六方云—交通行业解决方案

综合监控信号系统 ACF系统安防集成平台 PIS系统城轨云平台安全生产网智慧港口

综合监控信号系统 ACF系统安防集成平台

PIS系统城轨云平台安全生产网智慧港口
背景概述

Background Overview

进入21世纪以来，轨道交通在优化城市空间结构、缓解城市交通拥挤、保护环境等方面均显示出积极促进作用，已日益成为中国走新型城镇化道路的重要战略举措。伴随着中国城市化进程的加快，具有用地省，运能大，输送能力强等优点的城市交通需求剧增，城市轨道交通也进入高速发展时期。但是随着城市轨道交通的高速发展，各类安全问题也日益突出，为有效预防网络安全事件的发生，应结合相应的政策法规、国家标准以及面临的实际安全风险出发，进行网络安全等级保护建设，从而保障城市轨道交通平稳、安全的运行。
解决方案

Solution
建设目标：符合网络安全等级保护三级要求；

建设原则：技术管理并重原则；

安全理念：基于“一个中心，三重防护”的主动防御理念；

城市轨道交通综合监控系统构成包括中心级ISCS和场站级ISCS，在进行网络安全等级保护建设过程中，需要整体考虑，同步建设。

安全区域边界：在综合监控系统（含中心级和场站级）与外部系统接口边界部署工业防火墙系统，合理划分安全域，制定网络安全策略，规定综合监控系统与外部之间的访问规定和策略要求，仅允许特定的数据传输，禁止所有非必要的网络通信，防止外部网络攻击，保证综合监控系统区域边界安全。

安全通信网络：在综合监控系统（含中心级和场站级）交换机处部署工业网络审计系统，采用旁路监听与智能分析技术，对系统的控制、采集请求、运维等关键行为进行审计，实时检测网络中的攻击行为并及时告警，同时留存网络攻击日志实现事件取证，保证综合监控系统通信网络安全。

安全计算环境：在综合监控系统（含中心级和场站级）的工作站及服务器上安装工业卫士软件，对服务器和工作站及其所承载的应用业务、核心数据进行防护，采用“白名单”技术手段，禁止不可信程序的运行以及非安全移动介质的接入，同时通过主机加固相关功能，最大限度保证综合监控系统主机安全。

安全管理中心：安全管理中心在控制中心部署，由安全监管平台，漏洞扫描系统、运维管理与审计系统、日志审计系统、数据库审计系统等组成，共同实现综合监控系统的管理安全。其中，安全监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一管控；漏洞扫描系统通过定期扫描的形式提升业务系统自检自查的能力；运维管理与审计系统即为堡垒机系统，实现在系统运维中的权限管理，对系统的运维操作进行审计；日志审计系统实现整个业务系统内网络设备、安全设备、业务应用等资产的日志收集分析，满足对日志的留存要求；数据库审计系统通过实时记录网络上的数据库活动，实现对数据库操作进行细粒度审计的安全管理。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求；

业务保障：提升综合监控系统网络安全防护能力，为业务系统平稳运行保驾护航。
背景概述

Background Overview

进入21世纪以来，轨道交通在优化城市空间结构、缓解城市交通拥挤、保护环境等方面均显示出积极促进作用，已日益成为中国走新型城镇化道路的重要战略举措。伴随着中国城市化进程的加快，具有用地省，运能大，输送能力强等优点的城市交通需求剧增，城市轨道交通也进入高速发展时期。但是随着城市轨道交通的高速发展，各类安全问题也日益突出，为有效预防网络安全事件的发生，应结合相应的政策法规、国家标准以及面临的实际安全风险出发，进行网络安全等级保护建设，从而保障城市轨道交通平稳、安全的运行。
解决方案

Solution
建设目标：符合网络安全等级保护三级要求；

建设原则：技术管理并重原则；

安全理念：基于“一个中心，三重防护”的主动防御理念。

城市轨道交通信号系统构成包括中心级信号系统和场站级信号系统，在进行网络安全等级保护建设过程中，需要整体考虑，同步建设。

安全区域边界：在信号系统与外部系统接口边界部署工业防火墙系统，合理划分安全域，制定网络安全策略，规定信号系统与外部之间的访问规定和策略要求，仅允许特定的数据传输，禁止所有非必要的网络通信，防止外部网络攻击，保证信号系统区域边界安全。

