交通運輸行業(yè)標準

交通運輸行業(yè)信息系統(tǒng)安全等級保護基

本要求

（征求意見稿）

編制說明

標準起草組

2020年9月

一.工作簡況

(一)任務來源

交通運輸行業(yè)標準《交通運輸行業(yè)信息系統(tǒng)安全等級保護基本要求》（以

下簡稱“基本要求”）依據(jù)《交通運輸部關(guān)于下達2015年交通運輸標準化計

劃的通知》（交科技發(fā)〔2015〕114號）編制，計劃編號為JT2015-77。標準

于2016年完成了編制工作，并按計劃履行了報批手續(xù)。由于對應的國家標準

GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要》于2019年修訂

后發(fā)布實施并替代原有版本，為保持與國家標準的協(xié)調(diào)一致性，本標準于

2020年進行重新修改。

本標準由交通運輸信息通信及導航標委會提出并歸口，由中國交通通信

信息中心負責起草。

(二)標準制定的背景及意義

交通運輸業(yè)是整個國民經(jīng)濟中最為龐大和重要的基礎(chǔ)產(chǎn)業(yè)，交通運輸業(yè)

重要的信息系統(tǒng)關(guān)系到國計民生，是國家網(wǎng)絡(luò)安全重點保護對象，是實施網(wǎng)

絡(luò)安全等級保護的重點行業(yè)之一，但是交通運輸業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)相對薄弱，

網(wǎng)絡(luò)安全問題日益嚴峻。一方面是由于支撐產(chǎn)業(yè)發(fā)展的信息系統(tǒng)具有點多、

線長、面廣和責任主體多樣的特點，造成交通運輸業(yè)網(wǎng)絡(luò)安全主管部門無法

進行統(tǒng)一的精細化管理和要求；另一方面由于信息系統(tǒng)在網(wǎng)絡(luò)安全設(shè)計、建

設(shè)和運維等階段的支撐人員能力參差不齊，大部分人員缺乏網(wǎng)絡(luò)安全的從業(yè)

經(jīng)驗和技術(shù)能力，無法充分理解和運用國標中語言非常簡練的條文。另外，

國標高風險要求項不夠明確，部分高風險條目沒有著重體現(xiàn)。

為加強對行業(yè)網(wǎng)絡(luò)安全工作的管理和指導，有效推進網(wǎng)絡(luò)安全工作在交

通運輸業(yè)落地執(zhí)行，需出臺交通運輸業(yè)網(wǎng)絡(luò)安全行業(yè)標準，界定要求指標涉

及的對象范圍，補充和細化要求指標的具體內(nèi)容、明確要求指標的具體保護

措施、重點突出高風險要求指標項，使標準更加明確可操作，更符合交通運

輸業(yè)從業(yè)人員的使用的要求。

行業(yè)標準規(guī)定了交通運輸行業(yè)一至三級安全保護等級信息系統(tǒng)的基本保

1

護要求，包括安全通用要求、云計算擴展要求、移動互聯(lián)網(wǎng)擴展要求、物聯(lián)

網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求和大數(shù)據(jù)安全擴展要求，在現(xiàn)

