遵循標準

《工業控制系統信息安全防護指南》（工信軟函〔2016〕338號）

《GB/T 22239-2008 信息系統安全等級保護基本要求》

解決方案

對關鍵主機和服務器進行安全防護和移動存儲介質管理，阻止各類已知或未知惡意軟件的感染、運行和擴散，保障信號系統的運行安全和數據安全；

對信號系統與對外接口的網絡邊界進行安全隔離防護，阻止任何來自信號系統外的非授權訪問，有效抑制病毒、木馬在信號系統網絡中的傳播和擴散，保障列車運行安全；

采取監測審計措施，實時發現并記錄針對信號系統的攻擊和破壞行為，為工業控制網絡安全事件調查提供依據；

結合信號系統業務特點，對各級維護人員的操作行為進行管控，保證每個維護人員的身份及操作指令的合法性；

對信號系統網絡中的安全設備和主機進行集中安全管理，同時對各類安全日志進行匯總分析。

典型部署

在關鍵主機和服務器上部署工控安全衛士和安全U盤，采用“白名單”技術阻止未授權程序運行，保障信號系統的運行安全和數據安全，同時利用安全U盤保證主機間數據交換安全。

在信號系統與對外接口之間部署工控防火墻，阻斷一切非法訪問，僅允許可信的流量進出信號系統。

在各級交換系統內旁路部署三中網安智能監測審計管理平臺，對各級交換系統間的通信流量進行深度分析，利用流量中的元素（時間、IP、協議、指令）來判斷各級操作的合法性。

在控制中心和車輛段網絡旁路部署工控堡壘機，通過嚴格的權限控制和操作行為審計，加強對信號系統維護人員的行為管理，從而達到消隱患、避風險的目的。

在控制中心、車輛段部署三中網安統一管理平臺，對工控安全衛士、監測審計平臺、工控防火墻進行集中管理，并根據實際需求輸出不同類型、不同維度的分析報告。