DB5301∕T 75-2022 城市轨道交通网络与信息安全管理规范(昆明市).pdf

1、在此处键入ICS01.040.35CCS L095301昆明市地方标准DB5301/T 752022城市轨道交通信息系统安全管理规范BDB5301/T 752022I目次前言.III1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.15 总体要求.25.1 基本原则.25.2 定级与保护.25.3 密码应用.26 重要信息基础设施.26.1 识别认定.26.2 保护要求.37 管理要求.37.1 措施.37.2 制度.37.3 机构和人员.47.4 资产管理.47.5 评审.48 安全要求.48.1 安全建设.48.3 安全运维.58.4 风险评估.58.5 安全测评.58.6

2、数据保护.58.7 个人信息保护.58.8 信息发布.59 网络与信息安全事件.69.1 分类.69.2 分级.69.3 应急管理.69.4 监测与预警.69.5 应急响应.69.6 处置与恢复.69.7 应急演练.6附录 A（资料性）主要生产系统安全保护要求. 7DB5301/T 752022II参考文献.8DB5301/T 752022III前言本文件按照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由昆明市交通运输局提出并归口。本文件起草单位：昆明地铁运营有限公司、云南

3、京建轨道交通投资建设有限公司、北京天融信网络安全技术有限公司。本文件主要起草人：孟帅、赵磊、刘春宏、赵佳佳、丁琴、李韬、王磊、陆阳、李俊、胡凤玲。DB5301/T 7520221城市轨道交通信息系统安全管理规范1范围本文件对城市轨道交通运营企业 （以下简称 “运营企业” ） 信息系统的网络与信息安全的总体要求、重要信息基础设施、管理要求、安全要求、网络与信息安全事件等做出了规定。本文件适用于运营企业信息系统的网络与信息安全保护， 也可作为组织开展信息系统网络与信息安全建设时的依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件，仅该日

4、期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20984信息安全技术信息安全风险评估规范GB/Z 20986信息安全技术信息安全事件分类分级指南GB/T 22080 信息技术安全技术 信息安全管理体系要求GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 22240信息安全技术网络安全等级保护定级指南GB/T 25058信息安全技术网络安全等级保护实施指南GB/T 25069信息安全技术术语GB/T 25070信息安全技术网络安全等级保护安全设计技术要求GB/T 36626 信息安全技术信息系统安全运维管理指南GB/T 397

5、86信息安全技术信息系统密码应用基本要求DB5301/T 40城市轨道交通运营企业安全管理规范3术语和定义GB/T 25069中界定的以及下列术语和定义适用于本文件。3.1安全生产网用于承载运营企业安全生产及管控、 运输指挥、 应急指挥调度业务相关系统数据通信及数据共享的计算机网络。部署如自动化过程控制执行系统、协调调度类业务系统与行车相关的业务系统。3.2内部管理网用于承载运营企业管理、运营管理、建设管理、资源管理以及日常办公等企业信息化相关业务系统数据通信及数据共享的计算机网络。部署如人力资源管理、资产管理、财务管理、协同办公等企业管理信息系统以及建设管理、安全管理、施工管理、保护区管理等

6、生产管理信息系统。4缩略语DB5301/T 752022下列缩略语适用于本文件ACC：自动售检票系统的清分中心（AFC Clearing Center）AFC：自动售检票系统（Automatic Fare Collection）ATS：列车自动监控(Automatic Train Supervision)CBI：计算机连锁(Computer Based Interlock)DCS：数据通信系统(Data Communication System)PSCADA：电力监控系统（Power SCADA）5总体要求5.1基本原则5.1.1运营企业应根据 GB/T 22080 的要求建立信息安全管理体系

7、，并宜取得法定机构的认证。5.1.2运营企业应遵照 GB/T 22239、GB/T 22240、GB/T 25058、GB/T 25070 等相关标准规范的要求，对企业的信息系统及重要信息基础设施的安全进行识别并实施保护。5.1.3运营企业的信息安全工作应与线路同步规划、同步设计、同步建设，并在移交运营前,完成网络安全等级保护测评及密码应用安全评估工作。5.2定级与保护定级市 地 方标;餘xoeeaa;聰必DB5301/T 7520223表 1重要信息基础设施的识别顺序识别顺序识别顺序内容内容关键业务客运服务、票务服务核心信息流行车控制信息、电力控制信息、票务交易信息最大边界信号、供电、自动售

