DB31_T 1499-2024 城市轨道交通网络安全通用技术规范.docx

ICS35.<MOCCS1.80DB31上海市地方标准DB31"14992024城市轨道交通网络安全通用技术规范Genera1.technica1.specificationsforurbanrai1.transitCybersecurity2024-07-05发布mHHH虻上海市市场监督管理局发布前吉III引言IVI范用52规范性引用文件53术语和定义54缩略谱65整体架构75.1 通信网络75.2 信息系统86网络安全集中防护要求96.1 网络区域划分及部署要求96.2 网络安全互联要求I1.6.3 生产网区防护要求126.4 管理网区防护要求126.5 互联M区防护要求136.6 安全集中管控系统要求147信息系统安全基本要求157.1 信息系统分级157.2 安全物理环境157.3 安全通信网络167.4 安全区域边界167.5 安全计算环境要求187.6 安全管理中心要求218信息系统安全扩展要求X228.1 生产核心系统要求228.2 生产辅助系统要求228.3 管理系统要求238.4 对外服务系统要求239智能装备安全要求249.1 运营车辆要求249.2 智能终端设备要求M259.3 智能大屏控制系统要求26IO基础设施安全要求2710.1 机房要求2710.2 基础通信网络要求2910.3 云计算平台要求3110.4 大数据平台要求31附录A（资料性）城市轨道交通系统说明32附录B（资料性）城市轨道交通信息系统分级表41参考文I1.rt42本文件按照GB，T”-202OE标准化工作导则第1部分：标准化文件的结构和起草规则3的规定起草，请注意本文件的某些内容可能涉及专利。木文件的发布机构不承担识别专利的由任，木文件由上海市互联网信息办公室，上海市运济和信息化委员会提出并组织实俺。本文件由上海市信息安全标准化技术委员会归口本文件起草瑕位：上海申通博帙集团有限公司、上海申通轨道交通检测认证有限公司、公安部第三研究所、上海市信息安全测评认证中心、上海工业控制安全创新科技有限公司、华东理工大学、上海工业自动化仪表研究院仃限公司、上海电科智能系统股份有限公司、中铁上海设计院集团行限公司、上海中铁通信信号测试有限公司、上海观安信息技术股份仃限公司.上海厚泽信息技术有限公绿盟科技柒团股份有限公司、深信服科技股份有限公司、中兴通讯股份有限公司、上海健整信息科技彳i限公司及新华三技术有限公司.木文件主要起草人：王大庆、张立东、张普博、万勇兵、蔡佳妮、纪文莉、朱莉、黄天印、赵雨晴、孙煜、邹乔明、陆臻、金铭彦、得骏炜、楮文武、沈琦、沈声、许子恒、王旭、薜文俊、蒋雨捷、笛跑、王森、姜碟琪、过弋、周明、周期、赵晓善、陈燕、刘兵、谢江、黄世美、张军、姚宇、张飞、杨阳菽袁文杰、蒋瑞、刘捷元、孙艺彬，DB31-T1499-2024本文件道照国家M络安全有关方计和政策，以及国家和本市颁布的相关法律法规和标准,吸收和信要/国外相关标准，使本文件符合国宏相关附络安全要求的同时，放具有计对城市轨道交逋G业系统的特点.满足安全、实川的要求.本文件针对城市轨道交通行业的特点,对相关技术要求进行细化、加强.IV城市轨道交通网珞安全通用技术规范1本文件规定了城巾轨道交通网络安全的整体架构，网络安全集中防护、侑息系统安全通用要求、侑息系统安全扩展要求、智能装备及基础设施等安全要求.本文件适用于城市轨道交通新线建设和既盯线改造信息系统网络安全的规划、设计和it设.同时也可作为测评机构网络安全桧测的依据.2艘船性引用文件F列文件中的内容通过文中的规祗性引用而构成本文件必不可少的条款.其中,注口期的引用文件,仅该日期对应的版本适用于本文件：不注日期的引用文件.其最新版本（包括所有的修改单J适用于本文件.GBJT4208外无防护等级（IP代码）GB/T5271.8信息技术词汇第八部分安全GB16807防火粉胀材料GB17859-1999计算机专业系统安全保护等级划分准则GB/T22239-2019信息安全技术网络安全等级保护班本整求GB23864防火封堵材料GB/T24338城市航道交通电Ki兼容GB/T25069侑息安全技术术语GB,T28181安全防范视频监拽联网系统信息传输、交换、控制技术要求GB/T31167信息安全技术云计算取分安全指前GBfT31168信典安全技术云”电朋务安全健力要求GB35114公共安全视领监控联网信息安全技术要求GB/T35273-2020信息安全技术个人信息安全规莅GB/T39786信息安全技术信息系统密码应用基本要求GB50157地铁设计观的GB501742017数据中心设计规范GATT1400公安祝版图像信息应用系统G4T1788.3公安视斓图像信息系统安全技术要求第3部分：安全交互3术语和定义GBT5271.8,GB17859-1999.GB.T25069,GRT31167,GB.T31.1.68f11GBT39786界定的以及下列术语和定义适用于本文件.1.1infor三ti8”tea由计算机及其相关的配套部件、设旅设及网络构成，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统.来溯GB178591999,3.1,有修改1.2城市轨道交J，urbanrai1.transit采用电机邺动列车的城市轨道交通系统。