1 背景概述

　　城市軌道交通中的信號(hào)系統(tǒng)是軌道交通的核心，直接關(guān)系到行車安全。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是通信技術(shù)與信號(hào)系統(tǒng)的深度融合，信號(hào)系統(tǒng)以各種方式與綜合監(jiān)控系統(tǒng)功能網(wǎng)絡(luò)、旅客信息、語(yǔ)音廣播等公共網(wǎng)絡(luò)互連，容易造成病毒、木馬等威脅向信號(hào)系統(tǒng)擴(kuò)散，再加上信號(hào)系統(tǒng)自身存在的安全漏洞，一旦被不法分子利用，可能造成重大行車事故與社會(huì)影響，因此信號(hào)系統(tǒng)的安全防護(hù)體系建設(shè)已經(jīng)刻不容緩。

　　2 安全現(xiàn)狀

　　CNCERT針對(duì)城市軌道交通行業(yè)的聯(lián)網(wǎng)管理系統(tǒng)進(jìn)行了全國(guó)專項(xiàng)掃描和探測(cè)，共發(fā)現(xiàn)聯(lián)網(wǎng)的城市軌道交通相關(guān)系統(tǒng)100個(gè)，分布在全國(guó)15個(gè)省、20個(gè)城市，涉及到遠(yuǎn)程監(jiān)控、資產(chǎn)管理、工程安全等系統(tǒng)。由此可見(jiàn)，城市軌道交通行業(yè)網(wǎng)絡(luò)安全建設(shè)已勢(shì)在必行。

　　目前國(guó)內(nèi)城市軌道交通網(wǎng)絡(luò)安全建設(shè)還處于起步階段，各方面內(nèi)容都在摸索和完善過(guò)程中，存在的主要問(wèn)題有：

　　（ 1 ） 設(shè)備安全問(wèn)題

　　城市軌道交通控制系統(tǒng)和信息系統(tǒng)中的主機(jī)終端、控制設(shè)備、網(wǎng)絡(luò)設(shè)備的安全防護(hù)不到位，存在內(nèi)部人員越權(quán)訪問(wèn)、誤操作、違規(guī)操作的威脅，以及外部黑客攻擊、病毒感染的風(fēng)險(xiǎn)。

　　（ 2 ） 軟件安全問(wèn)題

　　城市軌道交通控制系統(tǒng)和信息系統(tǒng)存在遠(yuǎn)程命令執(zhí)行、目錄遍歷等系統(tǒng)漏洞、應(yīng)用軟件漏洞，導(dǎo)致系統(tǒng)中的敏感信息泄露、服務(wù)器權(quán)限被惡意操控等風(fēng)險(xiǎn)。

　　（ 3 ） 管理制度問(wèn)題

　　針對(duì)城市軌道交通控制系統(tǒng)和信息系統(tǒng)網(wǎng)絡(luò)安全的各項(xiàng)制度以及應(yīng)急預(yù)案尚不完善。

　　3 風(fēng)險(xiǎn)分析

　　信號(hào)系統(tǒng)作為指揮列車運(yùn)行與調(diào)度的核心系統(tǒng)，所有的操作控制及指令控制行為都與列車間的發(fā)車、停靠等息息相關(guān)，外部的惡意攻擊或內(nèi)部的誤操作都是引發(fā)安全問(wèn)題的因素，通常這些操作及控制指令通過(guò)網(wǎng)絡(luò)進(jìn)行傳遞，往往惡意的指令都隱匿于看似正常的網(wǎng)絡(luò)流量之中，從網(wǎng)絡(luò)運(yùn)行過(guò)程中無(wú)法判斷其流量所攜帶內(nèi)容的合法性和完整性，誤操作或接受惡意控制指令將會(huì)導(dǎo)致信號(hào)系統(tǒng)網(wǎng)絡(luò)中斷，造成列車調(diào)度及運(yùn)行癱瘓。

