨道交通车辆车载以 太网控制网络中.
设备应满足轨道交通车辆环境和安全功能的特定要求.
车辆以太网控制网络安全审计产品应用场景见附录A.
6运用条件 6.1设备安装在车体内.
6.2设备的高低温、交变湿热、电源过电压、电磁兼容、绝缘、低温存放等性能应满足GB/T25119 的要求,见本文件8.1.
6.3设备的冲击和振动应满足GB/T21563中1类B级的要求.
6.4环境温度范围:-25℃~45℃,允许在不低于-40C的环境下存放.
6.5因各城市所处地区不同面存在气候条件的差异,超出以上规定条件时,由供需双方按GB/T32347.1 的规定值协商确定.
6.6产品应满足国家网络安全专用产品的监管要求,由具备资格的机构安全认证合格或者安全检验符 合要求,具有安全认证证书或者安全检测证书.
6.7设备装车运用前应通过车载产品相关设备型式检验并取得报告.
7技术要求 7.1审计功能要求 7.1.1审计数据采集 7.1.1.1产品应支持基于策略的数据采集,包括: a)支持基于网络层要素的数据采集策略:至少包括源/目的MAC或源/目的IP、传输层协议、目 的端口: b)支持基于列车以太网控制网络传输协议的数据采集策略: c)支持全流量报文的采集.
7.1.1.2产品应能根据源/目的MAC或IP地址、协议类型、日期时间段等对流量进行监测审计.
7.1.1.3产品应能够在实际的系统环境和网络带宽下及时生成审计数据,并支持以统计报表的形式输 出.
7.1.1.4对数据的实时采集监测不应影响车辆以太网控制网络正常运行.
2
