GB/T 46739-2025 城市轨道交通网络信息系统安全基本要求

　　ICS 93. 080 CCS L 70

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 46739—2025

　　城市轨道交通网络信息系统

　　安全基本要求

　　Baseline forinformation system security ofurban railtransitnetwork

　　2025-12-02发布 2026-04-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 46739—2025

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 总体要求 3

　　5 物理环境安全要求 3

　　6 网络和通信安全要求 5

　　7 安全管理中心 7

　　8 计算环境安全要求 8

　　9 应用及数据安全要求 9

　　10 安全扩展要求 11

　　11 安全管理要求 12

　　附录 A (资料性) 网络安全区域划分 14

　　附录 B (资料性) 信息系统分类分级 16

　　参考文献 18

　　Ⅰ

　　GB/T 46739—2025

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由中华人民共和国住房和城乡建设部提出 。

　　本文件由全国城市轨道交通标准化技术委员会(SAC/TC290)归 口 。

　　本文件起草单位 :公安部第三研究所 、中国城市规划设计研究院 、上海城市公共安全研究中心 、上海国际技贸联合有限公司 、上海申通地铁集团有限公司 、上海赛保保信息技术服务有限公司 、中铁上海设计院集团有限公司 、上海道肯奇科技有限公司 、上海市公安局城市轨道和公交总队 、上海嘉尔道标准化技术服务有限公司 、上海联麦信息技术有限公司 、重庆市公安局轨道交通分局 、深信服科技股份有限公司 、上海禾寅智能数字科技有限公司 、浙江海宁轨道交通运营管理有限公司 、青岛地铁集团有限公司 、北京启明星辰信息安全技术有限公司 、国家高速列车青岛技术创新中心 、中车青岛四方机车车辆股份有限公司 、上海申铁投资有限公司 、神州高铁轨道交通运营管理有限公司 、西安市轨道交通集团有限公司建设分公司 、南京国电南自轨道交通工程有限公司 、南京恩瑞特实业有限公司 、重庆大学自动化学院 、中国人民财产保险股份有限公司 、中车唐山机车车辆有限公司 、合肥市轨道交通集团有限公司 、上海中科数据信息技术有限公司 、华为技术有限公司 、上海晋龙网络科技有限公司 。

　　本文件主要起草人 :周左鹰 、任海 、李维姣 、邹春明 、张立东 、赵一新 、陈燕申 、张菁博 、张瑾 、顾正宜 、傅源蕾 、黄晖 、孙骏 、常青青 、杨千里 、任生祥 、刘汉 、陈嘉敏 、徐鹏 、刘瑞 、王伟华 、胡志毅 、陶俊杰 、叶坚 、林晓波 、江群 、沈琦 、郑思浩 、阎珺 、俞甬 、兰涛 、曾霖 、胡光祥 、李海鹰 、许双伟 、李广正 、黄亮喨 、杨富杰 、杨彤 、黄丰 、杜 放 、刘 宠 、徐 振 鲁 、梁 建 英 、杜 杰 伟 、唐 婧 、汪 召 亮 、于 雪 松 、张 良 、徐 骁 、乐 凌 志 、王 恒 、叶益民 、柴毅 、王建勇 、李嘉麒 、李辉 、虞赛君 、吴海燕 、马一博 、赵一斌 、唐辉 、吴文杰 、季利刚 。

　　Ⅲ

　　GB/T 46739—2025

　　引 言

　　本文件是指导城市轨道交通网络信息系统安全 、合规地规划 、设计 、建设 、运营和运行维护的总体要求文件 。

　　本文件在梳理汇总 各 城 市 轨 道 交 通 网 络 信 息 系 统 数 量 、类 别 、网 络 架 构 、功 能 特 点 等 基 础 上 , 以GB/T 22239为原则 ,针对城市轨道交通行业的特点,对特殊系统的相关技术要求进行细化和加强 。从技术和管理两个维度 , 为建立安全防护体系 、保证信息系统可用性 、确保数据的完整性和保密性 提 供依据 。

　　Ⅳ

　　GB/T 46739—2025

　　城市轨道交通网络信息系统

　　安全基本要求

　　1 范围

　　本文件规定了城市轨道交通网络信息系统安全的总体要求 、物理环境安全要求 、网络和通信安全要求 、安全管理中心 、计算环境安全要求 、应用及数据安全要求 、安全扩展要求及安全管理要求 。

　　本文件适用于城市轨道交通线路的新建和改建中信息系统安全的规划 、设计 、建设 、运行维护 、网络安全加固和安全测评工作 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件 。

　　GB/T 4208 外壳防护等级(IP代码)

　　GB/T 5271. 8 信息技术 词汇 第 8部分 :安全

　　GB 16807 防火膨胀密封件

　　GB/T 20279 网络安全技术 网络和终端隔离产品技术规范

　　GB/T 22239 信息安全技术 网络安全等级保护基本要求

　　GB/T 22240 信息安全技术 网络安全等级保护定级指南

　　GB 23864 防火封堵材料

　　GB/T 24338. 4 轨道交通 电磁兼容 第 3-2部分 :机车车辆 设备

　　GB/T 24338. 5 轨道交通 电磁兼容 第 4部分 :信号和通信设备的发射与抗扰度

　　GB/T 24338. 6 轨道交通 电磁兼容 第 5部分 :地面供电设备和系统的发射与抗扰度

　　GB/T 25069 信息安全技术 术语

　　GB/T 31167 信息安全技术 云计算服务安全指南

　　GB/T 31168 信息安全技术 云计算服务安全能力要求

　　GB/T 37973 信息安全技术 大数据安全管理指南

　　GB/T 39786 信息安全技术 信息系统密码应用基本要求

　　GB 50157 地铁设计规范

　　GB 50174 数据中心设计规范

　　3 术语和定义

　　GB/T 5271. 8、GB/T 20279、GB/T 22239、GB/T 22240、GB/T 25069、GB/T 31167、GB/T 31168、 GB/T 37973、GB/T 39786和 GB 50157界定的以及下列术语和定义适用于本文件 。

