铁路客票安全系统使用管理办法.doc

铁 道 部 文 件铁运2007241号关于印发铁路客票安全系统使用管理办法（试行）的通知各铁路局，铁道科学研究院：现将铁路客票安全系统使用管理办法（试行）发给你们，请按照执行。二七年十一月二十日铁路客票安全系统使用管理办法（试行）第一章 总 则第1条 为保证铁路客票安全系统（以下称客票安全系统）正确运用、稳定运行，充分发挥其对TRS（铁路客票发售和预订系统，以下称客票系统）的安全保障作用，依据铁路客票发售和预订系统安全管理办法（铁运200411号）、客票发售和预订系统安全设备配置技术规范（铁运2007141号），结合客票业务以及客票安全系统特点，制定本办法。第2条 本办法适用于客票安全系统的运行和维护阶段，涉及用户、硬件、软件、网络通信以及安全管理制度等方面。各单位必须牢固树立安全意识，加强客票安全系统的使用管理，提高系统运行的可靠性和稳定性，确保充分发挥其安全防护作用。第二章 职责分工第3条 客票安全系统实行铁道部、铁路局、站段三级管理模式，由相应的客票主管部门负责管理，逐级抓好客票安全系统的权限管理、认证授权管理、安全配置管理、监控管理、审计管理及系统软硬件管理等工作。第一节 铁道部第4条 负责统一管理全路客票安全系统的软件版本，组织进行系统的升级工作。第5条 负责全路客票安全系统用户类权限划分。第6条 负责全路客票安全系统证书的管理，负责铁道部证书管理中心（证书签发中心、证书认证中心和密钥管理中心）的管理和维护；负责保管铁道部中心主控密钥卡和管理私钥卡；负责铁道部中心操作人员身份卡（操作人员的唯一标识）和节点身份卡（包括服务器、操作终端及网络设备等的客票系统和客票安全系统设备的唯一标识）的审批、发放和管理；负责对铁路局高级管理员的审批和授权。第7条 负责铁道部中心客票安全系统安全策略、拓扑图、主机服务器、网络防火墙、NSDS（核心管控器）等安全配置。第8条 负责对铁道部客票系统的安全状态进行监控，对异常情况按照规定及时处理并报告主管领导。第9条 负责对铁道部安全审计报告进行审查，对发生的安全事件进行分析和处理；对各铁路局提交的安全审计报告进行审查，督促、指导铁路局对发生的安全事件进行分析和处理。第10条 负责铁道部中心客票安全系统的系统管理和维护，包括系统软硬件管理、系统故障处理、系统备份与恢复。第11条 负责组织全路客票安全系统管理工作的检查和考核，对各管理和使用单位的安全工作进行表彰或处罚。第二节 铁路局第12条 贯彻落实铁道部关于客票安全系统的规章、制度及有关技术标准。第13条 依据铁道部关于客票安全系统的有关规定制定本局客票安全系统的使用管理办法及实施细则。第14条 负责对站段客票安全系统的运行与维护管理进行指导、监督和检查。第15条 负责组织本局客票安全系统的升级和维护工作。第16条 负责本局证书管理中心（证书认证中心和密钥管理中心）的管理和维护；负责本局客票安全系统操作人员的权限分配，负责本局所有操作人员身份卡和节点身份卡的审批、发放和管理。第17条 负责本局客票安全系统安全策略、拓扑图、主机服务器、网络防火墙、NSDS（核心管控器）等安全配置。第18条 负责对本局客票系统的安全状态进行实时监控，对异常情况及时处理并按规定上报铁道部。第19条 负责对本局安全审计和分析报告进行审查，对发生的安全事件进行分析和处理；督促、指导车站对发生的安全事件进行分析和处理；并定期将安全审计报告和审计分析报告上报铁道部。第三节 车站（车务段）第20条 贯彻落实铁道部和铁路局关于客票安全系统的使用管理办法，制定本单位实施细则。第21条 负责落实本单位客票安全系统的升级和维护工作。第22条 负责本单位操作人员身份卡和节点身份卡的申请和使用管理，并及时将变更信息上报上级主管部门审批。第23条 对本单位客票系统的安全状态进行监控，及时分析和处理发生的安全事件，并上报铁路局。第三章 权限管理第24条 客票安全系统管理和使用人员划分为以下7类：1. 高级管理员：负责本级业务管理员权限的授予。2. 系统管理员：负责客票安全系统的系统配置、维护、备份与恢复，可对客票系统的安全状态进行监控。3. 安全管理员：负责客票安全系统的安全配置管理, 并对异常事件进行处理，可对客票系统的安全状态进行监控。