城市轨道交通网络信息系统安全基本要求征

Q/LB.□XXXXX-XXXX目次TOC\o"1-1"\h\t"标准文件_一级条标题,2,标准文件_附录一级条标题,2,"前言 III引言 41范围 52规范性引用文件 53术语和定义 54缩略语 65总体要求 66物理环境安全 76.1基本级系统要求 76.2增强级系统要求 87网络和通信安全要求 87.1基本级系统要求 87.2增强级系统要求 98安全管理中心 108.1基本级系统要求 108.2增强级系统要求 119设备和计算环境安全要求 119.1基本级系统要求 119.2增强级系统要求 1210应用及数据安全要求 1210.1基本级系统要求 1210.2增强级系统要求 1411安全扩展要求 1411.1云计算平台安全技术要求 1411.2大数据平台安全技术要求 1511.3物联网安全技术要求 1511.4智能大屏控制系统安全技术要求 1511.5车载系统安全技术要求 1512安全管理要求 1712.1基本级系统要求 1712.2增强级系统要求 17附录A（资料性）信息系统分类分级 19附录B（资料性）网络安全区域划分 21前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国住房和城乡建设部提出提出。本文件由全国城市轨道交通标准化技术委员会（SAC/TC290）归口。本文件起草单位：本文件主要起草人：引言本文件是指导城市轨道交通行业在国家信息安全体系规范指导下安全、合规的进行规划、设计、建设的总体要求文件。本文件梳理汇总各城市轨道交通信息系统数量、类别、网络架构、功能特点等基础上，以遵循GB/T22239基本要求为原则，针对城市轨道交通行业的特点，对轨道交通特殊系统的相关技术要求进行细化、加强。从技术和管理两个维度，为安全防护体系建立、保证信息系统可用性、确保数据的完整性和保密性提供依据，确保城市轨道交通行业的业务安全。本文件中，“密码”是指商用密码。

城市轨道交通网络信息系统安全基本要求范围本文件确立了城市轨道交通网络信息系统安全总体要求，并规定了物理环境安全要求、网络和通信安全要求、安全管理中心技术要求、设备和计算环境基本要求、应用及数据安全要求、安全扩展要求及安全管理要求。本文件适用于城市轨道交通线路的新建和改建中信息系统网络安全的规划、设计、建设、运营和运行维护工作，同时也适用于城市轨道交通信息系统网络安全测评和安全加固。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.8信息技术词汇第8部分：安全GB16807防火膨胀密封件GB/T20279信息安全技术网络和终端隔离产品安全技术要求GB/T22239信息安全技术网络安全等级保护基本要求GB/T22240信息安全技术网络安全等级保护定级指南GB23864防火封堵材料GB/T24338轨道交通电磁兼容GB/T25069信息安全技术术语GB/T25119—2021轨道交通机车车辆电子装置GB/T31167信息安全技术云计算服务安全指南GB/T31168信息安全技术云计算服务安全能力要求GBT34571轨道交通机车车辆布线规则GB/T37973信息安全技术大数据安全管理指南GB/T39786信息安全技术信息系统密码应用基本要求GB50157地铁设计规范GB50174—2017数据中心设计规范术语和定义GB/T5271.8、GB/T20279、GB/T22239、GB/T22240、GB/T25069、GB/T31167、GB/T31168、GB/T37973、GB/T39786和GB50157界定的以及下列术语和定义适用于本文件。

数据data任何以电子或者其他方式记录的信息。

信息系统informationsystem由计算机及其相关的配套部件、设备和设施构成，按照一定应用目的和规则对信息进行采集、加工、存储、传输、检索等操作的人机系统。

