張 磊

(通號(hào)城市軌道交通技術(shù)有限公司，北京，100070)

1 概述

隨著社會(huì)發(fā)展，科技進(jìn)步，互聯(lián)網(wǎng)技術(shù)得到飛速突破，并且應(yīng)用到各個(gè)領(lǐng)域。在城市軌道交通信號(hào)系統(tǒng)內(nèi)，也采用局域網(wǎng)的方式進(jìn)行信息交互傳輸。但隨著互聯(lián)網(wǎng)的應(yīng)用與日俱增，其漏洞及缺陷也陸續(xù)暴露，并被黑客利用，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行滲透、攻擊，造成嚴(yán)重后果，因而信息安全在社會(huì)生活中的重要性越來(lái)越高。軌道交通基于通信的列車(chē)控制系統(tǒng)（CBTC）信號(hào)系統(tǒng)雖然利用封閉的局域網(wǎng)，但其安全性同樣受到挑戰(zhàn)，作為保障軌道交通運(yùn)行安全的信號(hào)系統(tǒng)，其信息安全的重要性更為突出。結(jié)合目前信號(hào)系統(tǒng)狀況，分析地鐵信號(hào)CBTC系統(tǒng)存在的隱患，并提出信息安全應(yīng)對(duì)措施。

2 CBTC系統(tǒng)介紹

CBTC是一種連續(xù)的自動(dòng)控制系統(tǒng)，采用大容量、雙向連續(xù)的車(chē)地?cái)?shù)據(jù)通信，實(shí)現(xiàn)列車(chē)的自動(dòng)控制。通常CBTC信號(hào)系統(tǒng)由如下子系統(tǒng)組成：

列車(chē)自動(dòng)監(jiān)控子系統(tǒng)（ATS）；

計(jì)算機(jī)聯(lián)鎖系統(tǒng)（CBI）；

列車(chē)自動(dòng)防護(hù)子系統(tǒng)（ATP）；

列車(chē)自動(dòng)運(yùn)行子系統(tǒng)（ATO）；

維護(hù)子系統(tǒng)（MSS）；

數(shù)據(jù)通信系統(tǒng)（DCS）。

如圖1所示，信號(hào)CBTC系統(tǒng)，其通信依托DCS子系統(tǒng)網(wǎng)絡(luò)，通過(guò)傳輸設(shè)備、交換及路由設(shè)備連接控制中心、車(chē)站、車(chē)輛段以及列車(chē)，為應(yīng)用設(shè)備提供透明傳輸通道，與互聯(lián)網(wǎng)無(wú)連接接口，是一個(gè)相對(duì)封閉的局域網(wǎng)絡(luò)。

圖1 信號(hào)CBTC系統(tǒng)結(jié)構(gòu)圖Fig.1 Structure of signaling CBTC system

其外部接口主要是ATS子系統(tǒng)與通信系統(tǒng)（無(wú)線、時(shí)鐘、廣播）、綜合監(jiān)控系統(tǒng)、電力監(jiān)控系統(tǒng)、乘客信息系統(tǒng)（PIS）、列控中心（TCC）系統(tǒng)等，以及與臨線信號(hào)設(shè)備存在互聯(lián)互通的接口。

結(jié)合《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》中對(duì)信息系統(tǒng)安全保護(hù)等級(jí)的兩個(gè)定級(jí)要素（等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度）的理解，結(jié)合軌交協(xié)用戶需求書(shū)模板以及各大城市公安部門(mén)對(duì)城軌信號(hào)系統(tǒng)的等保備案要求，目前城軌信號(hào)系統(tǒng)信息安全等級(jí)保護(hù)定位為三級(jí)。

