专用通信系统中一般包含视频监控系统和乘客信息系统等系统，系统应满足现行国家标准《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239规定以及行业内的安全建设标准，信息系统应满足网络安全等级保护第二或三级要求，在统一的安全防护策略下，能够免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

通过对大量地铁通信系统的调研和总结分析，发现地铁系统通信系统的安全防护情况的问题包含：网络边界安全问题、工作站服务器安全问题、网络内的流量和操作等行为安全问题以及运维管理安全问题。通信系统集成的子系统较多（例如PIS、CCTV等），各集成子系统的安全级别不一样，通信系统缺乏与集成子系统的网络隔离措施，各系统之间存在互相访问的可能性，并且看不到通信系统网络内的流量情况，缺少对网络流量的监测与分析能力。且通信系统的部署、策略配置等主要依赖厂商或系统集成商，对第三方人员缺乏严格的管控制度，容易造成敏感信息泄密或误操作的风险。

轨道交通行业专用通信PIS系统和CCTV安全等保方案按照“边界隔离、区域划分、纵深防护、业务分离”指导思想，并根据专用通信系统的业务功能、特点及各业务系统的安全需求进行安全等保建设。

在专用通信PIS系统和CCTV系统的区域边界以及系统接口处部署下一代防火墙，保障各个系统的安全隔离。配置病毒特征库、攻击特征库、威胁情报库等功能模块，可提供访问控制、安全域隔离、入侵检测、病毒过滤、垃圾邮件检测、僵尸网络检测、IP信誉服务和云端沙箱检测等。拥有L2-L7全面威胁检测能力。
在专用通信PIS系统和CCTV系统的控制中心部署控制防火墙、入侵检测系统、安全运维管理系统、日志审计与分析系统以及统一安全管理平台，在控制中心的工作站以及服务器部署主机安全防护软件，确保控制中心的安全防护能力。
在专用通信PIS系统和CCTV系统核心交换机旁部署入侵防御系统，分析业务流量的数据包，检测病毒、蠕虫、木马、间谍软件、可疑代码、扫描等网络威胁攻击，发现入侵行为，一旦发现攻击及时上报；采集系统内的安全设备的运行状态、安全审计日志等信息至安全管理平台。
在专用通信PIS系统和CCTV系统的控制中心、各级车站、停车场以及车辆基地的工作站以及服务器部署主机安全防护软件，对USB移动存储介质进行管理，禁止不必要的计算机终端外设，防止设备随意插入工作站和服务器，从主机安全配置、注册表、文件完整性等多方面创建安全策略。

严格按照等级保护2.0标准体系要求进行整体设计，助力城市轨道交通专用通信系统及其子系统快速满足等保合规要求，并在合规之上为业务系统提供持续保护。方案结合城市轨道交通业务实际，构建网络安全整体防护方案。通过顶层设计，建立统一的安全管理制度、安全管理机构、安全防护、安全监控、安全运营等一体化安全防护体系。