列控系統(tǒng)信息安全風(fēng)險分析與防護(hù)技術(shù)探討

趙小軍，黃天天，馬金鑫

(北京華鐵信息技術(shù)有限公司，北京 100081）

1 概述

列車運(yùn)行控制系統(tǒng)（簡稱列控系統(tǒng)）目的是充分利用各種先進(jìn)的科學(xué)信息技術(shù)和裝置，保障列車以最低安全間隙的距離運(yùn)行，以期達(dá)到最大軌道交通運(yùn)輸能力。廣義上列車運(yùn)行控制系統(tǒng)包括調(diào)度集中系統(tǒng)（行車指揮）、計(jì)算機(jī)聯(lián)鎖系統(tǒng)（進(jìn)路控制）、列車控制系統(tǒng)（列車運(yùn)行間隔控制）和鐵路信息通信專用設(shè)備等。在列控系統(tǒng)的建立初期，各子系統(tǒng)形成自己的獨(dú)有網(wǎng)絡(luò)，系統(tǒng)間相互獨(dú)立，且鐵路系統(tǒng)運(yùn)行管理過程中對實(shí)施流程具有完善、嚴(yán)格的約束，整體上來說，可以認(rèn)為幾乎沒有網(wǎng)絡(luò)信息安全問題。近年來，隨著IT技術(shù)的快速發(fā)展，鐵路系統(tǒng)智能化發(fā)展及科技創(chuàng)新需求日益顯著，通用IT技術(shù)在鐵路列控系統(tǒng)中的應(yīng)用也開始日趨廣泛、深入，列車運(yùn)行控制過程的各子系統(tǒng)、設(shè)備之間以及與外部相關(guān)系統(tǒng)之間逐漸開始存在大量的數(shù)據(jù)交換和信息共享，導(dǎo)致系統(tǒng)內(nèi)部各個設(shè)備既相互獨(dú)立工作又相互聯(lián)系，形成了復(fù)雜的內(nèi)部結(jié)構(gòu)。而列控系統(tǒng)設(shè)備之間對外信息交互接口日益增多，越來越多的通用軟件、標(biāo)準(zhǔn)硬件和通用的通信協(xié)議被應(yīng)用于列控系統(tǒng)，導(dǎo)致系統(tǒng)本身安全漏洞緩慢增多。例如自身系統(tǒng)內(nèi)核漏洞、網(wǎng)絡(luò)通信協(xié)議漏洞和應(yīng)用層軟件漏洞，一旦潛在的攻擊者偵察到這些安全漏洞，將導(dǎo)致針對信息網(wǎng)絡(luò)的各種網(wǎng)絡(luò)攻擊在列控系統(tǒng)中擴(kuò)散，嚴(yán)重威脅鐵路運(yùn)輸安全。

鐵路列控系統(tǒng)面臨不斷加劇的網(wǎng)絡(luò)信息安全態(tài)勢及快速發(fā)展且逐步嚴(yán)峻的外部網(wǎng)絡(luò)信息環(huán)境，鐵路運(yùn)輸系統(tǒng)中涉及運(yùn)行安全的相關(guān)核心裝備，典型如列控系統(tǒng)，亟待在傳統(tǒng)的功能安全保障基礎(chǔ)上，進(jìn)一步深化開展網(wǎng)絡(luò)與信息安全層面的梳理、風(fēng)險分析與防護(hù)能力優(yōu)化設(shè)計(jì)。鐵路列控系統(tǒng)作為一種特定行業(yè)背景的工業(yè)控制系統(tǒng)，在網(wǎng)絡(luò)與信息安全層面的防護(hù)方法能夠從工業(yè)控制領(lǐng)域得到眾多啟示。

國內(nèi)外對工業(yè)控制系統(tǒng)的發(fā)展均已將信息安全作為系統(tǒng)優(yōu)化、能力加固的一種重要方向，其相關(guān)研究主要集中在4個方面：信息安全體系架構(gòu)、漏洞挖掘技術(shù)、態(tài)勢感知技術(shù)、主動防御技術(shù)，相應(yīng)的核心技術(shù)、產(chǎn)品等也已在眾多工業(yè)控制領(lǐng)域得到實(shí)際應(yīng)用，發(fā)揮了確保網(wǎng)絡(luò)信息安全能力的關(guān)鍵效應(yīng)。

