城市轨道交通网络安全通用技术规范DB31／T 1499-2024.pdf

ICS 35.040 CCS L 80 31 上 海 市 地 方 标 准 DB 31/T 14992024 城市轨道交通网络安全通用技术规范 General technical specifications for urban rail transit cyber security 2024-07-05发布 2024-11-01实施 上海市市场监督管理局 发 布 DB 31/T 14992024 I 目 次 前言.III 引言.IV 1 范围.5 2 规范性引用文件.5 3 术语和定义.5 4 缩略语.6 5 整体架构.7 通信网络.7 信息系统.8 6 网络安全集中防护要求.9 网络区域划分及部署要求.9 网络安全互联要求.11 生产网区防护要求.12 管理网区防护要求.12 互联网区防护要求.13 安全集中管控系统要求.14 7 信息系统安全基本要求.15 信息系统分级.15 安全物理环境.15 安全通信网络.16 安全区域边界.16 安全计算环境要求.18 安全管理中心要求.21 8 信息系统安全扩展要求.22 生产核心系统要求.22 生产辅助系统要求.22 管理系统要求.23 对外服务系统要求.23 9 智能装备安全要求.24 运营车辆要求.24 智能终端设备要求.25 智能大屏控制系统要求.26 10 基础设施安全要求.27 机房要求.27 基础通信网络要求.29 云计算平台要求.31 大数据平台要求.31 DB 31/T 14992024 II 附录 A（资料性）城市轨道交通系统说明.32 附录 B（资料性）城市轨道交通信息系统分级表.41 参考文献.42 DB 31/T 14992024 III 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市互联网信息办公室，上海市经济和信息化委员会提出并组织实施。本文件由上海市信息安全标准化技术委员会归口。本文件起草单位：上海申通地铁集团有限公司、上海申通轨道交通检测认证有限公司、公安部第三研究所、上海市信息安全测评认证中心、上海工业控制安全创新科技有限公司、华东理工大学、上海工业自动化仪表研究院有限公司、上海电科智能系统股份有限公司、中铁上海设计院集团有限公司、上海中铁通信信号测试有限公司、上海观安信息技术股份有限公司、上海厚泽信息技术有限公司、绿盟科技集团股份有限公司、深信服科技股份有限公司、中兴通讯股份有限公司、上海德鋆信息科技有限公司及新华三技术有限公司。本文件主要起草人：王大庆、张立东、张菁博、万勇兵、蔡佳妮、纪文莉、朱莉、黄天印、赵雨晴、孙煜、邹春明、陆臻、金铭彦、傅骏炜、褚文斌、沈琦、沈青、许子恒、王旭、薛文俊、蒋雨捷、雷鹏、王森、姜臻琪、过弋、周明、周期、赵晓蓉、陈鑫、刘兵、谢江、黄世美、张军、姚宇、张飞、杨雨菡、袁文杰、蒋瑞、刘捷元、孙艺彬。DB 31/T 14992024 IV 引 言 本文件遵照国家网络安全有关方针和政策，以及国家和本市颁布的相关法律法规和标准，吸收和借鉴了国外相关标准，使本文件符合国家相关网络安全要求的同时，兼具有针对城市轨道交通专业系统的特点，满足安全、实用的要求。本文件针对城市轨道交通行业的特点，对相关技术要求进行细化、加强。DB 31/T 14992024 5 城市轨道交通网络安全通用技术规范 1 范围 本文件规定了城市轨道交通网络安全的整体架构、网络安全集中防护、信息系统安全通用要求、信息系统安全扩展要求、智能装备及基础设施等安全要求。本文件适用于城市轨道交通新线建设和既有线改造信息系统网络安全的规划、设计和建设，同时也可作为测评机构网络安全检测的依据。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 4208 外壳防护等级（IP代码）GB/T 5271.8 信息技术 词汇 第八部分：安全 GB 16807 防火膨胀材料 GB 178591999 计算机专业系统安全保护等级划分准则 GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB 23864 防火封堵材料 GB/T 24338 城市轨道交通 电磁兼容 GB/T 25069 信息安全技术 术语 GB/T 28181 安全防范视频监控联网系统信息传输、交换、控制技术要求 GB/T 31167 