基于银河麒麟操作系统的城市轨道交通信号系统等级保护三级建设方案，充分结合信号系统的网络结构和安全现状，部署基于银河麒麟高级服务器操作系统V10的全国产化安全防护产品，以“白环境”纵深防御理念为核心，以等保2.0“一个中心、三重防护”为基础，对信号系统进行符合国家网络安全等级保护三级要求的建设。

• 芯片架构：飞腾D2000

• 操作系统：银河麒麟高级服务器操作系统V10、银河麒麟桌面操作系统V10

• 相关产品：国产化工业防火墙、工控安全监测与审计系统、入侵检测系统、工控主机卫士、日志审计与分析系统、安全运维管理系统、数据库审计系统、统一安全管理平台等

• 采用软硬件100%国产化的工控网络安全产品，支持国密算法和可信根等技术，具有权威实验室出具的100%国产化溯源鉴定报告；

• 产品搭载银河麒麟高级服务器操作系统V10，保障性能稳定高效，并具备极高的安全性；

• 产品搭载飞腾D2000芯片，从CPU层面实现了自底向上的本质安全；

• 主机防护软件(工控主机卫士)全面兼容银河麒麟桌面操作系统V10/银河麒麟高级服务器操作系统V10等，构建安全可靠主机业务环境；

• 方案与信号系统网络特点深度耦合，以“白环境”技术理念为基础，构建信号系统全生命周期的纵深防护体系。

本方案应用于城市轨道交通信号系统的网络安全建设，参考GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等政策标准，采用基于“白环境”的纵深防御安全防护技术体系，结合现场实际问题和等保2.0”一个中心、三重防护“思想制定整体解决方案。

安全区域边界：

将信号系统作为一个整体进行安全防护，在信号系统与其它系统的接口处部署国产化工业防火墙进行边界隔离，对RSSP等信号专用协议进行深度识别和解析，保证只有经过授权的流量才能进入到信号系统内部；在控制中心旁路部署国产化入侵检测系统，开启病毒防护，入侵检测功能，及时发现信号系统网络边界中存在的病毒传播、网络扫描、入侵攻击等违反安全策略的行为和被攻击的迹象，进一步提高信号系统边界防护能力。

安全通信网络：

在信号系统控制中心、车辆段、停车场和设备集中站等关键节点部署国产化工控安全监测与审计系统，基于工控协议深度解析技术，实时监测信号系统内部的异常流量和行为；利用网络全流量记录和分析技术，实时审计信号系统内部的网络会话，提高信号系统网络安全审计能力。

安全计算环境：

在信号系统内所有服务器和工作站上部署工控主机卫士，从身份鉴别、访问控制、病毒防范、外设管控、日志审计等几个方面构建主机安全业务环境。

安全管理中心：

在控制中心部署国产化统一安全管理平台、国产化安全运维管理系统、国产化日志审计与分析系统、国产化数据库审计系统，建成信号系统线路级安全管理中心，实现安全运维、日志采集和审计、统一集中管控等。