数据处理dataprocessing数据的收集、存储、使用、加工、传输、提供、公开等。

个人信息personalinformation以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人身份或反映自然人活动情况的各种信息，包括但不限于姓名、出生日期、身份证件号码、账号密码、个人生物识别信息、住址、电话号码、住宿信息、征信信息、健康生理信息、行踪轨迹、交易信息、用户画像、特征标签等。城市轨道交通信息系统中涉及的个人信息主要包括社会公众个人信息、内部员工个人信息、合作伙伴个人信息等。

大数据平台bigdataplatform采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合。缩略语下列缩略语适用于本文件。ACL：访问控制列表（AccessControlList）APP：应用软件（Application）CPU：中央处理器（CentralProcessingUnit）GPS：全球定位系统（GlobalPositioningSystem）IP：网际互连协议（InternetProtocol）IP65：外壳防护等级65（IngressProtection65）PHM：故障预测与健康管理（PrognosticsHealthManagement）RDP：远程桌面协议（RemoteDesktopProtocol）USB：通用串行总线（UniversalSerialBus）VDC：虚拟数据中心（VirtualDataCenter）VNC：虚拟网络控制台（VirtualNetworkConsole）WiFi：无线保真（WirelessFidelity）总体要求城市轨道交通信息系统的信息安全要求及定级原则应根据城市轨道交通网络信息系统的各类保护对象的业务需求、受信息安全事件破坏时影响的严重程度确定。城市轨道交通网络信息系统基于业务类型可分为生产系统，管理系统及外部服务系统三类，其分类分级可参考附录A。城市轨道交通网络信息系统应满足GB/T22239中相应级别的安全要求，二级及以上的信息系统还应满足本文件所提出的安全要求。本文件所规定的安全要求分为基本级系统要求和增强级系统要求，安全等级保护定级为二级的信息系统应按基本级系统要求进行安全保护，定级为三级及以上的系统还应符合增强级系统要求。城市轨道交通自建或租用的云计算基础设施应位于中国境内。总体网络架构应根据城市轨道交通业务系统功能类别、服务对象及重要性将网络划分为生产网区、管理网区和外部服务网区三类网络安全区域，宜参考图B.1。信息系统应按系统分类明确部署区域，宜基于信息系统的安全防护需求设置相应的安全防护策略，可参照图B.2分层部署。涉及需要跨越多个地理位置的信息系统，应按照系统的业务属性在对应的网络安全域中分区域部署，各区域间的通信应遵守网络安全域的访问控制策略，宜参照图B.3进行划分。城市轨道交通网络信息系统应采用密码技术对重要业务数据进行保护，保证通信过程数据的完整性和保密性，并应满足GB/T39786相关要求，宜采用国家密码管理部门认可的密码技术实现；重要业务数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要个人信息等。城市轨道交通宜设置安全管理中心对城市轨道交通网络信息系统的安全策略及安全计算环境、安全区域边界、安全通信网络的安全机制进行集中管理、统一监测、综合分析和协同防护。本文件所规定的的设备和计算环境安全要求适用于城市轨道交通中主机、终端、网络设备、安全设备、中间件等通用设备的自身安全保障物理环境安全基本级系统要求设备机房应按照其内部署系统的等级保护定级，采取对应的防护措施。单个信息系统部署在控制中心、车站、车辆基地等不同地理位置的设备机房内时，可作为一个整体对象进行定级，上述机房的物理环境安全措施应遵循等级一致性原则。多个信息系统合并部署在同一设备机房时，机房物理环境安全措施应遵循等级就高原则。