　　通過(guò)分析其可能造成信號(hào)系統(tǒng)安全風(fēng)險(xiǎn)的主要原因歸納為以下幾種：

　　（ 1 ） 區(qū)域間未設(shè)置訪問(wèn)控制措施

　　信號(hào)系統(tǒng)在內(nèi)、外系統(tǒng)邊界處缺少相應(yīng)的隔離防護(hù)措施，例如信號(hào)系統(tǒng)與綜合監(jiān)控、旅客信息、廣播等多個(gè)外部系統(tǒng)互聯(lián)時(shí)，存在無(wú)法識(shí)別的外部惡意訪問(wèn)行為，同時(shí)在其系統(tǒng)間的內(nèi)部網(wǎng)絡(luò)存在相互隨意訪問(wèn)的行為，出現(xiàn)網(wǎng)絡(luò)區(qū)域的邏輯混亂現(xiàn)象，一旦某個(gè)系統(tǒng)網(wǎng)絡(luò)遭受到病毒感染后，攜帶的惡意掃描探測(cè)程序直接貫穿到整個(gè)信號(hào)系統(tǒng)網(wǎng)絡(luò)，形成風(fēng)暴式的攻擊危害。

　　（ 2 ） 網(wǎng)絡(luò)操作行為無(wú)檢測(cè)，事后無(wú)有效追查手段

　　在信號(hào)系統(tǒng)網(wǎng)絡(luò)中，大量的列車信號(hào)數(shù)據(jù)不停地重復(fù)進(jìn)行交替，這一過(guò)程缺乏對(duì)業(yè)務(wù)流程的異常操作行為審計(jì)。同時(shí)信號(hào)系統(tǒng)網(wǎng)絡(luò)對(duì)產(chǎn)生的攻擊威脅缺乏有效的監(jiān)測(cè)與審計(jì)，一旦安全威脅發(fā)生，只能盲目尋找問(wèn)題產(chǎn)生的原因，無(wú)法及時(shí)有效地應(yīng)對(duì)攻擊。

　　（ 3 ） 信息安全管理制度欠缺

　　現(xiàn)在大部分行業(yè)還未形成完整的制度來(lái)保障信息安全，在信號(hào)系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維、廢止全生命周期的信息安全需求和風(fēng)險(xiǎn)管理亟待完善。

　　（ 4 ） 事件檢測(cè)與響應(yīng)流程不完善

　　雖然信號(hào)系統(tǒng)具備對(duì)業(yè)務(wù)培訓(xùn)的能力，但是面向全員的工控安全意識(shí)宣傳，工控安全技術(shù)和管理培訓(xùn)均比較缺乏，需加強(qiáng)對(duì)工控安全體系化的宣傳和培訓(xùn)。

　　4 設(shè)計(jì)方案

　　4.1 設(shè)計(jì)思路

　　城市軌道交通信號(hào)系統(tǒng)安全防護(hù)體系的設(shè)計(jì)是依據(jù)白名單機(jī)制對(duì)信號(hào)系統(tǒng)的區(qū)域邊界、通信網(wǎng)絡(luò)、計(jì)算環(huán)境等進(jìn)行安全策略的配置，建立信號(hào)系統(tǒng)“白環(huán)境”。然后基于信號(hào)系統(tǒng)的行為基線以及業(yè)務(wù)基線，結(jié)合大數(shù)據(jù)分析技術(shù)進(jìn)行綜合的建模分析，全面感知信號(hào)系統(tǒng)的態(tài)勢(shì)信息，并通過(guò)可視化的界面進(jìn)行綜合展示。

　　4.2 安全防護(hù)體系設(shè)計(jì)

　　4.2.1?安全通信網(wǎng)絡(luò)

