城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求 編制說明

《城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求》（征求意見稿）一、項目來源及編制必要性 31.項目來源 32.編制必要性 3 41.標準編制依據(jù)的法律、法規(guī)及政策 42.標準編制中引用的標準 53.標準編制原則 5三、編制工作組人員組成及工作分工 6 7 72.標準初稿階段（2023年5月－2023年12月 7 8六、主要技術(shù)問題的調(diào)研及驗證試驗 101.需要調(diào)研的問題 102.需要驗證的問題 11七、國內(nèi)外標準現(xiàn)狀與采標情況 111.國際和國外標準 11 123.采標情況 13八、重大分歧意見的處理經(jīng)過和依據(jù) 13九、標準修訂過程中的風(fēng)險識別及防控措施 13 13 14一、項目來源及編制必要性1.項目來源根據(jù)國家標準化管理委員會國標委發(fā)[2022]39號《國家標準化管理委員會關(guān)于下達2022年第三批推薦性國家標準計劃及相關(guān)標準外文版計劃的通知》要求，國家標準《城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求》編制項目（計劃編號：20221467-T-333）由公安部第三研究所為第一起草單位，由全國城市軌道交通標準化技術(shù)委員會（SAC/TC290）歸口。項目周期22個月，計劃完成時間為2024年102.編制必要性隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等數(shù)字化技術(shù)在我國越來越廣泛的使用，其背后伴隨的安全問題也越來越受到政府部門的重視，多部信息基礎(chǔ)設(shè)施安全保護條例》和《網(wǎng)絡(luò)安全審查辦法》等。城市軌道交通作為最關(guān)鍵的基礎(chǔ)設(shè)施之一，其信息安全問題已引起廣泛重視。近年來，我國城市軌道交通運營規(guī)模、客運量、在建線路長度、規(guī)劃線路長度等均屢創(chuàng)歷史新高。據(jù)中國城市軌道交通協(xié)會統(tǒng)計，截至2022年底，中國大陸地區(qū)共有55個城市開通城市軌道交通運營線路308條，運營線路總長度10287.45公里，2022年全年累計完成客運量193.02億人次。隨著技術(shù)裝備的數(shù)字化、網(wǎng)絡(luò)化和智能化程度越來越高，網(wǎng)絡(luò)管理和安全面臨的挑戰(zhàn)也越來越大。城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)的安全可靠關(guān)系著城市軌道交通運營運輸?shù)陌踩绾伪ＷC信息系統(tǒng)網(wǎng)絡(luò)及信息安全可靠，是城市軌道交通迫切需要解決的問題，城市軌道交通信息安全規(guī)范的缺失將阻礙城市軌道交通信息系統(tǒng)的安全建設(shè)，城市軌道交通急需網(wǎng)絡(luò)安全應(yīng)用指導(dǎo)，因此制定權(quán)威、系統(tǒng)的城市軌道交通信息系統(tǒng)安全標準具有非常重要的意義。制定《城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求》是落實中央網(wǎng)信辦、國家市場監(jiān)督管理總局、國家標準委《關(guān)于加強國家網(wǎng)絡(luò)安全標準化工作的若干意見》的要求，有助于指導(dǎo)城市軌道交通網(wǎng)絡(luò)運營者開展信息系統(tǒng)的安全建設(shè)和安全運維，合理分配資源，保護城市軌道交通信息系統(tǒng)的安全，指導(dǎo)信息安全監(jiān)管職能部門、信息安全測評服務(wù)機構(gòu)、信息系統(tǒng)的主管部門開展監(jiān)督檢查和測試評估工作。本文件將結(jié)合城市軌道交通的技術(shù)和應(yīng)用特點，將相關(guān)的安全技術(shù)要求根據(jù)城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)中不同級別的等級保護對象的特點進行細化和擴展新增，制定符合城市軌道交通信息系統(tǒng)特點、切實可行的標準，解決城市軌道交通場景下網(wǎng)絡(luò)安全問題，助力智慧城軌建設(shè)和數(shù)字化轉(zhuǎn)型發(fā)展。二、編制依據(jù)和原則1.標準編制依據(jù)的法律、法規(guī)及政策中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國數(shù)據(jù)安全法中華人民共和國密碼法中華人民共和國個人信息保護法關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（國務(wù)院令第745號，2021）生產(chǎn)安全事故報告和調(diào)查處理條例（國務(wù)院令第493號）關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)[2011]451號）工業(yè)控制系統(tǒng)信息安全防護指南關(guān)鍵信息基礎(chǔ)設(shè)施確定指南（試行）移動互聯(lián)網(wǎng)應(yīng)用軟件安全通用技術(shù)規(guī)范（試行）商用密碼應(yīng)用安全性評估管理辦法（試行）城市軌道交通信號系統(tǒng)運營技術(shù)規(guī)范（試行交辦運[2022]1號）2.