王 曄，陳麗娟，衣 然

(中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京 100083)

0 引言

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的正式實(shí)施，我國(guó)正式進(jìn)入網(wǎng)絡(luò)安全建設(shè)新時(shí)代。其中明確提到：“國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，實(shí)行重點(diǎn)保護(hù)”[1]。

城市軌道交通信號(hào)系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施之一，是否能夠持續(xù)安全運(yùn)行，直接關(guān)系到廣大乘客的生命安全和社會(huì)運(yùn)行秩序，一旦遭到破壞，后果不堪設(shè)想。目前信號(hào)系統(tǒng)網(wǎng)絡(luò)安全并未受到高度重視，即便進(jìn)行了網(wǎng)絡(luò)安全防護(hù)建設(shè)，但是業(yè)務(wù)現(xiàn)場(chǎng)仍處于傳統(tǒng)的被動(dòng)的安全防護(hù)階段，主要采用“封、堵、查、殺”的方式筑起安全防線。面對(duì)新形勢(shì)下有目的性的新型網(wǎng)絡(luò)攻擊，必須調(diào)整安全建設(shè)思路，在網(wǎng)絡(luò)和信息系統(tǒng)安全防護(hù)被攻擊之前，構(gòu)建主動(dòng)防御體系，保障城市軌道交通信息基礎(chǔ)設(shè)施的運(yùn)行安全。

1 安全需求分析

1.1 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

信號(hào)系統(tǒng)按訪問(wèn)對(duì)象劃分為三大安全區(qū)域，包括控制中心、設(shè)備集中站(含車(chē)輛段、停車(chē)場(chǎng))、非設(shè)備集中站，其中業(yè)務(wù)系統(tǒng)包括列車(chē)自動(dòng)監(jiān)控子系統(tǒng)(ATS)、列車(chē)自動(dòng)防護(hù)子系統(tǒng)(ATP)、列車(chē)自動(dòng)駕駛子系統(tǒng)(ATO)、數(shù)據(jù)通信子系統(tǒng)(DCS)、聯(lián)鎖子系統(tǒng)(CI)、維護(hù)子系統(tǒng)(MSS)等多個(gè)子系統(tǒng)。各子系統(tǒng)通過(guò)信息交換網(wǎng)絡(luò)構(gòu)成閉環(huán)系統(tǒng)，實(shí)現(xiàn)地面控制與車(chē)上控制結(jié)合、現(xiàn)地控制與中央控制結(jié)合，構(gòu)成一個(gè)集行車(chē)指揮、運(yùn)行調(diào)整以及列車(chē)駕駛自動(dòng)化等功能為一體的列車(chē)自動(dòng)控制系統(tǒng)。按照信號(hào)系統(tǒng)實(shí)際業(yè)務(wù)需求，目前信號(hào)系統(tǒng)的等級(jí)保護(hù)只覆蓋到ATS子系統(tǒng)和維護(hù)網(wǎng)子系統(tǒng)。信號(hào)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖，如圖1所示。

圖1 信號(hào)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

1.2 安全防護(hù)現(xiàn)狀

目前，既有信號(hào)系統(tǒng)的安全防護(hù)大部分僅限于采用了傳統(tǒng)防火墻、防病毒等初級(jí)的防護(hù)措施。傳統(tǒng)防火墻主要進(jìn)行兩個(gè)網(wǎng)絡(luò)之間的邏輯區(qū)域隔離控制，主要訪問(wèn)控制、安全域管理等功能，但是傳統(tǒng)防火墻一般未裝載工業(yè)協(xié)議解析模塊，不能理解支持工業(yè)控制協(xié)議，傳統(tǒng)防火墻的架構(gòu)也不太適應(yīng)工業(yè)網(wǎng)絡(luò)實(shí)時(shí)性和生產(chǎn)環(huán)境的要求。終端主機(jī)防護(hù)通過(guò)安裝防病毒軟件來(lái)實(shí)現(xiàn)，但是防病毒軟件需要定期升級(jí)最新的病毒庫(kù)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境下不能保證病毒庫(kù)實(shí)時(shí)更新。

新建信號(hào)系統(tǒng)參照等級(jí)保護(hù)1.0的標(biāo)準(zhǔn)做了比較完善的安全防護(hù)工作，主要體現(xiàn)邊界防護(hù)、安全檢測(cè)、安全審計(jì)等方面。