有國家標準的基礎(chǔ)框架上，細化和補充要求指標，增加部分交通運輸業(yè)需求

的指標項。為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性和可行性的指導

和服務，有利于進一步提升交通運輸行業(yè)信息安全的保障能力和防護水平。

(三)主要工作過程

標準起草組在2013年成立，在GB/T22239-2008《信息安全技術(shù)信息

系統(tǒng)安全等級保護基本要求》的基礎(chǔ)上開始調(diào)研，收集各種材料，開展行標

的編寫工作，到2016年10月形成標準的報批稿。但由于國標的修訂，為使

行標與國標的要求一致，行標編寫發(fā)布工作擱置。在2019年5月GB/T

22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》發(fā)布后，標準起草

組又重新開始標準研究與制定工作。根據(jù)國標的內(nèi)容對行業(yè)標準與相關(guān)標準

的關(guān)系、標準內(nèi)容等進行了反復的研究修改，在原有的研究基礎(chǔ)上，又綜合

深信服科技股份有限公司、北京地鐵科技發(fā)展有限公司信息安全測評中心、

天津港信息技術(shù)發(fā)展有限公司等單位的意見，并聘請了專家進行修改指正，

邀請來自公安部等級保護評估中心、國家工業(yè)信息安全發(fā)展研究中心、中國

人民銀行科技司和海關(guān)總署信息中心等單位的4位專家，對征求意見稿進行

討論研究，并根據(jù)專家意見進行修改，2020年9月形成標準的征求意見稿。

詳細的編制過程如下：

1.準備和計劃階段

2014年1月～2017年4月，標準起草組開展第一版行標的調(diào)研、編寫與

申報工作，履行標準報批程序，但由于國標的修改，為使行標與國標保持一

致，標準研制工作擱置。

2020年3月～2020年4月，標準起草組完成新一輪標準的準備階段工作：

2020年3月，成立新的標準起草組，確定了標準起草組成員，確定了調(diào)

研范圍及資料收集渠道；

2020年3月～2020年4月，對交通運輸行業(yè)信息系統(tǒng)安全等級保護基本

要求進行資料收集，對之前的研究工作回顧，發(fā)展現(xiàn)狀調(diào)研，集中匯總，并

2

進行分析和研究修改內(nèi)容，論證行業(yè)標準編制的必要性；

2020年4月，對交通運輸行業(yè)信息系統(tǒng)安全等級保護工作開展需求分析，

與科技司信息化處書面匯報和溝通后，確定對標準繼續(xù)修改完善；起草組開

始對交通運輸行業(yè)信息系統(tǒng)安全等級保護基本要素和要求進行分析,編寫了

標準編制進度計劃。

2.起草階段

2020年4月～2020年9月，標準起草組完成標準的征求意見稿階段工作：

2020年4月，起草組編制完成標準草案；

2020年5月～2020年7月，對標準草案進行內(nèi)部會議審核，多次修改，

形成了《交通運輸行業(yè)信息系統(tǒng)安全等級保護基本要求》征求意見稿；

2020年8月，完成征求意見稿初稿專家咨詢會，并根據(jù)專家意見對行業(yè)