4. 业务管理员：此用户类权限只能由高级管理员授予，负责身份卡的信息维护、权限分配、审批、发放、变更以及证书管理等，并可对客票系统的安全状态进行监控。5. 安全值班员：负责对客票系统的安全状态进行监控、记录和报告。6. 安全审计员：负责对系统的各类安全事件以及日志进行审计、分析和报告。7. 客票业务员：客票系统操作人员均属于此用户类。第25条 铁道部高级管理员由系统初始产生，其他单位的高级管理员权限由上级主管部门授予。第26条 各级单位根据业务需要进行权限分配，可将多个用户类分配给同一操作人员。拥有系统管理员、安全管理员和业务管理员权限的人员不能拥有安全审计员权限。第四章 认证授权管理第27条 铁道部建立统一的证书管理中心，为客票安全系统提供证书生成、签发、密钥管理以及证书查询验证服务。第28条 铁道部客票安全系统初始产生两张系统主控密钥卡和三张私钥卡，并由铁道部主管部门保管。铁道部证书管理中心初始产生部中心主控密钥及管理私钥，通过主控密钥传递权限产生铁道部高级管理员。第29条 铁路局建立证书管理中心，为本局提供证书生成、签发、密钥管理以及证书查询验证服务。铁路局高级管理员用户卡由铁道部证书管理中心生成。第30条 各单位要制定操作员身份卡和节点身份卡管理细则，明确职责，并指定专人负责本单位身份卡的管理。第31条 操作员身份卡和节点身份卡的管理包括购置、申请、审批/发放、保管、冻结/解冻、挂失/解挂、换卡、注销、身份卡密码管理。1. 购置铁路局购置新卡时，须向铁道部提出书面申请，经批准后，向铁道部指定单位购买。2. 申请（1） 铁道部和铁路局的操作员身份卡和节点身份卡由使用部门向本级客票主管部门提出书面申请。车站（车务段）的操作员身份卡和节点身份卡由使用单位向铁路局客票主管部门提出书面申请。（2） 书面申请中须注明数量、用途等信息，同时在客票安全系统中填写操作员身份卡的操作员ID、操作员姓名（备用卡填写备用加序号）、用户组等详细信息，以及节点身份卡的节点编码、所属安全域、安全级别、节点名称（备用卡填写备用加序号）、系统类型、物理位置、终端类型等详细信息。3. 审批/发放（1） 铁道部客票主管部门对本级操作员身份卡和节点身份卡申请进行审批，核准后予以发放。（2） 铁路局客票主管部门对本级和车站的操作员身份卡和节点身份卡申请进行审批，核准后予以发放。4. 保管（1） 各铁路局购置的新卡由本局客票主管部门保管。（2） 操作员身份卡由操作员本人保管，节点身份卡由使用单位（部门）指定专人保管，并详细登记造册。（3） 各单位可根据需要领取一定数量的备用操作员身份卡和节点身份卡。备用操作员身份卡和节点身份卡在启用前和使用完毕后，由各领取单位（部门）指定专人保管；启用过程中，由领取人保管。5. 冻结/解冻（1） 备用操作员身份卡和节点身份卡在发卡时为冻结状态；需要启用时，使用单位（部门）向发放部门申请解冻；使用完毕后，使用单位（部门）应在12小时内向发放部门申请冻结。（2） 铁路局客票主管部门可以根据申请或业务需要对操作员身份卡和节点身份卡进行冻结/解冻处理。6. 挂失/解挂（1） 操作员身份卡或节点身份卡遗失时，使用单位（部门）应在12小时内向发放部门提交书面说明申请挂失，发放部门核准后办理挂失手续。（2） 遗失身份卡找到后，使用单位（部门）应在12小时内向发放部门提出解挂申请，发放部门核准后办理解挂手续，恢复身份卡为正常使用状态。7. 换卡操作员身份卡和节点身份卡损坏时，使用单位（部门）向发放部门提交换卡申请，同时交还原卡，发放部门审批通过后，注销该卡，换发新卡。8. 注销（1） 操作员身份卡保管人因工作变动或离职时，使用单位（部门）将身份卡交还发放部门，发放部门注销该卡。注销后的身份卡可重复使用。（2） 损坏的卡注销处理后由发放部门集中保管和销毁。9. 身份卡密码管理（1） 操作员身份卡第一次使用时须修改密码。密码的设定和修改应符合有关安全规定。（2） 操作员身份卡密码遗失时，由使用单位（部门）向发放部门申请恢复初始密码，同时上交该卡。发放部门恢复初始密码后，发还该卡。第五章 安全配置管理第32条 客票安全系统内网安全配置以优先保证客票系统稳定运行为原则。第33条 因客票系统结构改变导致客票安全系统安全域发生变化时，报铁道部同意后，由有关技术支持单位协助实施。