典型地面信號系統(tǒng)的信息安全分析

郭亮， 余騫， 袁雪冰

（1. 中國鐵道科學研究院集團有限公司通信信號研究所，北京 100081；2. 北京華鐵信息技術有限公司，北京 100081）

我國高速鐵路具有安全、高效和高速等特點，已成為一張名副其實的靚麗名片。另外，城市軌道交通也隨著我國城鎮(zhèn)化的深入推進，逐步成為城市交通的主要方式。地面信號控制系統(tǒng)作為軌道交通系統(tǒng)的神經(jīng)中樞和大腦，經(jīng)過長期引進消化和自主發(fā)展，功能安全的技術積累已較為成熟。由于目前我國地面信號控制系統(tǒng)大多通過以太網(wǎng)進行信息交互，系統(tǒng)間接口較多，信息傳遞路徑復雜，而且信息安全研究體系尚未建立，因此，如何從信息安全的角度對典型地面信號控制系統(tǒng)進行防護已成為重要研究課題。

1 信息安全分析的必要性

2016年，習近平總書記在網(wǎng)絡安全與信息化工作座談會上指出要“加快構建關鍵信息基礎設施安全保障體系”［1]，特別提到交通領域的關鍵信息基礎設施作為經(jīng)濟社會運行的神經(jīng)中樞，具有重大風險隱患，一旦出問題，具有很大的破壞性和殺傷力。近年來，越來越多針對工控系統(tǒng)的網(wǎng)絡攻擊事件也不斷顯示其強大的破壞性和廣泛的影響力。例如，2010年，伊朗爆發(fā)了專門針對可編程邏輯器件PLC 的“震網(wǎng)”病毒，利用西門子Step 7軟件中的漏洞突破后臺權限并感染數(shù)據(jù)庫，造成離心機頻繁損壞，使得伊朗的鈾濃縮計劃延期長達2年之久。2015年12月，網(wǎng)絡攻擊者利用其在烏克蘭能源網(wǎng)絡中的立足點關閉了3 家電力配送公司，導致22 萬多個家庭在寒冷的冬季無電可用。2018年5月，丹麥國家鐵路公司（DSB）遭遇了大規(guī)模的DDoS 攻擊，事件造成約1.5 萬旅客無法通過該公司的應用程序和售票機購買火車票，運營商只得人工售票。這些事件都表明，確保工控系統(tǒng)特別是軌道交通信號控制系統(tǒng)的網(wǎng)絡安全，對于保障國家工業(yè)基礎設施和人民生命財產(chǎn)安全具有重大意義。

長期以來，聯(lián)鎖、列控等典型地面信號系統(tǒng)采用核心子系統(tǒng)的容錯架構、傳輸通道的冗余配置以及關鍵信息的交叉校驗等方式保證傳輸信息的安全與可靠。在發(fā)展之初，由于傳輸信息量小、傳輸環(huán)境與通道進行物理封閉，并未考慮對信號系統(tǒng)設置信息安全防護機制。但是，隨著接入信息傳輸網(wǎng)絡的設備越來越多，傳輸?shù)男畔⒁踩遮厪碗s，并出現(xiàn)了基于GSM-R 等開放式網(wǎng)絡環(huán)境的應用場景。因此，我國信號系統(tǒng)信息安全采用了傳統(tǒng)防火墻、訪問控制、隔離等技術，同時制定了鐵路安全通信協(xié)議等專用協(xié)議。這些措施雖然從一定程度上提升了系統(tǒng)的安全性，但由于鐵路信息傳輸大多采用TCP/IP 協(xié)議的開放式技術，因此，極易因各方面缺陷被非法分子通過網(wǎng)絡進行破壞、竊取或者篡改，遭受各種黑客攻擊。

2 典型地面信號系統(tǒng)信息安全分析發(fā)展現(xiàn)狀

2.1 安全標準與規(guī)范

通常，工業(yè)控制領域中的安全問題可分為物理安全（Physical Safety）、功能安全（Functional Safety）和信息安全（Information Security）。除物理安全是針對由外部環(huán)境和應用場景產(chǎn)生的影響外，功能安全和信息安全則均需開發(fā)人員自行做出防護。其中，功能安全是保證系統(tǒng)安全運行、實現(xiàn)系統(tǒng)全生命周期的終極目標，而信息安全則是實現(xiàn)系統(tǒng)安全的保護手段的集合。