　　1

　　GB/T 46739—2025

　　3. 1

　　信息系统 information system

　　由计算机及其相关的配套部件 、设备和设施构成 ,按照一定的应用 目 的和规则对信息进行采集 、加工 、存储 、传输 、检索等的各类系统 。

　　注 : 城市轨道交通网络信息系统包括采用云计算 、大数据 、移动互联技术的系统以及工业控制系统 ,如生产类系统 、管理类系统 、外部服务类系统及云计算平台等 。

　　3.2

　　网络安全区域 network security zone

　　网络系统中具有相同安全要求的逻辑资产或物理资产的集合 。

　　3.3

　　个人信息 personalinformation

　　以电子或其他方式记录的 、能够单独或与其他信息结合识别特定自然人身份或反映自然人活动情况的各种信息 。

　　注 : 个人信息包括但不限于姓名 、出生日期 、身份证件 号 码 、个 人 生 物 识 别 信 息 、住 址 、通 讯 联 系 方 式 、征 信 信 息 、健康生理信息 、行踪轨迹 、交易信息等 。城市轨道交通网络信息系统中涉及的个人信息主要包括社会公众个人信息 、员工个人信息等 。

　　[来源 :GB/T 35273—2020,3. 1,有修改] 3.4

　　线路中心 lineoperation controlcenter

　　监控管理单条轨道交通线路 ,具备行车调度 、电力调度 、环境与设备调度 、防灾指挥 、客运管理 、乘客信息管理及信息管理等运营调度和指挥功能 ,并对该线路运营的全过程进行集中监控和管理 。

　　3.5

　　线网中心 lineoperation controlcenter

　　监控管理多条轨道交通线路 ,具备行车调度 、电力调度 、环境与设备调度 、防灾指挥 、客运管理 、乘客信息管理及信息管理等运营调度和指挥功能 ,并对该地铁线网运营的全过程进行集中监控和管理 。

　　3.6

　　运维管理网 operation and maintenancemanagementnetwork

　　对城市轨道交通生产网 、管理网 、外部服务网进行维护和管理的计算机网络 。

　　3.7

　　网络隔离 networkisolation

　　位于两个不同安全域之间 ,采用协议隔离技术在网络上实现安全隔离与信息交换 。

　　3. 8

　　计算环境 computing enviroment

　　在信息系统中 ,对信息进行存储 、处理及实施安全策略的所有相关软硬件资源 。

　　注 : 包括主机 、终端 、网络设备 、安全设备等通用硬件及各类操作系统 、数据库 、中间件等基础软件 。 3.9

　　公共区域电子屏控制系统 electronicscreen controlsystem in publicareas

　　部署在公共区域内 ,面向乘客提供服务的电子屏播放控制系统 。

　　注 : 分为网络版与非网络版系统 。通过有线或无线网络方式与电子屏连接进行播放控制的称为网络版公共区域电子屏控制系统 ;通过信息发布终端或移动介质在本地 对 电 子 屏 进 行 播 放 控 制 的 称 为 非 网 络 版 公 共 区 域 电 子 屏控制系统 。

　　2

　　GB/T 46739—2025

　　4 总体要求

　　4. 1 城市轨道交通网络信息系统的网络安全要求及定级原则应根据各类保护对象的业务需求 、受网络安全事件破坏时影响的严重程度确定 。

　　4.2 城市轨道交通网络信息系统应满足 GB/T 22239中相应级别的安全要求 ,二级及以上的信息系统还应满足本文件所提出的安全要求 。

　　4.3 安全要求分为基本级系统要求和增强级系统要求 ,安全等级保护定级为二级的信息系统应按基本级系统要求进行安全保护 ,定级为三级及以上的信息系统在满足基本级系统要求的基础上 ,还应符合增强级系统要求 ;城市轨道交通专用系统除应按照其安全保护等级满足 GB/T 22239及本文件中对应级别的安全要求外 ,还应满足本文件所规定专用系统要求 。

　　4.4 单个信息系统部署在线网中心 、线路中心 、车站 、车辆基地等不同地理位置的设备机房内时 , 可作为一个整体对象进行定级 ,采用上述方式定级时 ,该信息系统所涉及的机房其物理环境安全措施应遵循等级一致性原则 。

　　4.5 城市轨道交通网络信息系统数据应存储于中华人民共和国境内 ,不应被境外访问 。

　　4.6 城市轨道交通总体网络架构应根据城市轨道交通业务系统功能类别 、服务对象及重要性将网络划分为生产网 、管理网和外部服务网 3类网络安全区域 ,宜参考附录 A 的图 A. 1设置总体网络架构 。

　　4.7 城市轨道交通网络信息系统应按系统分类明确所属的网络安全区域 ,宜基于信息系统的安全防护需求设置相应的安全防护策略 ,可参考图 A. 2分层部署 。

　　4.8 涉及需要跨越多个地理位置的信息系统 ,应按照系统的业务属性在对应的网络安全区域中分区域部署 ,各区域间的通信应遵守网络安全区域的访问控制策略 ,宜参考图 A. 3进行划分 。

　　4.9 城市轨道交通网络信息系统基于业务类型可分为生产系统 、管理系统及外部服务系统三类 ,其分类分级可参考附录 B。

　　4. 10 线网中心 、线路中心与车站之间应采用专线互联 ,并根据系统所属不同网络安全区域采用独立的物理线路组网 。

　　4. 11 城市轨道交通网络信息系统中重要业务数据的传输路径包含开放网络时 ,应采用国家密码管理部门认可的密码1) 技术对其进行保护 ,保证通信过程数据的完整性和保密性 ,并应满足 GB/T 39786相关要求 ;重要业务数据包括但不限于鉴别数据 、重要业务数据 、重要审计数据 、重要个人信息等 。

　　4. 12 城市轨道交通宜设置安全管理中心对城市轨道交通网络信息系统的安全策略及安全计算环境 、安全区域边界 、安全通信网络的安全机制进行集中管理 、统一监控 、综合分析和协同防护 。