第一节 安全策略配置第34条 客票安全系统安全策略配置包括安全域、安全对象类、安全认证策略、事件、事件策略等配置。第35条 安全策略配置按照铁道部的统一规范实施。第二节 拓扑图配置第36条 拓扑图是客票安全系统为方便用户监控和配置管理提供的一个可视化界面。第37条 当各单位新增设备时，须及时在拓扑图上进行配置，配置内容包括节点编码、所属安全域、节点名称、物理位置、系统类型等信息。第38条 须及时在拓扑图上反映节点属性的变更情况。第39条 须及时在拓扑图上删除已不存在的节点。第三节 客票服务器安全配置第40条 为了及时发现客票服务器上的安全隐患，各单位须对客票服务器进行安全配置。第41条 客票服务器须安装主机安全代理，各单位系统管理员须确保主机管控器和主机安全代理正常运行。第42条 须对服务器的CPU、内存、交换区、磁盘空间、系统负载、最大连接数等状态阀值进行配置(见附表1)。第43条 须对服务器进行合法进程的配置。合法进程包括操作系统进程、数据库服务进程、数据库命令操作进程、工作流进程、应用服务进程、传输服务进程和接口服务进程等。第44条 须对服务器进行合法用户和服务的配置，控制用户的非法访问和服务。第45条 须对服务器进行合法网络配置，保证合法地址和端口连接的有效性。第46条 须对服务器进行合法网络服务参数配置，包括服务进程名称、服务通讯协议和服务通讯端口等配置。第47条 须对服务器进行合法注册的软硬件配置，实现软硬件的安全管理。第48条 须对服务器的重要配置文件进行完整性配置，配置文件至少包括/etc/passwd、/etc/group、/etc/inittab和/etc/fstab。第四节 终端安全配置第49条 为保证终端业务的安全性，各单位须确保所有业务终端都正确安装安全代理部件，并进行安全配置。第50条 必须为终端配置唯一标识的节点身份卡，并进行自动配置并确保运行正常，在终端使用过程中不得将节点身份卡随意插拔。第51条 终端业务操作人员必须持本人身份卡当班。第52条 安全代理自动配置后已存在默认规则，根据业务需要可在配置管理器上对规则进行修改，修改内容包括ICMP、TCP、UDP的协议和源目的IP地址、端口等信息。第53条 除安全监控业务需要外，不得随意更改业务终端防火墙配置，不得随意改动安全通讯的配置。第54条 须对安全代理进行进程白名单（合法进程列表）配置，用于动态拦截非法进程。在安装时会自动生成一份白名单，业务需要变更时，可对其修改。第五节 网络防火墙安全配置第55条 网络防火墙用于系统的安全域划分，保障域与域之间的安全访问。第56条 铁路局须配置本局客票系统与铁道部客票系统、其他路局客票系统、所辖车站客票系统、路内其它系统之间，以及客票安全系统之间的防火墙静态规则。规则具体到源IP、目的IP、目的端口和协议。 第57条 有网络防火墙的站段须配置本地客票系统与路局客票系统及客票安全系统之间的防火墙静态规则。第58条 须为所有终端对象配置相关事件的防火墙动态规则，保证安全认证成功后允许其访问客票服务器，以及离线或注销后拒绝其访问客票服务器。第59条 对于需记录匹配数据的静态规则，可加配相关防火墙日志规则。第60条 对于安全性极高的静态规则，可加配防火墙MAC规则。第六节 NSDS安全配置第61条 NSDS用于监测所有访问客票服务器的网络数据，及时发现异常访问。第62条 各单位的系统管理员必须确保NSDS安装和正常运行。第63条 须在NSDS上正确配置数据库服务器、应用服务器和负载均衡器的虚实IP。第64条 须在NSDS上将访问本单位服务器的其它系统的合法IP配置为静态白名单。 第65条 须在NSDS上为所有终端配置相关事件的动态白名单策略，保证其安全认证成功后添加到动态白名单，以及离线或注销后从动态白名单中删除。第七节 告警配置第66条 各单位必须对主机资源使用事件、主机非法事件、非法访问事件、物理环境事件、安全部件运行状况事件等进行告警配置。第67条 对于严重影响客票业务的应用服务器、数据库服务器和网络设备事件，告警级别设置为一级，并设置声音等方式通知安全值班员。第68条 对于可能影响客票业务的管控器监视事件，告警级别设置为二级，通过配置管理器滚动显示提醒安全值班员。