　　由于城市軌道交通信號(hào)系統(tǒng)本身就是實(shí)時(shí)控制的數(shù)據(jù)傳輸系統(tǒng)，并且其網(wǎng)絡(luò)也是獨(dú)立的專網(wǎng)，因此在信號(hào)系統(tǒng)安全防護(hù)體系的設(shè)計(jì)中需要采用工控防火墻實(shí)現(xiàn)與其它互聯(lián)系統(tǒng)的安全隔離，并通過(guò)安全策略的配置實(shí)現(xiàn)系統(tǒng)間數(shù)據(jù)傳輸?shù)南拗疲约胺鞘跈?quán)通信行為的禁止。

　　信號(hào)系統(tǒng)與其它互聯(lián)系統(tǒng)間的隔離，通過(guò)部署工控防火墻來(lái)實(shí)現(xiàn)。以此來(lái)保證信號(hào)系統(tǒng)的獨(dú)立性、完整性，避免其它系統(tǒng)的波及，并且能夠?qū)M(jìn)出信號(hào)系統(tǒng)的流量進(jìn)行有效管控，防止非法、異常流量流入信號(hào)系統(tǒng)網(wǎng)絡(luò)。

　　在信號(hào)系統(tǒng)網(wǎng)絡(luò)中，部署在網(wǎng)絡(luò)邊界的工控防火墻是以最小通過(guò)性原則進(jìn)行策略配置，根據(jù)業(yè)務(wù)需求采用白名單機(jī)制，逐條梳理業(yè)務(wù)流程，增加開(kāi)放IP和開(kāi)放端口，實(shí)現(xiàn)嚴(yán)格的流量管控。

　　4.2.2?安全區(qū)域邊界

　　（ 1 ） 訪問(wèn)控制防護(hù)

　　由于信號(hào)系統(tǒng)的業(yè)務(wù)特點(diǎn)，信號(hào)系統(tǒng)需同時(shí)連接多個(gè)內(nèi)部子系統(tǒng)，形成系統(tǒng)的聯(lián)動(dòng)。從信號(hào)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)可知，信號(hào)系統(tǒng)與其內(nèi)部子系統(tǒng)需形成一個(gè)整體的安全域進(jìn)行保護(hù)。與此同時(shí)，在信號(hào)系統(tǒng)中仍存在與其它外部系統(tǒng)，例如綜合監(jiān)控、廣播、時(shí)鐘等系統(tǒng)的外部互聯(lián)。這樣使得原本相對(duì)獨(dú)立的信號(hào)系統(tǒng)網(wǎng)絡(luò)出現(xiàn)了對(duì)外互聯(lián)的邊界，外部系統(tǒng)遭受惡意攻擊后，會(huì)通過(guò)互聯(lián)邊界造成信號(hào)系統(tǒng)的直接感染。針對(duì)邊界互聯(lián)所產(chǎn)生的安全威脅問(wèn)題，可利用訪問(wèn)控制技術(shù)實(shí)現(xiàn)與外部互聯(lián)系統(tǒng)間的細(xì)粒度管控。

　　在信號(hào)系統(tǒng)與外部系統(tǒng)互聯(lián)邊界處部署工控防火墻，利用工控防火墻深度包解析引擎和內(nèi)容檢測(cè)技術(shù)，結(jié)合訪問(wèn)控制白名單技術(shù)，對(duì)信號(hào)系統(tǒng)內(nèi)部與外部連接系統(tǒng)執(zhí)行訪問(wèn)控制規(guī)則，對(duì)通信內(nèi)容實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制，僅允許信號(hào)系統(tǒng)的正常業(yè)務(wù)和數(shù)據(jù)通過(guò)邊界進(jìn)行訪問(wèn)，防止非業(yè)務(wù)系統(tǒng)的惡意訪問(wèn)通過(guò)。