　　4. 13 采购和使用网络关键设备和网络安全专用产品时 ,设备和产品应满足国家标准的强制性要求 ,并经具备资格的机构安全认证合格或者安全检测通过 ;可能影响国家安全的设备和产品 ,应通过国家网络安全审查 。

　　5 物理环境安全要求

　　5. 1 基本级系统要求

　　5. 1. 1 设备机房的环境应以内部系统的安全等级为 目标 ,应按照 GB 50157、GB 50174 的相关要求 ,采取相应的防护措施 。

　　5. 1.2 多个信息系统部署在同一机房时 ,机房物理环境安全措施应遵循等级就高原则 。

　　1) 本文件中的 “密码 ”是指商用密码 。

　　3

　　GB/T 46739—2025

　　5. 1.3 机房出入口应配置门禁系统 ,记录日志保存时间应不少于 180 d。

　　5. 1.4 机房内的设备或部件应有效固定 ,应设置明显 、不易除去且唯一的标识 ,标识信息内容宜包含机柜 、系统名称等信息 。

　　5. 1.5 通信线缆应设置明显 、不易除去且唯一的标识 ,宜包含线缆两端的设备及端口信息等 。

　　5. 1.6 线缆宜铺设在封闭的金属线槽或管道中 ,宜铺设在隐蔽 、安全的位置 。

　　5. 1.7 各类机柜 、设施和设备等应通过接地系统安全接地 ,宜采用综合接地方式 ,机房内接地电阻值应不大于 1 Ω。

　　5. 1. 8 机房应采取措施防止雨水 、洪水通过机房窗户 、屋顶和墙体渗漏 。

　　5. 1.9 机房应采取措施防止机房内水蒸气结露和地下积水的转移与渗漏 。

　　5. 1. 10 机房应采取措施防止虫鼠窜入 。

　　5. 1. 11 机房应设置火灾自动报警系统 , 能自动检测火情并报警 ;应设置自动灭火系统 , 当机房不具备设置自动灭火系统条件时 ,应设置自动灭火装置 ,并应配备手动灭火设施 。

　　5. 1. 12 各类线缆的护套应采用低烟 、无卤的阻燃材料 ;管线穿越防火墙 、楼板 、防火分区孔隙时 ,应采用防火封堵材料对空隙进行填充 , 防火封堵材料应符合 GB 16807和 GB 23864的相关要求 。

　　5. 1. 13 机房供电线路应配置稳压和过电压防护装置 ,供配电要求应符合 GB 50157、GB 50174的要求 。

　　5. 1. 14 机房内系统具备后备电源措施的 ,后备保障时间应符合 GB 50157的要求 。

　　5. 1. 15 电力线缆和通信线缆应隔离铺设 ,缆线应具有抗电气化干扰的防护层 。

　　5. 1. 16 设备 、设施应部署在受控的安全场所中 ,应具备防盗窃和防破坏措施 。

　　5. 1. 17 设备 、设施所处的物理环境不应对设备造成物理破坏(挤压 、强振动等) ,如果环境条件导致的安全风险经评估较高 ,应选用安全性 、可靠性满足环境条件的终端设备 。

　　5. 1. 18 设备 、设施应合理选型 ,其所处物理环境对设备的正常工作不应造成影响(强干扰 、阻挡 、屏蔽等) 。

　　5. 1. 19 室外电力线缆护套应采用金属铠装方式 ,应通过金属管道防护方式从地下引入车站 、线路中心等建筑内 。

　　5. 1.20 天馈线 、控制信号线 、光缆等弱电线缆宜通过金属管道防护方式从地下引入车站 、线路中心等建筑内 。

　　5. 1.21 室外设备的供电方案应稳定可靠 ,其外壳防护等级应不低于 GB/T 4208中的 IP65。

　　5. 1.22 室外设备应远离强电磁干扰 、强热源等环境 ,如无法避免应做好防护措施 。

　　5. 1.23 室外线缆应具有防水 、防裂 、耐高低温 、防迷流 、抗紫外线和盐雾腐蚀等性能 。

　　5.2 增强级系统要求

　　5.2. 1 机房应设置入侵报警系统或有专人值守的视频监控系统 ,视频监控系统应覆盖机房所有出入 口及重要设备设施 ,视频监控录像文件保存时间应不少于 90 d。

　　5.2.2 机房应设置冗余或并行的电力电缆线路 ,应采用一级负荷电源供电 。

　　5.2.3 机房应配备环境监控系统 ,对机房的温湿度环境 、供电接地等状态信息进行集中监测 。

　　5.2.4 涉及重要数据的服务器和存储设备等关键设备和磁介质宜采取电磁屏蔽措施 ,设备电磁兼容性应符合 GB/T 24338. 4、GB/T 24338. 5、GB/T 24338. 6 的要求 。

　　4

　　GB/T 46739—2025

　　6 网络和通信安全要求

　　6. 1 基本级系统要求

　　6. 1. 1 网络架构

　　6. 1. 1. 1 应根据承载业务的不同和网络架构的不同划分网络安全区域 , 区域间应采用技术隔离手段 ,且应部署防火墙等访问控制设备并配置访问控制策略实现安全隔离 。

　　6. 1. 1.2 不同网络安全区域应采用独立网络设备进行组网建设 ,应遵循管理和控制的原则为各区域分配地址 。

　　6. 1. 1.3 宜建设独立于业务网络之外的运维管理网 ,对网络设备 、安全设备 、服务器 、存储设备等进行运行 、维护和管理 。

　　6. 1.2 通信传输

　　6. 1.2. 1 数据中心之间应采用专线或加密通道实现数据互通 ,保证通信过程数据的完整性和保密性 。

　　6. 1.2.2 通过互联网远程访问管理网应采用虚拟专用网方式 ,不应通过互联网远程访问生产网 。

　　6. 1.3 安全区域边界

　　6. 1.3. 1 边界防护

　　6. 1.3. 1. 1 管理网与外部服务网间宜采用网络隔离等设备进行安全隔离 ,生产网与管理网间应采用防火墙等技术隔离措施 。

　　6. 1.3. 1.2 跨越网络安全区域边界的访问和数据流应通过受控的边界设备提供的受控接口进行通信 。

　　6. 1.3. 1.3 线路中心 、线网中心等重要网络区域与其他网络区域之间应部署防火墙等防护措施实现边界隔离 。

　　6. 1.3. 1.4 应禁止非 授 权 设 备 私 自 接 入 生 产 网 , 应 对 非 授 权 设 备 私 自 连 接 生 产 网 的 行 为 进 行 检 查 和告警 。