安全通信网络：在信号系统（含中心级和场站级）交换机处部署工业网络审计系统，采用旁路监听与智能分析技术，对系统的控制、采集请求、运维等关键行为进行审计，实时检测网络中的攻击行为并及时告警，同时留存网络攻击日志实现事件取证，保证信号系统通信网络安全。

安全计算环境：在信号系统（含中心级和场站级）的工作站及服务器上安装工业卫士软件，对服务器和工作站及其所承载的应用业务、核心数据进行防护，采用“白名单”技术手段，禁止不可信程序的运行以及非安全移动介质的接入，同时通过主机加固相关功能，最大限度保证信号系统主机安全。

安全管理中心：安全管理中心在控制中心部署，由安全监管平台，漏洞扫描系统、运维管理与审计系统、日志审计系统、数据库审计系统等组成，共同实现信号系统的管理安全。其中，安全监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一管控；漏洞扫描系统通过定期扫描的形式提升业务系统自检自查的能力；运维管理与审计系统即为堡垒机系统，实现在系统运维中的权限管理，对系统的运维操作进行审计；日志审计系统实现整个业务系统内网络设备、安全设备、业务应用等资产的日志收集分析，满足对日志的留存要求；数据库审计系统通过实时记录网络上的数据库活动，实现对数据库操作进行细粒度审计的安全管理。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求；

业务保障：提升信号系统网络安全防护能力，为业务系统平稳运行保驾护航。
背景概述

Background Overview

进入21世纪以来，轨道交通在优化城市空间结构、缓解城市交通拥挤、保护环境等方面均显示出积极促进作用，已日益成为中国走新型城镇化道路的重要战略举措。伴随着中国城市化进程的加快，具有用地省，运能大，输送能力强等优点的城市交通需求剧增，城市轨道交通也进入高速发展时期。但是随着城市轨道交通的高速发展，各类安全问题也日益突出，为有效预防网络安全事件的发生，应结合相应的政策法规、国家标准以及面临的实际安全风险出发，进行网络安全等级保护建设，从而保障城市轨道交通平稳、安全的运行。
解决方案

Solution
建设目标：符合网络安全等级保护三级要求；

建设原则：技术管理并重原则；

安全理念：基于“一个中心，三重防护”的主动防御理念。

安全区域边界：在自动售检票系统与外部系统接口边界部署工业防火墙/下一代防火墙系统，合理划分安全域，制定网络安全策略，规定自动售检票系统与外部之间的访问规定和策略要求，仅允许特定的数据传输，禁止所有非必要的网络通信，防止外部网络攻击，保证自动售检票系统区域边界安全。

安全通信网络：在自动售检票系统（含中心级和场站级）交换机处部署入侵检测/工业网络审计系统，采用旁路监听与智能分析技术，对系统的控制、采集请求、运维等关键行为进行审计，实时检测网络中的攻击行为并及时告警，同时留存网络攻击日志实现事件取证，保证自动售检票系统通信网络安全。

安全计算环境：在自动售检票系统（含中心级和场站级）的工作站及服务器上安装工业卫士软件，对服务器和工作站及其所承载的应用业务、核心数据进行防护，采用“白名单”技术手段，禁止不可信程序的运行以及非安全移动介质的接入，同时通过主机加固相关功能，最大限度保证自动售检票系统主机安全。

安全管理中心：安全管理中心在控制中心部署，由安全监管平台，漏洞扫描系统、运维管理与审计系统、日志审计系统、数据库审计系统等组成，共同实现自动售检票系统的管理安全。其中，安全监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一管控；漏洞扫描系统通过定期扫描的形式提升业务系统自检自查的能力；运维管理与审计系统即为堡垒机系统，实现在系统运维中的权限管理，对系统的运维操作进行审计；日志审计系统实现整个业务系统内网络设备、安全设备、业务应用等资产的日志收集分析，满足对日志的留存要求；数据库审计系统通过实时记录网络上的数据库活动，实现对数据库操作进行细粒度审计的安全管理。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求；