　　（ 2 ） 入侵防范

　　基于網(wǎng)絡(luò)的入侵防范，主要是通過(guò)分析網(wǎng)絡(luò)流量中的異常攻擊行為對(duì)其進(jìn)行攔截和響應(yīng)。當(dāng)前比較流行的網(wǎng)絡(luò)入侵防范技術(shù)包括：基于特征簽名的入侵防范技術(shù)、基于沙箱的入侵防范技術(shù)、基于網(wǎng)絡(luò)行為白名單的入侵防范技術(shù)和基于威脅情報(bào)的入侵防范技術(shù)。信號(hào)系統(tǒng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量和主機(jī)行為較為簡(jiǎn)單，基于白名單的入侵防范技術(shù)更適合于信號(hào)系統(tǒng)的業(yè)務(wù)流程。

　　在控制中心通過(guò)部署工控入侵檢測(cè)或網(wǎng)絡(luò)審計(jì)類設(shè)備，并配置相應(yīng)的安全策略和功能，來(lái)提高信號(hào)系統(tǒng)應(yīng)用行為的安全監(jiān)測(cè)與審計(jì)能力。

　　（ 3 ） 惡意代碼防范

　　由于城市軌道交通的特殊性，信號(hào)系統(tǒng)中采用的通信協(xié)議及應(yīng)用軟件都為專有的協(xié)議和專用的軟件，帶有強(qiáng)烈的行業(yè)屬性。因此可以通過(guò)在信號(hào)系統(tǒng)區(qū)域邊界、信號(hào)系統(tǒng)與其它系統(tǒng)之間部署訪問(wèn)控制設(shè)備，在保證業(yè)務(wù)正常通信的情況下，以最小化原則，只允許信號(hào)系統(tǒng)中使用的專有協(xié)議通過(guò)，拒絕其它通用應(yīng)用和協(xié)議進(jìn)入信號(hào)系統(tǒng)網(wǎng)絡(luò)，以此來(lái)將惡意代碼安全風(fēng)險(xiǎn)降低到可控范圍內(nèi)，減少安全事件的發(fā)生，保障信號(hào)系統(tǒng)高效、穩(wěn)定運(yùn)行。

　　（ 4 ） 安全審計(jì)防護(hù)

　　安全審計(jì)是指按照一定的安全策略，記錄系統(tǒng)配置、系統(tǒng)活動(dòng)、用戶活動(dòng)等信息，檢測(cè)、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為等，并以此為基礎(chǔ)改善系統(tǒng)性能的過(guò)程，也是審查評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)并提出相應(yīng)整改措施的過(guò)程，它可以提高系統(tǒng)的安全性。安全審計(jì)不僅能夠監(jiān)視和控制來(lái)自外部的入侵，還能夠監(jiān)視來(lái)自內(nèi)部人員的違規(guī)和惡意破壞行為，為網(wǎng)絡(luò)違法與犯罪的調(diào)查取證提供有力支持。

　　結(jié)合當(dāng)前信號(hào)系統(tǒng)的業(yè)務(wù)特點(diǎn)，分別在控制中心、維修中心、設(shè)備集中站、車輛段/停車場(chǎng)的交換機(jī)處，采用鏡像流量方式，旁路部署工控監(jiān)測(cè)與審計(jì)系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)系統(tǒng)內(nèi)發(fā)生的訪問(wèn)流量?jī)?nèi)容，基于工控協(xié)議深度解析技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)流量的細(xì)粒度解析，以保證信號(hào)系統(tǒng)間的內(nèi)容訪問(wèn)安全，及時(shí)發(fā)現(xiàn)信號(hào)系統(tǒng)網(wǎng)絡(luò)中的異常流量和異常操作的訪問(wèn)行為，并進(jìn)行記錄和實(shí)時(shí)告警。