信息安全技术 云计算服务安全指南 GB/T 31168 信息安全技术 云计算服务安全能力要求 GB 35114 公共安全视频监控联网信息安全技术要求 GB/T 352732020 信息安全技术 个人信息安全规范 GB/T 39786 信息安全技术 信息系统密码应用基本要求 GB 50157 地铁设计规范 GB 501742017 数据中心设计规范 GA/T 1400 公安视频图像信息应用系统 GA/T 1788.3 公安视频图像信息系统安全技术要求 第3部分：安全交互 3 术语和定义 GB/T 5271.8、GB 178591999、GB/T 25069、GB/T 31167、GB/T 31168和GB/T 39786界定的以及下列术语和定义适用于本文件。信息系统 information system DB 31/T 14992024 6 由计算机及其相关的配套部件、设施设备及网络构成，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。来源：GB 178591999，3.1，有修改 城市轨道交通 urban rail transit 采用电机驱动列车的城市轨道交通系统。注：包括城市公共交通分类标准中规定的地铁系统GJ21、轻轨系统GJ22、单轨系统GJ23、自动导向轨道系统GJ26等。管理系统 management system 以人为主导的用于办公、管理、决策、信息发布的信息服务系统。生产系统 production system 以设备为主导的保障运营行车业务正常开展的自动化系统。云计算平台 cloud computing platform 云服务运营者提供的云计算基础设施及其上的服务软件的集合。来源：GB/T 31168，3.7 智能装备 intelligent equipment 具有感知、分析、推理、决策、控制功能的装备，用于协助实现城市轨道交通行车运营、设备维保的自动化、智能化的专用装置。4 缩略语 下列缩略语适用于本文件。ACS：门禁系统（Access Control System）AFC：自动售检票系统（Automatic Fare Collection）ATS：自动监控系统（Automatic Train Supervision）CATS：控制中心列车自动监控系统（Central Automatic Train Supervision）CBTC：基于通信的列车自动控制系统(Communication Based Train Control System)CCTV：闭路电视（Closed Circuit Television）CLK：时间同步系统(Clock)C3：网络运营调度与应急指挥系统（Command,Control&Coordination）COCC：路网综合运营协调中心（Comprehensive Operation Coordination Center）CI：计算机联锁（Computer Interlocking）EMCS：环境与设备监控系统(Electric&Mechanic Control System)FAS：火灾报警系统（Fire Alarm System）FEP：前端处理机(Front End Processor)FG：防淹门（Flood gate）LATS：车站列车自动监控系统(Local Automatic Train Supervision)MSS：维护支持系统(Maintenance Support System)NMS：网络管理站（Network Management System）OCC：线路运营控制中心（Operation Control Center）DB 31/T 14992024 7 PIS：乘客信息系统(Passenger Information System)PA：公共广播系统(Public Address)PSD：站台门（Platform Screen Door）PSDC：站台门控制器（Platform Screen Door Controller）SCADA：监视控制与数据采集系统（Supervisory Control And Data Acquisition）SNMP：简单网络管理协议（Simple Network Management Protocol）SQL：结构化查询语言（Structured Query Language）SSID：服务集标识（Service Set