机房出入口应配置门禁系统，以控制、鉴别和记录进入的人员，记录日志保存时间不应少于1年。部署于机房内的主要设备或部件应进行有效固定，设置明显、不易除去、唯一的标识，宜包含机柜、系统的名称等信息。线缆应设置明显、不易除去、唯一的标识，宜包含线缆两端的端口信息等。线缆应铺设在封闭的金属线槽或管道中，应铺设在隐蔽、安全的位置。各类机柜、设施和设备等应通过接地系统安全接地，应采取措施防止感应雷。机房应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。机房应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。机房宜采用综合接地方式，接地电阻值不应大于1Ω。机房应设置火灾自动报警系统，能自动检测火情、自动报警；应设置自动灭火系统，当现场条件不具备设置灭火系统时，应设置灭火装置。各类线缆的护套应采用低烟、无卤的阻燃材料；管线穿越防火墙、楼板、防火分区处孔隙时，应采用防火封堵材料对空隙进行填充，防火封堵材料应符合GB16807和GB23864相关要求。机房供电线路应配置稳压和过电压防护装置，供配电要求应符合GB50174—2017中8.1的规定。机房应配置备用电力供应设备，供电后备时间应符合GB50157的相关要求。电力线缆和通信线缆应隔离铺设，避免互相干扰，应具有抗电气化干扰的防护层。设备、设施不应部署在不受控的非安全场所中，应采用防盗窃和防破坏措施。设备、设施所处的物理环境不应对设备造成物理破坏（挤压、强振动等），如果环境条件导致的安全风险经评估较高，应选用安全性、可靠性满足环境条件的终端设备。设备、设施应合理选型，其所处物理环境对设备的正常工作不应造成影响（强干扰、阻挡、屏蔽等）。室外电力线缆护套应采用金属铠装方式，应通过金属管道防护方式从地下引入车站、线路控制中心、线网控制中心等建筑内。天馈线、控制信号线、光缆等弱电线缆宜通过金属管道防护方式从地下引入车站、线路控制中心、线网控制中心等建筑内。室外设备的供电应稳定可靠。室外控制设备应放置于箱体或装置中并紧固；箱体或装置应具有散热、防盗、防水、防潮和防火等能力，室外设备防护等级不应低于IP65。室外控制设备应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。室外线缆应具有防水、防裂、耐高温、防迷流、抗紫外线和盐雾腐蚀的能力。增强级系统要求机房应设置入侵报警系统或有专人值守的视频监控系统，视频监控系统应覆盖机房所有出入口及重要设备设施，视频监控录像文件保存时间不应少于90d。机房应进行区域划分管理，区域之间应设置隔离防火措施。网络安全等级定级中认定的重要区域与其他区域隔离时，隔墙耐火极限不应低于2h，楼板耐火极限不应低于1.5h。机房应设置冗余或并行的电力电缆线路，应采用一级负荷电源供电。机房应配备环控设施，对机房的温湿度、消防、供电等基础设施进行集中监控。涉及敏感和重要数据(如个人敏感信息、重要业务数据、秘密信息等)的服务器和存储设备等关键设备和磁介质应采取电磁屏蔽措施,宜采用电磁屏蔽机柜或其他电磁屏蔽措施防护，设备电磁兼容应符合GB/T24338的相关要求。网络和通信安全要求基本级系统要求网络架构生产网区内部应根据承载业务的不同和网络架构的不同进行分区分域，区域间应采用技术隔离手段，并应部署防火墙等访问控制设备并配置访问控制策略进行安全隔离。不同网区应采用独立网络设备进行组网建设，应遵循管理和控制的原则为各网区分配地址，宜采用具有访问控制功能的设备划分安全域。宜建设带外运维管理网络，对网络设备、安全设备、服务器、存储设备等进行运行、维护和管理。管理网区的网络宜在轨道交通线路建设时统筹规划。通信传输数据中心之间应采用专线或加密通道实现数据互通，保证通信过程数据的完整性和保密性。安全区域边界边界防护生产网区与管理网区间宜采用网闸等技术隔离手段，管理网区与外部服务网区间应采用防火墙等逻辑隔离手段。