　　4.2.3?安全計(jì)算環(huán)境

　　根據(jù)信號(hào)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀并結(jié)合信號(hào)系統(tǒng)運(yùn)行環(huán)境的特點(diǎn)，對(duì)于信號(hào)系統(tǒng)主機(jī)終端的安全防護(hù)，采用“白名單”機(jī)制的工控主機(jī)衛(wèi)士來(lái)實(shí)現(xiàn)主機(jī)終端服務(wù)、進(jìn)程、外聯(lián)接口的管控。“白名單”機(jī)制相對(duì)“黑名單”而言更適合于信號(hào)系統(tǒng)的安全防護(hù)，由于信號(hào)系統(tǒng)相對(duì)比較封閉，無(wú)法聯(lián)網(wǎng)進(jìn)行病毒庫(kù)更新。系統(tǒng)一旦建設(shè)完成，很長(zhǎng)一段時(shí)間都不會(huì)再進(jìn)行升級(jí)或改造，而且信號(hào)系統(tǒng)中的通信端口、協(xié)議、應(yīng)用軟件等都比較固定，采用“白名單”機(jī)制進(jìn)行安全防護(hù)，能夠有效保障信號(hào)系統(tǒng)主機(jī)終端的安全。

　　在信號(hào)系統(tǒng)網(wǎng)絡(luò)中的工作站、服務(wù)器等設(shè)備，大多數(shù)以Windows系統(tǒng)作為操作平臺(tái)，一些設(shè)備處于老舊狀態(tài)，無(wú)法及時(shí)升級(jí)或更新補(bǔ)丁。隨著Windows系統(tǒng)的廣泛應(yīng)用，一些安全漏洞隱患不斷爆出，采用傳統(tǒng)防病毒軟件或主機(jī)入侵防護(hù)產(chǎn)品進(jìn)行安全防護(hù)的方式已不再適用于信號(hào)系統(tǒng)的主機(jī)終端。由于工業(yè)主機(jī)的特殊性，傳統(tǒng)安全防護(hù)產(chǎn)品無(wú)法有效地對(duì)工業(yè)主機(jī)進(jìn)行安全防護(hù)，如果病毒庫(kù)更新不及時(shí)，依賴大量病毒特征庫(kù)的傳統(tǒng)安全防護(hù)產(chǎn)品將無(wú)法獲取最新的病毒庫(kù)特征，其安全防護(hù)能力將大打折扣，將面臨無(wú)法識(shí)別工業(yè)主機(jī)的關(guān)鍵程序、關(guān)鍵進(jìn)程及服務(wù)的情況，造成誤刪誤報(bào)等影響業(yè)務(wù)正常運(yùn)行的后果。

　　在信號(hào)系統(tǒng)中，分別在控制中心、設(shè)備集中站、維修中心、車輛段/停車場(chǎng)等處的工作站和服務(wù)器中安裝部署工控主機(jī)衛(wèi)士系統(tǒng)軟件，基于進(jìn)程白名單技術(shù)，將主機(jī)中的應(yīng)用、進(jìn)程、服務(wù)等進(jìn)行安全管控，阻止白名單外其它與控制運(yùn)行無(wú)關(guān)的應(yīng)用軟件安裝使用，及運(yùn)行進(jìn)程、服務(wù)等。此外，基于“白名單”技術(shù)，可實(shí)現(xiàn)對(duì)外聯(lián)接口以及外來(lái)存儲(chǔ)介質(zhì)的管控，禁用未經(jīng)授權(quán)移動(dòng)存儲(chǔ)介質(zhì)接入主機(jī)終端設(shè)備，保障信號(hào)系統(tǒng)不受外來(lái)設(shè)備威脅，并提供安全可靠的運(yùn)行環(huán)境。

　　4.2.4?安全管理中心

　　建設(shè)安全管理中心可以幫助城市軌道交通運(yùn)維人員實(shí)現(xiàn)零散安全產(chǎn)品到信息安全保障體系的轉(zhuǎn)變。它解決了海量數(shù)據(jù)和信息孤島的困擾，簡(jiǎn)化了安全管理的數(shù)據(jù)模型。安全管理中心通過(guò)分布在現(xiàn)場(chǎng)的各類安全探針采集來(lái)自信號(hào)系統(tǒng)網(wǎng)絡(luò)中的各類安全信息，上傳到安全管理平臺(tái)進(jìn)行集中存儲(chǔ)，再根據(jù)平臺(tái)中定制的安全策略，結(jié)合大數(shù)據(jù)分析技術(shù)對(duì)這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，最終以可視化的方式展示。