Identifier）VPN：虚拟专用网（Virtual Private Network）VPC：虚拟私有云（Virtual Private Cloud）VOBC：车载控制器(Vehicle On Board Controller)WEP：有线等效加密（Wired Equivalent Privacy）ZC：区域控制器（Zone Controller）5 整体架构 通信网络 5.1.1 物理通信网络 城市轨道交通的基础通信网络如图1基础通信网络示意图所示，由线路级传输系统和线网级传输系统构成，为各类生产业务和管理业务提供独立的骨干通信通道，实现不同业务的传输通道隔离。基础通信网络的安全防护重点是设施设备的物理安全。DB 31/T 14992024 8 网络层光缆轨交总队节点OCCn节点OCC1节点 OCC2节点线网级传输系统线网级传输接入层各业务系统OCC通信节点 各业务系统OCC通信节点 线路级传输系统传输系统 传输系统线络层光缆数据通信网乘客信息系统接入交换机2乘客信息系统接入交换机1乘客信息系统接入交换机n技术防范系统接入交换机2技术防范系统接入交换机1技术防范系统接入交换机n车站传输节点 车辆基地传输节点 车站传输节点 车辆基地传输节点 控制中心传输节点 控制中心传输节点OCC传输节点OCC传输节点乘客信息系统主核心交换节点乘客信息系统备核心交换节点技术防范系统主核心交换节点技术防范系统备核心交换节点自动售检票系统主核心交换节点传输系统自动售检票接入交换机2自动售检票接入交换机1自动售检票接入交换机n车站传输节点 车辆基地传输节点 控制中心传输节点OCC传输节点各业务系统OCC通信节点数据通信网自动售检票系统备核心交换节点C3节点 集中节点 图1 基础通信网络示意图 5.1.2 传输系统 线路级传输系统用于联通单线路的车站、车辆基地、控制中心等线路物理节点；线网级传输系统用于联通线路控制中心、路网综合运营协调中心、线网设备及运维管理中心等线网级物理节点。5.1.3 数据通信网络 各生产系统在各车站、车辆基地、控制中心内部自建局域网，并通过物理通信网络提供的通道构建覆盖相关物理节点的生产数据通信网络，管理系统统一利用物理通信网络提供的通道构建承载管理业务及办公终端的管理数据通信网络。信息系统 DB 31/T 14992024 9 信息系统分为生产系统、管理系统和对外服务系统三大类。其中生产系统又包括生产核心系统和生产辅助系统两类；管理系统又包括生产管理系统和企业管理系统两类，分类方法见表1。表1 信息系统分类 6 网络安全集中防护要求 网络区域划分及部署要求 6.1.1 网络安全大区划分要求 城市轨道交通根据安全分区、网络专用、三网隔离、分级防护的要求，将生产系统网络、管理网络和互联网划分为三个安全大区，即生产网区、管理网区及互联网区。各安全域采取不同级别的防护、隔离措施，各安全域及其子域内部根据实际情况进行网段细分，并应根据安全需求设置访问控制、安全审计、安全监控等安全控制措施。网络安全区域划分示意如图2所示，区域划分方法如下：a)生产网区应根据重要程度不同划分为生产核心网域和生产辅助网域两个子域；b)管理网区应根据现有业务情况划分为生产管理网域、企业管理网域、对外信息服务网域三个子域；系统分类 服务/控制对象 业务描述 系统示例 生产系统 生产核心系统 核心生产设备 为生产岗位人员提供服务，可控制和运营列车运行直接相关的核心生产设备；电力监控系统、信号系统等 生产辅助系统 生产设施设备 为生产岗位人员提供服务，可控制为运营列车运行提供辅助支撑的生产设备和系统；可监测生产设备、系统的运行状态；FAS、站台门、安防集成平台、环境与设备监控系统、音视频统一信息发布系统、AFC、时间系统、门禁系统、专用电话、各专业在线监测系统等 管理系统 生产管理系统 生产岗位人员 为生产岗位人员提供服务，可规范生产业务的工作流程、提升工作效率；智慧维保平台、资产管理系统、施工管理系统、应急抢险系统、运营管理生产平台等 企业管理系统 所有人员 支撑企业管理和运营的设施设备；企业管理平台、视频会议系统、人事系统、财务系统等 管理岗位人员 为管理岗位人员提供服务，为了规范管理工作流程、提升管理和决策的工作效率；企业管理平台、科研管理系统等 对外服务系统-外部机构人员/乘客 通过互联网为乘客、外部机构提供互联网乘车购票服务、各类城市轨道交通共享信息服务等系统 门户网站、城市轨道交通移动出行服务系统等 DB 31/T 14992024 10 c)互联网区应划分独立域，用于互联网应用终端的部署。