(1)對(duì)信號(hào)系統(tǒng)與外部接口的網(wǎng)絡(luò)邊界部署工業(yè)防火墻，工業(yè)防火墻除了傳統(tǒng)防火墻具備的訪問(wèn)控制、安全域管理等功能外，還增加了針對(duì)工業(yè)協(xié)議的深度解析模塊，可以做到對(duì)信號(hào)系統(tǒng)應(yīng)用層協(xié)議內(nèi)容的解析，防止應(yīng)用層協(xié)議被篡改或破壞。另外信號(hào)系統(tǒng)的核心交換機(jī)一般都進(jìn)行了VLAN劃分[2]，將服務(wù)器、工作站、安全設(shè)備劃分在不同的VLAN中，降低了網(wǎng)絡(luò)被攻擊后的風(fēng)險(xiǎn)。

(2)對(duì)關(guān)鍵主機(jī)和服務(wù)器的配置進(jìn)行加固、補(bǔ)丁管理、漏洞修復(fù)等措施，部分通過(guò)部署白名單防病毒軟件對(duì)惡意代碼和惡意程序運(yùn)行進(jìn)行有效阻止。

(3)在核心區(qū)域交換機(jī)鏡像口旁路部署入侵檢測(cè)系統(tǒng)。對(duì)各級(jí)交換系統(tǒng)間的通信流量進(jìn)行分析，檢測(cè)病毒、蠕蟲(chóng)、木馬、間諜軟件、可疑代碼、掃描等網(wǎng)絡(luò)威脅攻擊，一旦發(fā)現(xiàn)攻擊及時(shí)上報(bào)。

(4)通過(guò)部署日志審計(jì)系統(tǒng)，對(duì)信號(hào)系統(tǒng)網(wǎng)絡(luò)中的安全設(shè)備和主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備日志信息集中審計(jì)分析。

1.3 風(fēng)險(xiǎn)分析

信號(hào)系統(tǒng)現(xiàn)有的這些傳統(tǒng)的安全防護(hù)手段雖然可以抵御大多數(shù)常見(jiàn)類(lèi)型的威脅和攻擊，但存在著局限性，有一定的安全風(fēng)險(xiǎn)隱患。

(1)缺少整體的安全體系規(guī)劃，部署的安全產(chǎn)品各司其職，關(guān)聯(lián)程度不高，僅能進(jìn)行單點(diǎn)或單一層面的防護(hù)，防護(hù)體系呈現(xiàn)扁平化的結(jié)構(gòu)，沒(méi)有構(gòu)建統(tǒng)一的安全防護(hù)體系，這就是安全產(chǎn)品堆砌很多，但是防護(hù)能力依然欠缺的原因。

(2)防護(hù)手段主要作用于攻擊或威脅發(fā)生后，屬于靜態(tài)監(jiān)測(cè)、被動(dòng)防御，對(duì)于未知威脅和新型網(wǎng)絡(luò)攻擊卻很難發(fā)揮作用。

(3)信號(hào)系統(tǒng)的安全風(fēng)險(xiǎn)狀態(tài)不能預(yù)測(cè)，缺少工控系統(tǒng)安全態(tài)勢(shì)感知能力，無(wú)法從資產(chǎn)、脆弱性、威脅等多個(gè)視角全面分析安全態(tài)勢(shì)。

(4)安全管理方面，運(yùn)營(yíng)人員安全意識(shí)不足，信息安全技術(shù)水平較低，需要信息安全管理能力的提升。

2 安全防護(hù)新思路

信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)在做好頂層設(shè)計(jì)構(gòu)建安全防護(hù)體系的基礎(chǔ)上，重點(diǎn)在等保2.0新增要求項(xiàng)上展開(kāi)安全防護(hù)新思路，主要體現(xiàn)在新型網(wǎng)絡(luò)攻擊防護(hù)，預(yù)知安全態(tài)勢(shì)，以及組建專(zhuān)業(yè)的安全管理團(tuán)隊(duì)，提高安全防護(hù)保障能力等方面。

2.1 頂層安全設(shè)計(jì)

