Q/LB.□XXXXX-XXXX目次TOC\o"1-1"\h\t"標準文件_一級條標題,2,標準文件_附錄一級條標題,2,"前言 III引言 41范圍 52規范性引用文件 53術語和定義 54縮略語 65總體要求 66物理環境安全 76.1基本級系統要求 76.2增強級系統要求 87網絡和通信安全要求 87.1基本級系統要求 87.2增強級系統要求 98安全管理中心 108.1基本級系統要求 108.2增強級系統要求 119設備和計算環境安全要求 119.1基本級系統要求 119.2增強級系統要求 1210應用及數據安全要求 1210.1基本級系統要求 1210.2增強級系統要求 1411安全擴展要求 1411.1云計算平臺安全技術要求 1411.2大數據平臺安全技術要求 1511.3物聯網安全技術要求 1511.4智能大屏控制系統安全技術要求 1511.5車載系統安全技術要求 1512安全管理要求 1712.1基本級系統要求 1712.2增強級系統要求 17附錄A（資料性）信息系統分類分級 19附錄B（資料性）網絡安全區域劃分 21前言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中華人民共和國住房和城鄉建設部提出提出。本文件由全國城市軌道交通標準化技術委員會（SAC/TC290）歸口。本文件起草單位：本文件主要起草人：引言本文件是指導城市軌道交通行業在國家信息安全體系規范指導下安全、合規的進行規劃、設計、建設的總體要求文件。本文件梳理匯總各城市軌道交通信息系統數量、類別、網絡架構、功能特點等基礎上，以遵循GB/T22239基本要求為原則，針對城市軌道交通行業的特點，對軌道交通特殊系統的相關技術要求進行細化、加強。從技術和管理兩個維度，為安全防護體系建立、保證信息系統可用性、確保數據的完整性和保密性提供依據，確保城市軌道交通行業的業務安全。本文件中，“密碼”是指商用密碼。

城市軌道交通網絡信息系統安全基本要求范圍本文件確立了城市軌道交通網絡信息系統安全總體要求，并規定了物理環境安全要求、網絡和通信安全要求、安全管理中心技術要求、設備和計算環境基本要求、應用及數據安全要求、安全擴展要求及安全管理要求。本文件適用于城市軌道交通線路的新建和改建中信息系統網絡安全的規劃、設計、建設、運營和運行維護工作，同時也適用于城市軌道交通信息系統網絡安全測評和安全加固。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.8信息技術詞匯第8部分：安全GB16807防火膨脹密封件GB/T20279信息安全技術網絡和終端隔離產品安全技術要求GB/T22239信息安全技術網絡安全等級保護基本要求GB/T22240信息安全技術網絡安全等級保護定級指南GB23864防火封堵材料GB/T24338軌道交通電磁兼容GB/T25069信息安全技術術語GB/T25119—2021軌道交通機車車輛電子裝置GB/T31167信息安全技術云計算服務安全指南GB/T31168信息安全技術云計算服務安全能力要求GBT34571軌道交通機車車輛布線規則GB/T37973信息安全技術大數據安全管理指南GB/T39786信息安全技術信息系統密碼應用基本要求GB50157地鐵設計規范GB50174—2017數據中心設計規范術語和定義GB/T5271.8、GB/T20279、GB/T22239、GB/T22240、GB/T25069、GB/T31167、GB/T31168、GB/T37973、GB/T39786和GB50157界定的以及下列術語和定義適用于本文件。

數據data任何以電子或者其他方式記錄的信息。

信息系統informationsystem由計算機及其相關的配套部件、設備和設施構成，按照一定應用目的和規則對信息進行采集、加工、存儲、傳輸、檢索等操作的人機系統。