標準編制中引用的標準GB/T5271.8信息技術(shù)詞匯第8部分：安全GB16807防火膨脹密封件GB/T20279信息安全技術(shù)GB/T22239信息安全技術(shù)GB/T22240信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求網(wǎng)絡(luò)安全等級保護基本要求網(wǎng)絡(luò)安全等級保護定級指南GB23864防火封堵材料GB/T24338軌道交通電磁兼容GB/T25069信息安全技術(shù)術(shù)語GB/T25119-2021軌道交通機車車輛電子裝置GB/T31167信息安全技術(shù)云計算服務(wù)安全指南GB/T31168信息安全技術(shù)云計算服務(wù)安全能力要求GBT34571軌道交通機車車輛布線規(guī)則GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理指南GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB50157地鐵設(shè)計規(guī)范GB50174—2017數(shù)據(jù)中心設(shè)計規(guī)范3.標準編制原則1）科學(xué)性以現(xiàn)有的科學(xué)技術(shù)和信息安全行業(yè)技術(shù)規(guī)范為基礎(chǔ)，從城市軌道交通的實際情況出發(fā)，具有科學(xué)性和可實施性。2）協(xié)調(diào)一致性標準體系是一個相互聯(lián)系、相互依存的整體，本標準要在突出城市軌道交通特點的基礎(chǔ)上，保持與現(xiàn)有信息安全國家標準的協(xié)調(diào)一致，避免矛盾和不必要的重復(fù)、差異等。3）創(chuàng)新性著眼未來技術(shù)發(fā)展趨勢，積極引領(lǐng)新技術(shù)、新方法、新產(chǎn)品的應(yīng)用，制定適合數(shù)字化時代的技術(shù)標準，既能滿足城市軌道交通信息系4）全面性結(jié)合城市軌道交通的技術(shù)和應(yīng)用特點，將相關(guān)的安全技術(shù)要求完整覆蓋到城市軌道交通信息系統(tǒng)安全建設(shè)中不同級別的等級保護對5）行業(yè)性針對城市軌道交通與其他行業(yè)的不同特性和需求，在協(xié)調(diào)一致的情況下，重點規(guī)范城市軌道交通行業(yè)特有的技術(shù)要求。三、編制工作組人員組成及工作分工參與本標準編制的單位有：公安部第三研究所、中國城市規(guī)劃設(shè)計研究院、上海城市公共安全研究中心、上海市公安局城市軌道和公交總隊、重慶市公安局軌道交通分局、上海申通地鐵集團有限公司、上海申鐵投資有限公司、西安市軌道交通集團有限公司建設(shè)分公司、浙江海寧軌道交通運營管理有限公司、合肥市軌道交通集團有限公司、青島地鐵集團有限公司、中鐵上海設(shè)計院集團有限公司、杭州安信檢測技術(shù)有限公司、上海賽保保信息技術(shù)服務(wù)有限公司、深信服科技股份有限公司、北京啟明星辰信息安全技術(shù)有限公司、華為技術(shù)有限公司、上海國際技貿(mào)聯(lián)合有限公司、上海道肯奇科技有限公司、上海中科數(shù)據(jù)信息技術(shù)有限公司、上海心河信息技術(shù)有限公司、上海嘉爾道標準化技術(shù)服務(wù)有限公司、上海禾寅智能數(shù)字科技有限公司。本標準編制組人員及工作分工：見附件1.準備階段（2023年2月－2023年5月根據(jù)國家標準化管理委員會國標委發(fā)[2022]39號《國家標準化管理委員會關(guān)于下達2022年第三批推薦性國家標準計劃及相關(guān)標準外文版計劃的通知》要求，為保證標準編制工作順利開展，本標準主編單位公安部第三研究所組織成立了標準編制組，通過認真的分析、研究相關(guān)標準和資料，按要求于2022年5月完成了國家標準《城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求》編制工作大綱（草案稿）和標準編制工作計劃，并組織標準草案稿的起草工作。2023年5月24日，國家標準《城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求》編制組成立暨第一次工作會議在上海召開。住房和城鄉(xiāng)建設(shè)部標準定額研究所、全國城市軌道交通標準化技術(shù)委員會以及23家起草單位的代表參加了會議，會議成立了標準編制組，討論并通過了標準編制工作大綱；會議明確了起草單位、人員任務(wù)分工及下階段主要工作節(jié)點，要求各參編單位按照會議紀要和標準編制工作大綱的要求按時完成相關(guān)工作。2.