● 以车站控制网络为单位，在每个车站接入通信环网前，网管系统、维修系统和培训系统，通过部署工业防火墙/网闸，实现各车间控制网络之间的安全隔离；

● 在每个车站或车辆段、停车场控制网络的FEP位置冗余部署工业防火墙，实现综合监控系统与其他系统的安全隔离；

● 在每个车站或车辆段、停车场控制网络中部署1套USB安全隔离装置，实现对上位主机的USB接口安全使用进行有效管理，对通过USB接口临时接入生产网络的移动存储设备进行病毒查杀；

● 各主机终端部署网络版工控主机安全卫士，实现终端进程的可信管理，从根本上提高了工控主机的安全性；

● 在每个车站或车辆段、停车场控制网络的核心交换机通过镜像口旁路部署工控安全审计系统，实现对生产网络中网络威胁、违规操作、异常流程等网络攻击行为的实时监控与分析，并可以与集控中心的工控行为追溯系统共享数据；

● 在控制中心部署一套日志审计系统，能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息，进行统一地收集、处理和关联分析；

● 在控制中心集中部署一套账号集中管理与审计系统（堡垒机），实现对综合系统内所有网络设备运维过程进行统一的身份认证与账号授权管理；

● 在控制中心网络边界部署1套入侵检测系统，通过准确监测网络异常流量，自动应对各类攻击流量，及时发现安全威胁；

● 在控制中心部署统一安全管理平台，对工控网络中的安全产品进行集中管理、配置和维护，便于综合分析、及时定位问题。