跨越网络安全区域边界的访问和数据流应通过受控的边界设备提供的受控接口进行通信。线路中心等重要网络区域与其他网络区域之间应部署防火墙等防护措施实现边界隔离。对非授权设备私自联接生产网区、管理网区的行为应进行检查或限制。对内部用户非授权连接外部网络的行为应进行检查或限制。无线局域网络应通过受控的边界设备接入内部网络。无线局域网络宜单独组网，应通过无线网络控制器实现对无线接入设备管理和用户终端接入控制。访问控制生产网区的访问不应通过互联网远程接入方式。生产网区与管理网区的网络边界应遵循最小开放原则，应配置访问控制策略，应拒绝E—Mail、Web、Telnet、Rlogin、FTP、RDP及VNC等通用网络服务直接穿越区域边界进入生产网区。通过互联网远程访问管理网区的用户和设备应具备唯一性标识并应进行授权、鉴别和访问权限控制。入侵防范在线路中心、线网中心等关键网络节点处应监测网络攻击行为。在管理网区、互联网边界应进行网络入侵监测，发现网络攻击行为时应及时阻断并进行告警；恶意代码防范在线路中心、线网中心等关键网络节点处应对恶意代码进行监测。在管理网区、互联网边界应检测恶意代码，并应及时清除。恶意代码特征库应至少每3个月进行一次升级和更新，网络防恶意代码产品宜与主机防恶意代码产品使用不同的特征库。安全审计安全审计记录应发送至安全管理中心进行集中保护、统一管理，不应受到未预期的删除、修改或覆盖等。审计日志保存时间不应少于6个月。增强级系统要求网络架构网络设备的业务处理能力和网络各个部分的带宽应满足业务高峰期需要，带宽利用率宜稳定在70%以下，CPU利用率宜稳定在60％以下，内存利用率宜稳定在60％以下。网络架构应提供冗余通信线路，宜采用链路聚合技术、多链路选路或负载均衡等方式。线网中心、线路中心、互联网边界的网络设备应冗余部署，当单设备故障时，不应影响核心业务，宜采用双机热备、集群等方式。安全区域边界边界防护对物联网的终端应进行准入控制，对仿冒，私接、流量异常等行为应进行检测、识别和阻断。对授权允许通过互联网远程访问管理网区的用户，应采用先认证后连接架构，收缩暴露面，未经认证鉴权的用户不应与管理网区建立任何连接，外部不应扫描到任何管理网区地址。入侵防范对网络行为应采取技术措施进行分析，应实现对网络攻击特别是新型网络攻击行为的分析。当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目标、攻击时间，宜在发生严重入侵事件时报警，宜对攻击路径进行回溯。恶意代码防范互联网边界、核心交换节点、车站节点等区域应具备恶意代码防护、检测和清除能力，应检测恶意代码感染及跨域蔓延的情况，应将日志信息上报安全管理中心。区域边界应具备恶意代码动态检测联动功能，应根据检测结果更新恶意代码特征库。安全审计对远程访问、访问互联网、跨越网络安全区域边界的用户行为应进行独立的安全审计。对远程访问、访问互联网、跨越网络安全区域边界的拒绝和阻断等行为应进行安全审计。特殊系统要求专用无线通信系统专用无线通信系统应具备完整的用户鉴权和认证机制，应能实现终端用户和网络的双向鉴权。专用无线通信系统应支持空口加密功能。空口传输过程中，应为信令提供加密和完整性保护。专用无线通信系统应为数据提供加密功能。专用无线通信系统应支持国产加密算法，密钥长度不应小于128位。信号系统信号系统的车地无线通信网络、运行监控网络和设备监测网络应独立建设，车地无线通信网络应冗余双平面网络建设。检测网络异常应通过旁路检测方式，不应影响信号系统的稳定性。安全管理中心基本级系统要求安全管理中心可按照总分模式、分层分级的原则建设，根据不同业务管理模式，可分线路、分专业单独建设。生产系统的安全管理中心应具备工业网络环节安全监测能力。管理系统和外部服务系统的安全管理中心，应支持集中管理、统一监测、综合分析及协同防护。