　　6. 1.3. 1.5 应对生产网内部终端非授权连接外部网络的行为进行检查或限制 。

　　6. 1.3. 1.6 无线局域网与内部网络连接时应通过受控的边界设备接入 。

　　6. 1.3. 1.7 无线局域网宜单独组网 ,应通过无线网络控制模块实现对无线接入设备的管理和用户终端的接入控制 。

　　6. 1.3.2 访问控制

　　6. 1.3.2. 1 生产网不应通过互联网远程接入方式访问 。

　　6. 1.3.2.2 生产网与管理网的网络边界应遵循最小开放原则 ,应配置访 问 控 制 策 略 , 应 拒 绝 电 子 邮 件(E-Mail) 、网页(Web) 、远程终端协议(Telnet) 、远程登录协议(Rlogin) 、文件传输协议(FTP) 、远程桌面协议及虚拟网络控制台(VNC)等通用网络服务直接穿越区域边界进入生产网 。

　　6. 1.3.2.3 通过互联网远程访问管理网的用户和设备应具备唯一性标识 ,并应对用户和设备进行授权 、鉴别和访问权限控制 。

　　6. 1.3.3 入侵防范

　　6. 1.3.3. 1 线路中心 、线网中心等关键网络边界节点处应具备监测网络攻击行为的能力 。

　　5

　　GB/T 46739—2025

　　6. 1.3.3.2 在管理网 、互联网边界应采取网络入侵检测措施 ,发现网络攻击行为时应及时阻断并告警 。

　　6. 1.3.4 恶意代码防范

　　6. 1.3.4. 1 应在线路中心 、线网中心等关键网络节点处对恶意代码进行检测 。

　　6. 1.3.4.2 应在管理网 、互联网边界检测恶意代码 ,并及时清除 。

　　6. 1.3.4.3 恶意代码特征库升级或更新间隔应不大于 90 d,管理网恶意代码特征库升级或更新间隔不宜大于 30 d, 网络恶意代码防范产品与主机恶意代码防范产品宜采用不同的特征库 。

　　6. 1.3.5 安全审计

　　6. 1.3.5. 1 跨边界的访问行为 日志应发送至安全管理中心进行集中存储 、保护和统一管理 ,不应受到未预期的删除 、修改或覆盖等 。

　　6. 1.3.5.2 应定期进行安全审计 ,审计日志保存时间应不少于 180 d。

　　6.2 增强级系统要求

　　6.2. 1 网络架构

　　6.2. 1. 1 网络设备的业务处理能力和网络各部分的带宽应满足业务高峰期需要 ,带宽利用率宜稳定在70%以下 , 中央处理器(CPU)利用率宜稳定在 60%以下 , 内存利用率宜稳定在 60%以下 。

　　6.2. 1.2 网络架构应提供冗余通信线路 ,宜采用链路聚合 、多链路选路或负载均衡等方式 。

　　6.2. 1.3 线路中心 、线网中心 、互联网边界等网络节点的网络设备应冗余部署 ;单个网络设备故障时 ,不应影响核心业务 ,宜采用双机热备或集群等方式 。

　　6.2.2 安全区域边界

　　6.2.2. 1 边界防护

　　6.2.2. 1. 1 应对办公终端 、工作站 、服务器 、摄像头等终端设备进行准入控制 。

　　6.2.2. 1.2 对授权允许通过互联网远程访问管理网的用户 ,应采用先认证后连接架构 ;未经认证鉴权的用户不应与管理网建立任何连接 。

　　6.2.2. 1.3 对于涉及采用自建专线远程通信的系统 ,应采取持续监测专线的连通性措施 、接入设备发现措施等 , 防止专线被窃听或接入设备实施网络攻击 。

　　6.2.2.2 入侵防范

　　6.2.2.2. 1 应采取技术措施对网络行为进行分析 。

　　6.2.2.2.2 当检测到攻击行为时 ,应记录攻击源互联网协议地址(IP) 、攻击类型 、攻击目标 、攻击时间 ;在发生严重入侵事件时应报警 ,宜能对攻击路径进行回溯 。

　　6.2.2.3 恶意代码防范

　　6.2.2.3. 1 互联网边界 、核心交换节点 、车站节点等区域应具备恶意代码防护 、检测和阻断能力 ,应检测恶意代码感染及跨域蔓延的情况 ,并上报安全管理中心 。

　　6.2.2.3.2 区域边界应具备恶意代码动态检测功能 ,应能根据检测结果更新恶意代码特征库 。

　　6.2.2.4 安全审计

　　6.2.2.4. 1 对远程接入 、互联网访问 、跨越网络安全区域边界的用户行为应进行独立的安全审计 。

　　6

　　GB/T 46739—2025

　　6.2.2.4.2 工控系统内部 ,宜在关键节点处配备工控网络审计系统 ,宜基于白名单方式对系统网络流量进行安全分析 。

　　6.2.2.4.3 对网络及设备维护行为应采用运维安全管理设备以录屏等方式进行全程审计 。

　　6.2.2.4.4 对安全策略拒绝或阻断的访问行为应进行审计 。

　　6.3 专用系统要求

　　6.3. 1 专用无线通信系统

　　6.3. 1. 1 专用无线通信系统应具备双向鉴别机制 ,实现接入设备的双向鉴权 。

　　6.3. 1.2 专用无线通信系统应具备空口通信链路加密功能 。

　　6.3. 1.3 专用无线通信系统应支持国产加密算法 。

　　6.3.2 信号系统

　　6.3.2. 1 信号系统的车地无线通信网络和设备监测网络应冗余建设 ,不应出现单设备故障导致整个网络通信中断的设备节点 。

　　6.3.2.2 网络异常检测应采用旁路方式 ,不应影响信号系统的稳定性 。

　　7 安全管理中心

　　7. 1 基本级系统要求

　　7. 1. 1 安全管理中心可按照总分模式 、分层分级的原则建设 ,根据不同业务管理模式 , 可分线路 、分专业单独建设 。

　　7. 1.2 各层级安全管理中心的设置应遵循总体要求中网络安全区域的划分 , 防止网络安全区域通过安全管理中心互联互通 。

　　7. 1.3 生产系统宜建立安全管理中心 。管理现场设备层生产系统的安全管理中心 ,应采取技术措施限制其在现场设备运行期间仅具备安全监测能力 ,若涉及控制操作 ,应仅限在非运行时段内实施 。