生产辅助网路网控制中心生产辅助网线路控制中心生产辅助网车站/区间/基地生产核心网路网控制中心生产核心网线路控制中心生产核心网车站/区间/基地生产辅助网域生产核心网域生产网区生产管理网域 企业管理网域对外信息服务网域互联网终端管理网区互联网区外部单位/机构 Internet 图2 网络安全大区划分示意图 6.1.2 信息系统部署要求 信息系统应按照承载的业务性质确定其类别，并由系统类别、重要程度决定其应当部署的网络安全区域。生产系统应部署在生产网区，管理系统和对外服务系统应部署在管理网区，互联网上网终端应部署在互联网区。传输系统、无线网络的网管系统根据服务对象选择部署在生产核心网域或生产辅助网域。信息系统部署方案如图3所示，其中：a)生产核心网域用于部署生产核心系统，应部署业务性质为可直接控制运营列车运行的设备（如：信号系统、SCADA 及网络级电力监控系统等自动化过程控制执行系统）；b)与生产核心类系统密不可分、只能在车站实施日常联动的生产辅助类系统应部署在生产核心网域；c)生产辅助网域应部署生产辅助系统（如：C3、FAS、技术防范系统、EMCS、PIS、PA、AFC、ACS、专用电话系统、公务电话系统、无线集群调度系统、各专业在线监测系统等）；d)生产管理网域应部署生产管理类系统（如：运管平台、智慧维保平台等）；e)企业管理网应部署企业管理类系统（如：企业管理平台、人事系统、财务系统等）；f)对外信息服务网域应部署面向公众、外部机构等服务类系统的对外通信前置机、应用转发服务器等；g)业务功能跨越多个网络安全域的系统（城市轨道交通典型系统的功能及接口说明参见附录 A），应对系统进行业务切分，按照系统的业务性质在对应的网络安全域中分区域部署，各区域间的通信应遵守网络安全域的区域边界访问控制要求。DB 31/T 14992024 11 图3 信息系统部署方案示意图 网络安全互联要求 网络安全互联的要求包括：a)生产网区与互联网区不应直接互联；b)应采用具备链路阻断、协议剥离技术的设备对生产网区与管理网区的安全隔离，生产网区与管理网区不应直接互联；c)应采用物理传导上具备链路阻断、协议剥离、单向数据推送技术的设备对生产核心网域与生产辅助网域之间进行安全隔离，生产核心网域与生产辅助网域不应直接互联；d)生产管理网域、企业管理网域、对外信息服务网域可在受控的前提下互联；e)对外信息服务网域可在受控的前提下与互联网连接；f)对外信息服务网域可在受控的前提下与外部单位/机构（如：上级监管部门、第三方支付公司等）的网络进行连接。DB 31/T 14992024 12 生产网区防护要求 6.3.1 访问控制 生产网区访问控制的要求包括：a)生产核心网域不应向除生产辅助网域外的其他网络区域进行直接数据交换，如确有数据交换需求，应经生产辅助网域进行中转；b)应在 COCC或OCC 由生产核心网域向生产辅助网域进行实时单向数据推送，并采用技术措施确保数据传输的完整性、实时性；c)应在 COCC 或 OCC 经特殊处理传输通道，从生产辅助网域向生产核心网域单向推送必要的业务数据（如：火灾报警数据、与行车安全密切相关的设施设备状态监控数据等），并采用技术措施确保数据传输的完整性、实时性，特殊处理传输通道的特殊处理方式应至少满足：采用具备协议剥离技术的专用传输设备单向导入业务数据，通信数据不得含有控制列车运行的指令；d)生产核心网域与生产辅助网域的网络边界应遵循最小开放原则配置访问控制策略，不应提供任何穿越区域边界的E-Mail、Telnet、Rlogin、FTP、RDP、X11（X Window）及 VNC等通用网络服务；e)生产核心网域与生产辅助网域通信时，应在网络边界处部署服务通信内容过滤措施；f)不应以拨号或VPN 等方式远程接入生产网区。6.3.2 入侵防范 生产网区入侵防范的要求包括：a)应分别在生产核心网域和生产辅助网域边界处采取技术措施，检测、预防或限制从生产网内部发起的网络攻击行为；b)当检测到攻击行为时，应记录攻击源 IP、攻击目的IP、攻击类型和攻击时间等信息。6.3.3 安全审计 生产网区安全审计的要求包括：a)应对生产核心网域与生产辅助网域的网间交换数据行为进行安全审计；b)应对生产辅助网域与管理网区的网间交换数据行为进行安全审计；c)应对审计记录进行保护，定期备份避免受到未预期的删除、修改或覆盖等，应确保记录的留存时间不少于6 个月，并应将审计信息上报安全集中管控系统。