业务保障：提升自动售检票系统网络安全防护能力，为业务系统平稳运行保驾护航。
背景概述

Background Overview

进入21世纪以来，轨道交通在优化城市空间结构、缓解城市交通拥挤、保护环境等方面均显示出积极促进作用，已日益成为中国走新型城镇化道路的重要战略举措。伴随着中国城市化进程的加快，具有用地省，运能大，输送能力强等优点的城市交通需求剧增，城市轨道交通也进入高速发展时期。但是随着城市轨道交通的高速发展，各类安全问题也日益突出，为有效预防网络安全事件的发生，应结合相应的政策法规、国家标准以及面临的实际安全风险出发，进行网络安全等级保护建设，从而保障城市轨道交通平稳、安全的运行。
解决方案

Solution
建设目标：符合网络安全等级保护三级要求；

建设原则：技术管理并重原则；

安全理念：基于“一个中心，三重防护”的主动防御理念。

安全区域边界：在安防集成平台与外部系统接口边界部署工业防火墙/下一代防火墙系统，合理划分安全域，制定网络安全策略，规定安防集成平台与外部之间的访问规定和策略要求，仅允许特定的数据传输，禁止所有非必要的网络通信，防止外部网络攻击，保证安防集成平台区域边界安全。

安全通信网络：在安防集成平台（含中心级和场站级）交换机处部署入侵检测/工业网络审计系统，采用旁路监听与智能分析技术，对系统的控制、采集请求、运维等关键行为进行审计，实时检测网络中的攻击行为并及时告警，同时留存网络攻击日志实现事件取证，保证安防集成平台通信网络安全。

安全计算环境：在安防集成平台（含中心级和场站级）的工作站及服务器上安装工业卫士软件，对服务器和工作站及其所承载的应用业务、核心数据进行防护，采用“白名单”技术手段，禁止不可信程序的运行以及非安全移动介质的接入，同时通过主机加固相关功能，最大限度保证安防集成平台主机安全。

安全管理中心：安全管理中心在控制中心部署，由安全监管平台，漏洞扫描系统、运维管理与审计系统、日志审计系统、数据库审计系统等组成，共同实现安防集成平台的管理安全。其中，安全监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一管控；漏洞扫描系统通过定期扫描的形式提升业务系统自检自查的能力；运维管理与审计系统即为堡垒机系统，实现在系统运维中的权限管理，对系统的运维操作进行审计；日志审计系统实现整个业务系统内网络设备、安全设备、业务应用等资产的日志收集分析，满足对日志的留存要求；数据库审计系统通过实时记录网络上的数据库活动，实现对数据库操作进行细粒度审计的安全管理。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求；

业务保障：提升安防集成平台网络安全防护能力，为业务系统平稳运行保驾护航。
背景概述

Background Overview

进入21世纪以来，轨道交通在优化城市空间结构、缓解城市交通拥挤、保护环境等方面均显示出积极促进作用，已日益成为中国走新型城镇化道路的重要战略举措。伴随着中国城市化进程的加快，具有用地省，运能大，输送能力强等优点的城市交通需求剧增，城市轨道交通也进入高速发展时期。但是随着城市轨道交通的高速发展，各类安全问题也日益突出，为有效预防网络安全事件的发生，应结合相应的政策法规、国家标准以及面临的实际安全风险出发，进行网络安全等级保护建设，从而保障城市轨道交通平稳、安全的运行。
解决方案

Solution
建设目标：符合网络安全等级保护三级要求；

建设原则：技术管理并重原则；

安全理念：基于“一个中心，三重防护”的主动防御理念。

安全区域边界：在乘客信息系统与外部系统接口边界部署工业防火墙/下一代防火墙系统，合理划分安全域，制定网络安全策略，规定乘客信息系统与外部之间的访问规定和策略要求，仅允许特定的数据传输，禁止所有非必要的网络通信，防止外部网络攻击，保证乘客信息系统区域边界安全。

