地鐵的建設，已經成為了一座城市實力的象征。

南京市作為長三角特大城市和江蘇省省會，交通區位優勢明顯，軌道交通已成為城市及都市圈出行的重要方式。據南京市政府辦公廳發布數據，2021年南京全市累計實現地鐵客運量8.79億人次，公共交通分擔率接近60%，在城市經濟社會高質量發展中起著舉足輕重的作用。從運營里程長短角度而言，截至2021年底，南京已躋身于全國地鐵10大城市。

現階段城軌交通正在進入由“建設為主”向“運營、經營并舉”，由高速度發展邁向高質量發展的轉換期，以新興信息技術與城軌交通深度融合為主線，推進城軌信息化，發展智能系統，建設智慧城軌。持續探索如何以智慧手段加強城市交通的精細化管理，提升安全風險的監測和預警能力。

南京地鐵的“前世今生”

南京軌道交通建設始于1989年。

2005年，首條地鐵線（1號線）投入運營，標志著南京正式進入地鐵時代。

2017年，S9寧高線的開通標志著南京成為全國第一個區縣全部開通地鐵的城市。

2020年，南京地鐵已實現了5G全覆蓋，成為全球地鐵5G覆蓋里程最長的城市。

目前南京地鐵已開通運營線路共有11條，構成覆蓋南京全市11個市轄區及句容市的地鐵網絡，并且已經具備多線路運營指揮、線網應急處置、乘客服務、輔助決策等多種線網功能，正式步入了"網絡化運營"時代。

為了保證高效的分區管理從而優化整體業務推進效率，南京地鐵在4個區域運營中心，建成并投入運營了自動售檢票系統AFC（下文簡稱“AFC”）、區域線路中心ZLC（下文簡稱“ZLC”）。

隨著信息化進程的不斷推進，外部安全風險如黑客攻擊、網絡犯罪產業化等等問題也隨之而來，此外國家也在不斷加強網絡安全的合規監管，這都對網絡安全建設提出了更高的要求。在對外部環境與合規要求的雙重考慮之下，南京地鐵決定對以上系統的網絡安全建設進行全面升級。

然而，地鐵交通與南京市民的生活出行息息相關，這決定了在推進系統安全建設改造的過程絕不能影響業務系統運行。如何保障4個南京ZLC、清分中心ACC（下文簡稱“ACC”）相關系統在安全建設與改造過程中穩定運行，并滿足等保2.0相關的合規要求，持續為系統安全保駕護航，成為了南京地鐵的核心關注點。

業務不能中斷，合規性和安全效果要統籌考慮

南京地鐵作為南京人民生活的重要保障，在城市框架、地段平權、輻射經濟等方面都起著不容忽視的塑造力和影響力。此次升級過程中，系統一旦出現問題，可謂“牽一發而動全身”，因此不容有任何閃失。在此情況下，南京地鐵對本次安全改造提出了明確的要求。

1.一站式服務，提供等保全生命周期完整保障

南京地鐵ZLC、ACC屬于老系統等保整改，但其中關聯了很多系統及設備都比較老舊，版本也較低，并且改動難度很大。因此，用戶對前期調研和等保整改的牽頭方提出了更高的要求，即需要一家專業的等保服務商，提供一站式省心省力的等保交付服務。

2.業務不中斷，在改造過程中確保各系統穩固運行

ZLC、ACC屬于地鐵票務系統，是地鐵公司最核心的業務系統之一，負責乘客進出站時刷卡過閘及線路票務的清算，對于系統運行的穩定性要求較高。一旦系統發生故障將直接影響地鐵票務，甚至導致乘客無法正常在進出站時過閘機等一系列風險問題，這無疑會對人民安全出行、社會整體秩序造成重要影響。因此需要在保障系統穩定運行的前提下完成安全建設與改造。

