綜合監控系統等級保護（三級）安全解決方案

● 建設目標：符合等級保護三級基本要求；
● 核心理念：工控網絡“白環境”；
● 體系架構：基于“一個中心、三重防護”的縱深防御。

● 安全區域邊界：軌道交通業務系統與外部系統接口邊界處部署工業防火墻和入侵檢測系統，通過運用“白名單+智能學習”技術，建立工業網絡通信“白環境”， 僅允許正常業務數據穿過，阻止任何來自安全區域外的非授權訪問，有效抑制病毒、木馬在工控網絡中的傳播和擴散，實現外部系統的邊界隔離和已知網絡威脅防護，保證軌道交通業務系統區域邊界安全；
● 安全通信網絡：在軌道交通業務系統網絡關鍵節點部署工控安全監控與審計系統，通過“白名單+智能學習”技術，建立安全通信模型，實時檢測網絡當中的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并告警，同時詳實記錄一切網絡通信行為，保證軌道交通業務系統通信網絡安全；
● 安全計算環境：在軌道交通業務系統中各個主機、服務器安裝工控主機衛士軟件，開啟程序白名單功能，禁止非可信任程序運行；開啟外設管控功能，對非安全移動介質禁止接入；開啟雙因子認證功能，對關鍵主機管理員進行認證；開啟安全基線及訪問控制功能，最大限度保證軌道交通業務系統主機安全；
● 安全管理中心：在控制中心劃出獨立的安全管理中心區域，部署安全管理平臺、工控漏洞掃描平臺、日志審計與分析系統、安全配置核查系統和安全運維管理系統，通過對軌道交通業務系統的安全設備進行集中管控，并對日志數據、告警數據等進行集中分析，同時對系統管理員、安全管理員、審計管理員進行身份鑒別及權限管理，實現軌道交通業務系統的管理安全。

● 安全合規：符合國家網絡安全法、等級保護2.0要求，以及軌交行業規范要求；
● 高度兼容：與軌道交通業務系統高度兼容，對業務系統“零”影響；
● 業務保障：提升軌道交通業務系統安全防護能力，抵御網絡安全風險。