6.3.4 恶意代码防范 生产网区恶意代码防范的要求包括：a)应在生产核心网域、生产辅助网域的网络边界处部署恶意代码检测和清除措施，并及时更新特征库；b)应对恶意代码检测、清除等行为的日志信息进行保护，支持通过 Syslog、SNMP 等通用、可解析的日志传输协议将日志信息上报安全集中管控系统。管理网区防护要求 6.4.1 访问控制 管理网区访问控制的要求包括：DB 31/T 14992024 13 a)应在生产管理网域、企业管理网域、对外信息服务网域的网络边界处部署专用访问控制设备，以最小开放原则配置访问控制规则，对源地址、目的地址、目的端口和协议等进行检查，并能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；b)管理网区对外提供服务时应采用 VPN、安全隔离、Web 安全防护等技术措施，保障数据传输的安全性；c)对外提供服务采用 VPN 方式时，应对用户进行认证管理，并对访问权限和用户数量进行限制，避免存在多人共用同一账户；d)管理网区与互联网的网络通信应通过指定的通信链路，不应私自架设通信链路将管理网与互联网互联。6.4.2 入侵防范 管理网区入侵防范的要求包括：a)应在对外信息服务网域与外部网络（如：互联网、外部单位/机构）边界处检测、阻断网络攻击行为，并重点加强Web应用的安全防护；b)应设置安全策略关闭21、22、135、139、445 及3389 等常见高危端口，阻止恶意代码传播、远程管理等高风险行为；c)应在生产管理网域、企业管理网域、对外信息服务网域内的重要网络节点（如：服务器部署区域）监测内部网络发起的网络攻击行为；d)应能够检测到非授权的有线、无线接入设备和非授权终端的接入行为；e)应能够检测到针对有线、无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为；f)当检测到攻击行为时，应记录攻击源 IP、攻击目的IP、攻击类型和攻击时间等信息；g)检测设备应支持 Syslog、SNMP等通用、可解析的日志传输协议，并为安全集中管控系统预留日志采集接口，以便于对网络攻击行为进行集中分析和告警。6.4.3 安全审计 管理网区安全审计的要求包括：a)应对生产管理网域、企业管理网域、对外信息服务网域的数据交换行为进行安全审计；b)应对外信息服务网域与外部单位/机构的数据交换行为进行安全审计；c)应对审计记录进行保护，定期备份避免受到未预期的删除、修改或覆盖等，应确保记录的留存时间不少于6 个月，并应将审计信息上报安全集中管控系统。6.4.4 恶意代码防范 管理网区恶意代码防范的要求包括：a)应在生产管理网域、企业管理网域、对外信息服务网域的网络边界处部署恶意代码检测和清除措施，并及时更新特征库；b)应对恶意代码检测、清除等行为的日志信息进行保护，支持通过 Syslog、SNMP 等通用、可解析的日志传输协议将日志信息上报安全集中管控系统。互联网区防护要求 6.5.1 入侵防范 互联网区入侵防范的要求包括：a)应在互联网出口边界处设置技术手段检测、防止或限制网络攻击行为；DB 31/T 14992024 14 b)应设置安全策略关闭 21、22、135、139、445 及 3389 等常见高危端口，阻止恶意代码传播、远程管理等高风险行为；c)当检测到攻击行为时，应记录攻击源 IP、攻击目的IP 攻击类型和攻击时间等信息；d)检测设备应支持 Syslog、SNMP 等通用、可解析的日志传输协议，并为安全集中管控系统预留日志采集接口，以便于对网络攻击行为进行集中分析和告警。6.5.2 恶意代码防范 互联网区恶意代码防范的要求包括：a)应在互联网出口处对恶意代码进行检测和清除；b)检测设备应支持 Syslog、SNMP 等通用、可解析的日志传输协议，并为安全集中管控系统预留日志采集接口，以便于安全集中管控系统获取相关恶意代码检测、清除日志信息。6.5.3 安全审计 互联网区安全审计的要求包括：a)应能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系，并应确保记录的留存时间不少于6个月；b)应对审计记录进行保护，定期备份避免受到未预期的删除、修改或覆盖等；c)记录设备应支持 Syslog、SNMP 等通用、可解析的日志传输协议，并为安全集中管控系统预留日志采集接口，以便于安全集中管控系统获取相关转换日志信息。