標準初稿階段（2023年5月－2023年12月2023年7月，在上海組織召開了國家標準《城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求》（初稿）統(tǒng)稿會。會議上起草單位代表充分討論了國家標準初稿文本，梳理并調(diào)整了標準文本架構(gòu)，明確各章節(jié)修改任務(wù)和工作節(jié)點安排，要求各參編單位按照會議紀要要求按時完成相關(guān)工作。2023年11月，編制工作領(lǐng)導(dǎo)小組組織召開了國家標準《城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)安全基本要求》二次統(tǒng)稿會。會議對標準初稿進行了認真仔細的研討，對各章節(jié)內(nèi)容提出了修改意見。會后，各牽頭編制單位根據(jù)會議要求對標準初稿進行了修改，主編單位根據(jù)各單位提交的內(nèi)容，于2023年12月完成標準征求意見稿初稿。本文件確立了城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)基本要求，并規(guī)定了物理環(huán)境安全要求、網(wǎng)絡(luò)和通信安全要求、安全管理中心技術(shù)要求、設(shè)備和計算環(huán)境基本要求、應(yīng)用及數(shù)據(jù)安全要求、安全擴展要求及安全管理要求。本文件適用于城市軌道交通新線和既有線改造信息系統(tǒng)網(wǎng)絡(luò)安全的規(guī)劃、設(shè)計、建設(shè)、運營和運行維護工作，同時也作為城市軌道交通信息系統(tǒng)網(wǎng)絡(luò)安全測評和安全加固的參考依據(jù)。本標準共12章，包括范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、基本原則/概述、物理環(huán)境安全、網(wǎng)絡(luò)和通信安全要求、安全管安全管理技術(shù)要求。1)范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語根據(jù)國家標準《標準化工作導(dǎo)則第一部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》（GB/T1.1-2020）的規(guī)定，界定了本文件的標準化對象界定了為理解本文件中某些術(shù)語所必需的定義，并對文件中所使用的縮略語進行了說明。2)基本原則/概述規(guī)定了本標準的總體架構(gòu)、各部分間的聯(lián)系和邏輯關(guān)系。根據(jù)城市軌道交通網(wǎng)絡(luò)域信息系統(tǒng)的各類保護對象的業(yè)務(wù)需求，對網(wǎng)絡(luò)安全區(qū)域進行劃分，并對信息系統(tǒng)的分級分類、系統(tǒng)部署和主要設(shè)備部署方式等提出了原則性要求。3)物理環(huán)境安全規(guī)定了物理環(huán)境的通用安全要求、機房安全要求和其它物理安全。一般要求包括出入口控制、線纜敷設(shè)、防雷擊、防火、電力供應(yīng)和電磁防護等要求；增強要求包括防盜報警、區(qū)域隔離、電力供應(yīng)和環(huán)控等要求。4)網(wǎng)絡(luò)和通信安全要求規(guī)定了城市軌道交通的物理通信網(wǎng)絡(luò)的架構(gòu)和安全要求。一般要求包括總體架構(gòu)、網(wǎng)絡(luò)架構(gòu)、通信傳輸、安全區(qū)域邊界和特殊系統(tǒng)要求；增強要求包括網(wǎng)絡(luò)架構(gòu)、通信傳輸、安全區(qū)域邊界和自動售檢票等的更高級別的要求。5)安全管理中心規(guī)定了安全管理中心的管理原則、管理范圍以及安全要求。一般要求包括管理范圍、接口要求、數(shù)據(jù)采集要求、功能要求和自身安全要求；增強要求規(guī)定了更高級別的接口要求、數(shù)據(jù)采集要求、功能要求和自身安全要求等。6)設(shè)備和計算基本要求規(guī)定了各類通用設(shè)備和專用設(shè)備的一般要求和增強要求。主要分為主機操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、專用智能設(shè)備等。7)應(yīng)用及數(shù)據(jù)安全要求規(guī)定了應(yīng)用級的通用安全要求，包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、數(shù)據(jù)安全、數(shù)據(jù)備份恢復(fù)、個人信息保護和上線發(fā)布要求；規(guī)定了重要專業(yè)系統(tǒng)的增強要求，包括安全生產(chǎn)系統(tǒng)、內(nèi)部管理系統(tǒng)、對外服務(wù)系統(tǒng)的安全要求。