8、检票相关系统确定边界PSCADA、ATS、CBI、DCS、ACC6.1.4重要信息基础设施认定顺序如下：a)梳理运营组织、乘客服务等环节的关键业务；b)根据关键业务，识别如行车控制、电力控制、票务清分等核心信息流；c)认定核心信息流涉及的信息系统；d)确定核心信息流涉及到的重要信息基础设施的边界。6.2保护要求6.2.1运营企业认定为重要信息基础设施的信息系统，应纳入网络安全等级保护以及重要信息基础设施保护范围。6.2.2运营企业信息系统安全等级划分执行 GB/T 22240 的规定，重要信息基础设施的安全等级保护级别不应低于第三级。6.2.3要生产系统信息安全保护要求见附录 A。7管理要求7

9、.1措施7.1.1运营企业应在规划、建设、运行全过程中采用适宜的安全技术措施，对信息系统实施等级保护。7.1.2运营企业重要信息基础设施还应采取相应措施对机构、人员、资产等方面进行安全管理。7.2制度7.2.1建立要求运营企业应按照 GB/T 22239 以及 GB/T 25058 的要求，建立并实施网络与信息安全管理制度体系，网络与信息安全管理制度体系宜分级编制。7.2.2基本内容7.2.2.1由运营企业网络与信息安全管理机构编制网络与信息安全管理体系文件， 内容包括但不限于：安全目标；安全组织架构；安全建设策略；安全运维策略；安全技术策略；风险评估策略；密码应用策略。DB5301/T 75

10、20227.2.2.2运营企业宜针对各业务系统，根据系统对应保护等级，在网络与信息安全管理体系文件的框架下编制管理制度，内容包括但不限于：二级安全目标；二级安全组织；安全建设策略实施方案；安全运维策略实施方案；安全技术策略实施方案；风险评估策略实施方案；密码应用策略实施方案。7.3机构和人员7.3.1机构运营企业应按照GB/T 22239要求，设置网络与信息安全管理机构：应成立网络与信息安全工作的委员会或领导小组，协调相关资源，全面规划与决策信息安全相关工作。应设立网络与信息安全工作小组，在网络与信息安全工作的委员会或领导小组指导下，负责日常网络与信息安全管理工作。7.3.2人员市 地 方标;

11、餘xoeeaa;聰必DB5301/T 7520225运营企业安全建设按照GB/T 22239、GB/T 25070、GB/T25058的规定和要求进行，建设完成后应在上线前进行安全检测，安全检测结果应符合国家网络安全的相关要求。8.2安全防护8.2.1运营企业应根据 GB/T 22239、GB/T 25058 要求，采取适宜的措施对信息系统进行技术防护。信息系统划分为安全生产网、内部管理网两个区域。安全域间应做到物理隔离，边界防护设备的数据交换方式宜采用双向隔离网闸，不宜进行信息实时交互；边界防护设备应具备访问控制、流量清洗、入侵防护检测、安全审计等功能。8.2.2运营企业安全生产网中非重要信

12、息基础设施的信息系统宜参照 GBT 22239 第二级安全要求进行防护；内部管理网信息系统宜参考 GBT 22239 第二级安全要求进行防护。8.3安全运维运营企业可遵循GB/T 36626以及GB/T 22239相关要求开展运维工作。应制定相应的规范对运维相关事宜进行管理，运维外包的也应要求并监督外包方执行安全运维管理要求，包括但不限于：资产管理；介质管理；设备维护管理；漏洞和风险管理；网络和系统安全管理；恶意代码防护管理；配置管理；变更管理；备份与恢复管理；文档资料管理。8.4风险评估运营企业宜参照GB/T 20984自行或委托网络安全服务机构对信息系统开展风险评估，并按照DB5301/T