6.5.4 上网行为管理 应对互联网区内用户的网络行为进行监控，实施上网行为管理控制，对带宽资源滥用、影响工作效率等行为进行限制，并对上网轨迹进行记录。安全集中管控系统要求 6.6.1 系统组成及功能定位 安全集中管控系统组成及功能定位的要求包括：a)应为城市轨道交通网络提供统一服务，提供统一监审、综合分析及协同防护保障能力；b)应由中心级安全管理平台和专业级安全管理子系统组成；c)安全管理平台应能够汇聚各安全管理子系统的安全状态数据，提供集中展示能力；d)安全管理平台应能够对接外部安全情报及风险预警服务相关数据（如：国家互联网应急响应中心（CNCERT）、国家信息安全漏洞库（CNNVD）等），并生成和分发预警信息；e)安全管理子系统应支持对指定范围内各系统进行理解、评估和预测其安全状态并提供展示的能力；f)安全管理子系统应对指定范围内各系统的安全设备进行统一监审，实时掌握自身安全状态，提供应急安全处置能力。6.6.2 管理范围 安全集中管控系统的管理范围应覆盖重要信息系统的通信网络、区域边界及计算环境（如：包括但不限于网络各区域边界、互联网出口及等保级别为二级及以上的系统）。6.6.3 接口要求 安全集中管控系统接口的要求包括：DB 31/T 14992024 15 a)应提供统一的安全日志数据接口规范，实现对管理范围内的网络安全设备日志数据的统一自动收集；b)应提供统一的数据接口规范，实现对管理范围内的网络安全设的联动控制。6.6.4 安全管理平台要求 安全管理平台应符合第7章及以下要求：a)提供集中管理能力，管理对象至少包括安全技术检测/等保测评计划申报、安全应急演练计划申报、安全专项整改计划申报、安全考核自评申报、安全问题库/事件库/风险库管理、安全内控检查计划申报、安全重保计划申报及供应链网络安全问题库管理等；b)提供包括但不限于补丁库、恶意代码库、攻击特征库、通信协议库、工控终端指纹库、漏洞库、情报库及策略配置库等服务组件和功能的支持能力；c)提供对城市轨道交通网络信息系统整体安全状况用分值或等级等方式进行评估和展示能力；d)提供城市轨道交通网络信息系统网络安全状况分析报告，并提供以多种格式导出报告功能；e)提供根据各安全管理子系统的安全状态数据进行监测告警和安全预警功能的支持能力；f)支持外接存储，异地备份等能力，支持热冗余，保证系统的高可用性；g)对审计记录进行保护，定期备份，避免收到未预期的删除、修改或覆盖等，并确保审计日志存储能力不少于6个月。6.6.5 安全管理子系统功能要求 安全管理子系统应符合第7章及以下要求：a)提供包括网络流量、资产信息、日志、漏洞信息、用户行为、告警信息、威胁信息等的采集支持，采集方式支持被动获取、主动采集以及手动导入等；b)支持网络攻击分析、资产风险分析以及异常行为分析；c)支持对安全状况用分值或等级等方式进行评估和展示，展示功能应至少支持资产态势展示、流量态势展示、运行态势展示、脆弱性态势展示、攻击态势展示、异常行为态势以及安全事件态势等；d)支持对态势相关数据进行查询，支持根据数据分析结果生成整体网络安全状况分析报告，并提供两种以上格式导出报告功能；e)支持监测告警和安全预警；f)支持资产管理、威胁管理、脆弱性管理，以及风险分析及管理功能；g)支持安全事件采集、安全事件告警、安全事件响应、事件关联分析以及统计分析报表等；h)确保审计日志存储能力不少于6个月。7 信息系统安全基本要求 信息系统分级 按照信息系统在受到破坏后所造成的影响程度，城市轨道交通信息系统分级范围为第一级至第三级，典型系统的分级结果参见附录B。安全物理环境 信息系统如需自建机房，机房的物理环境安全要求应符合10.1机房安全要求，信息系统的室外、室内设备和设施的物理环境安全要求包括：a)应避免设备、设施部署在不受控的非安全场所中，并采用防盗窃和防破坏措施；DB 31/T 14992024 16 b)设备、设施所处的物理环境应避免对设备造成物理破坏（如：挤压、强振动），如无法避免应选用高可靠终端设备（如：达到车载安全级别的设备）；c)设备在工作状态所处物理环境应避免对设备的正常工作造成影响（如：强干扰、阻挡、屏蔽等）；d)应保证室外设备的供电应稳定可靠，具有可供长时间工作的电力供应；e)室外控制设备应放置于采用防火材料制作的箱体或装置中并紧固，箱体或装置应具有散热、防盗、防雨和防火能力等；f)室外控制设备应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。