構(gòu)建信號(hào)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系需要從信號(hào)系統(tǒng)業(yè)務(wù)流程及系統(tǒng)安全需求分析為基礎(chǔ)，保證信號(hào)系統(tǒng)所有用戶(hù)訪問(wèn)、操作都經(jīng)過(guò)授權(quán)，保證信號(hào)系統(tǒng)運(yùn)行環(huán)境安全可靠，保證各種安全機(jī)制不被旁路，因此必須以可信計(jì)算為基礎(chǔ)，以細(xì)粒度的訪問(wèn)控制為核心，遵循“一個(gè)中心、三重防護(hù)”的原則構(gòu)建信號(hào)系統(tǒng)網(wǎng)絡(luò)安全縱深防護(hù)體系[3-4]。

“一個(gè)中心、三重防御”是指以安全管理中心為核心，構(gòu)建以安全計(jì)算環(huán)境為基礎(chǔ)、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)為保障的信息安全整體防護(hù)體系。信號(hào)系統(tǒng)安全防護(hù)體系如圖2所示。

圖2 信號(hào)系統(tǒng)安全防護(hù)體系

安全管理中心是一個(gè)集合的概念，核心是實(shí)現(xiàn)所有安全機(jī)制的統(tǒng)一集中管理，是三層防護(hù)體系的控制中樞。安全管理中心由安全管理平臺(tái)實(shí)現(xiàn)，基本功能包括系統(tǒng)管理、安全管理、審計(jì)管理，同時(shí)建立全局統(tǒng)一可控的態(tài)勢(shì)感知平臺(tái)，共同為信號(hào)系統(tǒng)的安全可靠運(yùn)行提供重要支撐。

安全管理平臺(tái)采用“三權(quán)分立”，權(quán)利最小化原則。系統(tǒng)管理主要功能是對(duì)信號(hào)系統(tǒng)的整體運(yùn)行情況進(jìn)行管控，確保系統(tǒng)穩(wěn)定高效運(yùn)行。對(duì)計(jì)算環(huán)境內(nèi)的工作站、服務(wù)器等主機(jī)類(lèi)設(shè)備，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，安全設(shè)備以及網(wǎng)絡(luò)流量和用戶(hù)行為進(jìn)行監(jiān)測(cè)，對(duì)管理人員以及用戶(hù)身份進(jìn)行集中管理和授權(quán)等；安全管理主要功能是對(duì)信號(hào)系統(tǒng)安全策略實(shí)行統(tǒng)一配置、參數(shù)設(shè)置，安全標(biāo)記，對(duì)設(shè)備的安全性和可用性實(shí)時(shí)監(jiān)控，設(shè)置告警閾值；審計(jì)管理用于采集和處理整個(gè)信號(hào)系統(tǒng)中各個(gè)節(jié)點(diǎn)的審計(jì)信息，包括終端用戶(hù)的登錄、文件的讀寫(xiě)、入侵日志、網(wǎng)絡(luò)訪問(wèn)行為等，通過(guò)對(duì)審計(jì)信息的關(guān)聯(lián)分析，分析出信號(hào)系統(tǒng)可能存在的安全風(fēng)險(xiǎn)。

安全計(jì)算環(huán)境是信號(hào)系統(tǒng)安全的核心和基礎(chǔ)，是授權(quán)和訪問(wèn)控制的源頭。一方面計(jì)算環(huán)境安全通過(guò)主機(jī)、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)自身的安全服務(wù)機(jī)制，保障應(yīng)用業(yè)務(wù)處理全過(guò)程的安全。另一方面設(shè)置以強(qiáng)制訪問(wèn)控制為主體的系統(tǒng)安全機(jī)制，通過(guò)對(duì)用戶(hù)行為的控制，來(lái)防止非授權(quán)用戶(hù)訪問(wèn)和授權(quán)用戶(hù)越權(quán)訪問(wèn)，同時(shí)限制終端設(shè)備相關(guān)端口的使用。

安全區(qū)域邊界是信號(hào)系統(tǒng)與外部系統(tǒng)進(jìn)行數(shù)據(jù)交互的區(qū)域，安全區(qū)域邊界重點(diǎn)對(duì)進(jìn)入和流出計(jì)算環(huán)境的信息實(shí)施控制和保護(hù)，允許安全策略?xún)?nèi)的信息流經(jīng)過(guò)邊界。為滿(mǎn)足訪問(wèn)控制、邊界完整性檢查、入侵防范等基本安全要求，一般在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處，部署工控網(wǎng)關(guān)類(lèi)設(shè)備、入侵檢測(cè)類(lèi)設(shè)備等進(jìn)行安全防護(hù)。

