自动售检票系统作为城市轨道交通不可或缺的系统，其安全运行及其重要，本方案针对城市轨道交通自动售检票系统，通过安全管理方案设计以及安全技术方案设计，提出一个基于纵深防御的分域安全防护与运维保障体系，同时基于信息安全等级保护对自动售检票系统的要求，方案在对自动售检票系统的信息安全防护现状进行分析的基础上，能够满足信息系统等级保护三级基本要求以及自动售检票系统的特殊安全需求。

自动售检票AFC系统共分为车票、车站终端设备、车站计算机系统、线路中央计算机系统、清分系统五个层次。层次结构是按照全封闭的运行方式，以计程收费模式为基础，采用非接触式IC卡为车票介质的组成原则，根据各层次设备和子系统各自的功能、管理职能和所处的位置进行划分的；针对这些层次，每个层次都会有不同的安全风险。

AFC系统安全建设方案主要按照“边界隔离、区域划分、纵深防护、业管分离”的指导思想，并根据AFC系统的自身特点和业务情况进行等保三级的建设，此次AFC系统安全的建设包括：清分中心、线路主备控制中心、车站系统、车辆段维修系统。
《国家网络安全法》将现行的网络安全等级保护制度上升为法律，要求网络运营者按照网络安全等级保护制度2.0的要求，采取相应的管理措施和技术防范等措施，履行相应的网络安全保护义务。本方案基于“一个中心三重防护”的整体解决方案思路，即“安全管理中心、安全通信网络、安全区域边界、安全计算环境”进行防护建设。

安全通信网络：
为了系统实现良好的安全保障，需要对系统网络架构进行安全设计，并且参照等级保护的要求对系统安全区域进行划分设计。区域划分后使整个网络逻辑结构清晰，同时也可以根据需求进行更细粒度的安全防护，最终实现业务系统、数据中心、流量转发之间的安全防护；依托等保2.0三级基本要求安全通信网络要求项，设置冗余的交换机、负载均衡、通信加密、国密认证等安全产品。
安全区域边界：
区域的规划充分结合AFC网络实际情况，以确保业务可靠、安全适当防护、安全合规为前提进行区域规划及防护。此区域不管从业务影响方面、还是人力及物力等资源投入方面都比较合适，快速上线，安全合规。在等保2.0相关要求中，安全区域边界设计包括边界防护、访问控制、入侵防范、恶意代码、安全审计五个部分。同时，这五个部分也是整个网络安全架构的基础，所以做好区域边界设计，是其中十分重要的一环。
依托等保2.0三级基本要求安全区域边界要求项，设置冗余的防火墙、入侵防御系统、WEB应用防护等安全产品；分别设置安全防护与安全运维管理分区域部署，实现管理与业务分离，确保运维及业务使用安全；
安全计算环境：
根据等保2.0三级基本要求安全计算环境相关要求，结合AFC计算环境要求重要性，设置主机安全防护系统等安全产品，充分满足等保2.0安全计算环境要求.
配置安全防护系统：实现主机安全全生命周期管理。通过对主机进行脆弱性检测、东西向微隔离管控、多风险检测、多层级安全响应等措施，解决主机资产管理、安全加固、东西向流量防护、威胁实时检测、应急响应、隐患主机定位等安全问题，能够帮助安全管理人员有效应对日趋严峻的主机风险态势，以满足等保三级安全计算环境要求。
安全管理中心：
安全管理中心建设非常重要，依托等保2.0三级基本要求安全管理中心建设要求，设置日志审计系统、数据库审计系统、堡垒机系统、安全管理平台等安全产品，且独立设置安全管理区，确保运维及业务使用安全。
部署日志审计对内网中的安全设备进行日志收集存储，满足等级保护中重要日志存储180天的要求。支持网络中的网络设备和安全设备发送的多种日志类型的接收和存储，支持标准Syslog日志格式，可对于第三方设备发送日志进行接收和存储。支持对海量日志信息进行多条件组合查询，采用独特的海量数据查询技术，真正实现了即查即显。
部署堡垒机设备，对网络中的网络设备、安全设备、服务器、数据库等设备进行统一集中的管控。通过部署堡垒机设备统一了访问入口、集中授权控制，实现运维操作的规范化管理；有效防止运维误操作、滥操作、越权操作，避免核心业务资产遭到破坏；细致的权限控制、完善的审计记录，满足法律法规和IT审计要求；完善责任认定：快速故障定位，提高故障处理效率，提供精准的责任鉴定和追溯能力。
日志审计、堡垒机等安全管理区设备采用管理网互联设置，设置VPN设备进行加密访问，不直接参与业务流，通过管理交换机组网进行管理流量与业务流量分流，使得管理更加私密与安全。
部署数据库审计系统，数据库审计具备良好的兼容适应性，能够满足国外、国内主流数据库品牌的审计需求，并适应数据安全法的需求进行数据审计与数据防护。
部署安全管理平台提供统一运维监控管理、策略集中管控能力满足安全集中管控需求，另对全网中的所有安全设备进行集中管理，策略下发、统一运维监控，满足等保2.0安全管理中心的需求。
安全管理制度：
山石网科一站式为业主提供信息安全管理体系的相关制度参考，并为业主达成信息安全等保要求，协助业主完善相关制度并落地。

全面等保合规：山石网科提供一站式等保建设服务，从定级备案，到整改测评，全面助力工程项目满足政策合规要求。
安全稳定、高效：从中心到车站全域安排勘察交付，确保工程质量；从设备部署论证到策略优化，确保安全防护；从组网层面高可靠，ByPass，路由逃生等多维验证，确保业务稳定。
可视化安全运维：每个项目为用户构建统一安全管理视角管理门户，降低管理难度，提高用户的工作效率，让信息安全运维可视化。