　　7. 1.4 管理系统和外部服务系统 的 安 全 管 理 中 心 , 应 具 备 集 中 管 理 、统 一 监 控 、综 合 分 析 及 协 同 防 护能力 。

　　7. 1.5 安全管理中心应划分出特定的管理 区 域 , 对 分 布 在 网 络 中 的 安 全 设 备 或 安 全 组 件 进 行 管 理 和控制 。

　　7. 1.6 安全管理中心应能与安全设备或安全组件的接口对接 ,收集各类网络安全设备的 日志数据 。

　　7. 1.7 安全管理中心应能与其他特定的安 全 系 统(例 如 : 上 级 监 管 单 位 安 全 系 统 、下 级 单 位 安 全 系 统等)接口对接 ,实现系统间的安全事件告警 、安全情报等数据的共享交互 。

　　7. 1. 8 安全管理中心宜具备数据安全防护的联动处置能力 ,宜建立与主机安全 、存储 、备份等数据存储与处理部件的预警处置联动机制 。

　　7. 1.9 安全管理中心应采 集 并 展 示 网 络 设 备 、安 全 设 备 、生 产 控 制 设 备 、主 机 操 作 系 统 、数 据 库 、中 间件 、应用系统等重要资产信息 、网络信息 、安全日志及运行状态 。

　　7. 1. 10 安全管理中心应对不同来源的安全日志进行标准化处理 、分析 。

　　7. 1. 11 安全管理中心应能对存在安全风险的事件及时告警 ,并应能对安全告警原始数据 、告警的安全事件数据集中存储 。

　　7. 1. 12 安全管理中心审计日志的留存时间不应少于 180 d。

　　7

　　GB/T 46739—2025

　　7.2 增强级系统要求

　　7.2. 1 安全管理中心应覆盖现场设备层生产系统 。

　　7.2.2 安全管理中心应具备网络流量数据收集与分析的能力 。

　　7.2.3 安全管理中心应具备收集计算环境资产 、应用软件资产安全漏洞数据的能力 。

　　7.2.4 安全管理中心宜具备安全设备联动控制及安全处置策略管理等功能 ,可自动处理安全事件 。

　　7.2.5 安全管理中心应具备安全服务资源管理能力 ,应能为操作系统 、数据库 、信息系统等提供补丁更新资源 ,应具备威胁情报管理能力 。

　　7.2.6 安全管理中心应具备违规操作 、攻击入侵 、异常行为等安全事件关联分析能力 。

　　7.2.7 安全管理中心应具有对安全告警 、网络安全事件的闭环处置能力 。

　　7.2. 8 安全管理中心应具备网络安全态势感知能力 ,对网络流量数据 、资产 日志数据 、运行状态数据 、安全漏洞数据 、安全告警数据等进行综合分析 ,根据安全管理中心所管理的范围集中展示系统告警情况以及网络安全整体状况 ,宜支持按专业级 、线路级 、线网级展示 。

　　8 计算环境安全要求

　　8. 1 基本级系统要求

　　8. 1. 1 计算环境的自身安全应遵循最小够用原则 。

　　8. 1.2 应及时跟踪 、验证并更新计算环境的安全补丁 。

　　8. 1.3 宜建立各类型计算环境资产的安全基线 , 当设置安全基线时 ,应依据基线要求对信息资产进行安全加固 。

　　8. 1.4 应通过技术或物理措施禁用主机 、终端设备的各类非必要的通信接 口 ,包括但不限于存储接 口 、网络接口等 。

　　8. 1.5 生产网主机操作系统中宜部署白名单产品进行安全防护 。

　　8. 1.6 生产网服务器 、终端设备应部署主机入侵检测系统 ,能及时发现设备的非法提权 、系统引导程序被篡改 、系统程序被篡改等行为 。

　　8. 1.7 管理网服务器 、终端设备应部署恶意代码防护软件 ,及时发现和清除恶意代码 ,恶意代码特征库应及时升级和更新 。

　　8. 1. 8 集成或使用的操作系统 、数据库 、应用程序 、网络服务应从官方途径获取 ,应及时进行版本更新与漏洞修复 ,应进行安全加固配置 ,包括删除非必要的默认页面 、关闭调试模式 、过滤详细的错误信息反馈 、修改默认账号等 。

　　8. 1.9 应采用访问控制 、互联网协议地址(IP)白名单等方式控制管理终端的范围 。

　　8. 1. 10 中间件应关闭远程管理和调试接 口 。

　　8.2 增强级系统要求

　　8.2. 1 应建立各类型资产的计算环境安全基线 ,依据基线要求对信息资产进行安全加固 。宜具备基线自动核查能力 。

　　8.2.2 应对特权账户的使用进行管控 ,仅授权情况下可使用 ,并确保特权账号使用人员可追溯 。

　　8.2.3 在计算环境 中 应 明 确 用 户 和 异 常 操 作 行 为 , 应 记 录 用 户 的 操 作 行 为 , 并 应 定 期 开 展 操 作 行 为审计 。