安全通信网络：在乘客信息系统（含中心级和场站级）交换机处部署入侵检测/工业网络审计系统，采用旁路监听与智能分析技术，对系统的控制、采集请求、运维等关键行为进行审计，实时检测网络中的攻击行为并及时告警，同时留存网络攻击日志实现事件取证，保证乘客信息系统通信网络安全。

安全计算环境：在乘客信息系统（含中心级和场站级）的工作站及服务器上安装工业卫士软件，对服务器和工作站及其所承载的应用业务、核心数据进行防护，采用“白名单”技术手段，禁止不可信程序的运行以及非安全移动介质的接入，同时通过主机加固相关功能，最大限度保证乘客信息系统主机安全。

安全管理中心：安全管理中心在控制中心部署，由安全监管平台，漏洞扫描系统、运维管理与审计系统、日志审计系统、数据库审计系统等组成，共同实现乘客信息系统的管理安全。其中，安全监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一管控；漏洞扫描系统通过定期扫描的形式提升业务系统自检自查的能力；运维管理与审计系统即为堡垒机系统，实现在系统运维中的权限管理，对系统的运维操作进行审计；日志审计系统实现整个业务系统内网络设备、安全设备、业务应用等资产的日志收集分析，满足对日志的留存要求；数据库审计系统通过实时记录网络上的数据库活动，实现对数据库操作进行细粒度审计的安全管理。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求；

业务保障：提升乘客信息系统网络安全防护能力，为业务系统平稳运行保驾护航。
背景概述

Background Overview

进入21世纪以来，轨道交通在优化城市空间结构、缓解城市交通拥挤、保护环境等方面均显示出积极促进作用，已日益成为中国走新型城镇化道路的重要战略举措。伴随着中国城市化进程的加快，具有用地省，运能大，输送能力强等优点的城市交通需求剧增，城市轨道交通也进入高速发展时期，同时为了资源的合理分配与利用，云平台等新技术在城市轨道交通领域的应用越加普泛化。但是随着城市轨道交通的高速发展，各类安全问题也日益突出，为有效预防网络安全事件的发生，应结合相应的政策法规、国家标准以及面临的实际安全风险出发，进行网络安全等级保护建设，从而保障城市轨道交通平稳、安全的运行。
解决方案

Solution
建设目标：云平台符合网络安全等级保护三级要求，上云业务系统分别符合网络安全等级保护定级要求；

建设原则：系统自保，平台统保，边界防护，等保达标，安全确保；

安全理念：基于“一个中心，三重防护”的主动防御理念。

安全区域边界：在云平台各层级之间接口边界、与外部系统接口边界、各专业在云平台内边界部署工业防火墙/下一代防火墙/云盾等安全产品，合理划分安全域，制定网络安全策略，规定云平台内部及对外的访问规定和策略要求，仅允许特定的数据传输，禁止所有非必要的网络通信，防止外部网络攻击和云平台内病毒扩散，保证云平台区域边界安全。

安全通信网络：在云平台交换机及内部分别部署入侵检测/工业网络审计系统/云镜等安全产品，采用旁路监听与智能分析技术，对系统的控制、采集请求、运维等关键行为进行审计，实时检测网络中的攻击行为并及时告警，同时留存网络攻击日志实现事件取证，保证云平台通信网络安全。

安全计算环境：在安全生产网云平台的虚拟机、工作站及服务器上安装工业卫士软件，对虚拟机、服务器和工作站及其所承载的应用业务、核心数据进行防护，采用“白名单”技术手段，禁止不可信程序的运行以及非安全移动介质的接入，同时通过主机加固相关功能，最大限度保证云平台及业务系统主机安全。