　　在城市軌道交通信號(hào)系統(tǒng)安全防護(hù)體系建設(shè)過(guò)程中，安全管理中心的建設(shè)將起到至關(guān)重要的作用。通常是在控制中心部署安全管理平臺(tái)，通過(guò)安全管理員為安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)配置統(tǒng)一的安全策略。實(shí)現(xiàn)對(duì)信號(hào)系統(tǒng)全網(wǎng)安全設(shè)備、安全事件、安全策略、安全運(yùn)維的統(tǒng)一集中監(jiān)控、管理及預(yù)警。通過(guò)安全審計(jì)員對(duì)安全審計(jì)機(jī)制進(jìn)行集中管理，進(jìn)行身份識(shí)別，根據(jù)權(quán)限進(jìn)行操作及審計(jì)。通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，進(jìn)行身份識(shí)別，根據(jù)權(quán)限進(jìn)行操作及審計(jì)。

　　5 整體部署應(yīng)用

　　圖1為城市軌道交通信號(hào)系統(tǒng)安全防護(hù)體系中安全防護(hù)設(shè)備的部署。

　　圖1信號(hào)系統(tǒng)防護(hù)體系整體部署示意圖

　　（ 1 ） 工控防火墻

　　部署于控制中心信號(hào)系統(tǒng)與外部系統(tǒng)互聯(lián)邊界。

　　可以實(shí)現(xiàn)隔離與訪問(wèn)控制，能夠通過(guò)基于工業(yè)協(xié)議的深度識(shí)別，對(duì)訪問(wèn)行為進(jìn)行細(xì)粒度的控制。通過(guò)對(duì)訪問(wèn)內(nèi)容與設(shè)定的基于寄存器的安全策略比對(duì)，確認(rèn)報(bào)文的通過(guò)或阻斷。當(dāng)發(fā)生異常報(bào)文（超過(guò)設(shè)定閾值）時(shí)進(jìn)行報(bào)警處理，以保障信號(hào)系統(tǒng)的安全性。滿足等級(jí)保護(hù)建設(shè)對(duì)訪問(wèn)控制、邊界完整性檢查、入侵防范等基本安全要求。

　　（ 2 ） 工控監(jiān)測(cè)與審計(jì)

　　旁路部署于控制中心核心交換機(jī)、各設(shè)備集中站、維修中心接入交換機(jī)以及車輛段/停車場(chǎng)交換機(jī)處。

　　通過(guò)對(duì)ATS網(wǎng)、ATC網(wǎng)和維護(hù)網(wǎng)的鏡像流量數(shù)據(jù)進(jìn)行深度解析，閾值的設(shè)定和對(duì)數(shù)據(jù)變化速度范圍的設(shè)定，實(shí)現(xiàn)對(duì)下屬節(jié)點(diǎn)數(shù)據(jù)變化以及操作內(nèi)容的審計(jì)，分析網(wǎng)絡(luò)內(nèi)是否存在異常流量、操作等行為，同時(shí)基于網(wǎng)絡(luò)流量、協(xié)議和應(yīng)用進(jìn)行全方位的審計(jì)記錄，并通過(guò)SYSLOG或SNMP將日志信息上傳至安全管理平臺(tái)。以便發(fā)生安全事件后能夠快速響應(yīng)，對(duì)事件進(jìn)行分析溯源。