標準相關(guān)要求進行逐條的對照和編寫，并標明國標引用部分和根據(jù)行業(yè)需求

細化的部分，以此形成征求意見稿，并提交至信息通導標委會。

2020年9月，信息通導標委會對引用國家標準及如何體現(xiàn)行業(yè)特色召開

討論會，形成了修改意見。起草組又根據(jù)這些修改意見對標準文本進行逐條

修改，據(jù)此形成了征求意見稿。

(四)協(xié)作單位

標準編寫的協(xié)作單位有深信服科技股份有限公司、北京地鐵科技發(fā)展有

限公司、天津港集團有限公司。

(五)標準起草人員及其工作內(nèi)容

本標準的主要起草人有：杜漸、戴明、鄒然、邢宏偉、李劍、劉宇暢、

趙國全、于俊杰、劉艷、邢廣博、李飛、伊瑋瓏、樂謙、周金嶺、嚴磊、劉

曉罡、李巖、班斕。任務分工見表1。

表1起草人員任務分工

序號姓名主要工作

1杜漸標準編寫的總負責人，對標準編寫的整體思路、方法提出要求，

組建標準起草組，組織內(nèi)部及外部專家對征求意見稿進行討論研

3

表1起草人員任務分工（續(xù)）

序號姓名主要工作

究評審，理清標準的編寫方向和整體思路，解決標準編寫過程中

遇到的問題。負責編寫第二級至第三級安全通用要求和擴展要

1杜漸

求，對標準中全部的文本內(nèi)容條款進行逐條的討論、研究、修改、

補充和完善，形成最終的標準征求意見稿文本。

標準編寫工作總牽頭人，負責交通運輸信息安全中心內(nèi)部人員的

技術(shù)支持和資源調(diào)度。負責編寫第一級至第三級通用要求標準編

2戴明

寫，對標準中全部的文本內(nèi)容條款進行逐條的討論、研究、修改、

補充和完善，形成最終的標準征求意見稿文本。

標準編寫的組織者和合稿人，組織標準起草組按照要求開展標準

內(nèi)容編寫工作，并將各部分提交的內(nèi)容進行合并和修改，根據(jù)專

3鄒然家意見修改標準，形成征求意見稿。負責編寫第一級至第三級擴

展要求標準編寫，對標準中全部的文本內(nèi)容條款進行逐條的討

論、研究、修改、補充和完善，形成最終的標準征求意見稿文本。

4邢宏偉標準前言、引言、術(shù)語等部分的編寫和修訂。

負責編寫第一級至第三級安全通用要求中安全通信網(wǎng)絡(luò)、安全區(qū)

5李劍

域邊界、安全計算環(huán)境、安全管理中心。

標準前言、引言、術(shù)語等部分的編寫和修訂；標準草案全文的合

6劉宇暢稿與修訂；與通導標委會聯(lián)絡(luò)，溝通對標準的各項要求，組織內(nèi)

部外部專家評審會并整理記錄專家意見。

7趙國全負責工業(yè)控制系統(tǒng)安全擴展要求的編寫。

編寫第一級至第三級安全通用要求中，安全通信網(wǎng)絡(luò)、安全區(qū)域

8于俊杰

邊界、安全計算環(huán)境（部分）、安全管理中心（部分）。

編寫第一級至第三級安全通用要求中安全通信網(wǎng)絡(luò)（部分），收

9劉艷

集相關(guān)參考資料、文字校對。

4

表1起草人員任務分工（續(xù)）

序號姓名主要工作

編寫第一級至第三級安全通用要求中，安全計算環(huán)境（部分），

10邢廣博

云計算安全擴展要求。

編寫第一級至第三級安全通用要求中安全區(qū)域邊界（部分），收

11李飛

集相關(guān)參考資料、文字校對。

云計算安全擴展要求、大數(shù)據(jù)安全擴展要求、工業(yè)控制系統(tǒng)安全

12伊瑋瓏

擴展要求的編寫。合稿、文字校對、收集相關(guān)參考資料等。

云計算安全擴展要求、大數(shù)據(jù)安全擴展要求、工業(yè)控制系統(tǒng)安全

10樂謙

擴展要求的編寫。文字校對、修訂。

編寫第一級至第三級安全通用要求中安全計算環(huán)境（部分）、安

11周金嶺

全管理中心（部分）。

負責工業(yè)控制系統(tǒng)安全擴展要求的編寫，安全物理環(huán)境、安全管

12嚴磊

理中心（部分）、大數(shù)據(jù)安全擴展要求。

負責工業(yè)控制系統(tǒng)安全擴展要求的編寫，負責編寫第一級至第三

13劉曉罡

級安全通用要求中

云計算安全擴展要求、大數(shù)據(jù)安全擴展要求、工業(yè)控制系統(tǒng)安全

14李巖

擴展要求的編寫。文字校對、修訂。

15班斕云計算安全擴展要求的編寫。文字校對、修訂。

二.標準編制原則和確定標準主要內(nèi)容的論據(jù)

(一)標準編制原則

標準編制原則如下：

1.協(xié)調(diào)一致性原則

本標準作為一個安全類技術(shù)標準，嚴格遵循國家現(xiàn)有政策和標準要求，

引用了GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》，GB50174-2017

5

《數(shù)據(jù)中心設(shè)計規(guī)范》，GB/T5271.8《信息技術(shù)詞匯第8部分：安全》，GB/T

22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》和《網(wǎng)絡(luò)安全等級

保護測評高風險判定指引（2019定稿）》等國家標準和要求，符合國家和交

通運輸行業(yè)有關(guān)法律法規(guī)和已經(jīng)制定的標準規(guī)范的相關(guān)要求。

本標準在編制過程中嚴格遵循與相關(guān)標準協(xié)調(diào)一致的原則，同時充分考

慮與行業(yè)其他信息安全標準相關(guān)規(guī)范的技術(shù)及業(yè)務的連續(xù)性和協(xié)調(diào)性等問

題。本標準確定的技術(shù)內(nèi)容優(yōu)先引用或參考部分現(xiàn)行有效的國家標準、行業(yè)