安全通信網(wǎng)絡(luò)是計(jì)算環(huán)境之間實(shí)現(xiàn)信息傳輸功能的載體，信號(hào)系統(tǒng)通信網(wǎng)絡(luò)主要是安全區(qū)域之間的網(wǎng)絡(luò)通道，安全通信網(wǎng)絡(luò)需要確保用戶(hù)信息傳輸過(guò)程中不被竊聽(tīng)、篡改和破壞，需要對(duì)通信流量實(shí)時(shí)監(jiān)控，對(duì)異常流量和操作及時(shí)告警和記錄。

2.2 應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊

隨著針對(duì)工控系統(tǒng)的新型網(wǎng)絡(luò)攻擊的出現(xiàn)，如APT攻擊、勒索軟件、遠(yuǎn)程木馬、網(wǎng)絡(luò)蠕蟲(chóng)、郵件釣魚(yú)等，信號(hào)系統(tǒng)雖然采用了一些網(wǎng)絡(luò)安全防護(hù)措施，但仍面臨著網(wǎng)絡(luò)信息安全的嚴(yán)峻考驗(yàn)。其中APT攻擊是信號(hào)系統(tǒng)面臨的最大威脅，這種攻擊通常采用0day漏洞，攻擊目標(biāo)明確，持續(xù)時(shí)間很長(zhǎng)，很難被發(fā)現(xiàn)和進(jìn)行防御。

因此采用有效的技術(shù)應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊，成為信號(hào)系統(tǒng)安全防護(hù)的重要部分。在《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》以及《GBT28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》中也明確提出要求，應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析，應(yīng)部署抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)和威脅情報(bào)檢測(cè)系統(tǒng)或相關(guān)組件，并驗(yàn)證是否對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析[5-6]。

結(jié)合信號(hào)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)以及業(yè)務(wù)特點(diǎn)，結(jié)合現(xiàn)有的防護(hù)手段，可以通過(guò)建立信號(hào)系統(tǒng)運(yùn)行白環(huán)境來(lái)應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊[7]。

(1)信號(hào)系統(tǒng)區(qū)域邊界層面的防護(hù)，首先確定系統(tǒng)的區(qū)域邊界，信號(hào)系統(tǒng)的區(qū)域邊界比較清晰，一般是與綜合監(jiān)控系統(tǒng)(ISCS)、乘客信息系統(tǒng)(PIS)、廣播系統(tǒng)(PA)等外部系統(tǒng)互聯(lián)互通。在信號(hào)系統(tǒng)的區(qū)域邊界處部署工業(yè)防火墻，在對(duì)信號(hào)系統(tǒng)應(yīng)用層通信協(xié)議深度解析的基礎(chǔ)上，利用特有的白名單訪問(wèn)控制機(jī)制，實(shí)現(xiàn)信號(hào)系統(tǒng)邊界最小授權(quán)管理控制，保證只有可信任的設(shè)備才可以接入，與業(yè)務(wù)相關(guān)的訪問(wèn)才可以連接。

(2)在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署基于“白名單”技術(shù)的深度檢測(cè)系統(tǒng)，通過(guò)對(duì)采集的ATS網(wǎng)、維護(hù)網(wǎng)所有通信流量機(jī)器智能學(xué)習(xí)，建立信號(hào)系統(tǒng)正常通信流量模型，實(shí)時(shí)監(jiān)測(cè)異常流量并告警，保證只有可信任的流量才能在信號(hào)系統(tǒng)網(wǎng)絡(luò)中傳輸。

(3)在終端主機(jī)部署白名單架構(gòu)的安全防護(hù)軟件，防護(hù)軟件掃描信號(hào)系統(tǒng)主機(jī)的進(jìn)程，對(duì)經(jīng)過(guò)確認(rèn)的可執(zhí)行程序生成一個(gè)唯一的特征碼，特征碼集合起來(lái)形成特征庫(kù)，即白名單。只有白名單內(nèi)的可執(zhí)行程序才可以運(yùn)行，其他進(jìn)程都被阻止，從根本上扼制惡意代碼的運(yùn)行。

2.3 感知未來(lái)安全態(tài)勢(shì)