　　8.2.4 生产网服务器应仅运行必要的服务 、进程和可执行文件 ,宜采用进程白名单等控制技术手段进

　　8

　　GB/T 46739—2025

　　行保护 。

　　8.2.5 管理网服务器宜采用主动防护技术手段进行保护 ,及时阻断入侵 、违规操作和病毒行为 。

　　8.2.6 数据库管理系统应具备在线备份能力 。

　　8.2.7 应限制终端设备网络访问范围 ,仅限对必要的网络对象通信 。

　　8.2. 8 终端设备应不准许来自互联网的运行维护管理访问 ,应对网络访问行为进行记录分析 。

　　8.2.9 对重要计算环境资产的配置应及时进行离线备份 ,并准备相同规格型号的备件 ,故障时能够快速替换 。

　　9 应用及数据安全要求

　　9. 1 基本级系统要求

　　9. 1. 1 身份鉴别

　　9. 1. 1. 1 应用系统应具备对登录的用户进行身份标识和鉴别的能力 ,身份标识应具有唯一性 ,身份鉴别信息应具有复杂度要 求 , 口 令 长 度 不 应 小 于 8 位 , 并 包 含 字 母 、数 字 和 特 殊 符 号 , 更 换 周 期 不 宜 超 过180 d,最长应不超过 270 d。

　　9. 1. 1.2 应用系统应具有登录失败处理功能 ,连续登录失败一定次数应锁定互联网协议地址(IP) 或账户一段时间或由管理员解锁 ,鉴别失败反馈内容中不应包含敏感数据 。

　　9. 1. 1.3 具有操作功能的应用系统人机界面应具有会话超时退出机制 。

　　9. 1. 1.4 外部服务系统和管理系统系统应支持配置所有账户访问权限和使用时长 ,不应配置永久访问权限 。

　　9. 1. 1.5 外部服务系统和管理系统应定期检查账户生命周期 ,对长期不访问系统的账户应限制访问 。

　　9. 1. 1.6 管理系统应采用单点登录和统一权限管理 。

　　9. 1.2 访问控制

　　9. 1.2. 1 应用系统应具有权限分离与最小授权机制 ,应设置系统管理员 、系统安全员和系统审计员 ,应按最小授权原则分别授予权限 。

　　9. 1.2.2 用户首次登录时 ,应用系统应创建口令或强制用户修改默认口令 。

　　9. 1.3 安全审计

　　审计日志应以结构 化 文 件 方 式 存 储 于 应 用 系 统 目 录 外 , 或 存 储 于 数 据 库 中 , 存 储 时 间 应 不 少 于180 d。

　　9. 1.4 入侵防范

　　9. 1.4. 1 应用系统应提供数据有效性验证功能 ,通过人机接口或通信接口输入的内容应符合系统设定要求 ,验证内容应包括表单数据的类型 、长度 、格式和文件数据的类型 、头信息 、大小以 及 业 务 参 数 阈值等 。

　　9. 1.4.2 应用系统应限制最大并发会话连接数和单个账户的多重并发会话数 。

　　9. 1.4.3 应用系统应采用安全可信的组件 。

　　9. 1.5 剩余信息保护

　　存有敏感数据的存储空间被释放或重新分配前 ,剩余信息应被清除且不可恢复 。

　　9

　　GB/T 46739—2025

　　9. 1.6 数据备份恢复

　　9. 1.6. 1 不同应用系统的本地数据存储时间应根据业务需求进行分别制定 ,保存时间应不少于 90 d。

　　9. 1.6.2 数据备份应设置在与原数据存储位置相隔较远的物理位置 ,重要数据应定时批量传送至备份物理位置进行备份 。

　　9. 1.6.3 备份介质应定期进行质量检查 。

　　9. 1.7 个人信息保护

　　9. 1.7. 1 个人信息的存储和使用应采用信息脱敏或加密等技术进行保护 。

　　9. 1.7.2 应用系统应主动监测和发现个人信息泄露等违规行为 ,并应能记录和上报安全管理中心 。

　　9.2 增强级系统要求

　　9.2. 1 访问控制

　　9.2. 1. 1 对实施相同访问控制安全策略的分布式应用系统 ,各个节点或者分支宜具有一致的主 、客体标记和相同的访问规则 。

　　9.2. 1.2 生产系统宜设置具有只读权限的账号 。

　　9.2.2 安全审计

　　安全审计日志宜支持以系统日志协议(syslog)等标准格式外发 。

　　9.2.3 数据备份恢复

　　重要数据处理系统以及工控关键业务数据处理系统应采用热备份 。

　　9.3 专用系统要求

　　9.3. 1 视频监控系统

　　9.3. 1. 1 视频监控系统应采用视频图像信息防泄漏措施 ,应能管控和追溯视频下载 、录屏截屏 、录像拍照 、联网共享等视频图像信息泄露行为 。

　　9.3. 1.2 视频监控系统应采用视频图像审计措施对视频点播 、下载 、回放 、控制等操作行为进行审计 。

　　9.3. 1.3 视频监控系统应采用技术手段保障视频图像的完整性 ,应防止恶意篡改数据 , 宜采用数字摘要 、数字时间戳或数字水印等技术 。

　　9.3.2 自动售检票系统

　　其他系统与自动售检票系统对接时应确保订单数据 、支付数据 、支付反馈数据的完整性和不可抵赖性 。

　　9.3.3 乘客信息系统

　　9.3.3. 1 乘客信息系统应具备信息保护应急处置功能 ,包括一键关屏等 。

　　9.3.3.2 乘客信息系统应具备发布内容的快速审计功能 ,包括内容自动审核等 。

　　9.3.4 外部服务系统

　　9.3.4. 1 应用程序与数据库应部署在不同的服务器上 。

　　10

　　GB/T 46739—2025

　　9.3.4.2 应用服务器对互联网提供服务时 ,应限制应用服务器主动访问互联网 。

　　9.3.4.3 数据库服务器不应直接面向互联网提供服务 。

　　9.3.4.4 安全等级保护定级为三级的外部服务系统应采用密码技术保证通信过程中数据的保密性和完整性 ,使用的加密数字证书应通过第三方权威机构签发 。

　　9.3.4.5 外部服务系统应具有防篡改措施 。

　　9.3.4.6 网页形式的外部服务系统应采用网页应用防护设备进行安全防护 。

　　9.3.4.7 外部服务系统应能及时发现和阻止敏感信息的发布 ,应采用账号锁定 、限制登录 、停用权限等技术措施对敏感信息来源实施控制 。

　　9.3.4. 8 外部服务系统应具备应急处置功能 ,包括切换维护页面等 。

　　9.3.4.9 移动端应用程序(APP)收集个人信息应满足最小必要收集原则 ,并应采用显著方式向用户告知个人信息保护政策的核心内容 ,应提示用户阅读个人信息保护政策 ,且取得用户明示同意 。