安全通信网络 7.3.1 一般要求 7.3.1.1 网络架构 网络架构的要求包括：a)各生产系统应根据系统边界采用独立的网关设备（如：交换机、无线网关等）进行组网，并根据车站、基地、控制中心等不同的物理位置，以及不同业务功能分别划分不同的网络区域，按照方便管理和控制的原则为各网络区域合理分配地址；b)应避免将重要网络区域部署在边界处，不同的网络区域之间应采取可靠的技术隔离手段（如：部署防火墙、安全网关等设备）；c)各系统带宽应满足城市轨道交通运营高峰期的需求。7.3.1.2 通信传输 城市轨道交通工业控制系统应采用专用工业控制通讯协议（如：Modbus协议、IEC104协议、行业专用安全通信协议等），并采取措施对工控数据进行传输完整性保护。其它系统应采用校验技术或密码技术保证通信过程中数据的完整性。7.3.2 增强要求 网络架构的增强要求包括：a)应保证网络设备的业务处理能力满足业务高峰期需要，网络资源的利用率稳定低于 70%，CPU利用率稳定低于70%，内存利用率稳定低于 50%；b)应保证网络各个部分的带宽满足业务高峰期需要，带宽资源的使用率应稳定低于 60%；c)应提供通信线路、关键网络设备和关键计算设备的硬件冗余避免单点故障，保证系统的可用性。安全区域边界 7.4.1 一般要求 7.4.1.1 边界防护 安全区域边界防护的要求包括：a)应按照控制中心、车站、基地等不同的位置或者不同的业务子系统划分安全区域，保证跨越边界的访问和数据流通过受控的边界设备（如：防火墙、安全网关、安全隔离设备、交换机等）提供的受控接口进行通信；DB 31/T 14992024 17 b)应在系统内部根据生产、测试、仿真环境划分不同安全区域，保证跨越边界的测试、仿真环境的访问和数据流通过受控的边界隔离设备（如：防火墙、安全隔离等）提供的受控接口进行通信；c)应保证与外部单位的系统通信通过统一的外联出口进行受控管理，并具备安全审计能力。7.4.1.2 访问控制 安全区域边界访问控制的要求包括：a)应在网络边界或区域之间根据访问控制策略设置白名单规则，默认情况下除允许受控接口通信外拒绝所有通信；b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。7.4.1.3 入侵防范 安全区域边界入侵防范的要求包括：a)应在控制中心、车站、基地、互联网出口等关键网络节点处监视网络攻击行为，应阻断非法连接互联网行为并及时告警；b)应在网络之间的边界防护机制失效时，及时进行告警。7.4.1.4 恶意代码防范 应在控制中心、互联网出口等关键网络节点处对恶意代码进行检测，互联网出口应具备清除代码的手段，并维护恶意代码防护机制的升级和更新，应与主机防恶意代码产品使用不同的特征库。7.4.1.5 安全审计 安全区域边界安全审计的要求包括：a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应将审计记录发送至安全集中管控系统进行集中保护，统一管理，避免受到未预期的删除、修改或覆盖等，审计日志保存时间不少于 6个月。7.4.2 增强要求 7.4.2.1 边界防护 安全区域边界防护的增强要求包括：a)应能够对非授权设备私自连接到内部网络的行为进行检查或限制；b)应能够对用户非授权外联网络行为进行检查或限制（如：对内部用户内网终端强制安装违规外联监控软件），采取强制阻断方式，阻断违规外联行为；c)应通过受控的边界网关、验证、授权和记账（Authentication、Authorization、Accounting,AAA）、白名单哑终端接入、IP/MAC地址绑定等方式限制无线网络的使用。7.4.2.2 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制，工业控制系统与其他系统之间不应开放任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络协议。