數據處理dataprocessing數據的收集、存儲、使用、加工、傳輸、提供、公開等。

個人信息personalinformation以電子或其他方式記錄的能夠單獨或與其他信息結合識別特定自然人身份或反映自然人活動情況的各種信息，包括但不限于姓名、出生日期、身份證件號碼、賬號密碼、個人生物識別信息、住址、電話號碼、住宿信息、征信信息、健康生理信息、行蹤軌跡、交易信息、用戶畫像、特征標簽等。城市軌道交通信息系統中涉及的個人信息主要包括社會公眾個人信息、內部員工個人信息、合作伙伴個人信息等。

大數據平臺bigdataplatform采用分布式存儲和計算技術，提供大數據的訪問和處理，支持大數據應用安全高效運行的軟硬件集合。縮略語下列縮略語適用于本文件。ACL：訪問控制列表（AccessControlList）APP：應用軟件（Application）CPU：中央處理器（CentralProcessingUnit）GPS：全球定位系統（GlobalPositioningSystem）IP：網際互連協議（InternetProtocol）IP65：外殼防護等級65（IngressProtection65）PHM：故障預測與健康管理（PrognosticsHealthManagement）RDP：遠程桌面協議（RemoteDesktopProtocol）USB：通用串行總線（UniversalSerialBus）VDC：虛擬數據中心（VirtualDataCenter）VNC：虛擬網絡控制臺（VirtualNetworkConsole）WiFi：無線保真（WirelessFidelity）總體要求城市軌道交通信息系統的信息安全要求及定級原則應根據城市軌道交通網絡信息系統的各類保護對象的業務需求、受信息安全事件破壞時影響的嚴重程度確定。城市軌道交通網絡信息系統基于業務類型可分為生產系統，管理系統及外部服務系統三類，其分類分級可參考附錄A。城市軌道交通網絡信息系統應滿足GB/T22239中相應級別的安全要求，二級及以上的信息系統還應滿足本文件所提出的安全要求。本文件所規定的安全要求分為基本級系統要求和增強級系統要求，安全等級保護定級為二級的信息系統應按基本級系統要求進行安全保護，定級為三級及以上的系統還應符合增強級系統要求。城市軌道交通自建或租用的云計算基礎設施應位于中國境內。總體網絡架構應根據城市軌道交通業務系統功能類別、服務對象及重要性將網絡劃分為生產網區、管理網區和外部服務網區三類網絡安全區域，宜參考圖B.1。信息系統應按系統分類明確部署區域，宜基于信息系統的安全防護需求設置相應的安全防護策略，可參照圖B.2分層部署。涉及需要跨越多個地理位置的信息系統，應按照系統的業務屬性在對應的網絡安全域中分區域部署，各區域間的通信應遵守網絡安全域的訪問控制策略，宜參照圖B.3進行劃分。城市軌道交通網絡信息系統應采用密碼技術對重要業務數據進行保護，保證通信過程數據的完整性和保密性，并應滿足GB/T39786相關要求，宜采用國家密碼管理部門認可的密碼技術實現；重要業務數據包括但不限于鑒別數據、重要業務數據、重要審計數據、重要個人信息等。城市軌道交通宜設置安全管理中心對城市軌道交通網絡信息系統的安全策略及安全計算環境、安全區域邊界、安全通信網絡的安全機制進行集中管理、統一監測、綜合分析和協同防護。本文件所規定的的設備和計算環境安全要求適用于城市軌道交通中主機、終端、網絡設備、安全設備、中間件等通用設備的自身安全保障物理環境安全基本級系統要求設備機房應按照其內部署系統的等級保護定級，采取對應的防護措施。單個信息系統部署在控制中心、車站、車輛基地等不同地理位置的設備機房內時，可作為一個整體對象進行定級，上述機房的物理環境安全措施應遵循等級一致性原則。多個信息系統合并部署在同一設備機房時，機房物理環境安全措施應遵循等級就高原則。機房出入口應配置門禁系統，以控制、鑒別和記錄進入的人員，記錄日志保存時間不應少于1年。