標準；在無國家標準、行業(yè)標準和國際標準參考的情況，根據(jù)實際安全技術(shù)

應用和最佳安全實踐帶來的經(jīng)驗，進行歸納總結(jié)予以明確，并在驗證分析后

作為標準內(nèi)容。

2.適用性原則

標準的編制考慮了交通運輸行業(yè)重要業(yè)務系統(tǒng)橫縱向分布、行業(yè)管理條

塊結(jié)合的特征，結(jié)合行業(yè)實際情況并借鑒類似行業(yè)網(wǎng)絡(luò)安全等級保護工作的

經(jīng)驗，增強了標準的可操作性和適用性。

本標準的制定以提升交通運輸行業(yè)網(wǎng)絡(luò)安全工作在設(shè)計、建設(shè)、運維等

階段的安全保障能力為目的，編寫的規(guī)范內(nèi)容滿足實際工作需要，能與實際

工作相結(jié)合，給出的具有可操作性安全要求和措施，標準編制過程中認真分

析交通運輸行業(yè)單位及信息系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀，使得網(wǎng)絡(luò)安全技術(shù)在標準運

用中體現(xiàn)出實用性。

3.先進性原則

本標準在編制過程中充分考慮現(xiàn)有的技術(shù)及未來網(wǎng)絡(luò)安全技術(shù)發(fā)展趨

勢，從技術(shù)發(fā)展的前瞻性角度，綜合當前與未來需求、技術(shù)標準等要素，在

標準中的總則和安全技術(shù)措施等方面對技術(shù)的先進性予以體現(xiàn)。

(二)確定標準主要內(nèi)容的依據(jù)

1.適用范圍

本標準規(guī)定了交通運輸行業(yè)不同安全保護等級信息系統(tǒng)的基本保護要

求，包括基本技術(shù)要求和基本管理要求。適用于指導交通運輸行業(yè)信息系統(tǒng)

6

安全等級建設(shè)和監(jiān)督管理。

2.引用和參考依據(jù)

本標準主要引用和參考了以下內(nèi)容：

GB17859計算機信息系統(tǒng)安全保護等級劃分準則

GB/T5271.8信息技術(shù)詞匯第8部分：安全

GB50174-2017數(shù)據(jù)中心設(shè)計規(guī)范

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T20839智能運輸系統(tǒng)通用術(shù)語

JT/T904交通運輸行業(yè)信息系統(tǒng)安全等級保護定級指南

網(wǎng)絡(luò)安全等級保護測評高風險判定指引（2019定稿）

3.術(shù)語和定義

GB/T5271.8GB17859、GB/T22239、GB/T20839和JT/T904界定的術(shù)