3.提升安全防護效果，發揮安全建設價值

用戶希望在滿足等保合規的基礎上實現自動售檢票系統網絡安全實時監測、通報預警等多種功能，提升整體安全運營效率，降低運維壓力，最大程度發揮網絡安全建設的價值。

深信服提供等保全流程“一站式”服務，助力快速合規

為了保證南京地鐵自動售檢票業務系統的穩定運營，深信服在項目前期就與測評單位進行了深入探討，為用戶打造了專屬于南京地鐵的解決方案。方案參照等保2.0建設框架，實現了從前期的規劃、咨詢、設計到后期的交付、實施、測評的等保改造全流程“一站式”服務。

具體包含：

• 在出口邊界處網橋部署兩臺下一代防火墻（開通防病毒模塊），以滿足等保二級中安全區域邊界的相關要求。
• 新增一臺二層交換機連接核心，通過VLAN劃分，獨立出一個安全運維區域，并部署等保二級需求的堡壘機、日志審計、安全態勢感知等安全運維審計設備。
• 在新增的二層交換機上旁路部署入侵防御設備，滿足等保二級中安全區域邊界的相關要求。
• 在安全運維區旁路部署終端防病毒服務器，在服務工作站等PC終端以及服務器終端上部署EDR防病毒軟件，滿足等保二級中安全計算環境相關要求。
• 通過在4個ZLC系統核心交換機上的鏡像部署流量采集探針，通過中心端的安全態勢感知平臺實時對4個ZLC系統進行安全分析，并采集防火墻、EDR安全設備的安全日志進行實時分析，滿足等保二級中對安全管理中心的要求。

持續保護，不止合規

此次安全建設在確保了用戶業務系統的穩定運行的前提下，幫助南京地鐵快速滿足了等保合規要求，與此同時大幅提升了整體安全效果。

1.多線路多系統一站式快速交付，助力用戶順利通過等保測評

參照等保2.0標準要求，建立健全了符合南京地鐵各業務系統安全要求的安全技術、管理體系，落實安全防護框架。對三號線、十號線的ZLC系統進行了初步的整改施工，對于需要參與等保測評的8個機房、70余個測評對象進行了等保整改，完成了多線路多系統的一站式快速交付。改造結束后，用戶快速通過了等級保護二級測評，順利拿到了等保二級測評證書。

2.深入了解用戶業務，兼顧業務連續性與安全升級需求落地

深信服在前期設計階段，多次與設計院共同研究南京地鐵自動售檢票系統運營特點，在前期為南京地鐵提供大量咨詢服務，并根據自動售檢票系統全網結構定制了安全升級方案，最大限度維持業務系統網絡邏輯不被修改。

在項目實施階段，深信服全力保障交付。在夜間系統休息時間快速完成設備上架以及設備調通等工作，在不中斷業務的情況下實現了全網改造。

3.合規之上，以實在的安全效果帶來業務的持續守護

本次安全升級在滿足等保要求的基礎上，帶來了安全防護能力的大幅提升。方案為南京地鐵設計了安全態勢感知平臺，并在所有網絡、終端中配置了流量日志采集探針。在實現與現有網絡和安全設備的對接后，安全態勢感知平臺結合威脅情報、行為分析、UEBA、機器學習、大數據關聯分析、可視化等技術，實現了對全網流量及業務的可視化和威脅感知，以及對各種潛伏威脅的全面定位。通過可視化技術的利用，將原本碎片化的威脅告警、異常行為告警、資產管理等數據結構化，形成了高維度可視化方案，最大化發揮了安全建設價值。真正做到了“安全態勢可感知、安全威脅可預警、異常行為可監控、安全價值可呈現”。

未來規劃及展望

在不遠的將來，南京地鐵還將對整體安全體系進行全面升級，建設集全線網實時監測、通報預警、應急響應、重保指揮的安全運營中心。而本次南京地鐵ZLC/ACC安全能力升級的成功，為南京地鐵積累了豐富的網絡安全建設經驗，為未來的業務推進打下堅實基礎，也為日后“南京都市圈”全線網安全運營中心建設做好了鋪墊。

未來，深信服也將繼續與南京地鐵合作，提供解決方案與技術支撐，護航南京地鐵全面駛入網絡化運營時代，讓出行更安全、運行更高效。