安全管理中心应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控。安全管理中心应能与网络安全设备的接口对接，收集各类网络安全设备的日志数据。安全管理中心应能与其他系统（运维系统、网络性能管理系统、工单系统、上级监管单位系统及下级单位安全系统等）的接口对接，实现系统间的数据资源共享或互操作。安全管理中心宜建立与主机安全、存储、备份等组件的预警处置联动机制，提高数据防勒索能力。安全管理中心应采集并展示网络设备、安全设备、生产控制控制设备、主机操作系统、数据库、中间件、应用系统等重要资产信息、网络信息、安全日志及运行状态。安全管理中心应对不同来源的安全日志进行标准化处理、分析，应对存在安全风险的事件及时告警。安全管理中心应能对安全告警原始数据、安全事件告警数据集中存储。系统审计日志的留存时间不应少于180d。增强级系统要求安全管理中心应支持网络流量数据采集功能。安全管理中心应支持安全漏洞信息采集功能。对安全事件的自动化处理和处置宜通过设备联动控制及安全处置策略管理等功能实现。安全管理中心应具备安全数据可视化展示能力，应能集中展示系统告警情况以及每条线路的网络整体安全状况。安全管理中心应具备安全服务资源管理能力，应能为服务器资产、网络资产、终端资产、安全设备资产、应用软件及中间件、数据库资产等资产提供补丁更新资源和威胁情报服务资源。安全管理中心应具备检测分析能力，应能构建违规操作、攻击入侵、异常行为等安全风险发现模型。在安全管理中心与被管理对象之间建立连接之前，应利用密码技术进行初始化验证。应使用密码技术对安全管理中心与被管理对象之间进行通信保护。安全管理中心的数据应存储在境内，应严禁境外访问。设备和计算环境安全要求基本级系统要求城市轨道交通中专用智能设备、物联网设备及组件等特殊类资产的自身安全应遵循最小够用、确保安全原则。设备和计算环境的安全补丁应及时跟踪、验证并更新。主机操作系统应建立安全基线，并应定期进行基线检查。主机操作系统应进行安全加固，加固的主要内容应包括服务最小化、服务加固、内核参数优化调整、文件目录权限最小化、账号口令安全、系统认证和授权、日志和审计等。操作系统宜部署白名单软件产品进行安全防护。操作系统应通过技术或物理措施禁用各类存储接口。网络设备应具备抗入侵能力，能发现设备的非法提权、系统引导程序被篡改、系统程序被篡改等行为。网络设备宜具备安全配置核查能力，如弱口令策略、弱加密算法、不安全协议等，可提示引导用户修复。中间件应关闭远程管理和调试接口。安全设备的可靠性、可用性及性能应满足业务要求，不应低于被保护对象的保护等级。安全设备的管理终端应采用访问控制、IP白名单等方式严格控制。增强级系统要求通用服务器、终端等操作系统应采用口令、密码技术、生物识别等鉴别技术中的两种或两种以上组合的方式对用户进行身份鉴别，且其中至少一种鉴别技术应使用密码技术来实现。数据库、中间件、网络设备、网络安全设备应支持基于统一认证的安全访问机制，应支持动态身份鉴别或多因素身份鉴别方式。在设备和计算环境中应明确重要用户操作和异常操作行为，应记录重要用户的操作行为，并应定期开展操作审计。重要主机操作系统应采用进程白名单等方式进行保护。主机操作系统应采用主动防护技术手段及时识别异常行为，应阻断入侵、违规操作和病毒行为。专用智能设备应采用技术手段禁止或拆除非必要的外接组件端口（例如USB端口、WIFI、蓝牙等），应对外接组件使用情况进行监控。专用智能设备应限制网络访问范围，仅限必要的网络对象通讯。专用智能设备应禁止来自互联网的运行维护管理访问，应对网络访问行为进行记录分析。应用及数据安全要求基本级系统要求身份鉴别应用系统应对登录的用户进行身份标识和鉴别，身份标识应具有唯一性，身份鉴别信息应具有复杂度要求，口令长度不应小于8位，更换周期不宜超过6个月，最长不应超过9个月。应用系统应具有登录失败处理功能，应配置并启用结束会话，连续登录失败5次应锁定账户，鉴别反馈内容中应不包含敏感数据。