語和定義適用于本標準。

客體：出自GB17859—1999，定義中3.3未經(jīng)過修改。

主體：出自GB17859—1999，定義中3.4未經(jīng)過修改。

網(wǎng)絡(luò)安全：出自GB/T22239—2019，定義中3.1未經(jīng)過修改。

安全策略：出自GB17859—1999，定義中3.6未經(jīng)過修改。

系統(tǒng)服務：出自GB/T22240—2008，定義中3.4未經(jīng)過修改。

安全保護能力：出自GB/T22239—2019，定義中3.2未經(jīng)過修改。

云計算：出自GB/T31167—2014，定義中3.1未經(jīng)過修改。

云服務商：出自GB/T31167—2014，定義中3.3未經(jīng)過修改。

云服務客戶：出自GB/T31167—2014，定義中3.4未經(jīng)過修改。

云計算平臺/系統(tǒng)：出自GB/T22239—2019，定義中3.6未經(jīng)過修改。

移動互聯(lián)：出自GB/T22239—2019，定義中3.9未經(jīng)過修改。

交通運輸行業(yè)信息系統(tǒng)：出自JT/T904—2014，定義中3.6未經(jīng)過修改。

業(yè)務服務類信息系統(tǒng)、運行控制類信息系統(tǒng)、基礎(chǔ)支撐類信息系統(tǒng)、防

7

護類網(wǎng)絡(luò)安全設(shè)施、管理審計類網(wǎng)絡(luò)安全設(shè)施、網(wǎng)絡(luò)設(shè)備均為本文件自定義。

4.基本要求

本標準依據(jù)GB17859規(guī)定的計算機信息系統(tǒng)安全保護能力的五個等級，

將基本要求分指標分為第一級安全要求、第二級安全要求、第三級安全要求、

第四級安全要求和第五級安全要求。標準起草組根據(jù)調(diào)研以及對其他國標及

行標的調(diào)研

在一級要求當中，由于國標規(guī)定的安全要求較低，交通運輸行業(yè)特征不

明顯，故未在其中添加明顯的行業(yè)性特征。由于國標在安全物理環(huán)境、安全

區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計算環(huán)境和安全管理等部分規(guī)定較為模糊，

沒有明確規(guī)定諸如具體范圍、實施周期和相關(guān)安全措施常用信息等內(nèi)容，本

文件依據(jù)交通運輸行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)和管理的調(diào)研和實踐，根據(jù)

《網(wǎng)絡(luò)安全等級保護測評高風險判定指引（2019定稿）》等標準進行了細化

要求。

在二級要求中，由于國標在安全物理環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)

絡(luò)、安全計算環(huán)境、安全管理、云計算安全擴展要求、工業(yè)控制系統(tǒng)安全擴

展要求和大數(shù)據(jù)安全擴展要求等部分規(guī)定較為模糊，沒有明確規(guī)定諸如具體

范圍、實施周期和相關(guān)安全措施常用信息等內(nèi)容，本文件依據(jù)交通運輸行業(yè)

信息系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)和管理的調(diào)研和實踐，根據(jù)《網(wǎng)絡(luò)安全等級保護測

評高風險判定指引（2019定稿）》和GB50174-2017等標準進行了細化要求。

比如國標當中未針對安全物理環(huán)境的物理環(huán)境位置、防盜竊和防破壞、防火、

溫濕度控制等指標提出量化、可供參考的指標，本文件參考GB50174-2017

的要求對其進行了細化；在入侵防范部分未根據(jù)不同類型的信息系統(tǒng)進行分

類并給出具體防范措施，，本文件結(jié)合交通運輸行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)

的調(diào)研和實踐，對其常見入侵防范內(nèi)容及手段根據(jù)交通行業(yè)信息系統(tǒng)的特點

進行分類描述，并補充完善具體防范措施。在安全計算環(huán)境部分未根據(jù)不同

類型的主體給出適配的指標，本文件結(jié)合防護類網(wǎng)絡(luò)安全設(shè)施、管理審計類

網(wǎng)絡(luò)安全設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫、中間件和應用系統(tǒng)網(wǎng)絡(luò)安全測評實踐，