　　9.3.4. 10 移动端应用程序(APP)应仅声明和申请实现 APP服务 目 的最小范围的系统权限 ,不应申请与 APP业务功能无关的系统权限 。

　　10 安全扩展要求

　　10. 1 云计算平台安全技术要求

　　10. 1. 1 云计算平台应按不同功能及风险防护要求对基础资源进行区域划分和部署 ,分别为生产网 、管理网 、外部服务网等网络安全区域设置对应的资源池和安全机制 ,并应根据业务特点对不同安全区域采取对应的安全防护措施进行保护 。

　　10. 1.2 云计算平台应具备开放接口或开放性安全服务 ,保障云基础设施及云上应用安全 。

　　10. 1.3 云计算平台应提供异地实时数据备份功能 ,应利用通信网络将重要数据实时传送至备用场地 。

　　10. 1.4 云计算平台中的重要数据宜通过链路加密技术进行保密性防护 。

　　10. 1.5 云计算平台应采用密码技术保证通信过程中数据的完整性和保密性 。

　　10. 1.6 承载 2个及以上信息系统的云计算平台应单独定级和进行安全测评 。

　　10.2 大数据平台安全技术要求

　　10.2. 1 大数据平台不应承载高于其自身安全保护等级的大数据应用 。

　　10.2.2 大数据平台中管理流量应与系统业务流量分离 。

　　10.2.3 大数据平台应对数据采集终端 、数据导入服务组件 、数据导出终端 、数据导出服务组件的使用者实施身份鉴别 。

　　10.2.4 大数据平台应建立过期存储数据及该数据的备份数据彻底删除机制 ,应能验证数据已被完全消除且其无法恢复 ,删除后应告知数据控制者和大数据处理者 。

　　10.3 物联网安全技术要求

　　10.3. 1 物联网应确保全链路安全 ,从设备到服务器以及设备之间的所有数据均应加密传输 ,数据在传输过程中不应被窃取或篡改 。

　　10.3.2 宜设置物联网设备安全管理平台 。

　　10.3.3 若设置物联网设备安全管理平台 ,物联网设备安全管理平台应收集并监控物联网关键设备的重要运行数据 ,应对关键设备的安全运行状态进行分析和监控 。

　　10.3.4 物联网设备安全管理平台应具备安全事件监测和定位能力 。

　　11

　　GB/T 46739—2025

　　10.3.5 在物联网设备运维过程中 ,应禁止第三方直接接入物联网 。

　　10.4 公共区域电子屏控制系统安全技术要求

　　10.4. 1 网络版公共区域电子屏控制系统 、电子屏不应部署于互联网边界处 ;若确因业务需要通过互联网进行信息发布的 ,应通过加密通信 、网页防篡改 、入侵检测等技术措施加强互联网边界的安全防护 。

　　10.4.2 非网络版公共区域电子屏控制系统应通过信息发布终端或移动介质直连导入发布信息 ,信息发布终端应放置于内部受控的环境中 ,应安排专人值守或采取远程监控等措施 ,不应与互联网相连 。

　　10.4.3 公共区域电子屏控制系统应具备对显示在公众面前的信息内容(包括文字 、图像 、视频等) 采取自动审核的功能 ,应防止发布非授权内容 。

　　10.4.4 公共区域电子屏控制系统应提供应急处置功能 ,包括但不限于一键关屏 、紧急断电等 。

　　10.5 车载系统安全技术要求

　　10.5. 1 支持车地通信的网络设备和安全产品应部署在乘客不易接触的位置 ,采用防盗窃和防破坏措施 ,并具备防水 、防尘和抗震能力 。

　　10.5.2 车地通信网络应采用冗余架构方案 。

　　10.5.3 车地通信中的车辆运行控制指令 、乘客乘车服务信息或车辆设备状态信息等 ,应通过专用网络或特定频道进行传输 。

　　10.5.4 应采用校验技术或密码技术对车辆运行控制指令信息 、乘客乘车服务信息 、车辆设备状态信息等重要数据进行传输完整性和保密性保护 。

　　10.5.5 车载列车控制与监视系统 、乘客信息系统 、车载信号系统与车地通信网络之间应采取网络隔离等安全隔离措施 。

　　10.5.6 车地网络边界应采取技术措施检测网络入侵事件 , 当监测到攻击并触发报警时 ,宜通过列车控制与监视系统或设备故障预测与健康管理(PHM)系统进行报警 。

　　10.5.7 当地面系统对车辆进行远程访问或运维时 ,应进行身份鉴别 ,并应采用数据加密等技术保护通信过程中的重要数据(如用户账号 、口令 、定位 、音频 、视频等)的完整性和保密性 。

　　11 安全管理要求

　　11. 1 基本级系统要求

　　11. 1. 1 运营单位应重命名或删除默认账户 ,应修改默认账户的默认口令 。

　　11. 1.2 运营单位应定期开展安全检查 ,应采用自建验证平台 、委托具备资质的第三方检测服务机构或在投保网络安全保险后由保险公司认可的第三方评估服务机构进行测评和风险监测 。

　　11. 1.3 安全检查内容应包括系统 日常运行 、系统漏洞和数据备份 、现有安全技术措施的有效性验证 、安全配置与安全策略的一致性 、安全管理制度的执行情况等 。

　　11. 1.4 对安全漏洞进行的修补加固应在经过验证后上线 。

　　11. 1.5 实施安全检查应制定网络安全检查项及方案 、汇总安全检查数据 、形成网络安全检查报告 ; 针对安全检查发现的问题应采取相应措施并积极落实或建立保险机制提高网络安全风险应对能力 。