習(xí)近平總書(shū)記在419座談會(huì)上提出：“要樹(shù)立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”。隨著網(wǎng)絡(luò)安全法、等級(jí)保護(hù)2.0等政策標(biāo)準(zhǔn)的出臺(tái)，對(duì)未來(lái)安全態(tài)勢(shì)的感知被提升到了戰(zhàn)略高度，安全態(tài)勢(shì)感知技術(shù)應(yīng)需迅速崛起。態(tài)勢(shì)感知的最終目的是能夠基于環(huán)境動(dòng)態(tài)地、整體地識(shí)別安全風(fēng)險(xiǎn)，依靠大數(shù)據(jù)的支撐，從整個(gè)系統(tǒng)視角發(fā)現(xiàn)識(shí)別安全威脅，進(jìn)而理解分析預(yù)警，最終響應(yīng)處置落地。

信號(hào)系統(tǒng)在安全管理中心三大功能的基礎(chǔ)上，強(qiáng)化安全態(tài)勢(shì)感知，通過(guò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)，實(shí)現(xiàn)對(duì)所有安全設(shè)備的安全事件的統(tǒng)一收集、關(guān)聯(lián)分析達(dá)到安全態(tài)勢(shì)感知，宏觀展現(xiàn)系統(tǒng)的安全態(tài)勢(shì)。安全管理中心的安全態(tài)勢(shì)感知功能主要由信號(hào)系統(tǒng)防護(hù)、檢測(cè)、審計(jì)系統(tǒng)共同實(shí)現(xiàn)，通過(guò)對(duì)信號(hào)系統(tǒng)的安全信息進(jìn)行統(tǒng)一持續(xù)監(jiān)測(cè)，對(duì)采集的數(shù)據(jù)進(jìn)行深度分析和信息挖掘，發(fā)現(xiàn)面臨的信息安全威脅態(tài)勢(shì)，對(duì)正在發(fā)生的及將來(lái)的威脅進(jìn)行“客觀、準(zhǔn)確、及時(shí)、直觀”的集中展示與告警，為安全風(fēng)險(xiǎn)威脅提供分析手段，為安全保障措施提供客觀的決策依據(jù)。

在信號(hào)系統(tǒng)中，安全態(tài)勢(shì)感知網(wǎng)絡(luò)相當(dāng)于人體的神經(jīng)系統(tǒng)；工業(yè)防火墻、深度檢測(cè)系統(tǒng)、安全審計(jì)系統(tǒng)等安全設(shè)備以及服務(wù)器、網(wǎng)絡(luò)設(shè)備作為態(tài)勢(shì)感知信息來(lái)源的基礎(chǔ)，相當(dāng)于神經(jīng)元；安全分析相當(dāng)于神經(jīng)中樞——大腦，每個(gè)安全事件的處理過(guò)程就相當(dāng)于神經(jīng)傳導(dǎo)和處理過(guò)程[8]。信號(hào)系統(tǒng)的態(tài)勢(shì)感知目標(biāo)就是要為信號(hào)系統(tǒng)IT資源及其業(yè)務(wù)系統(tǒng)穿上一件保護(hù)外套，部署一套全方位的態(tài)勢(shì)感知網(wǎng)絡(luò)。態(tài)勢(shì)感知網(wǎng)絡(luò)示意圖如圖3所示。

圖3 態(tài)勢(shì)感知網(wǎng)絡(luò)示意圖

傳統(tǒng)的態(tài)勢(shì)感知僅是通過(guò)采集安全設(shè)備的審計(jì)信息和掃描結(jié)果進(jìn)行總結(jié)歸納，以圖表的形式展示出來(lái)，主要針對(duì)已知網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)測(cè)和評(píng)估，評(píng)估結(jié)果單一，也沒(méi)有實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的預(yù)測(cè)功能。如今，態(tài)勢(shì)感知需要采集多個(gè)維度信息源的數(shù)據(jù)，采用數(shù)據(jù)分析技術(shù)識(shí)別海量數(shù)據(jù)中有用的信息，通過(guò)機(jī)器學(xué)習(xí)、威脅情報(bào)分析等自動(dòng)生成分析模型，由已知威脅來(lái)推演未知威脅，對(duì)未來(lái)安全趨勢(shì)進(jìn)行風(fēng)險(xiǎn)預(yù)警和協(xié)同防御。態(tài)勢(shì)感知框架[9-10]如圖4所示。