3 CBTC信號(hào)系統(tǒng)信息安全現(xiàn)狀分析

3.1 信號(hào)系統(tǒng)安全現(xiàn)狀

地鐵信號(hào)CBTC系統(tǒng)網(wǎng)絡(luò)是一個(gè)相對(duì)封閉的環(huán)境，在以往建設(shè)中，更側(cè)重于通過(guò)管理手段確保系統(tǒng)安全，通過(guò)嚴(yán)格的準(zhǔn)入制度，結(jié)合外部接口的防火墻設(shè)備、殺毒軟件等，作為基本的信息安全防護(hù)手段，保護(hù)信號(hào)系統(tǒng)的安全。通過(guò)在多個(gè)地鐵運(yùn)營(yíng)公司的調(diào)研和多家地鐵設(shè)計(jì)公司的交流調(diào)查，得出軌道交通行業(yè)信號(hào)系統(tǒng)的現(xiàn)狀如下：

安全域劃分不明確；

病毒庫(kù)升級(jí)無(wú)法實(shí)時(shí)更新；

外部接口限制隱患；

維護(hù)工作存在安全隱患；

沒(méi)有安全審計(jì)機(jī)制；

非國(guó)產(chǎn)化設(shè)備存在設(shè)計(jì)漏洞。

3.2 信號(hào)系統(tǒng)安全分析

信息等級(jí)保護(hù)可以劃分為技術(shù)與管理兩個(gè)方面，根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）和《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）的要求，其中技術(shù)要求更多面向信號(hào)系統(tǒng)，而管理要求更側(cè)重于建設(shè)及運(yùn)營(yíng)管理，因此本文從技術(shù)方面對(duì)信號(hào)CBTC系統(tǒng)的信息安全特性進(jìn)行分析。

結(jié)合信號(hào)CBTC系統(tǒng)特點(diǎn)及現(xiàn)狀，從信息安全技術(shù)角度劃分，可分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)5個(gè)方面。原則上物理安全由運(yùn)營(yíng)單位組織管理，依靠運(yùn)營(yíng)管理制度確保信號(hào)CBTC系統(tǒng)的物理安全，其他4個(gè)方面的常見(jiàn)問(wèn)題總結(jié)如下。

1) 網(wǎng)絡(luò)安全

安全域劃分不明確，安全域之間的隔離設(shè)置不合理，缺乏安全域之間的訪問(wèn)控制功能等；

缺少防止地址欺騙的技術(shù)手段；

在邊界入口缺少訪問(wèn)控制策略，對(duì)HTTP、FTP、TELNET、SMTP、POP3等協(xié)議未進(jìn)行有效控制；

無(wú)法有效的檢測(cè)到網(wǎng)絡(luò)攻擊行為，并對(duì)攻擊源IP、攻擊類型等信息進(jìn)行記錄；

交換機(jī)剩余端口未封閉、訪問(wèn)協(xié)議未加密、登錄用戶及密碼簡(jiǎn)單，日志未啟用等；

缺少有效安全審計(jì)功能。

2) 主機(jī)安全

缺乏有效的安全審計(jì)功能；

采用傳統(tǒng)網(wǎng)絡(luò)防病毒軟件，無(wú)法及時(shí)更新惡意代碼庫(kù)，且影響系統(tǒng)穩(wěn)定性；

服務(wù)器存在大量的弱口令；

服務(wù)器的USB、光驅(qū)等未封閉，存在交叉感染的隱患。

3) 應(yīng)用安全

登錄用戶及密碼簡(jiǎn)單，登錄方式單一；

缺乏有效的安全審計(jì)功能；

4) 數(shù)據(jù)安全

數(shù)據(jù)庫(kù)登錄用戶及密碼簡(jiǎn)單；

缺失數(shù)據(jù)備份手段。

4 應(yīng)對(duì)措施

由于信號(hào)CBTC系統(tǒng)用于保護(hù)行車(chē)安全，各子系統(tǒng)的相關(guān)性高，運(yùn)營(yíng)維護(hù)實(shí)時(shí)性高，在進(jìn)行信息安全防護(hù)時(shí)，需要充分結(jié)合信號(hào)CBTC系統(tǒng)的特點(diǎn)，避免對(duì)系統(tǒng)的整體性能、故障維護(hù)造成影響。

4.1 實(shí)施原則

信號(hào)CBTC系統(tǒng)信息安全等級(jí)保護(hù)方案，其設(shè)計(jì)原則如下。

1) 最小影響原則。增加的信息安全方案應(yīng)盡量減少對(duì)信號(hào)系統(tǒng)性能及架構(gòu)的影響，避免引入新的故障點(diǎn)。