國外鐵路信號廠商、研究機(jī)構(gòu)也已開始關(guān)注鐵路列控系統(tǒng)的信息安全防護(hù)問題，在軌旁聯(lián)鎖系統(tǒng)的網(wǎng)絡(luò)安全及漏洞挖掘、系統(tǒng)攻防測試、調(diào)度指揮系統(tǒng)的安全邊界等方面已有一定探索。然而，隨著國內(nèi)CTCS列控系統(tǒng)體系的不斷深化，面向以車載中心化、衛(wèi)星定位自主感知、基于IP的多模通信等為核心技術(shù)特征的下一代列控系統(tǒng)已開展了多項(xiàng)相關(guān)研究，其配套的信息安全層面的技術(shù)創(chuàng)新、體系構(gòu)建及應(yīng)用融合等已迫在眉睫。

2 列控系統(tǒng)信息安全風(fēng)險分析

信息安全態(tài)勢評估（Cyber Security Situation Assessment，CSSA）是對系統(tǒng)當(dāng)前的安全態(tài)勢以及未來的安全發(fā)展趨勢進(jìn)行評估，以此為基礎(chǔ)進(jìn)一步深入研究，實(shí)現(xiàn)在有入侵信息系統(tǒng)動作發(fā)生之前，就快速準(zhǔn)確預(yù)警并實(shí)施有效的防御，把信息系統(tǒng)面臨的風(fēng)險降到最低，從而達(dá)到主動防護(hù)的效果。

在實(shí)施信息安全風(fēng)險分析過程中，對系統(tǒng)在信息安全層面的脆弱性進(jìn)行挖掘，是明確系統(tǒng)風(fēng)險來源和切入點(diǎn)的前提基礎(chǔ)。系統(tǒng)的脆弱性不可避免，其存在的原因有多方面，例如通信協(xié)議的漏洞、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和軟硬件的不正確部署和配置、操作系統(tǒng)程序的缺陷等。這些漏洞、問題導(dǎo)致系統(tǒng)出現(xiàn)脆弱點(diǎn)，不但威脅到使用透析傳輸?shù)母鞣N應(yīng)用，也嚴(yán)重威脅到某些以認(rèn)證和授權(quán)的方式進(jìn)行傳輸?shù)南到y(tǒng)。因此，通過對鐵路列控系統(tǒng)進(jìn)行脆弱性分析，可以發(fā)掘存在的相關(guān)弱點(diǎn)，便于后期防護(hù)設(shè)備的布置、防御技術(shù)的疊加或融合。

對鐵路列控系統(tǒng)開展相應(yīng)脆弱性分析的主要內(nèi)容包括以下5個方面。

1）利用脆弱性分析提供詳細(xì)的列控系統(tǒng)安全說明，使系統(tǒng)設(shè)計(jì)、研制與管理應(yīng)用人員可以根據(jù)系統(tǒng)的狀況以及現(xiàn)有脆弱性情況進(jìn)行有效合理的安全措施部署，避免因新增安全措施而產(chǎn)生新的脆弱性的可能。

2）通過脆弱性分析，能更直接的反映列控系統(tǒng)的信息安全狀態(tài)，更具備說服力，使系統(tǒng)設(shè)計(jì)、研制與管理應(yīng)用人員更加直觀地了解列控系統(tǒng)信息安全整體狀況并定位具體的薄弱環(huán)節(jié)，為系統(tǒng)信息安全優(yōu)化提供理論指導(dǎo)和依據(jù)，為安全策略制定提供參考。

3）通過脆弱性分析結(jié)果生成攻擊圖，可以使系統(tǒng)設(shè)計(jì)、研制與管理應(yīng)用人員明確發(fā)現(xiàn)現(xiàn)有系統(tǒng)的安全缺陷，釆取有效補(bǔ)救辦法，花費(fèi)最小代價提高列控系統(tǒng)的信息安全狀態(tài)及抵御能力。

4）在一些不安全因素尚存的前提下，列控系統(tǒng)在未來一段時間內(nèi)的安全趨勢成為被關(guān)注的焦點(diǎn)，脆弱性分析可以為列控系統(tǒng)安全態(tài)勢分析提供一定理論依據(jù)。

5）在列控系統(tǒng)的風(fēng)險分析中，脆弱性導(dǎo)致的生產(chǎn)安全問題會對設(shè)備本身在保密性、完好性和實(shí)用性方面產(chǎn)生威脅，脆弱性分析可以為風(fēng)險分析提供參考意義；同時，根據(jù)脆弱性產(chǎn)生的安全威脅在整個運(yùn)行相關(guān)系統(tǒng)中可能導(dǎo)致的危害程度不同，對系統(tǒng)組件分別采取不同程度的保護(hù)措施，從而為列控系統(tǒng)的等級保護(hù)提供相應(yīng)評判依據(jù)。