部署于機房內的主要設備或部件應進行有效固定，設置明顯、不易除去、唯一的標識，宜包含機柜、系統的名稱等信息。線纜應設置明顯、不易除去、唯一的標識，宜包含線纜兩端的端口信息等。線纜應鋪設在封閉的金屬線槽或管道中，應鋪設在隱蔽、安全的位置。各類機柜、設施和設備等應通過接地系統安全接地，應采取措施防止感應雷。機房應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。機房應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。機房宜采用綜合接地方式，接地電阻值不應大于1Ω。機房應設置火災自動報警系統，能自動檢測火情、自動報警；應設置自動滅火系統，當現場條件不具備設置滅火系統時，應設置滅火裝置。各類線纜的護套應采用低煙、無鹵的阻燃材料；管線穿越防火墻、樓板、防火分區處孔隙時，應采用防火封堵材料對空隙進行填充，防火封堵材料應符合GB16807和GB23864相關要求。機房供電線路應配置穩壓和過電壓防護裝置，供配電要求應符合GB50174—2017中8.1的規定。機房應配置備用電力供應設備，供電后備時間應符合GB50157的相關要求。電力線纜和通信線纜應隔離鋪設，避免互相干擾，應具有抗電氣化干擾的防護層。設備、設施不應部署在不受控的非安全場所中，應采用防盜竊和防破壞措施。設備、設施所處的物理環境不應對設備造成物理破壞（擠壓、強振動等），如果環境條件導致的安全風險經評估較高，應選用安全性、可靠性滿足環境條件的終端設備。設備、設施應合理選型，其所處物理環境對設備的正常工作不應造成影響（強干擾、阻擋、屏蔽等）。室外電力線纜護套應采用金屬鎧裝方式，應通過金屬管道防護方式從地下引入車站、線路控制中心、線網控制中心等建筑內。天饋線、控制信號線、光纜等弱電線纜宜通過金屬管道防護方式從地下引入車站、線路控制中心、線網控制中心等建筑內。室外設備的供電應穩定可靠。室外控制設備應放置于箱體或裝置中并緊固；箱體或裝置應具有散熱、防盜、防水、防潮和防火等能力，室外設備防護等級不應低于IP65。室外控制設備應遠離強電磁干擾、強熱源等環境，如無法避免應及時做好應急處置及檢修，保證設備正常運行。室外線纜應具有防水、防裂、耐高溫、防迷流、抗紫外線和鹽霧腐蝕的能力。增強級系統要求機房應設置入侵報警系統或有專人值守的視頻監控系統，視頻監控系統應覆蓋機房所有出入口及重要設備設施，視頻監控錄像文件保存時間不應少于90d。機房應進行區域劃分管理，區域之間應設置隔離防火措施。網絡安全等級定級中認定的重要區域與其他區域隔離時，隔墻耐火極限不應低于2h，樓板耐火極限不應低于1.5h。機房應設置冗余或并行的電力電纜線路，應采用一級負荷電源供電。機房應配備環控設施，對機房的溫濕度、消防、供電等基礎設施進行集中監控。涉及敏感和重要數據(如個人敏感信息、重要業務數據、秘密信息等)的服務器和存儲設備等關鍵設備和磁介質應采取電磁屏蔽措施,宜采用電磁屏蔽機柜或其他電磁屏蔽措施防護，設備電磁兼容應符合GB/T24338的相關要求。網絡和通信安全要求基本級系統要求網絡架構生產網區內部應根據承載業務的不同和網絡架構的不同進行分區分域，區域間應采用技術隔離手段，并應部署防火墻等訪問控制設備并配置訪問控制策略進行安全隔離。不同網區應采用獨立網絡設備進行組網建設，應遵循管理和控制的原則為各網區分配地址，宜采用具有訪問控制功能的設備劃分安全域。宜建設帶外運維管理網絡，對網絡設備、安全設備、服務器、存儲設備等進行運行、維護和管理。管理網區的網絡宜在軌道交通線路建設時統籌規劃。通信傳輸數據中心之間應采用專線或加密通道實現數據互通，保證通信過程數據的完整性和保密性。安全區域邊界邊界防護生產網區與管理網區間宜采用網閘等技術隔離手段，管理網區與外部服務網區間應采用防火墻等邏輯隔離手段?？缭骄W絡安全區域邊界的訪問和數據流應通過受控的邊界設備提供的受控接口進行通信。