圖4 態(tài)勢(shì)感知框架

首先，態(tài)勢(shì)感知需要有大數(shù)據(jù)的支撐，應(yīng)具有主動(dòng)采集能力。數(shù)據(jù)來(lái)源包括信號(hào)系統(tǒng)資產(chǎn)信息、拓?fù)湫畔?、系統(tǒng)性能和運(yùn)行狀態(tài)信息、各種設(shè)備告警、警報(bào)、事件、日志等原數(shù)據(jù)。

其次，通過(guò)智能化檢測(cè)分析，從海量數(shù)據(jù)中分析出有效的安全問(wèn)題，如威脅、脆弱性等。智能分析不僅僅是匹配靜態(tài)特征庫(kù)進(jìn)行安全威脅分析，要基于流量特征、行為分析建模、機(jī)器學(xué)習(xí)、數(shù)據(jù)關(guān)聯(lián)等進(jìn)行深度智能數(shù)據(jù)分析，從而具有解決未知威脅的能力。

最后，智能分析結(jié)果送入預(yù)警與響應(yīng)模塊，一方面借助態(tài)勢(shì)可視化進(jìn)行預(yù)警展示，另一方面，送入流程處理模塊進(jìn)行流程化響應(yīng)與安全風(fēng)險(xiǎn)運(yùn)維，做到及時(shí)、高效響應(yīng)處置。

2.4 組建安全管理團(tuán)隊(duì)

“三分技術(shù)，七分管理”，技術(shù)是安全防護(hù)的必要手段，人是安全防護(hù)的核心和尺度。信號(hào)系統(tǒng)運(yùn)營(yíng)人員普遍存在安全意識(shí)不高，安全知識(shí)缺乏，安全能力不足的問(wèn)題。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全現(xiàn)狀，需要組建專(zhuān)業(yè)的安全管理團(tuán)隊(duì)來(lái)提供網(wǎng)絡(luò)安全保障服務(wù)。安全管理團(tuán)隊(duì)可以由信號(hào)系統(tǒng)運(yùn)營(yíng)單位自己組建，也可通過(guò)專(zhuān)業(yè)的第三方安全團(tuán)隊(duì)來(lái)提供安全管理。安全管理團(tuán)隊(duì)在做好基本安全管理工作的同時(shí)，還需加強(qiáng)以下管理工作：

(1)做好系統(tǒng)風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警通報(bào)工作，及時(shí)向有關(guān)部門(mén)通報(bào)可能影響系統(tǒng)的重大漏洞和風(fēng)險(xiǎn)。

(2)做好應(yīng)急預(yù)案，定期開(kāi)展應(yīng)急演練，在演練過(guò)程中通過(guò)發(fā)現(xiàn)現(xiàn)存的網(wǎng)絡(luò)安全問(wèn)題，找到安全防護(hù)體系的短板，及時(shí)彌補(bǔ)持續(xù)優(yōu)化，提升安全防護(hù)能力。同時(shí)通過(guò)演練提高面對(duì)突發(fā)網(wǎng)絡(luò)攻擊的應(yīng)急響應(yīng)和應(yīng)急處置能力[11]。

(3)負(fù)責(zé)突發(fā)安全事件的響應(yīng)和處置，攻擊過(guò)程的分析和處理，以及事件的調(diào)查與溯源，做好事后的總結(jié)工作。

3 結(jié)論

隨著信息化的發(fā)展，網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻，尤其是APT等新型攻擊方式層出不窮，信號(hào)系統(tǒng)傳統(tǒng)的防御措施已經(jīng)無(wú)法應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊。等級(jí)保護(hù)2.0時(shí)代信號(hào)系統(tǒng)安全防護(hù)要在現(xiàn)有的傳統(tǒng)安全防護(hù)基礎(chǔ)上，結(jié)合等級(jí)保護(hù)新增要求項(xiàng)，做好安全防護(hù)頂層設(shè)計(jì)。以“一個(gè)中心、三重防御”為核心思想，構(gòu)建一個(gè)事前態(tài)勢(shì)感知、事中響應(yīng)防護(hù)、事后追蹤溯源的主動(dòng)安全防御體系，全面提升信號(hào)系統(tǒng)網(wǎng)絡(luò)安全感知能力和防護(hù)能力。