城軌CBTC系統信息安全分析

張 磊

(通號城市軌道交通技術有限公司，北京，100070)

1 概述

隨著社會發展，科技進步，互聯網技術得到飛速突破，并且應用到各個領域。在城市軌道交通信號系統內，也采用局域網的方式進行信息交互傳輸。但隨著互聯網的應用與日俱增，其漏洞及缺陷也陸續暴露，并被黑客利用，對網絡設備進行滲透、攻擊，造成嚴重后果，因而信息安全在社會生活中的重要性越來越高。軌道交通基于通信的列車控制系統（CBTC）信號系統雖然利用封閉的局域網，但其安全性同樣受到挑戰，作為保障軌道交通運行安全的信號系統，其信息安全的重要性更為突出。結合目前信號系統狀況，分析地鐵信號CBTC系統存在的隱患，并提出信息安全應對措施。

2 CBTC系統介紹

CBTC是一種連續的自動控制系統，采用大容量、雙向連續的車地數據通信，實現列車的自動控制。通常CBTC信號系統由如下子系統組成：

列車自動監控子系統（ATS）；

計算機聯鎖系統（CBI）；

列車自動防護子系統（ATP）；

列車自動運行子系統（ATO）；

維護子系統（MSS）；

數據通信系統（DCS）。

如圖1所示，信號CBTC系統，其通信依托DCS子系統網絡，通過傳輸設備、交換及路由設備連接控制中心、車站、車輛段以及列車，為應用設備提供透明傳輸通道，與互聯網無連接接口，是一個相對封閉的局域網絡。

圖1 信號CBTC系統結構圖Fig.1 Structure of signaling CBTC system

其外部接口主要是ATS子系統與通信系統（無線、時鐘、廣播）、綜合監控系統、電力監控系統、乘客信息系統（PIS）、列控中心（TCC）系統等，以及與臨線信號設備存在互聯互通的接口。

結合《信息系統安全等級保護定級指南》中對信息系統安全保護等級的兩個定級要素（等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度）的理解，結合軌交協用戶需求書模板以及各大城市公安部門對城軌信號系統的等保備案要求，目前城軌信號系統信息安全等級保護定位為三級。

3 CBTC信號系統信息安全現狀分析

3.1 信號系統安全現狀

地鐵信號CBTC系統網絡是一個相對封閉的環境，在以往建設中，更側重于通過管理手段確保系統安全，通過嚴格的準入制度，結合外部接口的防火墻設備、殺毒軟件等，作為基本的信息安全防護手段，保護信號系統的安全。通過在多個地鐵運營公司的調研和多家地鐵設計公司的交流調查，得出軌道交通行業信號系統的現狀如下：

安全域劃分不明確；

病毒庫升級無法實時更新；

外部接口限制隱患；

維護工作存在安全隱患；

沒有安全審計機制；

非國產化設備存在設計漏洞。

3.2 信號系統安全分析

信息等級保護可以劃分為技術與管理兩個方面，根據《信息安全技術信息系統安全等級保護基本要求》（GB/T 22239-2008）和《信息安全技術信息系統安全管理要求》（GB/T20269-2006）的要求，其中技術要求更多面向信號系統，而管理要求更側重于建設及運營管理，因此本文從技術方面對信號CBTC系統的信息安全特性進行分析。

結合信號CBTC系統特點及現狀，從信息安全技術角度劃分，可分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復5個方面。原則上物理安全由運營單位組織管理，依靠運營管理制度確保信號CBTC系統的物理安全，其他4個方面的常見問題總結如下。

1) 網絡安全

安全域劃分不明確，安全域之間的隔離設置不合理，缺乏安全域之間的訪問控制功能等；

缺少防止地址欺騙的技術手段；

在邊界入口缺少訪問控制策略，對HTTP、FTP、TELNET、SMTP、POP3等協議未進行有效控制；

無法有效的檢測到網絡攻擊行為，并對攻擊源IP、攻擊類型等信息進行記錄；

交換機剩余端口未封閉、訪問協議未加密、登錄用戶及密碼簡單，日志未啟用等；

缺少有效安全審計功能。

2) 主機安全

缺乏有效的安全審計功能；

采用傳統網絡防病毒軟件，無法及時更新惡意代碼庫，且影響系統穩定性；

服務器存在大量的弱口令；

服務器的USB、光驅等未封閉，存在交叉感染的隱患。

3) 應用安全

登錄用戶及密碼簡單，登錄方式單一；

缺乏有效的安全審計功能；

4) 數據安全

數據庫登錄用戶及密碼簡單；

缺失數據備份手段。

4 應對措施

由于信號CBTC系統用于保護行車安全，各子系統的相關性高，運營維護實時性高，在進行信息安全防護時，需要充分結合信號CBTC系統的特點，避免對系統的整體性能、故障維護造成影響。