線路中心等重要網絡區域與其他網絡區域之間應部署防火墻等防護措施實現邊界隔離。對非授權設備私自聯接生產網區、管理網區的行為應進行檢查或限制。對內部用戶非授權連接外部網絡的行為應進行檢查或限制。無線局域網絡應通過受控的邊界設備接入內部網絡。無線局域網絡宜單獨組網，應通過無線網絡控制器實現對無線接入設備管理和用戶終端接入控制。訪問控制生產網區的訪問不應通過互聯網遠程接入方式。生產網區與管理網區的網絡邊界應遵循最小開放原則，應配置訪問控制策略，應拒絕E—Mail、Web、Telnet、Rlogin、FTP、RDP及VNC等通用網絡服務直接穿越區域邊界進入生產網區。通過互聯網遠程訪問管理網區的用戶和設備應具備唯一性標識并應進行授權、鑒別和訪問權限控制。入侵防范在線路中心、線網中心等關鍵網絡節點處應監測網絡攻擊行為。在管理網區、互聯網邊界應進行網絡入侵監測，發現網絡攻擊行為時應及時阻斷并進行告警；惡意代碼防范在線路中心、線網中心等關鍵網絡節點處應對惡意代碼進行監測。在管理網區、互聯網邊界應檢測惡意代碼，并應及時清除。惡意代碼特征庫應至少每3個月進行一次升級和更新，網絡防惡意代碼產品宜與主機防惡意代碼產品使用不同的特征庫。安全審計安全審計記錄應發送至安全管理中心進行集中保護、統一管理，不應受到未預期的刪除、修改或覆蓋等。審計日志保存時間不應少于6個月。增強級系統要求網絡架構網絡設備的業務處理能力和網絡各個部分的帶寬應滿足業務高峰期需要，帶寬利用率宜穩定在70%以下，CPU利用率宜穩定在60％以下，內存利用率宜穩定在60％以下。網絡架構應提供冗余通信線路，宜采用鏈路聚合技術、多鏈路選路或負載均衡等方式。線網中心、線路中心、互聯網邊界的網絡設備應冗余部署，當單設備故障時，不應影響核心業務，宜采用雙機熱備、集群等方式。安全區域邊界邊界防護對物聯網的終端應進行準入控制，對仿冒，私接、流量異常等行為應進行檢測、識別和阻斷。對授權允許通過互聯網遠程訪問管理網區的用戶，應采用先認證后連接架構，收縮暴露面，未經認證鑒權的用戶不應與管理網區建立任何連接，外部不應掃描到任何管理網區地址。入侵防范對網絡行為應采取技術措施進行分析，應實現對網絡攻擊特別是新型網絡攻擊行為的分析。當檢測到攻擊行為時，應記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，宜在發生嚴重入侵事件時報警，宜對攻擊路徑進行回溯。惡意代碼防范互聯網邊界、核心交換節點、車站節點等區域應具備惡意代碼防護、檢測和清除能力，應檢測惡意代碼感染及跨域蔓延的情況，應將日志信息上報安全管理中心。區域邊界應具備惡意代碼動態檢測聯動功能，應根據檢測結果更新惡意代碼特征庫。安全審計對遠程訪問、訪問互聯網、跨越網絡安全區域邊界的用戶行為應進行獨立的安全審計。對遠程訪問、訪問互聯網、跨越網絡安全區域邊界的拒絕和阻斷等行為應進行安全審計。特殊系統要求專用無線通信系統專用無線通信系統應具備完整的用戶鑒權和認證機制，應能實現終端用戶和網絡的雙向鑒權。專用無線通信系統應支持空口加密功能?？湛趥鬏斶^程中，應為信令提供加密和完整性保護。專用無線通信系統應為數據提供加密功能。專用無線通信系統應支持國產加密算法，密鑰長度不應小于128位。信號系統信號系統的車地無線通信網絡、運行監控網絡和設備監測網絡應獨立建設，車地無線通信網絡應冗余雙平面網絡建設。檢測網絡異常應通過旁路檢測方式，不應影響信號系統的穩定性。安全管理中心基本級系統要求安全管理中心可按照總分模式、分層分級的原則建設，根據不同業務管理模式，可分線路、分專業單獨建設。生產系統的安全管理中心應具備工業網絡環節安全監測能力。管理系統和外部服務系統的安全管理中心，應支持集中管理、統一監測、綜合分析及協同防護。安全管理中心應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控。