脆弱性分析包含定性和定量分析過程，為深入定位、辨識、評估脆弱點(diǎn)的風(fēng)險類型和影響程度，運(yùn)用專用工具實(shí)施針對性的測試評估是一種非常重要的手段，如在網(wǎng)絡(luò)分析挖掘中常用的滲透測試，是一種常用來開展量化精準(zhǔn)脆弱性分析的手段。一個完整的滲透測試過程包含預(yù)攻擊階段、攻擊階段、后攻擊階段，通過收集掃描受測對象設(shè)備的相關(guān)信息、實(shí)施端口/漏洞/協(xié)議等方面的攻擊侵入實(shí)驗(yàn)，模擬實(shí)際運(yùn)行過程中可能面臨的安全攻擊事件，并在后攻擊階段介入更高級別權(quán)限的攻擊行為，從而觀察、提取、確認(rèn)系統(tǒng)中存在的漏洞、問題以及在特定攻擊下顯現(xiàn)的負(fù)向反應(yīng)，為系統(tǒng)脆弱性分析提供明確、量化的分析結(jié)果。

3 列控系統(tǒng)信息安全防護(hù)技術(shù)

在明確列控系統(tǒng)信息安全脆弱性及相應(yīng)風(fēng)險的基礎(chǔ)上，通過特定技術(shù)策略實(shí)現(xiàn)信息安全層面的有效防護(hù)，是將信息安全特征與思想融入實(shí)際列控系統(tǒng)研制與應(yīng)用的關(guān)鍵環(huán)節(jié)。目前，工業(yè)控制系統(tǒng)中主要涉及信息安全方面的防護(hù)技術(shù)包括：網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、通信傳輸、控制無線使用、控制訪問、入侵防范、惡意代碼防范、安全審計(jì)、身份鑒別、資源控制、軟件容錯、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)和邊界防護(hù)等多個方面。對于鐵路列控系統(tǒng)而言，目前主要關(guān)注的內(nèi)容集中于頂層安全體系架構(gòu)以及關(guān)鍵的感知防御技術(shù)層面。綜合工業(yè)控制領(lǐng)域的研究發(fā)展經(jīng)驗(yàn)以及國內(nèi)、外在鐵路列控系統(tǒng)方向的發(fā)展現(xiàn)狀，針對列控系統(tǒng)的信息安全防護(hù)技術(shù)可以從以下4個方面進(jìn)行。

1）鐵路列控信息安全體系架構(gòu)：通過把不同安全防護(hù)體相互融合來實(shí)現(xiàn)唯一有效的綜合型防護(hù)屏障，這樣的安全體系架構(gòu)能夠更好地減弱攻擊者對鐵路列控信息系統(tǒng)中的網(wǎng)絡(luò)侵害和破壞，確保列控系統(tǒng)信息安全性，為信息保護(hù)、數(shù)據(jù)輸送提供強(qiáng)健穩(wěn)定的基礎(chǔ)。鐵路列控系統(tǒng)網(wǎng)絡(luò)所帶來的風(fēng)險與壓力在不斷增強(qiáng)，為更好保證信息安全，必須注重提高列控系統(tǒng)特定安全管理體系架構(gòu)的完整性、實(shí)用性。

工業(yè)控制領(lǐng)域相關(guān)系統(tǒng)的安全體系架構(gòu)如圖1所示。在管理安全方面，從安全策略和管理制度安全策略、安全管理機(jī)構(gòu)和人員、安全管理建設(shè)外包軟件開發(fā)、安全運(yùn)維管理漏洞和風(fēng)險管理4個方面進(jìn)行信息安全考慮及控制。在可靠的安全技術(shù)方面，基于工業(yè)自動化控制系統(tǒng)劃分的各層為單位，考慮各層包含的設(shè)備及設(shè)備功能、設(shè)備重要性、網(wǎng)絡(luò)結(jié)構(gòu)、可能存在的風(fēng)險等因素，各層間采用邊界防護(hù)技術(shù)，通過防火墻、網(wǎng)閘等設(shè)備對各層級之間，尤其是控制網(wǎng)絡(luò)與非控制網(wǎng)絡(luò)間的通信進(jìn)行監(jiān)視及控制。通過各層級內(nèi)部以及層級之間的安全防護(hù)技術(shù)和加強(qiáng)管理方面的防護(hù)來保證工業(yè)控制系統(tǒng)的信息安全。鐵路列控系統(tǒng)作為工業(yè)控制系統(tǒng)在鐵路運(yùn)輸行業(yè)的一個典型實(shí)例，可參照上述安全體系架構(gòu)設(shè)計(jì)與之相應(yīng)的整體體系，進(jìn)而對系統(tǒng)的設(shè)計(jì)、研制、運(yùn)用、管理及維護(hù)等多個過程實(shí)施優(yōu)化。