访问控制应用系统应具有权限分离与最小授权机制，应设置系统管理员、系统安全员和系统审计员,应按最小授权原则分别授予权限,并应形成相互制约的关系。用户首次登录时应用系统应强制要求其修改默认口令。生产系统宜具备紧急访问和权限变更能力，确保在紧急情况下能够及时获得必要的访问权限。安全审计安全审计功能的设计宜与用户标识、鉴别、访问控制等安全功能的设计结合。审计日志文件应定期存储，应独立保存于应用程序目录外,审计日志保存时间不应少于6个月。审计日志文件的访问权限应严格限制。审计日志不应保存敏感数据。入侵防范应用系统应提供数据有效性验证功能，通过人机接口输入或通过通信接口输入的内容应符合系统设定要求，验证内容包括表单数据的字符类型、长度、格式等、文件的文件类型、文件头信息、大小等和业务参数阈值等。集成或使用的第三方中间件、数据库、应用组件、运行环境应从官方途径获取，应及时对其进行版本更新，应及时修复其安全漏洞，并应对第三方组件进行安全加固配置，包括删除非必要的默认页面、关闭调试模式、过滤详细的错误信息反馈、修改默认账号等。应用系统宜限制最大并发会话连接数和单个账户的多重并发会话数。数据完整性存有敏感数据的存储空间被释放或重新分配前，数据宜被清除且不可恢复。数据备份恢复重要数据（如：配置数据、业务数据）应采取本地数据备份与恢复。不同应用系统的本地数据存储时间应根据业务需求进行分别制定，备份时间不应少于180天。数据备份应在不同的物理位置实现，重要数据应定时批量传送至备用物理位置。应用系统应建立准确完整的备份拷贝记录和文件化的恢复程序。备份介质应定期测试。恢复程序应定期检查和测试，应在操作程序恢复所分配的时间内完成测试。个人信息保护个人信息的存储和使用宜采用脱敏或加密等技术进行保护，数据脱敏内容宜包括姓名、身份证号、电话号码、银行账户、日期、地址、税号、GPS坐标、金额等敏感信息。应用系统应主动监测和发现个人信息泄露等违规行为，应记录并上报安全管理中心。存有敏感信息的存储空间在被释放或重新分配前宜得到完全清除。特殊系统要求视频监控系统视频监控系统应采用视频图像信息防泄漏措施，应管控和追溯视频下载、录屏截屏、录像拍照、联网共享等视频图像信息泄露行为。视频监控系统应采用视频图像审计措施对视频点播、下载、回放、控制等操作行为进行审计。视频监控系统应采用数字摘要、数字时间戳及数字水印等技术防止视频图像的完整性被破坏，即防止恶意篡改系统数据。自动售检票系统其他系统与自动售检票系统对接时应确保订单数据、支付数据、支付反馈数据的完整性、不可抵赖性。自动售检票系统应具备恶意代码攻击防范能力，不应存在信息泄露。乘客信息系统乘客信息系统应具备应急处置功能，包括一键关屏等。乘客信息系统应具备发布内容的快速审计功能，包括内容自动审核等。增强级系统要求身份鉴别应用系统应严格控制用户访问系统的可选途径或通道,应保证用户只能通过指定的途径或通道访问系统以避免身份鉴别被绕过。应用系统宜具备账户定期检查能力，宜支持配置允许账户不使用的最长期限并强制失效长期不使用的账户。访问控制对实施相同访问控制安全策略的分布式应用系统,各个节点或者分支宜具有一致的主、客体标记和相同的访问规则。生产系统宜设置具有只读权限的账号。数据备份恢复重要数据处理系统以及工控关键业务数据处理系统应采用热冗余备份，保证系统的高可用性。特殊系统要求外部服务系统的安全要求应用程序与数据库应部署在不同的服务器上。应用服务器对互联网提供服务时，应限制应用服务器主动访问互联网。数据库服务器不应对服务器提供服务。外部服务系统应采取加密通讯传输，应使用证书颁发机构签发的证书。外部服务系统应具备网页防篡改的能力。外部服务系统应能及时发现和停止敏感信息的发布，应采用账号锁定、限制登录、停用权限等技术措施对敏感信息来源实施控制。外部服务系统应提供应急处置功能，包括切换维护页面等。APP收集个人信息应满足最小必要收集原则，并应采用显著方式向用户告知个人信息保护政策的核心内容,应提示用户阅读个人信息保护政策,并应取得用户明示同意。