安全管理中心應能與網絡安全設備的接口對接，收集各類網絡安全設備的日志數據。安全管理中心應能與其他系統（運維系統、網絡性能管理系統、工單系統、上級監管單位系統及下級單位安全系統等）的接口對接，實現系統間的數據資源共享或互操作。安全管理中心宜建立與主機安全、存儲、備份等組件的預警處置聯動機制，提高數據防勒索能力。安全管理中心應采集并展示網絡設備、安全設備、生產控制控制設備、主機操作系統、數據庫、中間件、應用系統等重要資產信息、網絡信息、安全日志及運行狀態。安全管理中心應對不同來源的安全日志進行標準化處理、分析，應對存在安全風險的事件及時告警。安全管理中心應能對安全告警原始數據、安全事件告警數據集中存儲。系統審計日志的留存時間不應少于180d。增強級系統要求安全管理中心應支持網絡流量數據采集功能。安全管理中心應支持安全漏洞信息采集功能。對安全事件的自動化處理和處置宜通過設備聯動控制及安全處置策略管理等功能實現。安全管理中心應具備安全數據可視化展示能力，應能集中展示系統告警情況以及每條線路的網絡整體安全狀況。安全管理中心應具備安全服務資源管理能力，應能為服務器資產、網絡資產、終端資產、安全設備資產、應用軟件及中間件、數據庫資產等資產提供補丁更新資源和威脅情報服務資源。安全管理中心應具備檢測分析能力，應能構建違規操作、攻擊入侵、異常行為等安全風險發現模型。在安全管理中心與被管理對象之間建立連接之前，應利用密碼技術進行初始化驗證。應使用密碼技術對安全管理中心與被管理對象之間進行通信保護。安全管理中心的數據應存儲在境內，應嚴禁境外訪問。設備和計算環境安全要求基本級系統要求城市軌道交通中專用智能設備、物聯網設備及組件等特殊類資產的自身安全應遵循最小夠用、確保安全原則。設備和計算環境的安全補丁應及時跟蹤、驗證并更新。主機操作系統應建立安全基線，并應定期進行基線檢查。主機操作系統應進行安全加固，加固的主要內容應包括服務最小化、服務加固、內核參數優化調整、文件目錄權限最小化、賬號口令安全、系統認證和授權、日志和審計等。操作系統宜部署白名單軟件產品進行安全防護。操作系統應通過技術或物理措施禁用各類存儲接口。網絡設備應具備抗入侵能力，能發現設備的非法提權、系統引導程序被篡改、系統程序被篡改等行為。網絡設備宜具備安全配置核查能力，如弱口令策略、弱加密算法、不安全協議等，可提示引導用戶修復。中間件應關閉遠程管理和調試接口。安全設備的可靠性、可用性及性能應滿足業務要求，不應低于被保護對象的保護等級。安全設備的管理終端應采用訪問控制、IP白名單等方式嚴格控制。增強級系統要求通用服務器、終端等操作系統應采用口令、密碼技術、生物識別等鑒別技術中的兩種或兩種以上組合的方式對用戶進行身份鑒別，且其中至少一種鑒別技術應使用密碼技術來實現。數據庫、中間件、網絡設備、網絡安全設備應支持基于統一認證的安全訪問機制，應支持動態身份鑒別或多因素身份鑒別方式。在設備和計算環境中應明確重要用戶操作和異常操作行為，應記錄重要用戶的操作行為，并應定期開展操作審計。重要主機操作系統應采用進程白名單等方式進行保護。主機操作系統應采用主動防護技術手段及時識別異常行為，應阻斷入侵、違規操作和病毒行為。專用智能設備應采用技術手段禁止或拆除非必要的外接組件端口（例如USB端口、WIFI、藍牙等），應對外接組件使用情況進行監控。專用智能設備應限制網絡訪問范圍，僅限必要的網絡對象通訊。專用智能設備應禁止來自互聯網的運行維護管理訪問，應對網絡訪問行為進行記錄分析。應用及數據安全要求基本級系統要求身份鑒別應用系統應對登錄的用戶進行身份標識和鑒別，身份標識應具有唯一性，身份鑒別信息應具有復雜度要求，口令長度不應小于8位，更換周期不宜超過6個月，最長不應超過9個月。應用系統應具有登錄失敗處理功能，應配置并啟用結束會話，連續登錄失敗5次應鎖定賬戶，鑒別反饋內容中應不包含敏感數據。