城市軌道交通信號系統信息安全風險辨識

陳嘉怡，燕 飛

?

城市軌道交通信號系統信息安全風險辨識

陳嘉怡，燕 飛

（北京交通大學電子信息工程學院，北京 100044）

從城市軌道交通信息安全面臨的嚴峻形勢出發，介紹城軌交通信號系統組成，并對信號系統各子系統功能進行闡述。城軌交通信號系統是保證列車安全、準點、高密度運行的重要技術裝備，主要由列車自動監控子系統、列車自動防護子系統、列車自動運行子系統、聯鎖子系統組成。根據信息安全風險分析模型，識別城軌交通信號系統信息安全的威脅來源及核心資產。由于城軌交通系統屬于工業控制系統的典型系統，城軌信號系統則具備工控系統的一般性特點，繼承工控系統的脆弱性。針對國內城軌交通信息安全研究的空白之處，結合工控系統不同層級結構的脆弱性，從技術和管理兩個方面進行信號系統的信息安全風險辨識，通過分析發現存在物理安全、網絡安全、主機安全和應用安全等層次上的風險。風險辨識結果反映出城軌交通信息安全存在大量的薄弱環節，以期為日后的研究和防護工作的開展打下基礎。

城市軌道交通；信號系統；信息安全；風險辨識；脆弱性分析

城市軌道交通系統是工業控制系統的一部分，但其除延續了工業控制系統的系統特點之外，也存在特殊性。由于軌道交通列車運行直接承載乘客，危險性更高、更直接，并且近些年來無線通信技術和寬帶網絡技術的發展不僅給這個行業帶來了新的發展，也引入了相關的威脅。在《城市軌道交通2016年度統計和分析報告》中指出，城市軌道交通系統的運營較之前有很大的變化，主要體現在以下幾點：運營規模進一步增大，運營網絡化趨勢明顯；客運量增長明顯，發車間隔縮短，運輸效率逐步提高。因此針對運營網絡化趨勢以及客運量日益增長的這些形勢，城市軌道交通信息安全面臨的威脅還是很嚴峻的。

城市軌道交通中重要的一環就是信號系統，但是如今針對信號系統信息安全的風險辨識及研究工作還處在初步階段。現如今的網絡時代大環境要求我們盡快地投入這個課題的研究中，這也是筆者研究的初衷。

1 城市軌道交通信號系統概述

信號系統是保證列車安全、準點、高密度運行的重要技術裝備。城市軌道交通信號系統包含以下4個子系統。

1.1 列車自動監控子系統

列車自動監控子系統（automatic train supervision，ATS）的功能包括：列車自動識別、列車運行自動跟蹤和顯示；運行時刻表或運行圖的編制及管理；自動和人工排列進路；列車運行自動調整；列車運行和信號設備狀態自動監視；列車運行數據統計；列車運行實際記錄；操作與數據記錄、輸出及統計處理；列車運行、監控模擬及培訓；系統故障和故障恢復處理。

1.2 列車自動防護子系統

列車自動防護子系統（automatic train protection，ATP）的功能包括：檢測列車位置；實現列車間隔控制和進路的正確排列；監督列車運行速度；實現列車超速防護控制；防止列車誤退行等非預期的移動；為列車車門、站臺門的開閉提供安全監控信息；實現車載信號設備的日檢，記錄司機操作和設備運行狀況。

1.3 列車自動運行子系統

列車自動運行子系統（automatic train operation，ATO）的功能包括：啟動列車并實現站間自動運行；控制列車實現車站定點停車、車站通過和折返作業；與行車指揮監控系統相結合，實現列車運行自動調整；車門、站臺門的開閉監控。

1.4 聯鎖子系統

聯鎖子系統（computer interlocking，CI）是保證列車運行安全的設備，實現列車在進路上道岔、信號機、軌道區段之間正確的聯鎖關系。

城市軌道交通信號系統按照設備設置的地域可分為7大部分，即控制中心設備、正線車站和軌旁設備、車載設備、車輛段及停車場設備、試車線設備、維修中心設備和培訓中心設備，具體構成如圖1所示。