圖1 工業(yè)控制系統(tǒng)安全體系架構(gòu)Fig.1 Security architecture of industrial control system

2）網(wǎng)絡(luò)安全漏洞挖掘技術(shù)：列控網(wǎng)絡(luò)系統(tǒng)主要不安全因素包括系統(tǒng)應(yīng)用層軟件、各類運(yùn)用設(shè)備間通信安全協(xié)議和組成信息系統(tǒng)等的所存在的網(wǎng)絡(luò)信息泄露或漏洞。入侵者運(yùn)用漏洞針對列控信息系統(tǒng)實(shí)施靶向攻擊，會給列控信息系統(tǒng)帶來極大的損失。以現(xiàn)有的安全技術(shù)手段，鏟除這些隱患的方法除了進(jìn)行可靠安全性應(yīng)用程序的開發(fā)、通信協(xié)議加密、操作系統(tǒng)打補(bǔ)丁之外，最有效的方案就是在侵入者挖掘使用這些系統(tǒng)漏洞進(jìn)行侵入破壞之前，利用既有的漏洞挖掘技術(shù)來偵測挖掘這些存在信息系統(tǒng)中的漏洞，進(jìn)行針對性的信息系統(tǒng)攻擊，以便對存在缺陷的應(yīng)用程序進(jìn)行相應(yīng)安全補(bǔ)丁升級，及時建立抵當(dāng)入侵者攻擊的防御體系。

3）態(tài)勢感知技術(shù)應(yīng)用：如何進(jìn)行實(shí)時、動態(tài)地監(jiān)測了解列控系統(tǒng)所處的安全態(tài)勢，是實(shí)施有效針對性措施的前提基礎(chǔ)。態(tài)勢感知技術(shù)是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風(fēng)險的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式?；诹锌叵到y(tǒng)的態(tài)勢感知技術(shù)應(yīng)具備信息空間安全持續(xù)監(jiān)控能力，時刻偵測挖掘分析各種存在的攻擊威脅與異常風(fēng)險信息，對與列控系統(tǒng)脅迫有關(guān)的影響范圍、攻擊途徑、目標(biāo)、攻擊方式進(jìn)行快速判別，從而有效提升列控系統(tǒng)信息安全性。

4）主動防御技術(shù)：是有入侵列控系統(tǒng)因素行為發(fā)生以前，能夠即時準(zhǔn)確的預(yù)警，同時構(gòu)建防御體系，積極主動地采取防御策略，提前部署防御措施，防止、轉(zhuǎn)移、減少信息系統(tǒng)面臨的風(fēng)險，使得攻擊者無法達(dá)到其目的，從而保護(hù)被攻擊的系統(tǒng)的防御技術(shù)。針對列控系統(tǒng)的主動防御技術(shù)部署與實(shí)施需結(jié)合各子系統(tǒng)實(shí)際特性及特定運(yùn)行環(huán)境及場景實(shí)施定制化設(shè)計(jì)，并從頂層符合信息安全體系架構(gòu)的整體約束，形成體系化且具有局部/全局綜合提升效益的防御機(jī)制。

4 結(jié)論與展望

本文總結(jié)了列控系統(tǒng)運(yùn)用發(fā)展過程中面臨的網(wǎng)絡(luò)信息安全環(huán)境及主要問題，論述列控系統(tǒng)信息安全風(fēng)險分析的主要思想和實(shí)施途徑。對列控系統(tǒng)信息安全脆弱性分析的主要方式及過程進(jìn)行總結(jié)，以工業(yè)控制系統(tǒng)的信息安全體系為出發(fā)點(diǎn)，進(jìn)一步從信息安全體系架構(gòu)、漏洞挖掘技術(shù)、態(tài)勢感知技術(shù)、主動防御技術(shù)等4個方面分析列控系統(tǒng)信息安全防護(hù)技術(shù)。本文所做的分析是對列控系統(tǒng)快速發(fā)展過程中在信息安全保障層面的進(jìn)一步深入，相應(yīng)的體系、技術(shù)思路對于促進(jìn)列控系統(tǒng)技術(shù)、裝備、體系的發(fā)展深入納入信息安全特征與能力建設(shè)有促進(jìn)意義。