如下图所示，在旅服专网与办公专网之间部署物理隔离的单向交换装置，确保办公专网只从旅服专网“读”数据。同理，在客票专网与办公专网之间部署物理隔离的单向交换装置，确保办公专网只从客票专网“读”数据，从而实现专网之间的物理隔离。
在办公专网的数据中心部署安全准入管控平台，在各高铁站部署分站准入控制服务器，在数据采集仪的上行部署准入控制器，从而对数据采集网络进行安全准入控制，尤其是无人值守的场景下，确保网络不被非法接入。
各站的工作人员利用手持PDA通过互联网与办公专网数据中心交互，因此需要在办公专网的数据中心部署网闸、安全接入网关，其中网闸起到办公专网与互联网物理隔离的作用，安全接入网关与手持PDA的安全盾APP客户端之间通过基于国密算法的双向身份认证、隧道加密技术，确保网络通信安全。

安全接入：在不改变原高铁办公专网结构的前提下，通过在汇聚端、接入端增加网络安全设备来达到对高铁办公专网的访问控制、身份鉴别、通信链路进行安全加固的作用。

安全管控：是指对所增加的网络安全设备进行管控，包括设备状态监控、安全策略下发、密钥更新、设备升级、安全审计等操作，达到“以报表形式进行审计”、“以集中平台方式进行管理”的目的，提升网络安全管理水平。