基于銀河麒麟操作系統(tǒng)的城市軌道交通信號系統(tǒng)等級保護三級建設方案，充分結(jié)合信號系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和安全現(xiàn)狀，部署基于銀河麒麟高級服務器操作系統(tǒng)V10的全國產(chǎn)化安全防護產(chǎn)品，以“白環(huán)境”縱深防御理念為核心，以等保2.0“一個中心、三重防護”為基礎，對信號系統(tǒng)進行符合國家網(wǎng)絡安全等級保護三級要求的建設。

• 芯片架構(gòu)：飛騰D2000

• 操作系統(tǒng)：銀河麒麟高級服務器操作系統(tǒng)V10、銀河麒麟桌面操作系統(tǒng)V10

• 相關產(chǎn)品：國產(chǎn)化工業(yè)防火墻、工控安全監(jiān)測與審計系統(tǒng)、入侵檢測系統(tǒng)、工控主機衛(wèi)士、日志審計與分析系統(tǒng)、安全運維管理系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、統(tǒng)一安全管理平臺等

• 采用軟硬件100%國產(chǎn)化的工控網(wǎng)絡安全產(chǎn)品，支持國密算法和可信根等技術，具有權威實驗室出具的100%國產(chǎn)化溯源鑒定報告；

• 產(chǎn)品搭載銀河麒麟高級服務器操作系統(tǒng)V10，保障性能穩(wěn)定高效，并具備極高的安全性；

• 產(chǎn)品搭載飛騰D2000芯片，從CPU層面實現(xiàn)了自底向上的本質(zhì)安全；

• 主機防護軟件(工控主機衛(wèi)士)全面兼容銀河麒麟桌面操作系統(tǒng)V10/銀河麒麟高級服務器操作系統(tǒng)V10等，構(gòu)建安全可靠主機業(yè)務環(huán)境；

• 方案與信號系統(tǒng)網(wǎng)絡特點深度耦合，以“白環(huán)境”技術理念為基礎，構(gòu)建信號系統(tǒng)全生命周期的縱深防護體系。

本方案應用于城市軌道交通信號系統(tǒng)的網(wǎng)絡安全建設，參考GB/T 22239-2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》等政策標準，采用基于“白環(huán)境”的縱深防御安全防護技術體系，結(jié)合現(xiàn)場實際問題和等保2.0”一個中心、三重防護“思想制定整體解決方案。

安全區(qū)域邊界：

將信號系統(tǒng)作為一個整體進行安全防護，在信號系統(tǒng)與其它系統(tǒng)的接口處部署國產(chǎn)化工業(yè)防火墻進行邊界隔離，對RSSP等信號專用協(xié)議進行深度識別和解析，保證只有經(jīng)過授權的流量才能進入到信號系統(tǒng)內(nèi)部；在控制中心旁路部署國產(chǎn)化入侵檢測系統(tǒng)，開啟病毒防護，入侵檢測功能，及時發(fā)現(xiàn)信號系統(tǒng)網(wǎng)絡邊界中存在的病毒傳播、網(wǎng)絡掃描、入侵攻擊等違反安全策略的行為和被攻擊的跡象，進一步提高信號系統(tǒng)邊界防護能力。

安全通信網(wǎng)絡：

在信號系統(tǒng)控制中心、車輛段、停車場和設備集中站等關鍵節(jié)點部署國產(chǎn)化工控安全監(jiān)測與審計系統(tǒng)，基于工控協(xié)議深度解析技術，實時監(jiān)測信號系統(tǒng)內(nèi)部的異常流量和行為；利用網(wǎng)絡全流量記錄和分析技術，實時審計信號系統(tǒng)內(nèi)部的網(wǎng)絡會話，提高信號系統(tǒng)網(wǎng)絡安全審計能力。

安全計算環(huán)境：

在信號系統(tǒng)內(nèi)所有服務器和工作站上部署工控主機衛(wèi)士，從身份鑒別、訪問控制、病毒防范、外設管控、日志審計等幾個方面構(gòu)建主機安全業(yè)務環(huán)境。

安全管理中心：

在控制中心部署國產(chǎn)化統(tǒng)一安全管理平臺、國產(chǎn)化安全運維管理系統(tǒng)、國產(chǎn)化日志審計與分析系統(tǒng)、國產(chǎn)化數(shù)據(jù)庫審計系統(tǒng)，建成信號系統(tǒng)線路級安全管理中心，實現(xiàn)安全運維、日志采集和審計、統(tǒng)一集中管控等。