DB31-T 1499-2024 城市轨道交通网络安全通.用技术规范

31 5.2信息系统 7.4安全区域边界 8.4对外服务系统要求 城市轨道交通网络安全通用技术规范3.13.23.33.43.53.6数据通信网自动售检票系统主核心交换节点自动售检票系统备核心交换节点乘客信息系统备核心交换节点乘客信息系统数据通信网自动售检票系统主核心交换节点自动售检票系统备核心交换节点乘客信息系统备核心交换节点乘客信息系统主核心交换节点技术防范系统主核心交换节点线网级传输系统网络层光缆C3节点集中节点轨交总队节点OCCn节点OCC1节点OCC2节点传输系统传输系统传输系统车站传输节点车辆基地传输节点车站传输节点车辆基地传输节点车站传输节点车辆基地传输节点控制中心传输节点控制中心传输节点控制中心传输节点线网级传输接入层各业务系统OCC通信节点线路级传输系统线络层光缆OCC传输节点OCC传输节点OCC传输节点各业务系统OCC通信节点各业务系统OCC通信节点线网级传输系统网络层光缆C3节点集中节点轨交总队节点OCCn节点OCC1节点OCC2节点传输系统传输系统传输系统车站传输节点车辆基地传输节点车站传输节点车辆基地传输节点车站传输节点车辆基地传输节点控制中心传输节点控制中心传输节点控制中心传输节点线网级传输接入层各业务系统OCC通信节点线路级传输系统线络层光缆OCC传输节点OCC传输节点OCC传输节点各业务系统OCC通信节点各业务系统OCC通信节点数据通信网自动售检票自动售检票自动售检票技术防范系统技术防范系统乘客信息系统技术防范系统乘客信息系统乘客信息系统自动售检票自动售检票自动售检票技术防范系统技术防范系统乘客信息系统技术防范系统乘客信息系统接入交换机1接入交换机2接入交换机n接入交换机1接入交换机2接入交换机n接入交换机1接入交换机2接入交换机n覆盖相关物理节点的生产数据通信网络，管理系统统一利用物理通信网络提供的通道构建承载管理业制和运营列车运行直接相关的制为运营列车运行提供辅助支音视频统一信息发布系支撑企业管理和运营的设施设市轨道交通共享信息服务等系互联网区互联网区管理网区生产辅助网域生生产辅助网域生产网区）；b)与生产核心类系统密不可分、只能在车站实施日常联动的生产辅助类系统应部署在生产核心a)生产核心网域不应向除生产辅助网域外的其他网络区域进行直接数据交换，如确有数据交换d)生产核心网域与生产辅助网域的网络边界应遵循最小开放原则配置访问控制策略，不应提供d)管理网区与互联网的网络通信应通过指定的通信链路，不应私自架设通信链路将管理网与互a)应能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系，并应确保记录的留），e)安全管理子系统应支持对指定范围内各系统进行理解、评估和预测其安全状态并提供展示的a)应提供统一的安全日志数据接口规范，实现对管理范围内的网络安全设备日志数据的统一自按照信息系统在受到破坏后所造成的影响程度，城市轨道交通信息系统分级范围为第一级至第三a)应在网络边界或区域之间根据访问控制策略设置白名单规则，默认情况下除允许受控接口通），应对进出网络的数据流实现基于应用协议和应用内容的访问控制，工业控制系统与其他系统之间e)应采用安全检测工具定期对专业应用系统的口令强度进行检测，发现可能存在的不符合口令b)应仅在用户使用应用软件相应功能时对用户授权信息进行采集，并采集和保存业务必需的用b)应用系统应设置专门的系统管理入口，只允许其通过特定的命令或操作界面进行系统管理操f)应采用国家密码管理部门认可的密码技术保证通信过程中数据的完整性和保密性，并满足管理系统应基于城市轨道交通云计算平台部署，在云计算平台提供的安全能力基础上，还应符合8.4对外服务系统要求c)车辆运行控制指令信息、乘客行车服务信息或车辆设备状态信息应通过专用网络或特定频道b)应在车辆和地面的网络边界处根据访问控制策略设置白名单规则，除允许受控接口通信外拒b)非网络版智能大屏控制系统应通过信息发布终端或移动介质直连导入发布信息，信息发布终a)网络版智能大屏控制系统与互联网之间的网络通信应通过规定的互联网出口进行对接，不应b)应通过网络访问控制对信息发布终端访问网络资源进行限制，仅可访问业务所必需的网络资10.1机房要求a)应在机房供电线路上配置稳压器和过电压防护设备，交流供电电源质量应符合GB50174—b)有线网络与无线网络边界之间的访问和数据流应通过无线接入网关设备，保证无线网络通过d)应建立合法无线接入设备和合法移动终端的配置库，用于对非法无线接入设备和非法移动终f)应能识别其物理环境中发射的未经授权的无线设备，报告未经授权试图接入或干扰控制系统g)可接入公众用户的无线网络应部署无线入侵检测系统（WirelessIntrusionDetectiong)建立过期存储数据及其备份数据彻底删除方法和机制，能够验证数据已被完全消除或使其无