基于銀河麒麟操作系統的城市軌道交通信號系統等級保護三級建設方案，充分結合信號系統的網絡結構和安全現狀，部署基于銀河麒麟高級服務器操作系統V10的全國產化安全防護產品，以“白環境”縱深防御理念為核心，以等保2.0“一個中心、三重防護”為基礎，對信號系統進行符合國家網絡安全等級保護三級要求的建設。

• 芯片架構：飛騰D2000

• 操作系統：銀河麒麟高級服務器操作系統V10、銀河麒麟桌面操作系統V10

• 相關產品：國產化工業防火墻、工控安全監測與審計系統、入侵檢測系統、工控主機衛士、日志審計與分析系統、安全運維管理系統、數據庫審計系統、統一安全管理平臺等

• 采用軟硬件100%國產化的工控網絡安全產品，支持國密算法和可信根等技術，具有權威實驗室出具的100%國產化溯源鑒定報告；

• 產品搭載銀河麒麟高級服務器操作系統V10，保障性能穩定高效，并具備極高的安全性；

• 產品搭載飛騰D2000芯片，從CPU層面實現了自底向上的本質安全；

• 主機防護軟件(工控主機衛士)全面兼容銀河麒麟桌面操作系統V10/銀河麒麟高級服務器操作系統V10等，構建安全可靠主機業務環境；

• 方案與信號系統網絡特點深度耦合，以“白環境”技術理念為基礎，構建信號系統全生命周期的縱深防護體系。

本方案應用于城市軌道交通信號系統的網絡安全建設，參考GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》等政策標準，采用基于“白環境”的縱深防御安全防護技術體系，結合現場實際問題和等保2.0”一個中心、三重防護“思想制定整體解決方案。

安全區域邊界：

將信號系統作為一個整體進行安全防護，在信號系統與其它系統的接口處部署國產化工業防火墻進行邊界隔離，對RSSP等信號專用協議進行深度識別和解析，保證只有經過授權的流量才能進入到信號系統內部；在控制中心旁路部署國產化入侵檢測系統，開啟病毒防護，入侵檢測功能，及時發現信號系統網絡邊界中存在的病毒傳播、網絡掃描、入侵攻擊等違反安全策略的行為和被攻擊的跡象，進一步提高信號系統邊界防護能力。

安全通信網絡：

在信號系統控制中心、車輛段、停車場和設備集中站等關鍵節點部署國產化工控安全監測與審計系統，基于工控協議深度解析技術，實時監測信號系統內部的異常流量和行為；利用網絡全流量記錄和分析技術，實時審計信號系統內部的網絡會話，提高信號系統網絡安全審計能力。

安全計算環境：

在信號系統內所有服務器和工作站上部署工控主機衛士，從身份鑒別、訪問控制、病毒防范、外設管控、日志審計等幾個方面構建主機安全業務環境。

安全管理中心：

在控制中心部署國產化統一安全管理平臺、國產化安全運維管理系統、國產化日志審計與分析系統、國產化數據庫審計系統，建成信號系統線路級安全管理中心，實現安全運維、日志采集和審計、統一集中管控等。