2 信息安全風險分析

2.1 風險分析模型

資產所有者為了保證資產的可用性，會嚴格控制資產信息的傳播和修改，并使用資產保護措施以抵御威脅。圖2 說明了這些概念之間的關系[2]。

2.2 威脅主體

在城市軌道交通信號系統需抵御的信息安全威脅程度確定條件中，初始識別的信號系統面臨的信息安全威脅是指可能是惡意的、非惡意的或環境的（自然的），并可能導致工業控制系統基本功能損害或喪失。其中，威脅來源通常包括以下3種[2-3]：

1）非惡意的威脅，是指非惡意人員可能意外地損害工業控制系統信息資產的行為，如：企業內部人員由于缺乏責任心，或者由于不關心和不專注，或者沒有遵循規章制度和操作流程而導致故障或信息損壞。

2）惡意的威脅，是指惡意人員針對工業控制系統信息資產的所有故意行為，如內部人員（缺乏訓練的、心懷不滿的、惡意的、疏忽的、不誠實的或終止勞動關系的人員），黑客、解密高手、惡意入侵者，計算機犯罪分子，恐怖組織，工業間諜（情報機構、公司、敵對國家政府、其他政府利益集團）。

3）環境的威脅，也稱自然的威脅，是指不是基于人為行為損害工業控制系統信息資產的所有事件，如：斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環境危害或自然災害。

2.3 核心資產

在進行城市軌道交通信號系統風險辨識分析之前，要先進行重要資產的識別。信號系統涉及區域：正線、停車場、試車線、控制中心、備用控制中心區域和列車車體。

圖1 城市軌道交通信號系統構成

考慮到與信息安全相關，可能成為攻擊目標，并且結合維護成本以及被攻擊后的損失，將信號系統的核心資產總結歸納為以下幾部分：

1）現場設備：信號地面機、轉轍機、計軸器、區間防護門、軌旁/車載無線設備、地面/車載無線寬帶設備、中心/車站電調設備、中心/車站CCTV等。

2）現場控制：PIS（passenger information system）、DCS（data communication system）、CI（computer interlocking）、DSU（data saving unit）等控制級設備。

3）過程監控：中央/車站監控系統。

2.4 分析信息安全風險必要性

依據城軌交通信號系統中典型工業控制系統的屬性，按照工業控制系統的結構分層，把信號系統的結構分為現場總線控制網絡、過程控制與監控網絡以及企業辦公網絡[4-6]。

現場總線網絡由于通常處于作業現場，因此環境復雜，部分控制系統網絡采用各種接入技術作為現有網絡的延伸，如無線等，這也就存在一定的安全風險。同時維護現場設備時，也可能因不安全的串口連接（如缺乏連接認證）或缺乏有效的配置核查，影響整個系統的正常運營和功能實現。該網絡眾多設備云集，設備自身的安全漏洞也是不容忽視的。同時，網絡中傳輸的重要數據沒有進行加密也存在被篡改或泄露的風險。

圖2 安全概念及其關系

過程控制與監控網絡中的安全威脅有以下幾點：不安全的移動維護設備的未授權接入；監控網絡設備與控制系統或是現場設備之間不安全的無線通信；一些網絡協議在設計時大多沒有考慮安全因素，缺少認證、授權和加密機制。

企業辦公網絡中的安全風險包括以下幾點：信息資產自身漏洞的脆弱性；網絡互連給系統帶來的脆弱性；內部管理機制缺失帶來的脆弱性，由于企業內部系統或人員訪問缺少基本的管控和認證機制，也同時存在設備隨意接入、非授權訪問、越權訪問等多種風險；缺乏安全意識帶來的脆弱性，主要是安全政策、管理制度以及人員的安全意識培養都不完善[4-7]。

3 信息安全風險辨識

根據《網絡安全等級保護基本要求》中第五部分對于工業控制系統安全拓展要求中的規定，從技術和管理兩個方面進行城市軌道交通風險辨識的研究[8]。

3.1 技術層面上的風險辨識

3.1.1 物理安全

1）環境因素的風險。城軌交通信號系統大部分所處的環境都較特殊，并且系統對于環境溫度及濕度的要求較高，因此自然環境帶來的風險不可能忽視。雷電、洪水、火災等都可能成為威脅物理安全的重要風險[9]。