訪問控制應用系統應具有權限分離與最小授權機制，應設置系統管理員、系統安全員和系統審計員,應按最小授權原則分別授予權限,并應形成相互制約的關系。用戶首次登錄時應用系統應強制要求其修改默認口令。生產系統宜具備緊急訪問和權限變更能力，確保在緊急情況下能夠及時獲得必要的訪問權限。安全審計安全審計功能的設計宜與用戶標識、鑒別、訪問控制等安全功能的設計結合。審計日志文件應定期存儲，應獨立保存于應用程序目錄外,審計日志保存時間不應少于6個月。審計日志文件的訪問權限應嚴格限制。審計日志不應保存敏感數據。入侵防范應用系統應提供數據有效性驗證功能，通過人機接口輸入或通過通信接口輸入的內容應符合系統設定要求，驗證內容包括表單數據的字符類型、長度、格式等、文件的文件類型、文件頭信息、大小等和業務參數閾值等。集成或使用的第三方中間件、數據庫、應用組件、運行環境應從官方途徑獲取，應及時對其進行版本更新，應及時修復其安全漏洞，并應對第三方組件進行安全加固配置，包括刪除非必要的默認頁面、關閉調試模式、過濾詳細的錯誤信息反饋、修改默認賬號等。應用系統宜限制最大并發會話連接數和單個賬戶的多重并發會話數。數據完整性存有敏感數據的存儲空間被釋放或重新分配前，數據宜被清除且不可恢復。數據備份恢復重要數據（如：配置數據、業務數據）應采取本地數據備份與恢復。不同應用系統的本地數據存儲時間應根據業務需求進行分別制定，備份時間不應少于180天。數據備份應在不同的物理位置實現，重要數據應定時批量傳送至備用物理位置。應用系統應建立準確完整的備份拷貝記錄和文件化的恢復程序。備份介質應定期測試?；謴统绦驊ㄆ跈z查和測試，應在操作程序恢復所分配的時間內完成測試。個人信息保護個人信息的存儲和使用宜采用脫敏或加密等技術進行保護，數據脫敏內容宜包括姓名、身份證號、電話號碼、銀行賬戶、日期、地址、稅號、GPS坐標、金額等敏感信息。應用系統應主動監測和發現個人信息泄露等違規行為，應記錄并上報安全管理中心。存有敏感信息的存儲空間在被釋放或重新分配前宜得到完全清除。特殊系統要求視頻監控系統視頻監控系統應采用視頻圖像信息防泄漏措施，應管控和追溯視頻下載、錄屏截屏、錄像拍照、聯網共享等視頻圖像信息泄露行為。視頻監控系統應采用視頻圖像審計措施對視頻點播、下載、回放、控制等操作行為進行審計。視頻監控系統應采用數字摘要、數字時間戳及數字水印等技術防止視頻圖像的完整性被破壞，即防止惡意篡改系統數據。自動售檢票系統其他系統與自動售檢票系統對接時應確保訂單數據、支付數據、支付反饋數據的完整性、不可抵賴性。自動售檢票系統應具備惡意代碼攻擊防范能力，不應存在信息泄露。乘客信息系統乘客信息系統應具備應急處置功能，包括一鍵關屏等。乘客信息系統應具備發布內容的快速審計功能，包括內容自動審核等。增強級系統要求身份鑒別應用系統應嚴格控制用戶訪問系統的可選途徑或通道,應保證用戶只能通過指定的途徑或通道訪問系統以避免身份鑒別被繞過。應用系統宜具備賬戶定期檢查能力，宜支持配置允許賬戶不使用的最長期限并強制失效長期不使用的賬戶。訪問控制對實施相同訪問控制安全策略的分布式應用系統,各個節點或者分支宜具有一致的主、客體標記和相同的訪問規則。生產系統宜設置具有只讀權限的賬號。數據備份恢復重要數據處理系統以及工控關鍵業務數據處理系統應采用熱冗余備份，保證系統的高可用性。特殊系統要求外部服務系統的安全要求應用程序與數據庫應部署在不同的服務器上。應用服務器對互聯網提供服務時，應限制應用服務器主動訪問互聯網。數據庫服務器不應對服務器提供服務。外部服務系統應采取加密通訊傳輸，應使用證書頒發機構簽發的證書。外部服務系統應具備網頁防篡改的能力。外部服務系統應能及時發現和停止敏感信息的發布，應采用賬號鎖定、限制登錄、停用權限等技術措施對敏感信息來源實施控制。外部服務系統應提供應急處置功能，包括切換維護頁面等。APP收集個人信息應滿足最小必要收集原則，并應采用顯著方式向用戶告知個人信息保護政策的核心內容,應提示用戶閱讀個人信息保護政策,并應取得用戶明示同意。