13、 40的风险预防和隐患管理要求进行管理。8.5安全测评运营企业应按照GB/T 22239以及GB/T 39786要求对信息系统开展安全测评。8.6数据保护运营企业应采取数据安全保护措施，对信息系统数据的全生命周期进行安全防护。8.7个人信息保护运营企业收集、使用个人信息，应遵循合法、正当、必要和诚信的原则，明确使用的目的、方式和范围，并采取相应措施对收集到的个人信息进行安全保护，不应泄露、篡改和利用个人信息。8.8信息发布运营企业应对信息系统信息发布进行审核，发布内容应符国家、行业、企业信息安全及保密要求。DB5301/T 7520229网络与信息安全事件9.1分类网络安全事件宜按照GB/Z

14、20986要求进行分类。 网络安全事件可分为网络攻击事件、 有害程序事件、信息泄密事件和信息内容安全事件。9.2分级网络安全事件宜按照 GB/Z 20986 要求进行分级。根据事件发生后的影响和破坏性，分为以下四个级别：特别重大事件（级）；重大事件（级）；较大事件（级）；一般事件（级）。9.3应急管理运营企业应结合信息系统实际情况， 将网络与信息安全应急处置方面的制度纳入企业应急管理体系，在管理制度中按照网络安全事件的不同类别和级别进行细化管理并编制相应的网络与信息安全事件应急预案。市 地 方标;餘xoeeaa;聰必DB5301/T 7520227AA附录A（资料性）主要生产系统安全保护要求A

15、.1主要生产系统包括:信号系统、自动售检票系统、综合监控系统、通信系统等系统，各系统安全要求见表 A.1。表 A.1 主要生产系统安全保护要求系统名称系统名称等级保护级别等级保护级别安全保护要求安全保护要求信号系统等级保护 3 级及以上a)信号系统宜识别为重要信息基础设施进行保护，应满足信息安全等级保护三级要求。b)应保证车地无线网具备抗干扰能力，并能识别、报告其物理环境中未经授权的无线设备试图接入和干扰行为。综合监控系统等级保护 3 级及以上a)综合监控系统整体宜满足信息安全等级保护三级要求。b)综合监控系统中使用的安全设备，如工业防火墙等，应针对MODBUS 等工控协议进行专门防护。自动售

16、检票系统等级保护 3 级及以上a)自动售检票系统宜识别为重要信息基础设施进行保护，宜满足信息安全等级保护三级要求。b)自动售检票系统应具有交易安全及审计机制,跟踪所有交易数据,检查和处理异常、遗漏、重复、延迟和伪造数据,保证车票数据安全、票卡与交易终端的数据交互安全、系统交易传输安全。c)并应使用符合国家密码管理相关规定的密码技术。门禁系统等级保护 3 级及以上a)门禁系统宜满足信息安全等级保护三级要求。乘客信息系统等级保护 2 级及以上a)乘客信息系统应满足信息安全等级保护二级要求。b)通过人为编辑、上传的对外发布的信息，应经过审批，并且对发布的信息进行留存。c)在发生重要的操作前（如发布信

17、息等）应对用户的权限进行校验。专用电话系统等级保护 3 级及以上a)专用电话系统整体宜满足信息安全等级保护三级要求。b)系统与外部设备存在非网络接口（如 E1 接口）的，应根据接口特性，在系统侧或外部设备侧制定相应的网络安全措施。无线通信系统等级保护 3 级及以上a)无线通信系统整体宜满足信息安全等级保护三级要求。b)车地通信采用无线网络的，应保证车地无线网具备抗干扰能力，并能识别、报告其物理环境中未经授权的无线设备试图接入和干扰行为。车辆智能运维系统等级保护 3 级及以上a)车辆智能运维系统宜识别为重要信息基础设施进行保护，宜满足信息安全等级保护三级要求。线网运营指挥中心系统等级保护 3 级及以上a)线网运营指挥中心系统宜识别为重要信息基础设施进行保护，应满足信息安全等级保护三级要求。DB5301/T 752022参考文献关键信息基础设施安全保护条例（中华人民共和国国务院令 第 745 号）市 地Toeeaa：ni