注I包拈弑市公共殳通分类标准中燃定的地铁系统GJ21、轻轨系统322.的轨系统GJ23、自动导向轨道忝统GJ26等，33债厘系眺nanageMtsyst三以人为主导的用,办公、管理、决策、信息发布的信息服务系统,1.4生产系统productionsystca以设备为主V的保障运竹行车业务正常开展的自动化系统。1.5云计*平台c1.oud<×wutingp1.atfra云服务运营者提供的云计算基础设施及其上的服务软件的集合。来淞：GBrr311683.71.6*三*inte1.1.igentequipment具有感知、分析、推理、抉策、控制功能的装备，用于协助实现城市轨道交通行车运营、设备维保的自动化、智能化的专用装置。4 Wff下列缩略语适用于本文件.ACS:门禁系统(ACCCSSContro1.System)AFC:自动售检票系统(AU1.oDaIiCFareCo1.1.ection)ATS:自动.控系ai(AutomaticTrainSupervision)CATS:控制中心列车自动监控系统(Centra1.AutomaticTrainSupenision)CBTC:基于通信的列车自动控制系统(CommUniCationBasedTrainCont11>1.System)CCTV:闭路电视(C1.OSedCircuitTe1.evision)C1.K:时间同步系统(C1.ock)C3:网络运营调度与应急指挥系统(COmmand,Coniro1.ACoondiiiation)COCC:路网综合运营协调中心(ComprehenSiVeOperationCoordinationCenter)C1.:计算机联锁(ComputerInter1.ocking)EMCS:环境与设备监控系统(E1.ee1.riCAMechanicContro1.System)FAS:火灾报警系统(FireA1.armSystem)FEP:前端处理机(FrOn1.EndProcessor)FG:防淹门(F1.oodgate)I.ATS:车站列车自动监控系统(1.oCa1.AutomaticTrainSupervision)MSS:维护支持系统(Main1.enanCeSupportSystem)NMS:网络管理站(NCtWorkManagementSystem)OCC:线路运营控制中心(OPera1.沁nContro1.CEter)PIS:乘客信息系统(PaSSUnKCrInfonnii1.ionSystem)PA:公共广播系统(PUbIiCAddress>PSD:站台门(PIa1.fOrmScreenDOor)PSDC:站台门控制涔(P1.atfomiScreenDOorContro1.1.er)SCADA:监视控制与数据采集系统(SUPCrViSOryContro1.AndDataAcquisition)SNMP:简单J络管理协议(SimPICNCtworkManagementProIOeQDSQ1.:结构化查询语音（StTUCtUrQdSSID:IM务集标识（SerViceVPN:虚拟专用网（Virtua1.VPC:虚拟私有云（VirtUdVOBC:车载控制器（VehideWEP:有线等效加密（WiredSetPrivatePrivateQuery1.anguage)Identifier)Network)C1.oud)OnBoardCon1.ro1.1.er)Equiva1.entPrivacy)ZC:区域控制5(ZoneContro1.1.er)5 SMM5.1 BttW51.1城市轨道交通的基础通信网络如图1基础通信网络示意图所示.由线路级传检系统和线网级传输系统构成.为各类生产业务和管理业务提供独立的骨干通信通道.实现不同业务的传输通道隔禽.基附通信网络的安全防妒重点是设施设备的物理安全.MM«(««tt*MMMMMMMBMA*M1HS>B?BAMHteBA*aBAMMUI1.MtMUBAMUUAMMUSMtM1.-H1H1M1修修示B95.1.1城路级传输系统用于联通单城路的乍站、车辆荔地，控制中心等戏路物理节点I城两级传愉系统用于联通线路控制中心.路网综合运营协调中心，城网设备及运维管考中心等线网掇物理节点。5.1.2各生产系统在各车站、车辆葩地、控制中心内部自建局域网，并通过物理通信网络提供的通道构建覆施相关物理节点的生产数据通信网络,管理系统统利用物理通信网络提供的通道构建承我笆理业务及办公终端的管理数据通信网络.外部单位/机构Internet安全隔海生产网区生产国附网域（EMCS）"不含而J裒郎雄）,（智皖大加控删系）UZ1.J11三）（ACS）时钟系统健相监测系统（EMS）r技术师也乐就H（安防QS成千台I（GCTV,）J1.T可11rmr型(AFCMCeACCi1.f络运营调度与应您好述系统专用电话M公务电话.网络运营封河号）I庖黑器系统乘客信息系统（P1.S1PA）单向数据推送核心同时间同步系统H3«r暴跳”方家示*用.2网传安全互联要求网络安全互联的要求包括：a）生产网区与互联网区不应直接互联；b）庖采用具;&缸路阻断、协议利国技术的设备对生产网区与管理附区的安全隔尚，生产网区与管理网区不应直接互联；c）应采用物理传导上具备链路见断.t议剥离、的向数1«推送技术的役备对生产核心网域1.j生产辅助网域之间进行安全隔离,生产核心网域与生产辅助网域不应直接互联：d）生产管理M域、企业管理网域、对外信息服务必域可