2) 技術(shù)管理并重原則。信息安全問(wèn)題不是單純的技術(shù)問(wèn)題，僅僅通過(guò)技術(shù)手段很難完整解決全部問(wèn)題，需要綜合考慮技術(shù)手段和管理手段，使用管理方法提升CBTC系統(tǒng)的安全級(jí)別。

3) 適度安全原則。沒(méi)有絕對(duì)的安全系統(tǒng)，過(guò)高的安全要求，將增加安全防護(hù)的成本，并增加系統(tǒng)的維護(hù)故障點(diǎn)，需要在安全性、便利性和成本等諸方面尋找平衡點(diǎn)。

4) 方案可行性原則。增加的信息安全方案要考慮工程實(shí)施的可行性，兼顧建設(shè)方、運(yùn)營(yíng)方、維護(hù)方等各方的需求。

5) 分區(qū)分域建設(shè)原則。根據(jù)信號(hào)系統(tǒng)的特點(diǎn)，充分考慮信號(hào)CBTC系統(tǒng)的線性分布格局，以及外部系統(tǒng)、鄰線信號(hào)系統(tǒng)的通信需求，合理劃分安全域。

6) 多重保護(hù)原則。建立整體的防護(hù)體系，當(dāng)一種防護(hù)機(jī)制失效時(shí)，其他防護(hù)措施能夠提供有效的防御。

7) 可擴(kuò)展性原則。網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)是實(shí)時(shí)變化的，隨著技術(shù)的進(jìn)步，可能出現(xiàn)新的危險(xiǎn)源，因此在建設(shè)網(wǎng)絡(luò)防護(hù)機(jī)制時(shí)，需考慮到一定擴(kuò)展要求，使得防護(hù)系統(tǒng)本身具備升級(jí)能力。

4.2 實(shí)施方案

根據(jù)信號(hào)CBTC系統(tǒng)的現(xiàn)狀，結(jié)合信息安全分析情況，在增強(qiáng)管理手段的同時(shí)，需對(duì)信號(hào)系統(tǒng)的網(wǎng)絡(luò)重新規(guī)劃，對(duì)主機(jī)進(jìn)行加固，并增加部分信息安全設(shè)備，共同解決信號(hào)CBTC系統(tǒng)的安全防護(hù)等級(jí)。

1) 網(wǎng)絡(luò)安全

信號(hào)CBTC系統(tǒng)分為5個(gè)獨(dú)立的網(wǎng)絡(luò)，各網(wǎng)絡(luò)物理隔離，沿著地鐵線路呈線性分布，由于信號(hào)系統(tǒng)整體功能緊湊，不適合按照地域劃分安全域，因此將一條線路信號(hào)系統(tǒng)每個(gè)網(wǎng)絡(luò)劃分為一個(gè)獨(dú)立的安全域，在與通信系統(tǒng)（無(wú)線、時(shí)鐘、廣播）、綜合監(jiān)控系統(tǒng)、電力監(jiān)控系統(tǒng)、PIS系統(tǒng)、TCC系統(tǒng)等外部系統(tǒng)接口處，設(shè)置工業(yè)級(jí)安全網(wǎng)關(guān)，對(duì)網(wǎng)絡(luò)進(jìn)行隔離防護(hù)；在與臨線信號(hào)系統(tǒng)接口處，設(shè)置工業(yè)級(jí)安全網(wǎng)關(guān)，對(duì)網(wǎng)絡(luò)進(jìn)行隔離防護(hù)。

在安全域邊界入口設(shè)備上，設(shè)置訪問(wèn)控制策略，禁 止 HTTP、FTP、TELNET、SMTP、POP3等 協(xié)的進(jìn)出，并防范地址的進(jìn)入，檢測(cè)外部網(wǎng)絡(luò)攻擊行為，并對(duì)攻擊源IP、攻擊類型等信息進(jìn)行記錄。