ISO/IEC 27002《信息安全管理要求》是信息安全領域的管理體系標準。標準提出信息安全的3要素：機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），簡稱為CIA。在此基礎上，IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全》針對工控系統(tǒng)進一步具體規(guī)定，應先考慮可用性，其次為完整性，最后才是信息的機密性，簡稱AIC。

IEC 61508《電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》是目前為止在安全相關系統(tǒng)領域中較為核心的國際標準之一，該標準對系統(tǒng)的功能安全作出理論概括和技術總結，并不針對某一特定的應用領域。IEC 61508 定義了安全完整性等級，并將風險作為度量危險的指標，是功能安全領域的總綱。

在此基礎上，歐洲電氣化標準委員會制定了鐵路安全相關標準EN 50126、EN 50128、EN 50129 和EN 50159。其中EN 50159 是針對鐵路通信信號系統(tǒng)中有關信息傳輸?shù)陌踩ㄐ艠藴?，重點關注了安全相關系統(tǒng)中當借助封閉傳輸系統(tǒng)和開放傳輸系統(tǒng)進行信息傳輸過程中可能面臨的7種威脅安全問題，并針對每種威脅推薦了相應的防御方式。但EN 50159 在信息安全領域只關注可能出現(xiàn)的異常消息對安全應用的影響，并未考慮信息在傳輸過程中的私密性、外部主動或惡意攻擊等一般性的信息安全問題。在我國鐵路安全的具體實踐中，國標GB/T 24339 完全引入EN 50159，二者互為等價標準，其內(nèi)容和條款也完全一致。這些協(xié)議主要是立足于信息傳輸過程中的完整性和可靠性，并沒有考慮信息在傳輸過程中遭到竊聽或泄露等信息安全攻擊的場景。

鐵路信號系統(tǒng)作為工控系統(tǒng)中重點領域的核心設備，由于其獨特的應用場景和嚴苛的安全要求，因此在傳統(tǒng)工控系統(tǒng)信息安全防護策略的基礎上，還存在以下特殊需求：

（1）信息安全防護手段不能對信息實時性造成明顯的影響；

（2）信息安全防護手段不能降低系統(tǒng)的可用性，即不能出現(xiàn)非計劃性的重啟；

（3）子系統(tǒng)間多采用專用通信協(xié)議。

2.2 國內(nèi)外研究現(xiàn)狀

目前，國外學者在信息安全領域中提出很多風險分析的基本方案與重要模型，構建了信息安全綜合分析的流程與方法。例如，評估建模中的攻擊樹（AttackTree）模型［2]、攻擊圖（AttackGraph）模型［3]及Petri 網(wǎng)模型［4]等，但在鐵路信號系統(tǒng)領域的具體實踐中也缺乏足夠的范例。

長期以來，我國學者對鐵路信息系統(tǒng)，尤其是信號系統(tǒng)的信息安全開展了大量深入研究。特別是在城市軌道交通迅猛發(fā)展的背景下，學者也越來越關注CBTC系統(tǒng)和其他地鐵信息系統(tǒng)中的信息安全問題。

初期，研究人員只關注鐵路管理網(wǎng)絡等非核心信息網(wǎng)絡，由于封閉式設計和安全協(xié)議的防護，并未將研究重點放在鐵路信號系統(tǒng)，同時安全的手段也停留在建立制度與人員管理上，技術手段還相對薄弱。2005年，劉磊［5]對鐵路信息網(wǎng)中的系統(tǒng)層和信息安全2方面的保障措施進行調(diào)研，并制定了一系列安全管理制度和提出了相關的安全技術防范措施。2006年，熊劍等［6]提出采用信息加密技術保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，從功能安全角度分析了鐵路信號網(wǎng)絡。

隨著信息系統(tǒng)等級保護制度逐步建立和工控系統(tǒng)正式成為信息系統(tǒng)的組成部分之一，研究人員開始從等級保護的角度出發(fā)，對信號系統(tǒng)的安全防護提出策略與建議。2012年，張磊等［7]對地鐵信號控制系統(tǒng)、相關信息系統(tǒng)和無線信號的主要評價指標進行測評，同時結合軌道交通的功能特點，探索建立等級保護測評的方法。2012年，陳登科［8]從軌道交通信號系統(tǒng)中的操作系統(tǒng)、功能應用軟件和信息網(wǎng)絡通道3方面分析可能出現(xiàn)的各種威脅，并參考常用的網(wǎng)絡安全防護技術提出部署IPS入侵防御系統(tǒng)、網(wǎng)管系統(tǒng)、帶寬管理系統(tǒng)等手段。2017—2019年，王海濤、劉龍、劉晨陽、張琪等［9-12]對符合城市軌道交通信號系統(tǒng)安全三級等級保護要求的建設方案進行了探討。