APP應僅聲明和申請實現APP服務目的最小范圍的系統權限,不應申請與APP業務功能無關的系統權限。安全擴展要求云計算平臺安全技術要求云計算平臺應按不同功能及風險防護要求進行區域劃分，應分域部署計算、網絡和存儲資源池等；云計算平臺應針對不同應用系統建立不同的VDC，應根據各系統不同的風險防護要求采取網絡隔離措施，業務應獨立運行互不影響，最終用戶不應破壞基礎平臺。云計算平臺網絡應具備軟件定義網絡能力，應支持調用彈性IP地址、網絡地址轉換等服務，宜支持網絡資源彈性擴展。云計算平臺應具備開放接口或開放性安全服務以保障云基礎設施及云上應用安全。云計算平臺應提供異地實時數據備份功能，應利用通信網絡將重要數據實時傳送至備用場地。云計算平臺中的重要數據宜通過鏈路加密設備進行保密性防護。云計算平臺應采用加密技術保證通信過程中數據的完整性和保密性。承載兩個以上信息系統的云計算平臺應單獨定級和測評。大數據平臺安全技術要求大數據平臺不應承載高于其自身安全保護等級的大數據應用。大數據平臺中管理流量應與系統業務流量分離。大數據平臺應對數據采集終端、數據導入服務組件、數據導出終端、數據導出服務組件的使用實施身份鑒別。大數據平臺應建立過期存儲數據及其備份數據徹底刪除機制，應能驗證數據已被完全消除且其無法恢復，刪除后應告知數據控制者和大數據處理者。物聯網安全技術要求物聯網應確保全鏈路安全，從設備到服務器以及設備之間的所有數據均應采用加密傳輸，數據在傳輸過程中不應被竊取或篡改。宜設置物聯網設備信息安全管理平臺。物聯網設備信息安全管理平臺應收集并監控物聯網關鍵設備的重要運行數據，應對關鍵設備的安全運行狀態進行分析和監控。物聯網設備信息安全管理平臺應具備故障診斷和定位能力。關鍵設備出現信息安全問題時，應能及時對故障進行分析定位，應快速進行故障恢復，保障物聯網系統的可用性。在物聯網設備運維過程中，應嚴格禁止第三方直接接入物聯網。智能大屏控制系統安全技術要求網絡版智能大屏控制系統、電子屏不應部署于互聯網邊界處；若因業務需要必須通過互聯網進行信息發布的，應通過加密通信、網頁防篡改、入侵檢測等技術措施加強互聯網邊界的安全防護。非網絡版智能大屏控制系統應通過信息發布終端或移動介質直連導入發布信息，信息發布終端應放置于內部受控的環境中，應安排專人值守或遠程監控等措施，不應與互聯網相連。智能大屏控制系統應對顯示在公眾面前的信息內容（包括文字、圖像、視頻等）采取自動審核措施，應防止發布非授權內容。智能大屏控制系統應提供應急處置功能，包括但不限于一鍵關屏、緊急斷電等。車載系統安全技術要求通則城市軌道交通車載系統的保護對象為列車控制與監視系統及其終端設備、乘客信息系統及其終端設備、車載信號系統、車地通信節點等。車載系統安全防護技術措施不應影響列車控制與監視系統、信號系統、車地傳輸等重要的系統正常運行。物理環境安全安裝于車廂內的車載設備（通信設備、控制設備、信號系統、車地通信節點等）應部署于乘客不易接觸的位置，應采用防盜竊和防破壞措施；如車載設備部署于車下，應安裝于密閉的箱體中，箱體應具備防水、防塵和防震能力。車載設備通信、電氣接口不應直接暴露于公共區域。車廂內車載設備柜應位于車載視頻監控系統的監控范圍內。車載設備安裝區域應具備自動火情檢測、報警能力。車載設備電磁兼容應符合GB/T24338.4的要求。車載線纜的敷設應符合GB/T34571的要求。車載設備應符合GB/T25119—2021第4、5、6、7、8、9、10、12章的要求。網絡和通信安全列車控制與監視系統、乘客信息系統、車載信號系統、車地通信節點宜采用獨立的網絡設備進行組網，并應根據業務功能劃分網絡區域和地址分配。列車控制與監視系統、乘客信息系統的列車級、車輛級通信網絡應采用冗余方案。列車與地面通信中的車輛運行控制指令信息、乘客乘車服務信息或車輛設備狀態信息應通過專用網絡或特定頻道進行傳輸，在沒有專用網絡或特定頻道時，車載系統不應接受任何非授權地面設備的通信請求。