第69条 对于不影响客票业务但影响客票安全系统运行的配置管理器和安全代理事件，告警级别设置为三级，通过配置管理器滚动显示提醒安全值班员。第70条 对于非法访问节点的事件，除告警外，须配置策略使其能自动显示。第八节 安全机柜配置第71条 各单位必须对提供智能安全保障措施的安全机柜进行配置。第72条 安全机柜须打开震动报警项，当机柜未经授权物理搬动时进行报警。第73条 安全机柜须打开温度报警项，设定机柜温度报警阀值为摄氏28度，当机柜内温度超过阀值时进行报警。第74条 安全机柜须打开非法开门报警项，当机柜未经授权开门时可进行报警。第六章 监控管理第75条 铁道部客票系统技术支持单位（铁科院，下同）负责每天监控铁道部中心的操作终端、网络设备、客票服务器、安全设备等的运行状态，并填写运行状态监控表（见附表2），发现异常及时进行处理。第76条 铁道部客票系统技术支持单位负责每天监控铁路局节点运行状态，发现异常情况，及时向铁道部主管部门报告并指导相关铁路局进行处理。第77条 铁路局安全值班员负责每天监控路局中心操作终端、网络设备、客票服务器、安全设备等的运行状态，并填写运行状态监控表（见附表2），发现异常及时组织相关单位进行处理。第78条 铁路局安全值班员负责每天监控站段节点运行状态，发现异常情况，督促、指导并组织相关单位进行处理。第79条 站段安全值班员负责每天监控本级操作终端、网络设备、安全设备等的运行状态，并填写运行状态监控表（见附表2），发现异常及时组织相关单位进行处理。第80条 业务终端监控发现异常时，须检查的内容包括操作系统类型、CPU类型、设备所在地、客票窗口号、当前用户、用户ID、IP地址、已登录时长、业务工作状态、代理状态、运行进程信息、TCP服务端口、磁盘空间使用率、CPU使用率、内存使用率、FTP业务信息和TELNET业务信息运行状态。第81条 客票服务器的监控内容须包括系统资源（CPU信息和使用率、内存使用率、进程、TCP端口、重要文件系统的磁盘剩余空间、操作系统信息）、系统进程（进程名称、进程所属用户、进程的CPU占用率、进程的内存占用率）、用户登录（用户名、登录的IP地址、登录开始时间、登录结束时间）、网络服务（服务的进程名、监听的端口、服务的协议、网络连接数）、磁盘设备（设备名称、安装点名、划分的文件系统类型、总磁盘空间、已使用的磁盘空间）、网络路由（目标网络、目标网络使用的网关、目标网络掩码、目标网络标志、目标网络使用的接口）、重要配置文件、系统用户和组的改变信息。第82条 网络设备的监控内容须包括交换机和路由器的在线状态、背板状态、端口使用状态、端口流量信息、端口类型、转发表和生成树。第83条 安全设备的监控内容须包括安全设备的CPU状态、内存状态和节点状态。第七章 审计管理第84条 铁道部客票系统技术支持单位每天9:00前完成前一日铁道部中心安全审计报告（格式见附表3）并存档。对报告中重要审计项出现的异常情况，进行分析和处理,发现系统存在的安全隐患，填写审计分析报告（格式见附表4），并及时上报铁道部。第85条 铁道部客票系统技术支持单位每天10:00前完成前一日全路安全审计报告并存档。对报告中重要审计项出现的异常情况，指导和督促相关单位进行分析和处理, 发现系统存在的安全隐患，并及时上报铁道部。第86条 铁道部客票系统技术支持单位每月汇总全路的安全事件总体态势表，对全路上月客票安全系统运行管理情况进行分析和总结，并于5日前上报铁道部。第87条 铁路局每日9:00前完成前一日本局安全审计报告并存档。对报告中重要审计项出现的异常情况，进行分析和处理, 发现系统存在的安全隐患，填写审计分析报告，并及时上报铁道部。第88条 铁路局每月对系统的安全事件总体态势进行汇总和分析，对全局上月客票安全系统运行管理情况进行分析和总结，并于每月3日前上报铁道部。第89条 铁路局应根据客票安全系统运行情况，提出策略变更及优化处理意见。由铁道部组织相关技术支持单位对客票安全系统进行优化。第八章 系统管理第90条 各单位要严格管理系统资源，严格执行登记使用制度，并建立健全完整的设备台帐及设备档案，每半年清查一次。第一节 系统软硬件管理第91条 客票服务器端安全系统代理软件须经铁道部审查后方可安装。