　　11. 1.6 运营单位应要求城市轨道交通网络信息系统供应商承诺不非法获取用户数据 、控制和操纵用户系统和设备 ,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代 。

　　11. 1.7 运营单位应建立和维护合格供应商目录 。应选择有保障的供应商 , 防范出现因政治 、外交 、贸易等非技术因素导致产品和服务供应中断的风险 ;应在能提供相同产品的多个不同供应商中做选择 ,保

　　12

　　GB/T 46739—2025

　　障采购渠道的稳定性和多样性 。

　　11.2 增强级系统要求

　　11.2. 1 在城市轨道交通运营期间安全管理中心机房应由专人值守 。

　　11.2.2 应用系统应及时升级到最新版本 ,在软件升级前应进行必要的验证 ; 当远程升级时 ,应在具有系统安全保障的条件下进行 ,应记录升级过程的相关信息 。

　　11.2.3 运营单位应建立全面的物联网管理终端备份和灾难恢复机制 。 当物联网管理终端出现故障或失效时 ,应确保在 2 h 内将其恢复到正常工作状态 ;恢复工作应在应急状态下安全 、可追踪地进行 ,确保工作的有序性和恢复的完整性 。

　　11.2.4 运营单位应定期开展安全检查 ,检查内容应包括现有安全技术措施的有效性验证 、安全配置与安全策略的一致性安全管理制度的执行情况等 ,检查周期应不大于 180 d。

　　11.2.5 对于城市轨道交通网络信息系统供应商 ,应明确责任边界 。对由于供应商的过错或过失导致的安全事件以及由此导致的经济损失应承担赔偿责任 。在采购城市轨道交通网络信息系统过程中 ,应对供应商的偿付能力进行校验 ,并要求供应商对保证偿付能力在合作期间持续有效做出承诺 。

　　13

　　GB/T 46739—2025

　　附 录 A

　　(资料性)

　　网络安全区域划分

　　A. 1 城市轨道交通总体架构见图 A. 1。

　　图 A. 1 城市轨道交通总体网络架构图

　　A.2 城市轨道交通网络信息系统分层部署见图 A. 2。

　　图 A.2 城市轨道交通系统层级图

　　14

　　GB/T 46739—2025

　　A.3 网络安全域划分示意见图 A. 3。各安全区及其子域内部可根据实际情况进行网段划分 ,并设置访

　　问控制 、安全审计 、恶意代码防护 、安全集中管控等安全控制措施 。

　　图 A.3 安全分区分域图

　　15

　　GB/T 46739—2025

　　附 录 B

　　(资料性)

　　信息系统分类分级

　　B. 1 安全原则分级

　　依据 GB/T 22240和《生产安全事故报告和调查处理条例》,根据系统在受到破坏后所造成的影响程度制定分级原则 ,见表 B. 1。依据分级原则确定等级的业务系统 ,参照附录 A统一规划部署于指定安全域内 。

　　表 B. 1 安全保护等级分级原则表

　　安全保护等级

　　影响对象

　　影响程度

　　一级

　　公民

　　涉及企业内部员工个人信息

　　一级

　　公民

　　影响公众获取企业下属机构发布的公开信息资源

　　一级

　　企业

　　导致企业及内部机构管理业务能力下降

　　一级

　　企业

　　直接经济损失金额 1 000万以下

　　二级

　　公民

　　涉及公众个人信息

　　二级

　　公民

　　影响乘客进出站 、上下车 、购票等

　　二级

　　公民

　　影响公众获取企业发布的公开信息资源

　　二级

　　企业

　　影响企业业务决策

　　二级

　　企业

　　导致行车运营业务能力下降

　　二级

　　企业

　　导致企业声誉受损

　　二级

　　企业

　　直接损失金额1000万(含)以上 ,5 000万以下

　　二级

　　社会秩序

　　影响 10万人以下市民出行

　　二级

　　社会秩序

　　导致 5人(含)以下死亡或 50人(含)以下重伤

　　二级

　　社会秩序

　　造成社会不良影响

　　三级

　　企业

　　直接损失金额5000万(含)以上

　　三级

　　社会秩序

　　影响 10万人(含)以上市民出行

　　三级

　　社会秩序

　　导致 5人以上死亡或 50人以上重伤

　　三级

　　社会秩序

　　造成超过 100万人个人信息泄露

　　三级

　　社会秩序

　　造成严重的社会不良影响

　　注 : 当系统同时符合多个条件时 ,依据就高原则确定级别 。

　　B.2 信息系统分类分级

　　城市轨道交通基本信息系统安全分级见表 B. 2。

　　16

　　GB/T 46739—2025

　　表 B.2 信息系统分类分级及安全定级参考

　　分类

　　系统名称

　　最低定级

　　生产系统

　　信号系统

　　三级

　　电力监控系统

　　三级

　　综合监控系统(不含电力监控系统)

　　二级

　　乘客信息系统

　　二级

　　视频监控系统

　　二级

　　安防集成平台

　　二级

　　票务清分系统

　　二级

　　管理系统

　　运营管理生产平台

　　二级

　　设施设备维修保障管理平台

　　二级

　　外部服务系统

　　互联网票务平台

　　二级

　　轨道交通门户网站

　　二级

　　注 1: 根据信息系统实际情况 ,未在表中列明的已有系统 ,在综合主管单位和行业要求的基础上充分评估建设投资和后期运营成本后合理定级 。

　　注 2: 自动售检票系统中 ,各车站的自动进出站 检 票 机 等 设 备 和 系 统 参 照 工 业 控 制 系 统 终 端 和 网 络 的 安 全 要 求加强防护措施 。

　　17

　　GB/T 46739—2025

　　参 考 文 献

　　[1] GB/T 25066—2020 信息安全技术 信息安全产品类别与代码

　　[2] GB/T 35273—2020 信息安全技术 个人信息安全规范

　　[3] 生产安全事故报告和调查处理条例

　　18