進行歸類、劃定相關(guān)指標項并細化部分指標。

8

第三級安全要求是在第二級安全要求的基礎(chǔ)上依據(jù)交通運輸行業(yè)信息系

統(tǒng)網(wǎng)絡(luò)安全的技術(shù)和管理的調(diào)研和實踐，根據(jù)《網(wǎng)絡(luò)安全等級保護測評高風

險判定指引（2019定稿）和GB50174-2017等標準，對部分指標進行了強化，

增加了安全要求指標內(nèi)容，縮短了實施周期。比如網(wǎng)絡(luò)設(shè)備的入侵檢測項，

三級系統(tǒng)在二級系統(tǒng)的基礎(chǔ)上增加了“應采用密碼技術(shù)對網(wǎng)絡(luò)設(shè)備配置的動

態(tài)路由信息進行身份驗證，宜采用單向散列函數(shù)、消息認證碼MAC等密碼算

法實現(xiàn)完整性；”的要求，并且將檢驗設(shè)備的軟件版本及補丁等信息的周期由

二級的3個月改為2個月。

由于交通運輸行業(yè)不存在第四級、第五級信息系統(tǒng)，故本文件對第四級、

第五級信息系統(tǒng)的等級保護不做要求。若有相關(guān)系統(tǒng)，可參照GB/T

22239-2019中的相關(guān)要求。

本標準涉及的等級保護對象是指由計算機或者其他信息終端及相關(guān)設(shè)備

組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的

系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺／系統(tǒng)、大數(shù)據(jù)應用／平臺／資

源、物聯(lián)網(wǎng)(IoT)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)等方面，所以在行業(yè)標

準中每一等級的安全指標根據(jù)對象的特點，在通用安全要求的基礎(chǔ)上，提出

云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)

控制系統(tǒng)安全擴展要求和大數(shù)據(jù)安全擴展要求等五類安全擴展要求,延展了

本標準的適用范圍，契合新型基礎(chǔ)設(shè)施建設(shè)安全保障要求。

三.主要試驗的分析綜述報告、技術(shù)經(jīng)濟論證或預期的經(jīng)濟效果

隨著我國信息化的不斷發(fā)展，信息基礎(chǔ)設(shè)施升級，交通運輸行業(yè)信息化

呈現(xiàn)加速發(fā)展的態(tài)勢，交通運輸業(yè)務運行也越來越依賴于信息化，但是網(wǎng)絡(luò)

安全并沒有完全跟上信息化發(fā)展的腳步，在規(guī)劃、設(shè)計、建設(shè)、驗收和運維

等重要階段，缺少網(wǎng)絡(luò)安全的相關(guān)要求和措施，造成網(wǎng)絡(luò)安全問題日益嚴重，

部分信息系統(tǒng)由于無法達到安全要求，而被迫下線重新開發(fā)，部分單位雖購

買了網(wǎng)絡(luò)安全產(chǎn)品，但是在管理和服務方面投入不足造成安全設(shè)備的閑置和

浪費，這些問題為交通運輸行業(yè)系統(tǒng)安全運行帶來巨大的安全隱患，造成嚴

9

重的網(wǎng)絡(luò)安全事件，各單位在網(wǎng)絡(luò)安全方面有著較迫切的需求。本標準從實

用性和可操作性出發(fā)對交通運輸行業(yè)網(wǎng)絡(luò)安全的相關(guān)要求和安全措施進行了

明確、細化、補充和規(guī)范，通過標準的貫徹與推廣實施將為今后的網(wǎng)絡(luò)安全

設(shè)計、建設(shè)、驗收、運行與管理帶來積極的作用。

通過本標準的實施，在相關(guān)政策、法規(guī)及管理規(guī)定的支持下，標準內(nèi)容

得到較好的貫徹與實施，將會極大提高交通運輸行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全保

障能力和管理水平。因此，交通運輸行業(yè)網(wǎng)絡(luò)安全標準化工作的社會與經(jīng)濟

效益將主要體現(xiàn)在以下幾個方面：

第一，通過交通運輸行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全標準化的實現(xiàn)，可以有效地

支撐網(wǎng)絡(luò)安全“同步規(guī)劃、同步建設(shè)、同步使用”的要求，使交通運輸行業(yè)

信息系統(tǒng)在規(guī)劃設(shè)計階段、系統(tǒng)建設(shè)和運行維護階段均能達到行業(yè)網(wǎng)絡(luò)安全

的相關(guān)要求，在經(jīng)濟效益方面將極大的節(jié)省建設(shè)經(jīng)費，在保證實用性與先進

性的基礎(chǔ)上，增加建設(shè)的靈活性，促進現(xiàn)有資源的進一步提升利用，避免盲

目和重復建設(shè)。