第92条 任何人不得随意下发、更换、修改客票安全系统应用软件，严禁任何人外泄客票安全系统应用软件。第93条 对于安装了客票安全代理的操作终端和服务器不得随意安装其它应用软件。第94条 客票系统终端设备必须卸除光驱、软驱设备，并封闭闲置的USB端口。第95条 对客票安全系统故障分析等确需暂时通过控制台登录服务器时，需两人以上进行，并记录操作人、操作内容、操作时间等信息。第96条 铁道部、铁路局和站段须指定专人妥善保管安全机柜卡。使用机柜卡时，必须作好记录，内容包括操作人、操作原因、操作内容、操作时间等信息。第97条 铁道部和铁路局须指定专人妥善保管加密机用户卡。使用加密机用户卡时，必须作好记录，内容包括操作人、操作原因、操作内容、操作时间等信息。第二节 系统故障处理第98条 客票安全系统故障是指客票安全系统的硬件设备、系统软件、应用软件发生故障或系统遭受外部侵害从而影响客票系统或客票安全系统正常运行的事件。第99条 客票安全系统故障分为四类：1. I类：因核心防火墙故障导致受控域内的客票系统业务中断。2. II类：因安全服务器或区域性防火墙故障导致受控域内的客票系统业务中断。3. III类：是指某一业务终端发生故障，不能登录客票安全系统，造成该终端业务中断。4. IV类：是指某一安全部件发生故障或运行环境改变，使客票安全系统的安全防护能力下降。第100条 故障处理原则1. 铁道部、各铁路局及43个重点车站客票业务中断或性能严重下降10分钟而不能确认原因时，经主管部门同意，可将该区域客票安全系统暂时旁路，并通知相关技术支持单位。待查明原因后，若与客票安全系统无关，须立即恢复原状态；若与客票安全系统有关，参照故障处理流程处理。2. 其它车站客票业务中断或性能严重下降30分钟而不能确认原因时，经主管部门同意，可将该区域客票安全系统暂时旁路。待查明原因后，若与客票安全系统无关，须立即恢复原状态；若与客票安全系统有关，参照故障处理流程处理。第101条 故障处理流程1. 发生I类故障时，立即将客票安全系统旁路，并向本级主管部门汇报，逐级上报到铁道部。同时本单位系统维护人员应立即到达现场,会同技术支持单位进行故障排除和系统修复，故障处理完毕后立即恢复到原状态。2. 发生II类故障时，本单位系统维护人员应立即到达现场,经本级主管部门核准后，立即将所控安全域内的防火墙旁路，会同技术支持单位进行故障排除和系统修复，故障处理完毕后立即恢复到原状态。3. 发生III类故障时，经铁路局主管部门核准后，由铁路局系统维护人员为终端加入临时防火墙规则，并记录规则内容及操作的时间，故障处理完毕后立即恢复到原状态。4. 发生IV类故障时，本单位系统维护人员和系统技术支持单位立即处理，故障处理完毕后立即恢复到原状态。5. 对于I类故障和II类故障，要求客票安全系统技术支持单位和维护部门在24小时内完成故障分析报告（见附表5），并上报铁道部；对于III类、IV类故障，要求客票安全系统技术支持单位和维护部门在48小时内完成故障分析报告，并报铁路局备案。第三节 系统备份与恢复第102条 每月须对客票安全系统数据库表进行一次备份，每三个月进行一次系统全备份。第103条 进行客票安全系统维护工作前须对系统的配置文件和重要数据进行完全备份。第104条 各单位须指定专人和场所保管备份数据，各类备份数据保留期限至少1年。第105条 每三个月须对客票安全系统过期数据进行一次清理。第106条 需要进行备份数据恢复时，须向本级主管部门提交数据恢复方案，待审批通过后，进行数据恢复。第九章 检查和考核第107条 铁道部每半年组织不少于一次客票安全系统巡检，巡检内容包括设备运行状态、阀值设定的合理性以及台帐管理等。第108条 铁道部不定期抽查铁路局客票安全系统安全审计报告、审计分析报告、故障处理报告以及整改情况。第109条 铁道部对铁路局的客票安全系统工作进行考核。考核内容包括安全审计、安全故障处理以及巡检结果，对在故障处理过程中、安全审计管理中以及巡检过程中发现存在严重问题的铁路局，予以全路通报批评。第十章 附则第110条 客票系统必须保持专网运行。客票安全系统使用管理中的外网部分另文规定，在规定发布之前，必须保持与外网物理隔离。第111条 本办法未尽事宜，参照全路客票发售和预