安全管理中心：安全管理中心在控制中心部署，包括云安全资源池及态势感知产品，云安全资源池由安全监管平台，漏洞扫描系统、运维管理与审计系统、日志审计系统、数据库审计系统等安全组件组成，能够按照各业务系统分别提供安全服务能力，共同实现云平台及各专业的管理安全。在云安全资源池中，安全监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一管控；漏洞扫描系统通过定期扫描的形式提升业务系统自检自查的能力；运维管理与审计系统即为堡垒机系统，实现在系统运维中的权限管理，对系统的运维操作进行审计；日志审计系统实现整个业务系统内网络设备、安全设备、业务应用等资产的日志收集分析，满足对日志的留存要求；数据库审计系统通过实时记录网络上的数据库活动，实现对数据库操作进行细粒度审计的安全管理。应用态势感知产品通过态势探针、态势认知、态势理解、态势预测以及响应决策等五个环节做到全局态势的整体评估，并实现与线网级云平台安全管理中心的安全数据传输。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求；

业务保障：提升城轨云平台网络安全防护能力，为业务系统平稳运行保驾护航。
背景概述

Background Overview

“智慧港口”是以现代化基础设施设备为基础，以云计算、大数据、物联网、移动互联网、智能控制等新一代信息技术与港口运输业务深度融合为核心，以港口运输组织服务创新为动力，以完善的体制机制、法律法规、标准规范、发展政策为保障，能够在更高层面上实现港口资源优化配置，在更高境界上满足多层次、敏捷化、高品质港口运输服务要求的，具有生产智能、管理智慧、服务柔性、保障有力等鲜明特征的现代港口运输新业态。港口行业工控系统多数由管理用户层、生产监控层和各装船机、取料机、卸船机等现场控制层组成，而工控网络由于其承载业务的特殊性，对安全性、运行稳定性及出现故障后快速恢复时间等要求均远高于办公网。因此，为有效预防网络安全事件的发生，应结合相应的政策法规、国家标准以及面临的实际安全风险出发，进行网络安全建设，从而避免网络安全事件所带来的不良影响。
解决方案

Solution
建设目标：符合网络安全等级保护三级要求；

建设原则：分层分区，本体保护，智能分析，集中管控；

安全理念：基于“一个中心，三重防护”的主动防御理念。

安全区域边界：在工控网络与办公网络边界、不同区域间接口边界部署工业网闸/工业防火墙系统，合理划分安全域，制定网络安全策略，规定不同安全域之间的访问规定和策略要求，仅允许特定的数据传输，禁止所有非必要的网络通信，防止外部网络攻击，保证智慧港口各区域边界安全。

安全通信网络：在工控网络核心交换机处部署工业网络审计系统，采用旁路监听与智能分析技术，对系统的控制、采集请求、运维等关键行为进行审计，实时检测网络中的攻击行为并及时告警，同时留存网络攻击日志实现事件取证，保证智慧港口工控网络通信网络安全。

安全计算环境：在工控网络的操作站及服务器上安装工业卫士软件，对服务器和工作站及其所承载的应用业务、核心数据进行防护，采用“白名单”技术手段，禁止不可信程序的运行以及非安全移动介质的接入，同时通过主机加固相关功能，最大限度保证智慧港口工控系统主机安全。

安全管理中心：划分安全管理中心区域，由工业监管平台，工业漏扫系统、运维管理与审计系统、日志审计系统、态势感知平台等组成，共同实现智慧港口工控系统的管理安全。其中，工业监管平台实现对安全事件的处置分析和对主要安全设备、软件的统一管控；工业漏扫系统通过定期扫描的形式提升业务系统自检自查的能力；运维管理与审计系统即为堡垒机系统，实现在系统运维中的权限管理，对系统的运维操作进行审计；日志审计系统实现整个业务系统内网络设备、安全设备、业务应用等资产的日志收集分析，满足对日志的留存要求；应用态势感知平台通过态势探针、态势认知、态势理解、态势预测以及响应决策等五个环节做到全局态势的整体评估。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求；

业务保障：通过工控协议白名单、人工智能等技术，及时高效地检测已知和未知安全威胁，从而构建起事前预防、事中监测、事后审计的主动式纵深防御体系。

解决方案

Solution

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值