2）缺乏物理訪問控制。機房、控制室或工程師站等設備和數據服務集中站經常是防護手段中較薄弱的一環，對于進出的人員如不進行鑒別、控制和記錄，無法實現物理訪問的安全，可能會導致更嚴重的后果。同時，對于站內設備的區域管理也不是很完善，沒有實現應有的物理隔離。

3）電力供應手段不足。城市軌道交通信號系統的正常運營會建立在電力供應正常的基礎上，因此如果電力供應不穩定或是因某一電纜線路損壞而導致不能正常運營，可能會引發站內乘客滯留，甚至導致車廂內的乘客恐慌而引發更嚴重的事故。

3.1.2 網絡安全

1）網絡結構配置不完善。由于很多網絡設計之初更多的考慮實用性，對于安全性考慮較少，從而導致沒有給網絡預留冗余結構空間，在業務高峰期或是發生特殊險情之時沒有足夠的帶寬或空間來進行協調和調度。同時，還要根據部門的不同職能和信息的重要程度來劃分不同的網段和子網，并對它們各自的地址段進行完全的管控[10]。

2）網絡的訪問控制管理不完善。由于城軌交通系統網絡的特殊性，對于其管控應該更加嚴格。網絡邊界缺乏訪問控制也是信號系統的一個重大隱患。由于通信信號應用的無線網絡頻段與乘客的無線設備的頻段相似，因此，列車接收的信號很容易被乘客或一些其他的信號信息所干擾，城軌交通曾發生過類似事故，由此反映了現如今對于進出網絡的信息還沒有進行有效的過濾措施。

3）缺乏安全審計。對于信號系統網絡中的網絡設備運行情況、網絡流量、管理者行為應進行日志記錄，但是對于這些重要數據和文件的審計并不完善，導致核心數據未及時記錄，影響設備的監察和維護，同時攻擊者可能對審計記錄進行破壞或者篡改，因此對審計記錄的保存也應予以高度重視，以避免未預期的刪除、修改或覆蓋等。

4）惡意代碼攻擊或入侵。攻擊者可能針對網絡邊界處進行惡意代碼攻擊，由于目前城軌系統中對于惡意代碼的防范以及惡意代碼庫的建立并不完善，因此如果攻擊者選取其中一個薄弱點進行攻擊的話，有可能造成列車運營中的各種事故，甚至威脅乘客或站內工作人員的生命財產安全。

對于攻擊者惡意入侵這一危險源，目前暫不能進行預計，因此只能加強網絡邊界處的惡意入侵防范，并且在受到攻擊時，及時針對攻擊手段和攻擊目標進行緊急處理，將損失降到最低。

5）網絡設備防護不完善。信號系統的網絡設備對實現信號系統的功能有重要作用，因此網絡設備的登錄管理要更加完善，要對登錄請求的用戶進行身份鑒別和登錄地址限制，同時身份鑒別的口令要有一定的復雜度并且不定時更換，否則就會導致攻擊者登錄網絡設備，進而進行數據篡改、損壞更改控制命令等不法操作。

同樣不可忽略的是，目前對于網絡設備的遠程管理還不夠完善。攻擊者可能繞過網絡邊界的訪問，直接對數據傳輸通道進行竊聽或是監聽。

3.1.3 主機安全

1）控制系統和數據庫訪問控制機制不完善。中心和車站的控制系統都是由專職的工作人員負責的，因此對于這些系統的訪問控制是不容忽視的。攻擊者可能直接對沒有訪問控制的系統執行不法操作，或是冒用非法掌握的身份信息進行訪問。

2）剩余信息保護措施不完善。中心和車站最重要的區域就是控制中心、調度站等進行控制行為和存儲大量數據的地點。因此，工作人員之間對于訪問權限的設定是很重要的環節。不容忽略的是，在進行工作人員之間的存儲空間轉換時，要對存儲空間中的剩余信息進行清除和保護，否則可能造成權限外的關鍵數據和信息的泄露，為攻擊者所用。

