为落实国家战略部署，完善轨道交通网络布局，提升城市公共交通服务水平，根据《XX市城市轨道交通第三期建设规划（2021-2026年）》，XX地铁集团以数字化，智能化，互联化等先进理念和技术建设该线路专用通信系统，提高为民服务水平和管理效率。

随着智能化的不断发展与应用，网络安全问题日益突出，该线路专用通信系统的网络安全需求是多方面的：包括等保合规、技术融合(系统互联或对接)的安全性、业务的连续性、安全意识的欠缺、安全管理制度以及统一安全管理等多方面的挑战。

该线路专用通信的建设思路主要按照“边界隔离、区域划分、纵深防护、业务分离”的原则进行建设，构建一套覆盖全面、重点突出、持续运行的纵深安全防御体系，保障关键数据、关键应用的安全，实现专用通信系统业务安全稳定的运行；具体方案如下：

边界纵深安全防御：在控制中心、车站、车辆段、停车场部署下一代防火墙，通过入侵防御和病毒过滤模块并配置精细化的策略实现细粒度的安全防护，实时检测网络中的入侵行为、病毒文件并进行阻断来解决“车站-中心”“系统-其他系统”数据互访带来的安全隐患。
重要节点监测审计：在核心交换机处旁路部署入侵检测设备，通过镜像网络流量，重点监控重要资产，对网络操作行为进行解析，分析，记录，汇报；帮助客户达到事前防范，事中监测与响应，事后追踪溯源，合规报告的安全响应体系，以保护系统的稳定运行。
终端接入安全：采用管理平台+探针的部署方式，在控制中心、车站等工作站上部署探针采集资产信息、安全信息上传至终端安全管理平台，通过管理平台实现资产盘点、病毒查杀、威胁事件研判、溯源和处置的全流程防护能力，实现该线路专用通信系统下各子系统的终端安全。
安全管理中心：根据等保2.0的建设要求，在控制中心设置一个安全管理中心区域，部署日志审计系统、漏洞扫描系统、堡垒机、数据库审计系统以及安全管理平台，满足政策法规合规，实现对乘客信息系统、视频监视系统等子系统网络设备、安全设备以及服务器资产的运维操作行为进行统一认证、监控和审计、已知或潜在风险漏洞的生命周期管理、集中的日志存储、分析和查询能力、数据库的异常操作审计和溯源以及全网安全设备的集中管理等安全能力，对整个专用通信系统进行全面安全监控。

涉及乘客信息子系统(PIS)、视频监视子系统(CCTV)等保2级建设以及专用通信系统的安全建设，在PIS、CCTV的中央级和车站级互联以及中心级和车站级区域边界旁路部署防火墙，严格执行基于业务的端口级访问控制，避免系统遭受入侵，实现用户“既要安全，又要业务连续性”的需求；在控制中心设置安全管理区，部署日志审计、数据库审计、堡垒机、漏洞扫描、安全管理平台等设备，实现统一的安全运维与管理；在中心级、车站级的终端设备安装防病毒软件，实现病毒防护、进程白名单、补丁下发等功能。
经验总结：
业务稳定是第一前提：在不影响业务连续性的情况下，达到等保合规、安全合规。
解决方案需标准先行：为实现“真安全”，解决及落地方案设计严格遵守等保2.0以及轨交行业相关标准。

主要产品组成：
控制中心：下一代防火墙、入侵防御系统、安全管理平台、数据库审计、日志审计、漏洞扫描、运维安全审计、防病毒系统。
备用控制中心：下一代防火墙、入侵防御系统。
车站/停车场/车辆段：下一代防火墙。
客户价值：
安全合规：提供一站式等保服务，全面满足合规性要求。
统一管理：安全设备统一管理，配置统一下发，安全状态统一可视。
安全可靠：防火墙通过HA、路由逃生等多种机制保障业务的连续性。