APP应仅声明和申请实现APP服务目的最小范围的系统权限,不应申请与APP业务功能无关的系统权限。安全扩展要求云计算平台安全技术要求云计算平台应按不同功能及风险防护要求进行区域划分，应分域部署计算、网络和存储资源池等；云计算平台应针对不同应用系统建立不同的VDC，应根据各系统不同的风险防护要求采取网络隔离措施，业务应独立运行互不影响，最终用户不应破坏基础平台。云计算平台网络应具备软件定义网络能力，应支持调用弹性IP地址、网络地址转换等服务，宜支持网络资源弹性扩展。云计算平台应具备开放接口或开放性安全服务以保障云基础设施及云上应用安全。云计算平台应提供异地实时数据备份功能，应利用通信网络将重要数据实时传送至备用场地。云计算平台中的重要数据宜通过链路加密设备进行保密性防护。云计算平台应采用加密技术保证通信过程中数据的完整性和保密性。承载两个以上信息系统的云计算平台应单独定级和测评。大数据平台安全技术要求大数据平台不应承载高于其自身安全保护等级的大数据应用。大数据平台中管理流量应与系统业务流量分离。大数据平台应对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别。大数据平台应建立过期存储数据及其备份数据彻底删除机制，应能验证数据已被完全消除且其无法恢复，删除后应告知数据控制者和大数据处理者。物联网安全技术要求物联网应确保全链路安全，从设备到服务器以及设备之间的所有数据均应采用加密传输，数据在传输过程中不应被窃取或篡改。宜设置物联网设备信息安全管理平台。物联网设备信息安全管理平台应收集并监控物联网关键设备的重要运行数据，应对关键设备的安全运行状态进行分析和监控。物联网设备信息安全管理平台应具备故障诊断和定位能力。关键设备出现信息安全问题时，应能及时对故障进行分析定位，应快速进行故障恢复，保障物联网系统的可用性。在物联网设备运维过程中，应严格禁止第三方直接接入物联网。智能大屏控制系统安全技术要求网络版智能大屏控制系统、电子屏不应部署于互联网边界处；若因业务需要必须通过互联网进行信息发布的，应通过加密通信、网页防篡改、入侵检测等技术措施加强互联网边界的安全防护。非网络版智能大屏控制系统应通过信息发布终端或移动介质直连导入发布信息，信息发布终端应放置于内部受控的环境中，应安排专人值守或远程监控等措施，不应与互联网相连。智能大屏控制系统应对显示在公众面前的信息内容（包括文字、图像、视频等）采取自动审核措施，应防止发布非授权内容。智能大屏控制系统应提供应急处置功能，包括但不限于一键关屏、紧急断电等。车载系统安全技术要求通则城市轨道交通车载系统的保护对象为列车控制与监视系统及其终端设备、乘客信息系统及其终端设备、车载信号系统、车地通信节点等。车载系统安全防护技术措施不应影响列车控制与监视系统、信号系统、车地传输等重要的系统正常运行。物理环境安全安装于车厢内的车载设备（通信设备、控制设备、信号系统、车地通信节点等）应部署于乘客不易接触的位置，应采用防盗窃和防破坏措施；如车载设备部署于车下，应安装于密闭的箱体中，箱体应具备防水、防尘和防震能力。车载设备通信、电气接口不应直接暴露于公共区域。车厢内车载设备柜应位于车载视频监控系统的监控范围内。车载设备安装区域应具备自动火情检测、报警能力。车载设备电磁兼容应符合GB/T24338.4的要求。车载线缆的敷设应符合GB/T34571的要求。车载设备应符合GB/T25119—2021第4、5、6、7、8、9、10、12章的要求。网络和通信安全列车控制与监视系统、乘客信息系统、车载信号系统、车地通信节点宜采用独立的网络设备进行组网，并应根据业务功能划分网络区域和地址分配。列车控制与监视系统、乘客信息系统的列车级、车辆级通信网络应采用冗余方案。列车与地面通信中的车辆运行控制指令信息、乘客乘车服务信息或车辆设备状态信息应通过专用网络或特定频道进行传输，在没有专用网络或特定频道时，车载系统不应接受任何非授权地面设备的通信请求。