　　（ 3 ） 工控主機(jī)衛(wèi)士

　　管理端旁路部署于控制中心，客戶端部署于控制中心、設(shè)備集中站、非設(shè)備集中站、車輛段、停車場(chǎng)等處的工作站和服務(wù)器上。

　　通過(guò)對(duì)主機(jī)終端運(yùn)行進(jìn)程、服務(wù)、外聯(lián)接口等以“白名單”方式進(jìn)行識(shí)別控制，限制白名單外的進(jìn)程、服務(wù)的運(yùn)行以及外聯(lián)設(shè)備的接入。從根本上遏制惡意代碼的運(yùn)行。通過(guò)安全策略配置，主機(jī)只能安裝運(yùn)行與列車運(yùn)行控制相關(guān)的應(yīng)用軟件、程序，禁止其它非相關(guān)軟件的安裝，以此來(lái)增強(qiáng)主機(jī)終端的安全防護(hù)能力，保障信號(hào)系統(tǒng)主機(jī)終端的安全、穩(wěn)定運(yùn)行。

　　（ 4 ） 安全集中管理平臺(tái)

　　旁路部署于控制中心維護(hù)網(wǎng)交換機(jī)上。

　　通過(guò)工控安全管理平臺(tái)的建設(shè)，可以實(shí)現(xiàn)系統(tǒng)內(nèi)安全設(shè)備的集中監(jiān)控管理、日志采集以及策略的下發(fā)。可以為信號(hào)系統(tǒng)運(yùn)維管理提供決策支持，提升安全事件響應(yīng)速度與安全運(yùn)維感知能力，增強(qiáng)整體安全防護(hù)水平。

　　（ 5 ） 運(yùn)維審計(jì)

　　部署于控制中心。

　　運(yùn)維審計(jì)系統(tǒng)集賬號(hào)管理、授權(quán)管理、認(rèn)證管理和綜合審計(jì)于一體，為信號(hào)系統(tǒng)提供統(tǒng)一框架，整合了中心、設(shè)備集中站、非集中站、車輛段/停車場(chǎng)信號(hào)系統(tǒng)中的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)，確保合法用戶安全、方便使用特定資源。有效地保障了合法用戶的權(quán)益，支撐了信號(hào)系統(tǒng)安全可靠地運(yùn)行。

　　（ 6 ） 工控入侵檢測(cè)

　　旁路部署于控制中心核心交換機(jī)處。

　　工控入侵檢測(cè)系統(tǒng)可對(duì)信號(hào)系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行深度檢測(cè)、實(shí)時(shí)分析，并對(duì)網(wǎng)絡(luò)中的攻擊行為進(jìn)行監(jiān)測(cè)。工控入侵檢測(cè)系統(tǒng)主要是對(duì)應(yīng)用層的數(shù)據(jù)流進(jìn)行深度分析，動(dòng)態(tài)地發(fā)現(xiàn)來(lái)自內(nèi)部和外部網(wǎng)絡(luò)攻擊的行為，并發(fā)出報(bào)警，可與工控防火墻互補(bǔ)聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)攻擊的檢測(cè)與防御。

　　（ 7 ） 數(shù)據(jù)庫(kù)審計(jì)

　　旁路部署于控制中心。

　　數(shù)據(jù)庫(kù)審計(jì)可根據(jù)解析的SQL，對(duì)用戶數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行安全判斷、攻擊檢測(cè)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)內(nèi)置了多種攻擊檢測(cè)場(chǎng)景，能有效地對(duì)攻擊行為作出告警等處理，并且能夠通過(guò)審計(jì)記錄發(fā)現(xiàn)數(shù)據(jù)庫(kù)一些潛在的安全威脅，比如SQL注入、密碼猜解、執(zhí)行操作系統(tǒng)級(jí)的命令等，同時(shí)內(nèi)置了豐富的數(shù)據(jù)庫(kù)入侵檢測(cè)規(guī)則庫(kù)，及時(shí)發(fā)現(xiàn)并阻止數(shù)據(jù)庫(kù)安全威脅，保證數(shù)據(jù)庫(kù)安全運(yùn)行。