某城市X号线一期工程于2020年开工建设，线路全长23公里，共计16座车站。

城市轨道交通综合监控系统（简称ISCS）是一个高度集成的综合自动化监控系统，通过集成和互联轨道交通各弱电系统及主要机电设备，形成统一的监控层硬件平台和软件平台，从而实现对轨道交通弱电子系统、电力、机电设备的集中监控和管理功能，提高运营效率。

综合监控系统网络主要采用工业控制协议（如modus、iec104等）与轨道交通各类弱电子系统进行通信，业务繁杂且交互频繁，近年来针对工业控制网络的攻击层出不穷，综合监控系统的网络安全建设刻不容缓。根据综合监控系统的特点及现状梳理分析，发现存在如下的问题：

• 综合监控系统需要与集成子系统（例如PSCADA、FAS、BAS等）、外部系统（例如SIG、AFC、PIS等）互联，在缺乏隔离措施的情况下会对综合监控系统带来极大的威胁。
• 传统的安全设备并不能识别工业协议中的指令码，攻击者可绕过安全设备对工业设备进行攻击，无法实现对工业协议的指令码识别和控制。
• 综合监控系统投入运营后为确保稳定，一般不会对主机操作系统进行安全加固，攻击者一旦渗透到网络中很容易利用漏洞进行攻击，主机层面的安全问题难以解决。
• 管理手段缺失，带来的权限滥用和审计不全等问题，遇到安全事件无法溯源取证。
• 综合监控系统的运营人员通常主要熟悉综合监控设备及软件应用，缺乏对信息安全的防范意识，容易导致攻击事件发生。

山石网科针对城市轨道交通综合监控系统特点，结合《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）开展规划设计，通过安全管理方案设计以及安全技术方案设计，提出一个基于纵深防御的分域安全防护与运维保障体系，同时基于信息安全等级保护对综合监控系统的要求，本方案在对综合监控系统的信息安全防护现状进行分析的基础上，能够满足信息系统等级保护三级基本要求以及综合监控系统的特殊安全需求。整体设计思路如下：
安全区域边界
站段云节点为车站ISCS、CCTV、PIS、AFC、AF等系统提供云资源，各业务系统共享计算、存储、网络等资源，通过云节点下一代防火墙实现站段云内系统之间的隔离。
综合监控系统与集成子系统、外部系统互联边界采用工业防火墙进行隔离，同时对工控协议指令码进行学习，建立协议指令白名单，实现对指令级别的访问控制。
下一代防火墙和工业防火墙开启入侵防御及病毒过滤功能，实现关键节点的入侵防范和恶意代码防范。
安全通信网络
骨干网络及核心设备采用双机设备冗余、链路冗余，确保综合监控系统的网络安全稳定。在综合监控系统网络内部旁路部署威胁探针采集内部流量进行分析，发现已知和未知威胁上报到控制中心态势感知平台，保护业务核心资产，定位失陷主机及跳板主机，防止重要性、机密性、敏感性数据发生泄露。
安全计算环境
山石网科为综合监控系统工作站及服务器部署终端安全探针，实现对工作站和服务器的病毒查杀、外设管控、软件白名单等安全防护功能。
部署运维审计设备进行用户的身份鉴别及权限控制，确保计算环境的安全。
安全管理中心
安全管理中心由综合监控系统控制中心及线网云VPC内安全组件构成，安全管理中心部署日志审计、运维审计、安全管理平台等产品。
统一的安全监测能力建设：中央级安全管理中心部署态势感知平台，车站云节点交换机部署威胁探针，实现综合监控系统的网络安全全方位的监控及分析。

该工程在建设期间山石网科基于既有的综合监控项目经验对防火墙的安全策略细化到了端口级和指令级，充分发挥安全的第一道防线价值。另外，在控制中心设置了态势感知，车站/车辆段/停车场等综合监控网络内部设置探针，实现综合监控系统车站级和中央级的安全监测，解决传统的信息孤岛问题，未来综合监控系统态势感知平台将对接到线网，纳入线网级的安全态势监控。

主要产品清单：

（1）控制中心

下一代防火墙、运维审计、日志审计、数据库审计、态势感知平台、远程安全评估系统；

（2）车站/车辆段/停车场

工业防火墙、态势感知威胁探针、下一代防火墙；

方案价值：

全面等保合规：山石网科提供一站式等保建设服务，从定级备案，到整改测评，全面助力工程项目满足政策合规要求。

安全稳定、高效：从中心到车站全域安排勘察交付，确保工程质量；从设备部署论证到策略优化，确保安全防护；从组网层面高可靠，ByPass，路由逃生等多维验证，确保业务稳定。

可视化安全运维与态势监管：为用户构建统一安全管理视角管理门户，全面的安全态势感知监测，降低管理难度，提高用户的工作效率，让信息安全运维可视化。