3）資源控制措施不完善。由于城市軌道交通信號系統的實行范圍很大，工作環境人員較為密集，并且對于重點工作區域的安保工作不夠強，因此，對于操作系統或重要服務器的終端登錄方式設定如果太過簡單就會給攻擊者可乘之機，并且不能忽視攻擊者中可能存在內部工作人員和外部人員。對于操作系統的登錄超時要設定適當的時間，否則如果攻擊者直接接觸或直接在操作臺上操作或篡改重要數據，導致的后果不堪設想。

3.1.4 應用安全

1）通信保護措施不完善。由于信號系統的主要功能是建立設備、系統之間的通信聯系，因此通信的完整性和保密性尤為重要。如果在通信路徑上沒有建立足夠完善的保護措施，那么攻擊者可能會竊聽到重要的控制命令和通信內容，這就破壞了通信的保密性，甚至在竊聽的基礎上篡改數據指令，破壞數據的完整性。

2）抗抵賴措施不完善。攻擊者可能冒充控制中心傳遞錯誤信息，這時如果沒有提供原發證據的要求，那么數據接受設備或執行者很難識別錯誤信息，使得列車的運行狀態被擾亂或列車調度出現問題，從而導致重大事故的發生。

3）軟件容錯功能不完善。即使系統在設計之初保障了系統的可用性，但是由于信號系統一定程度上的故障率，在運行過程中由于各種原因發生故障也是無法避免的，這就需要設置軟件容錯功能。在一定程度上其功能要保證人機接口的輸入輸出數據格式是系統可識別的，同時在系統發生故障時，應啟動自動保護功能，保護當時的運行狀態，以確保系統能夠進行恢復。

3.1.5 數據安全與備份恢復

在現如今的安全保障措施中，對于數據的完整性和保密性措施是很匱乏的，對于管理數據和普通數據也還沒有進行完善的分類保護，影響了安全審計的效果，也無法正常實施系統的維護和監控。

同時，對數據進行備份也是保障信息安全、降低攻擊受影響程度的一個重要措施。對于本地數據的備份恢復功能是基礎，并且要以天為單位，同時還要建立重要數據異地備份功能。這樣即使攻擊者針對數據進行破壞或篡改之后，系統依然能夠實現容錯功能。

3.2 管理層面上的風險辨識

目前城軌交通系統信息安全的形勢是員工的安全意識不強，沒有完善的信息安全管理也是導致這一形勢的重要原因。雖然管理層面上的風險可能不會直接導致事故的產生，但是它卻是一切安全措施正常實施的根本保障[11]。

1）對于員工的安全意識和安全專業知識的定期培訓是容易忽視的一點。

2）系統文檔不全面也是管理上的漏洞。例如一份系統操作指南對于規范工作人員的行為是很重要的，操作指南是系統發生故障之時安全恢復的重要組成部分，在運維時，操作指南的缺失會大大降低工作人員的工作效率，增加再次故障的風險。

3）業務連續性計劃或災難恢復計劃也不明確。由于城軌交通系統的穩定性是直接和乘客的人身安全息息相關的，因此在發生故障或事故的同時，如果在管理層面上沒有正確的應急響應機制，那么無疑會無限擴大事故波及的范圍，也會對乘客造成更加嚴重的傷害。

在重要的軟硬件設備發生故障時，如果業務連續性計劃或災難恢復計劃缺失，可能會造成業務中斷及生產數據丟失。

4 結語

對于城市軌道交通信號系統信息安全風險辨識的工作是不容忽視的，由于交通行業也是工業控制系統的一個典型系統，因此可以借鑒工業控制系統的一些已有理論加以拓展。但是由于其系統還存在特殊性，所以一切分析不能一概而論，要結合行業特點和實踐經驗加以分析。

[1] 趙玉巖. 城市軌道交通信號系統的研究[J]. 城市建設理論研究(電子版), 2015, 5(26): 1536-1537.

ZHAO Yuyan. Research on urban rail transit signal system[J].Urban construction theory research, 2015, 5(26): 1536-1537.

[2] 信息安全技術信息安全風險評估規范: GB/T 20984—2007[S]. 北京: 中國標準出版社, 2007.

Information security technology-Risk assessment specifi-ca-tion for information security: GB/T 20984—2007[S]. Beijing: Standards Press of China, 2007.