增加管理手段，對(duì)交換機(jī)端口進(jìn)行配置，關(guān)閉未使用的端口，并對(duì)訪問(wèn)協(xié)議進(jìn)行控制，按照規(guī)范要求設(shè)置用戶名及密碼。

增加安全審計(jì)設(shè)備，采用旁路接入的方式，對(duì)整個(gè)信號(hào)CBTC網(wǎng)絡(luò)進(jìn)行審計(jì)監(jiān)控。

2) 主機(jī)安全

增加安全審計(jì)設(shè)備，并在應(yīng)用主機(jī)上設(shè)置審計(jì)軟件，記錄用戶的操作行為、系統(tǒng)資源異常占用以及使用重要系統(tǒng)命令等重要的安全行為，并生成報(bào)表以供后續(xù)審計(jì)。

升級(jí)防病毒設(shè)備，由于信號(hào)系統(tǒng)網(wǎng)絡(luò)為封閉網(wǎng)絡(luò)，傳統(tǒng)的網(wǎng)絡(luò)防病毒軟件，無(wú)法及時(shí)更新惡意代碼庫(kù)，需要人工定期升級(jí)，實(shí)時(shí)性較差，且有一定的誤殺情況，建議使用白名單機(jī)制的防病毒系統(tǒng)，通過(guò)學(xué)習(xí)信號(hào)系統(tǒng)的通信情況，建立允許機(jī)制，提高防病毒工作的實(shí)時(shí)性及有效性。

增加漏洞掃描設(shè)備，定期檢查系統(tǒng)是否存在漏洞，消除隱患。

通過(guò)管理手段，將弱口令修改為強(qiáng)口令，并關(guān)閉USB以及光驅(qū)等外設(shè)接口，提高主機(jī)的安全性。

3) 應(yīng)用安全

通過(guò)管理手段，修改軟件用戶名及登錄密碼。

增加安全審計(jì)設(shè)備，并在應(yīng)用主機(jī)上設(shè)置審計(jì)軟件對(duì)應(yīng)用活動(dòng)進(jìn)行審計(jì)。

4) 數(shù)據(jù)安全

通過(guò)管理手段，修改數(shù)據(jù)庫(kù)用戶名及登錄密碼。

通過(guò)管理手段，實(shí)現(xiàn)本地?cái)?shù)據(jù)備份與恢復(fù)，維護(hù)人員每日進(jìn)行數(shù)據(jù)備份，備份的數(shù)據(jù)異地存放；實(shí)現(xiàn)異地?cái)?shù)據(jù)備份，可利用CBTC數(shù)據(jù)專用網(wǎng)絡(luò)在地鐵運(yùn)行空閑時(shí)段發(fā)送備份數(shù)據(jù)。

在以上4個(gè)方面的基礎(chǔ)上，在不影響系統(tǒng)性能的前提下，還應(yīng)盡可能的使用國(guó)產(chǎn)設(shè)備的應(yīng)用，逐步提高國(guó)產(chǎn)自主化產(chǎn)品應(yīng)用，提升自主可控能力。如在CBTC系統(tǒng)研發(fā)中逐步國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備、硬件設(shè)備、操作系統(tǒng)的比例，使用國(guó)產(chǎn)安全設(shè)備進(jìn)行安全防護(hù)，降低安全問(wèn)題對(duì)信號(hào)CBTC系統(tǒng)的影響。

5 結(jié)論

通過(guò)合理規(guī)劃CBTC信號(hào)網(wǎng)絡(luò)，對(duì)現(xiàn)有CBTC系統(tǒng)主機(jī)及應(yīng)用進(jìn)行加固，適當(dāng)增加信息安全設(shè)備，并逐步提高國(guó)產(chǎn)設(shè)備的應(yīng)用比例，提高CBTC系統(tǒng)的安全性，使得城市軌道交通系統(tǒng)的正常運(yùn)行得到了可靠保障，有效防止黑客的非法攻擊，保證旅客安全出行。而在未來(lái)，隨著信息安全的理念更加深入，信息安全設(shè)備也會(huì)在軌道交通系統(tǒng)下得到大規(guī)模的應(yīng)用，在各個(gè)方面提供安全、穩(wěn)定的服務(wù)。