DB 31/T 14992024 18 7.4.2.3 入侵防范 安全区域边界入侵防范的增强要求包括：a)应在控制中心、车站和互联网出口等关键网络节点处检测、预防或限制从内、外部发起的 SQL注入、蠕虫、木马后门、扫描探测、暴力破解、网络爬虫、篡改攻击、漏洞利用等网络攻击行为；b)应采取技术措施（如：部署应用防火墙）对互联网非法连接行为进行阻断，保障对互联网用户提供服务的专业应用系统安全；c)应采取技术措施对网络行为、工控协议等进行分析，实现对网络攻击特别是新型网络攻击行为、不符合安全策略的工控指令的分析；d)应采取技术措施保证在检测到攻击行为时，记录攻击源 IP、攻击目的 IP、攻击类型、攻击时间等，并在发生严重入侵事件时应提供告警。7.4.2.4 恶意代码防范 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。7.4.2.5 安全审计 安全区域边界安全审计的增强要求包括：a)应采取技术措施（如：部署堡垒机）对远程访问的用户行为进行行为审计和数据分析；b)应采取技术措施（如：部署上网行为管理设备）对访问互联网的用户行为进行行为审计和数据分析；c)行为审计和数据分析记录应上报安全集中管控系统。安全计算环境要求 7.5.1 一般要求 7.5.1.1 身份鉴别 安全计算环境身份鉴别的要求包括：a)应对登录的用户进行身份标识和鉴别，身份标识应具有唯一性；b)身份鉴别信息应具有复杂度要求，不应使用不符合复杂度要求的弱口令，口令长度不小于 8位，口令更换周期不应超过3个月，最长不超过 180天；c)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；d)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；e)应采用安全检测工具定期对专业应用系统的口令强度进行检测，发现可能存在的不符合口令强度要求的账户。7.5.1.2 访问控制 安全计算环境访问控制的要求包括：a)应对登录的用户分配账户和权限，实现管理员账户、用户账户和审计账户的分离；b)应重命名或删除默认账户，修改默认账户的默认口令；c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；d)应授予管理用户所需的最小权限，实现管理用户的权限分离；e)应关闭网络设备的空闲网络接口，避免非授权接入网络。DB 31/T 14992024 19 7.5.1.3 安全审计 安全计算环境安全审计的要求包括：a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，包括但不限于软件使用日志、外设使用日志、开关机日志、系统账号日志、文件操作日志、文件打印日志、邮件记录日志、对外信息发布日志等；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应将审计记录发送至安全集中管控系统进行集中保护，统一管理，避免受到未预期的删除、修改或覆盖等，审计日志保存时间不少于 6个月。7.5.1.4 入侵防范 安全计算环境入侵防范的要求包括：a)服务器、工作站、控制终端等设备应遵循最小安装的原则，仅安装需要的组件和应用程序；b)服务器、工作站、控制终端、网络设备、安全设备、数据库、中间件等应关闭不需要的系统服务、默认共享和高危端口；c)工作站、控制终端、电子显示屏等设备应关闭或拆除无线网卡、蓝牙、软盘驱动、光盘驱动、多余的 USB 接口、串行口或多余网口等，确需保留的应通过相关的技术措施实施的监控管理；d)应采用漏洞检测工具定期针对生产系统、管理系统、对外服务系统的服务器、数据处理系统、应用程序开展漏洞检测，并将扫描结果发送至安全集中管控系统，在经过充分测试评估后，及时对可能存在的已知漏洞进行修补；e)通过Web 网站、移动服务等方式面向公众展示的信息内容（如：文字、图像、视频等内容）应采取过滤、文件屏蔽、URL屏蔽等内容安全防护措施；f)应能及时发现和停止敏感信息的发布，并提供账号锁定、限制登录、停用权限等技术措施对敏感信息来源实施控制，防止继续传播。7.5.1.5 恶意代码防范 安全计算环境恶意代码防范的要求包括：a)服务器、工作站、各类终端等设备应安装防恶意代码软件或配置具有相应功能软件（如：主机白名单产品），实现对蠕虫病毒、挖矿软件、间谍软件、广告软件、勒索软件、引导区病毒、BIOS病毒等恶意行为的查杀与阻断；b)如果采用防恶意代码软件方式进行防护，应实现统一管理、定期更新（如：每 3个月）更新恶意代码库，并可根据上级主管单位的要求或应急要求进行不定期更新及升级；c)应使用专用维护设备对应用系统进行更新；d)应保证系统在上线前经过安全性检测，避免系统设备中存