应采用密码技术对列车与地面通信中重要的车辆运行控制指令信息、乘客乘车服务信息、车辆设备状态信息进行保密性、完整性保护。车载列车控制与监视系统、乘客信息系统、车载信号系统间以及车载网络与地面网络之间的通信应安全隔离。车载列车控制与监视系统、乘客信息系统应根据业务需要进行网络划分，各个区域的带宽应满足业务高峰期使用需求，应提供服务质量(QoS,QualityofService)保证。车载网络边界防护设备应采用工业控制系统专用产品，同时应符合GB/T25119—2021第4、5、6、7、8、9、10、12章的要求。车载网络区域间、车载网络与地面网络边界通信应支持对区域间轨道交通专用传输协议的解析。车载网络内部重要节点应支持对通信行为的异常事件识别，如不合规的通信行为、不合规的列车通信协议报文、端口报文异常、异常控制命令等，应对异常事件进行记录，记录内容应包括时间、事件类型、主体、客体、事件描述等内容。车载网络区域间、车辆和地面网络边界以及内部网络重要节点应采取技术措施检测网络入侵事件，当监测到攻击并触发报警时，宜通过列车控制与监视系统或PHM系统进行报警。设备和计算环境安全车载设备应遵循最小安装的原则，应仅安装必要的组件和应用程序。车载设备中应关闭不需要的系统服务、默认共享和高危端口；对已开启的系统服务、默认共享和高危端口应进行地址访问限制或配置安全防护设备。应提前识别车载设备中操作系统、服务的安全漏洞，识别到安全漏洞后应进行安全加固。可采用合适的技术手段（如进程白名单等）对设备进行保护。车载设备宜具备操作系统安全启动的功能。车载交换机应具备物理端口的ACL配置、查看功能，应支持对每个物理端口基于源IP、目的IP、源端口、目的端口以及协议类型的五元组匹配和报文过滤。应用和数据安全人机接口显示屏使用和维护界面宜通过口令、指纹或数字证书等方式进行身份鉴别。当地面系统对车辆远程访问时(包括但不限于车厢视频访问)，应进行身份鉴别。摄像机、本地存储的车厢视频不应接受非授权访问和使用。车载系统应能对信息发布、推送等重要行为进行审计，包括但不限于人员访问、设备固件更新、媒体播放、文本转语音、音视频更新、车厢视频下载；记录内容至少应包括事件的时间、用户、事件类型、事件处置结果等信息；应对审计记录进行保护。车载设备应具备应用程序安全启动的功能，应用程序的目标码、配置文件的加载、启动宜采用密码技术进行完整性校验。乘客信息系统应对预置的音视频文件进行数据加密或使用转换工具进行文件格式转换，避免数据的非法披露。乘客信息系统中的重要数据宜通过密码技术进行保护，如广播与对讲系统、影音娱乐系统和播放系统预置的音视频文件、乘客信息显示内容。乘客信息系统应对播放的音视频文件进行完整性校验，不应播放或显示非法信息，应支持人机交互显示屏对当前播放内容的监听、监视和控制。进行远程运维时，应采用数据加密等技术保护通信过程中的重要数据（如用户的账号、口令、定位、音频、视频等）的完整性和保密性。安全管理要求基本级系统要求运营单位应设立网络安全管理工作的职能部门,应设立安全主管、安全管理各个方面的负责人岗位，应定义各负责人的职责。运营单位应设立系统管理员、审计管理员和安全管理员等岗位，应定义部门及各个工作岗位的职责。运营单位应重命名或删除默认账户，应修改默认账户的默认口令。安全检查应定期开展，应采用自建验证平台、委托具备资质的第三方检测服务机构或在投保信息安全保险后由保险公司认可的第三方评估服务机构进行检查。安全检查内容应包括系统日常运行、系统漏洞和数据备份、现有安全技术措施的有效性验证、安全配置与安全策略的一致性、安全管理制度的执行情况等；对安全漏洞进行修补加固，应在经过验证后上线；实施安全检查应制定信息安全检查项及方案、汇总安全检查数据、形成信息安全检查报告；针对安全检查发现的问题应采取相应措施并积极落实或建立保险机制予以风险转移；应急预案管理应规定统一的应急预案框架,包括启动预案的条件、应急组织