應采用密碼技術對列車與地面通信中重要的車輛運行控制指令信息、乘客乘車服務信息、車輛設備狀態信息進行保密性、完整性保護。車載列車控制與監視系統、乘客信息系統、車載信號系統間以及車載網絡與地面網絡之間的通信應安全隔離。車載列車控制與監視系統、乘客信息系統應根據業務需要進行網絡劃分，各個區域的帶寬應滿足業務高峰期使用需求，應提供服務質量(QoS,QualityofService)保證。車載網絡邊界防護設備應采用工業控制系統專用產品，同時應符合GB/T25119—2021第4、5、6、7、8、9、10、12章的要求。車載網絡區域間、車載網絡與地面網絡邊界通信應支持對區域間軌道交通專用傳輸協議的解析。車載網絡內部重要節點應支持對通信行為的異常事件識別，如不合規的通信行為、不合規的列車通信協議報文、端口報文異常、異常控制命令等，應對異常事件進行記錄，記錄內容應包括時間、事件類型、主體、客體、事件描述等內容。車載網絡區域間、車輛和地面網絡邊界以及內部網絡重要節點應采取技術措施檢測網絡入侵事件，當監測到攻擊并觸發報警時，宜通過列車控制與監視系統或PHM系統進行報警。設備和計算環境安全車載設備應遵循最小安裝的原則，應僅安裝必要的組件和應用程序。車載設備中應關閉不需要的系統服務、默認共享和高危端口；對已開啟的系統服務、默認共享和高危端口應進行地址訪問限制或配置安全防護設備。應提前識別車載設備中操作系統、服務的安全漏洞，識別到安全漏洞后應進行安全加固。可采用合適的技術手段（如進程白名單等）對設備進行保護。車載設備宜具備操作系統安全啟動的功能。車載交換機應具備物理端口的ACL配置、查看功能，應支持對每個物理端口基于源IP、目的IP、源端口、目的端口以及協議類型的五元組匹配和報文過濾。應用和數據安全人機接口顯示屏使用和維護界面宜通過口令、指紋或數字證書等方式進行身份鑒別。當地面系統對車輛遠程訪問時(包括但不限于車廂視頻訪問)，應進行身份鑒別。攝像機、本地存儲的車廂視頻不應接受非授權訪問和使用。車載系統應能對信息發布、推送等重要行為進行審計，包括但不限于人員訪問、設備固件更新、媒體播放、文本轉語音、音視頻更新、車廂視頻下載；記錄內容至少應包括事件的時間、用戶、事件類型、事件處置結果等信息；應對審計記錄進行保護。車載設備應具備應用程序安全啟動的功能，應用程序的目標碼、配置文件的加載、啟動宜采用密碼技術進行完整性校驗。乘客信息系統應對預置的音視頻文件進行數據加密或使用轉換工具進行文件格式轉換，避免數據的非法披露。乘客信息系統中的重要數據宜通過密碼技術進行保護，如廣播與對講系統、影音娛樂系統和播放系統預置的音視頻文件、乘客信息顯示內容。乘客信息系統應對播放的音視頻文件進行完整性校驗，不應播放或顯示非法信息，應支持人機交互顯示屏對當前播放內容的監聽、監視和控制。進行遠程運維時，應采用數據加密等技術保護通信過程中的重要數據（如用戶的賬號、口令、定位、音頻、視頻等）的完整性和保密性。安全管理要求基本級系統要求運營單位應設立網絡安全管理工作的職能部門,應設立安全主管、安全管理各個方面的負責人崗位，應定義各負責人的職責。運營單位應設立系統管理員、審計管理員和安全管理員等崗位，應定義部門及各個工作崗位的職責。運營單位應重命名或刪除默認賬戶，應修改默認賬戶的默認口令。安全檢查應定期開展，應采用自建驗證平臺、委托具備資質的第三方檢測服務機構或在投保信息安全保險后由保險公司認可的第三方評估服務機構進行檢查。安全檢查內容應包括系統日常運行、系統漏洞和數據備份、現有安全技術措施的有效性驗證、安全配置與安全策略的一致性、安全管理制度的執行情況等；對安全漏洞進行修補加固，應在經過驗證后上線；實施安全檢查應制定信息安全檢查項及方案、匯總安全檢查數據、形成信息安全檢查報告；針對安全檢查發現的問題應采取相應措施并積極落實或建立保險機制予以風險轉移；應急預案管理應規定統一的應急預案框架,包括啟動預案的條件、應急組織