目前，考慮到信號系統(tǒng)的應用特殊性，我國學者開始將功能安全與信息安全相融合，在充分分析系統(tǒng)結構特點的基礎上，有針對性地提出解決方案，并進一步完成了風險分析與風險監(jiān)測等方面的研究。2016年，王紹杰等［13]對比當前CTCS-3 級列車控制系統(tǒng)中的功能安全和信息安全在威脅、漏洞、后果、評價方式和標準要求等方面的區(qū)別，詳細列舉了目前CTCS-3 級列車控制系統(tǒng)中的網(wǎng)絡威脅，并針對性地提出安全防護策略。李賽飛等［14-16]將下一代網(wǎng)絡架構的軟件定義網(wǎng)絡（SDN）引入鐵路信息網(wǎng)絡安全防護中。由于這種新型網(wǎng)絡架構將網(wǎng)絡設備的控制面和數(shù)據(jù)面分離，從而實現(xiàn)了網(wǎng)絡流量的靈活控制，同時可對所有設備的傳輸數(shù)據(jù)進行統(tǒng)一管理。該團隊首先在鐵路通信系統(tǒng)網(wǎng)絡中進行驗證，采用故障樹分析方法，提出基于可信計算和軟件定義網(wǎng)絡相結合的安全體系架構。隨后，提出基于我國高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的SD-SSDN 安全防護方案，改進后的SDN 架構是面向功能設計的白名單表控制方式，可提升網(wǎng)絡的可靠性、保證網(wǎng)絡的實時性。2017年，付淳川等［17]詳細研究了高鐵信號系統(tǒng)中面臨的安全風險。劃定不同的安全域，采用不同的算法實現(xiàn)攻擊圖的生成，得到較為完整的攻擊路徑。同時對分析出的風險，還采用基于組件安全屬性的風險評估方法，實現(xiàn)了對風險值的定量評估。2018年，陳佳民［18]對CBTC 系統(tǒng)中的安全通信場景和重放攻擊場景分別建模，將CBTC 系統(tǒng)類比為典型的無線網(wǎng)絡控制系統(tǒng)（WiNCS），并基于軌道交通領域的功能特點改進了殘差卡方算法和Pearson 系數(shù)法對風險進行監(jiān)測。2018年，陶偉［19]分析了目前城市軌道交通信號系統(tǒng)的安全措施僅限于安裝防火墻和部署殺毒軟件等初級的保護措施，提出實時網(wǎng)絡攻擊行為捕獲、“白名單”準入等信息安全防護建議。2018年，孫心宇［20]提出將信息安全中的威脅和風險等相關因素納入功能安全防護的框架中，將功能安全分析中的故障樹和信息安全分析中的攻擊樹方法整合，并選取CBTC 中的ATP 子系統(tǒng)為研究對象作出綜合安全分析。2018年，陳文賽［21]分析了軌道交通信號系統(tǒng)與通用信息技術系統(tǒng)中信息安全遵循原則的區(qū)別，并結合當前新技術，從功能安全、信息安全與物理安全3 方面為軌道交通信號系統(tǒng)提供信息安全保障的體系結構。2019年，羅銘等［22]通過調(diào)研當前滲透測試的常用方法，立足于CBTC 系統(tǒng)的實際功能，對系統(tǒng)主機采取了一般攻擊和漏洞利用等滲透攻擊方法，進而根據(jù)實際攻擊結果提出改善建議。

可以看出，信號系統(tǒng)的信息安全研究經(jīng)歷了由單純的“加密算法改進”等功能安全措施，到“加強管理制度和體系建設”等一般工控系統(tǒng)安全策略的過程，最終形成了基于信號系統(tǒng)的網(wǎng)絡架構和應用場景，采用其他工控系統(tǒng)成熟的防護技術加以改進，努力建設具備針對性和可實踐性的信號系統(tǒng)信息安全防護技術的研究方向。

