某城市轨道交通集团有限公司是市属一级竞争类企业，全面负责轨道交通融资、建设、管理、运营和物业开发等工作。目前已经圆满完成一期建设规划三条线路开通运营，正加力提速二期建设规划六条线路建设。

某城市轨道交通云平台是智慧城轨实现数字化、云化、智能化的基石，网络安全建设更是其推进保障。云平台以虚拟化技术打破了传统的服务器及实体物理边界、专网专维的特点，将各专业各系统进行了融合上云部署，因此在业务上云前需要解决云计算安全带来的网络融合、平台融合、跨专业大数据融合等带来的安全挑战。

多云平台深度耦合：某城市轨道交通云平台混合使用了浪潮云、华为云、VMware多样复杂的云平台，山石网科云安全资源池与云平台深度耦合，实现对多个云环境的集中管理和监控，提高管理效率，降低操作成本。

自动化与编排技术：通过自动化工具和编排技术，实现资源的自动化部署和管理，提高资源整合效率。为城轨云平台运维降低人为错误和干预，提高线路专业系统上云的便捷性，在保障安全建设的同时满足业务连续性与高效运营的需求。
一体化智能安全运营中心：某城市城轨云平台以态势感知平台为智能安全大脑，集合边界防火墙、入侵防御、威胁探针、终端安全、虚拟化防火墙和容器安全等，建设成云、网、边、端的全方位安全防护，实现对整个云平台的集中管理、监控和应急响应闭环。
某城市城轨云平台遵循“系统自保，平台统保，边界防护，等保达标，安全确保”的建设原则，以等保2.0“一个中心，三重防护”的指导思想进行某城市地铁云平台网络安全建设，在云平台运维管理网中部署态势感知、漏洞扫描、运维审计、日志审计设备建设成一个安全管理中心安全管理体系，帮助运营人员对云平台中的各类安全事件进行快速识别、告警和分析，并通过可视化的形式集中展示以及联动全网设备响应处置，实现对威胁事件的快速溯源和处理。在运维管理网与生产网、管理网和专线上云区域边界部署下一代防火墙和入侵防御形成安全区域边界防护体系，对区域交互和专业上云的流量进行清洗和风险隔离。在生产网、管理网、异地数据备份室之间部署网闸，在管理网中部署零信任建成安全通信网络架构，实现跨区域网络通信的访问控制和可信验证。在专业上云使用的租户环境内部署主机安全防护、数据库审计、web应用防火墙建成安全计算环境防护体系，保障上云业务的数据完整性、可用性和保密性，为专业上云业务提供入侵防范和恶意代码防护能力。

落地方案：
在主中心生产网和管理网两套云平台内深度耦合山石云池，通过云池实现对上云的综合监控、乘客信息、安防、广播、集中告警、信号、视频监控和数据治理平台以及现网业务系统进行自动化的部署安全网元，并通过虚拟化防火墙实现各专业云内互联互通和安全隔离防护。针对云外云平台本身则使用山石网科高性能X系列防火墙实现对南北向的访问控制和流量过滤。所有线路节点的设备都采用冗余部署，满足高可靠性的要求。在管理网互联网出口侧冗余部署了负载均衡、防火墙、入侵防御、上网行为管理网设备实现对互联网侧业务的链路负载、入侵防范和病毒过滤功能。在核心区域部署一套态势感知平台并与运维管理网态势感知平台形成多级平台联动，构建自动化纵深防护体现，既满足各区域安全自主可视可控，又实现了全网风险态势总览监控以及整网威胁响应联动处置闭环。
经验总结：
城轨云平台安全建设融入了安全NVF自定义编排、大数据、智能分析、SOAR等技术。构建自动化纵深防御体系，帮助用户在满足云平台等保合规建设同时把握全局安全态势，及时掌控安全威胁，提升安全管理效率，实现“可视、可查、可控”的可持续安全运营闭环。

主要产品：
生产网：云池、防火墙、日志审计、堡垒机、主机安全、态势感知、数据库审计、漏洞扫描、容器安全、Web应用防火墙、网页防篡改、应用负载均衡、网闸。
管理网：云池、防火墙、日志审计、堡垒机、主机安全、态势感知、数据库审计、漏洞扫描、容器安全、Web应用防火墙、网页防篡改、应用负载均衡、链路负载均衡、上网行为管理、入侵防御、网闸。
运维管理网：态势感知平台、日志审计、国密堡垒机、主机安全。
异地备份中心：防火墙、主机安全。
综合测试平台：防火墙、网闸、应用负载均衡。
客户价值：
严格按照等级保护安全建设要求，确保云平台及上云的业务系统满足国家相关法律法规、国家标准、行业标准等合规要求，助力城轨云平台的建成，为轨道交通行业的技术创新和产业升级提供了有力支持。通过云平台，各业务系统可以更加便捷地引入和应用新技术、新应用和新模式，推动轨道交通系统的智能化、智慧化发展。此外，云平台还能促进不同专业之间的信息共享和合作，加速轨道交通行业的整体升级和转型。