[3] 盧慧康, 陳冬青, 彭勇, 等. 工業控制系統信息安全風險評估量化研究[J]. 自動化儀表, 2014, 35(10): 21-25.

LU Huikang, CHEN Dongqing, PENG Yong, et al. Quan-titative research on risk assessment for information security of industrial control system[J]. Automatic instrument2014, 35(10): 21-25.

[4] Security for industrial auto-mation and control systems part 1: Terminology, Concepts, and Models: ANSI/ISA– 99.00.01–2007[S]. American National Standard, 2007.

[5] STOUFFER K, FALCO J, SCARFON KE. Guide to industrial control systems (ICS) security[M]. NIST Special Publication, 2008.

[6] Industrial control network & system security standar-dization: IEC 62443 [S]. Information technology & stan-dardi-zation, 2011

[7] 陶凌漢, 李璐. 工業控制系統脆弱性分析及安全管控研[J]. 保密科學技術, 2016 (1): 30-35.

TAO Linghan, LI Lu. Vulnerability analysis of industrial control systems and safety management research [J]. Sec-recy science and technology, 2016 (1): 30-35

[8] 信息安全技術信息系統安全等級保護基本要求: GB/T 22239—2008[S]. 北京: 中國標準出版社, 2008.

Ionformation secuiryt technology: Baseline for classified protection of information system security: GB/T 22239—2008 [S]. Beijing: Standards Press of China, 2008

[9] 陶志堅, 姚日煌. 工業控制系統信息安全風險評估研究[J]. 電子產品可靠性與環境試驗, 2016, 34 (6): 15-21.

TAO Zhijian, YAO Rihuang, Study on information security risk assessment of industrial control systems. Electronic product reliability and environmental testing, 2016, 34(6): 15-21.

[10] 張帥. 工業控制系統安全風險分析[J]. 信息安全與通信保密, 2012(3): 15-19.

ZHANG Shuai. Industrial control system security risk analysis. China information security, 2016, 34(6): 15-21.

[11] 束昱, 田坤, 路姍, 等. 我國城市地鐵運營系統的風險與安全評價研究[C]//地下交通工程與工程安全?第五屆中國國際隧道工程研討會文集. 上海, 2011.

BU Yu, TIAN Kun, LU Shan, et al. Study on risk and safety evaluation of metro operation system in China [C] // Proceedings of the 5th China International Tunnel Engi-neering Symposium on Underground Traffic Engineering and Engineering. Shanghai, 2011.

（編輯：王艷菊）

Identification of Information Security Risk in Urban Rail Transit Signal Systems

CHEN Jiayi, YAN Fei

(School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044)

Based on the critical situation of information security in urban rail transportation systems, a signal system is introduced for the latter, and the functions of each subsystem of the signal system are elaborated. The signal system comprises the core technology and equipment that ensure the safety, punctuality, and high-density operation of trains, and primarily consists of an automatic control system, automatic protection system, automatically operated subsystem, and interlocking subsystem. The risk sources and core assets of information security in the signal system are identified using an information security risk analysis model. As the urban rail transportation system is a typical industrial control system, its signal system is characterized by the general traits and vulnerabilities of the latter. Our studies in the field of transportation information security of domestic urban rail systems and the vulnerabilities at different levels of the industrial control system have been performed keeping the two aspects of information security risk identification, viz., technology and management, in mind. We have identified the risks existing in the current level of physical, network, host, and application securities through proper analysis.Our results highlight the weaknesses of urban rail transportation information security, and pave the way for future research and protection work.

urban rail transit; signal system; information security; risk identification; vulnerability analysis

U231

A

1672-6073(2018)02-0119-05

10.3969/j.issn.1672-6073.2018.02.020

2017-06-27

2017-07-23

陳嘉怡，女，碩士研究生，從事城市軌道交通信息安全研究，chenjiayi1610@163.com

燕飛，男，副教授，碩士生導師，從事城市軌道交通信息安全研究，fyan@bjtu.edu.cn

國家自然科學基金重點項目（U1434209）；中國信息安全測評中心項目（CNITSEC-KY-2016-01）