3 信息安全分析流程

在上述文獻調(diào)研的基礎上，通過借鑒成熟的工控系統(tǒng)信息安全分析技術，充分考慮信號系統(tǒng)的功能特點，根據(jù)GB/T 22239—2019《信息安全技術網(wǎng)絡安全等級保護基本要求》，即“等保2.0”將典型地面信號系統(tǒng)的信息安全分為5個方向：安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全建設管理。而風險分析是面向全過程安全防范技術，可有力地支撐上述5個方向的具體實施。信息安全風險分析流程可分為4個階段：分析準備階段、風險識別階段、風險計算階段和安全防護階段（見圖1）。

圖1 信息安全風險分析流程

在此，以CTCS-3 級列車控制系統(tǒng)中無線閉塞中心子系統(tǒng)RBC-YH 為例，結合該子系統(tǒng)的功能，對其風險分析流程的4個階段進行闡述。

3.1 分析準備階段

系統(tǒng)分析是進行安全防護的基本前提。無線閉塞中心RBC-YH 是CTCS-3 級列車控制系統(tǒng)中的地面核心設備，通過接收安全網(wǎng)通信對象（CBI、TSRS 和NRBC）、CTC 和車載ATP 的信息，計算生成列車的移動授權，并通過GSM-R 無線網(wǎng)絡下達至車載設備，達到控制列車安全運行的目的。RBC-YH 的結構及內(nèi)外接口見圖2。

圖2 RBC-YH結構及內(nèi)外接口

分析上述結構，可針對無線閉塞中心RBC-YH 進行框架建模，該模型需描述基于安全數(shù)據(jù)網(wǎng)的有線封閉式網(wǎng)絡環(huán)境和基于GSM-R 的無線開放式網(wǎng)絡環(huán)境，同時還需考慮低級別網(wǎng)絡（2M 專用數(shù)字網(wǎng)絡），以便定量地描述系統(tǒng)的狀態(tài)關系，為之后信息安全的攻擊路徑提供理論計算基礎。

3.2 風險識別階段

風險識別是進行安全防護的重要依據(jù)。由于RBCYH 與多種設備均進行數(shù)據(jù)交互，且網(wǎng)絡連接復雜，同時存在內(nèi)部接口和外部接口。因此，對通信接口的數(shù)據(jù)流和傳輸方式進行分析對風險識別具有重要意義。

通過列舉RBC-YH 的內(nèi)部接口和對外接口（見表1、表2），梳理完成各子系統(tǒng)間的傳輸方式與傳輸信息，可對各關鍵節(jié)點的安全屬性進行編號與抽象。采用攻擊圖或攻擊樹等方式，對RBC-YH 的安全風險進行識別。

表1 RBC-YH內(nèi)部接口分析

表2 RBC-YH對外接口分析

3.3 風險計算階段

風險計算是進行安全防護的必要手段。立足于信息安全中的可用性、完整性、機密性，構建RBC-YH系統(tǒng)的風險評價指標，采用專家系統(tǒng)，對各評價指標進行打分。通過多目標優(yōu)化算法，以系統(tǒng)的可靠性和實時性為約束條件，定量計算RBC-YH 的信息安全風險。

3.4 安全防護階段

安全策略是進行安全防護的最終目的。對分析出的各項風險及其風險值，判斷其是否為可接受的風險。如不可接受，則提出相應的安全防護策略。目前，基本的安全防護可分為安全技術防護與安全管理制度防護。除加強安全制度建設，人員和設備管理外，還應加強安全技術手段，如網(wǎng)絡隔離、端口保護、增加防火墻等方式。同時，充分跟蹤信息安全的發(fā)展趨勢，為下一代信號系統(tǒng)的網(wǎng)絡架構提出創(chuàng)新性建議。

4 結束語

基于充分調(diào)研信息安全領域的標準與鐵路領域的現(xiàn)行規(guī)范，分析信息安全在高速鐵路和城市軌道交通領域的發(fā)展現(xiàn)狀，并結合“等保2.0”中對工控系統(tǒng)的明確要求和信號系統(tǒng)的功能特點，提出典型地面信號系統(tǒng)的信息安全分析流程。以自主化RBC-YH 為例，提出信息安全分析方案，對其他信號系統(tǒng)的信息安全分析具有借鑒意義。