4.1 實施原則

信號CBTC系統信息安全等級保護方案，其設計原則如下。

1) 最小影響原則。增加的信息安全方案應盡量減少對信號系統性能及架構的影響，避免引入新的故障點。

2) 技術管理并重原則。信息安全問題不是單純的技術問題，僅僅通過技術手段很難完整解決全部問題，需要綜合考慮技術手段和管理手段，使用管理方法提升CBTC系統的安全級別。

3) 適度安全原則。沒有絕對的安全系統，過高的安全要求，將增加安全防護的成本，并增加系統的維護故障點，需要在安全性、便利性和成本等諸方面尋找平衡點。

4) 方案可行性原則。增加的信息安全方案要考慮工程實施的可行性，兼顧建設方、運營方、維護方等各方的需求。

5) 分區分域建設原則。根據信號系統的特點，充分考慮信號CBTC系統的線性分布格局，以及外部系統、鄰線信號系統的通信需求，合理劃分安全域。

6) 多重保護原則。建立整體的防護體系，當一種防護機制失效時，其他防護措施能夠提供有效的防御。

7) 可擴展性原則。網絡面臨的風險是實時變化的，隨著技術的進步，可能出現新的危險源，因此在建設網絡防護機制時，需考慮到一定擴展要求，使得防護系統本身具備升級能力。

4.2 實施方案

根據信號CBTC系統的現狀，結合信息安全分析情況，在增強管理手段的同時，需對信號系統的網絡重新規劃，對主機進行加固，并增加部分信息安全設備，共同解決信號CBTC系統的安全防護等級。

1) 網絡安全

信號CBTC系統分為5個獨立的網絡，各網絡物理隔離，沿著地鐵線路呈線性分布，由于信號系統整體功能緊湊，不適合按照地域劃分安全域，因此將一條線路信號系統每個網絡劃分為一個獨立的安全域，在與通信系統（無線、時鐘、廣播）、綜合監控系統、電力監控系統、PIS系統、TCC系統等外部系統接口處，設置工業級安全網關，對網絡進行隔離防護；在與臨線信號系統接口處，設置工業級安全網關，對網絡進行隔離防護。

在安全域邊界入口設備上，設置訪問控制策略，禁 止 HTTP、FTP、TELNET、SMTP、POP3等 協的進出，并防范地址的進入，檢測外部網絡攻擊行為，并對攻擊源IP、攻擊類型等信息進行記錄。

增加管理手段，對交換機端口進行配置，關閉未使用的端口，并對訪問協議進行控制，按照規范要求設置用戶名及密碼。

增加安全審計設備，采用旁路接入的方式，對整個信號CBTC網絡進行審計監控。

2) 主機安全

增加安全審計設備，并在應用主機上設置審計軟件，記錄用戶的操作行為、系統資源異常占用以及使用重要系統命令等重要的安全行為，并生成報表以供后續審計。

升級防病毒設備，由于信號系統網絡為封閉網絡，傳統的網絡防病毒軟件，無法及時更新惡意代碼庫，需要人工定期升級，實時性較差，且有一定的誤殺情況，建議使用白名單機制的防病毒系統，通過學習信號系統的通信情況，建立允許機制，提高防病毒工作的實時性及有效性。

增加漏洞掃描設備，定期檢查系統是否存在漏洞，消除隱患。

通過管理手段，將弱口令修改為強口令，并關閉USB以及光驅等外設接口，提高主機的安全性。

3) 應用安全

通過管理手段，修改軟件用戶名及登錄密碼。

增加安全審計設備，并在應用主機上設置審計軟件對應用活動進行審計。

4) 數據安全

通過管理手段，修改數據庫用戶名及登錄密碼。

通過管理手段，實現本地數據備份與恢復，維護人員每日進行數據備份，備份的數據異地存放；實現異地數據備份，可利用CBTC數據專用網絡在地鐵運行空閑時段發送備份數據。

在以上4個方面的基礎上，在不影響系統性能的前提下，還應盡可能的使用國產設備的應用，逐步提高國產自主化產品應用，提升自主可控能力。如在CBTC系統研發中逐步國產網絡設備、硬件設備、操作系統的比例，使用國產安全設備進行安全防護，降低安全問題對信號CBTC系統的影響。

5 結論

通過合理規劃CBTC信號網絡，對現有CBTC系統主機及應用進行加固，適當增加信息安全設備，并逐步提高國產設備的應用比例，提高CBTC系統的安全性，使得城市軌道交通系統的正常運行得到了可靠保障，有效防止黑客的非法攻擊，保證旅客安全出行。而在未來，隨著信息安全的理念更加深入，信息安全設備也會在軌道交通系統下得到大規模的應用，在各個方面提供安全、穩定的服務。