8)安全擴展要求規(guī)定了城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)中的擴展要求，包括云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、智能大屏控制系統(tǒng)和車輛系統(tǒng)安全等技術(shù)9)安全管理要求規(guī)定了城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)管理中的一般要求和增強要求，包括安全策略與管理制度、安全管理機構(gòu)和人員安全運維管理和剩余風(fēng)險管理等。六、主要技術(shù)問題的調(diào)研及驗證試驗1.需要調(diào)研的問題1）先進技術(shù)、解決方案調(diào)研目前國內(nèi)外信息安全領(lǐng)域技術(shù)和產(chǎn)品的發(fā)展現(xiàn)狀，以及現(xiàn)有的城市軌道交通信息安全解決方案，統(tǒng)籌各項技術(shù)和系統(tǒng)，系統(tǒng)化論證城市軌道交通信息安全的實施方案，為全面提升城市軌道交通信息安全保障能力提供技術(shù)基礎(chǔ)。2）相關(guān)標準的調(diào)研、考察調(diào)研國內(nèi)信息安全相關(guān)標準在城市軌道交通領(lǐng)域的實際執(zhí)行和應(yīng)用情況，分析與各相關(guān)標準的協(xié)調(diào)性、一致性問題；調(diào)研其他類似行業(yè)，尤其是關(guān)鍵信息基礎(chǔ)設(shè)施，在信息安全方面的相關(guān)標準，在制定本文件時作為參考和借鑒；對于所涉及的設(shè)備/系統(tǒng)的相關(guān)國家標準進行考察和調(diào)研，確保本文件與其他標準之間的協(xié)調(diào)性。3）城市軌道交通網(wǎng)絡(luò)信息安全現(xiàn)狀調(diào)研調(diào)研國內(nèi)城市軌道交通網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)現(xiàn)狀，確定主流的網(wǎng)絡(luò)架構(gòu)和信息系統(tǒng)分類分級方法，以及不同專業(yè)系統(tǒng)的網(wǎng)絡(luò)安全等級保護定級情況，以便有針對性地將安全技術(shù)要求根據(jù)不同級別的等級保護對象的特點進行細化和擴展新增，制定符合城市軌道交通信息系統(tǒng)特點的、切實可行的標準。2.需要驗證的問題1）新技術(shù)、新方法納入標準驗證信息安全領(lǐng)域相關(guān)新技術(shù)、新解決方案納入本文件的可行性。標準應(yīng)具備科學(xué)性、適用性，可實施性，符合國內(nèi)技術(shù)水平現(xiàn)狀2）標準間的兼容本文件內(nèi)容與信息安全領(lǐng)域內(nèi)其他標準的兼容性問題。新標準的內(nèi)容不能與其他標準存在相悖、相矛盾的地方，保障標準相互引用的3）標準與城市軌道交通網(wǎng)絡(luò)信息系統(tǒng)匹配性和適用性的驗證4）標準對不同專業(yè)系統(tǒng)信息安全保護程度和可實現(xiàn)性的驗證5）安全集中管控系統(tǒng)功能和技術(shù)要求驗證七、國內(nèi)外標準現(xiàn)狀與采標情況1.國際和國外標準近年來，全球多個國家紛紛頒布相關(guān)法律法規(guī)，對信息安全與隱私保護相關(guān)問題進行嚴格的規(guī)范與引導(dǎo)，如歐盟GDPR通用數(shù)據(jù)保護條例、美國加州CCPA隱私保護條例、美國內(nèi)華達州SB220數(shù)據(jù)隱私法、英國DPA2018數(shù)據(jù)保護法等。與此同時，為了應(yīng)對越來越多信息泄露及個人信息濫用的情況，國際標準化組織ISO在信息安全、隱私安全、云安全等相關(guān)領(lǐng)域發(fā)布了諸多國際標準。包括信息安全管理體系（ISO/IEC27001）、信息安全控制實用規(guī)則（ISO/IEC27002）、云環(huán)境下的信息安全控制（ISO/IEC27017）等。其中，ISO27001提供了建立、實施、維護和持續(xù)改進信息安全管理體系的框架，ISO/IEC27002為ISO/IEC27001提供風(fēng)險處置具體的控制目標和控制措施的指南，ISO/IEC27017是ISO/IEC27002標準的延伸。此外針對工控系統(tǒng)信息安全,ISO專門出臺了IEC62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標準；2022年6月ISO/TFO27400:2022《網(wǎng)絡(luò)安全物聯(lián)網(wǎng)安全和隱私指南》正式發(fā)布，該標準提供了物聯(lián)網(wǎng)相關(guān)風(fēng)險，原則以及安全和隱私控制的指南。這些標準的出臺為信息安全管理步入標準化與系統(tǒng)化管理時代奠定了基礎(chǔ)。目前，國外各相關(guān)組織機構(gòu)（包括軌道交通企業(yè)）基本是依據(jù)ISO/IEC27001標準建立信息安全管理體系，通過風(fēng)險管理來保護和管理所有信息，并從數(shù)據(jù)安全方面滿足各國隱私法規(guī)的部分要求。但涵蓋涉及運營生產(chǎn)、內(nèi)部管理、乘客服務(wù)不同的業(yè)務(wù)場景，技術(shù)架構(gòu)涉及工控系統(tǒng)、信息系統(tǒng)、物聯(lián)網(wǎng)及云