陳嘉怡，燕 飛

?

城市軌道交通信號(hào)系統(tǒng)信息安全風(fēng)險(xiǎn)辨識(shí)

陳嘉怡，燕 飛

（北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

從城市軌道交通信息安全面臨的嚴(yán)峻形勢出發(fā)，介紹城軌交通信號(hào)系統(tǒng)組成，并對(duì)信號(hào)系統(tǒng)各子系統(tǒng)功能進(jìn)行闡述。城軌交通信號(hào)系統(tǒng)是保證列車安全、準(zhǔn)點(diǎn)、高密度運(yùn)行的重要技術(shù)裝備，主要由列車自動(dòng)監(jiān)控子系統(tǒng)、列車自動(dòng)防護(hù)子系統(tǒng)、列車自動(dòng)運(yùn)行子系統(tǒng)、聯(lián)鎖子系統(tǒng)組成。根據(jù)信息安全風(fēng)險(xiǎn)分析模型，識(shí)別城軌交通信號(hào)系統(tǒng)信息安全的威脅來源及核心資產(chǎn)。由于城軌交通系統(tǒng)屬于工業(yè)控制系統(tǒng)的典型系統(tǒng)，城軌信號(hào)系統(tǒng)則具備工控系統(tǒng)的一般性特點(diǎn)，繼承工控系統(tǒng)的脆弱性。針對(duì)國內(nèi)城軌交通信息安全研究的空白之處，結(jié)合工控系統(tǒng)不同層級(jí)結(jié)構(gòu)的脆弱性，從技術(shù)和管理兩個(gè)方面進(jìn)行信號(hào)系統(tǒng)的信息安全風(fēng)險(xiǎn)辨識(shí)，通過分析發(fā)現(xiàn)存在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等層次上的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)辨識(shí)結(jié)果反映出城軌交通信息安全存在大量的薄弱環(huán)節(jié)，以期為日后的研究和防護(hù)工作的開展打下基礎(chǔ)。

城市軌道交通；信號(hào)系統(tǒng)；信息安全；風(fēng)險(xiǎn)辨識(shí)；脆弱性分析

城市軌道交通系統(tǒng)是工業(yè)控制系統(tǒng)的一部分，但其除延續(xù)了工業(yè)控制系統(tǒng)的系統(tǒng)特點(diǎn)之外，也存在特殊性。由于軌道交通列車運(yùn)行直接承載乘客，危險(xiǎn)性更高、更直接，并且近些年來無線通信技術(shù)和寬帶網(wǎng)絡(luò)技術(shù)的發(fā)展不僅給這個(gè)行業(yè)帶來了新的發(fā)展，也引入了相關(guān)的威脅。在《城市軌道交通2016年度統(tǒng)計(jì)和分析報(bào)告》中指出，城市軌道交通系統(tǒng)的運(yùn)營較之前有很大的變化，主要體現(xiàn)在以下幾點(diǎn)：運(yùn)營規(guī)模進(jìn)一步增大，運(yùn)營網(wǎng)絡(luò)化趨勢明顯；客運(yùn)量增長明顯，發(fā)車間隔縮短，運(yùn)輸效率逐步提高。因此針對(duì)運(yùn)營網(wǎng)絡(luò)化趨勢以及客運(yùn)量日益增長的這些形勢，城市軌道交通信息安全面臨的威脅還是很嚴(yán)峻的。

城市軌道交通中重要的一環(huán)就是信號(hào)系統(tǒng)，但是如今針對(duì)信號(hào)系統(tǒng)信息安全的風(fēng)險(xiǎn)辨識(shí)及研究工作還處在初步階段。現(xiàn)如今的網(wǎng)絡(luò)時(shí)代大環(huán)境要求我們盡快地投入這個(gè)課題的研究中，這也是筆者研究的初衷。

1 城市軌道交通信號(hào)系統(tǒng)概述

信號(hào)系統(tǒng)是保證列車安全、準(zhǔn)點(diǎn)、高密度運(yùn)行的重要技術(shù)裝備。城市軌道交通信號(hào)系統(tǒng)包含以下4個(gè)子系統(tǒng)。

1.1 列車自動(dòng)監(jiān)控子系統(tǒng)

列車自動(dòng)監(jiān)控子系統(tǒng)（automatic train supervision，ATS）的功能包括：列車自動(dòng)識(shí)別、列車運(yùn)行自動(dòng)跟蹤和顯示；運(yùn)行時(shí)刻表或運(yùn)行圖的編制及管理；自動(dòng)和人工排列進(jìn)路；列車運(yùn)行自動(dòng)調(diào)整；列車運(yùn)行和信號(hào)設(shè)備狀態(tài)自動(dòng)監(jiān)視；列車運(yùn)行數(shù)據(jù)統(tǒng)計(jì)；列車運(yùn)行實(shí)際記錄；操作與數(shù)據(jù)記錄、輸出及統(tǒng)計(jì)處理；列車運(yùn)行、監(jiān)控模擬及培訓(xùn)；系統(tǒng)故障和故障恢復(fù)處理。

1.2 列車自動(dòng)防護(hù)子系統(tǒng)

列車自動(dòng)防護(hù)子系統(tǒng)（automatic train protection，ATP）的功能包括：檢測列車位置；實(shí)現(xiàn)列車間隔控制和進(jìn)路的正確排列；監(jiān)督列車運(yùn)行速度；實(shí)現(xiàn)列車超速防護(hù)控制；防止列車誤退行等非預(yù)期的移動(dòng)；為列車車門、站臺(tái)門的開閉提供安全監(jiān)控信息；實(shí)現(xiàn)車載信號(hào)設(shè)備的日檢，記錄司機(jī)操作和設(shè)備運(yùn)行狀況。

1.3 列車自動(dòng)運(yùn)行子系統(tǒng)

列車自動(dòng)運(yùn)行子系統(tǒng)（automatic train operation，ATO）的功能包括：啟動(dòng)列車并實(shí)現(xiàn)站間自動(dòng)運(yùn)行；控制列車實(shí)現(xiàn)車站定點(diǎn)停車、車站通過和折返作業(yè)；與行車指揮監(jiān)控系統(tǒng)相結(jié)合，實(shí)現(xiàn)列車運(yùn)行自動(dòng)調(diào)整；車門、站臺(tái)門的開閉監(jiān)控。

1.4 聯(lián)鎖子系統(tǒng)

聯(lián)鎖子系統(tǒng)（computer interlocking，CI）是保證列車運(yùn)行安全的設(shè)備，實(shí)現(xiàn)列車在進(jìn)路上道岔、信號(hào)機(jī)、軌道區(qū)段之間正確的聯(lián)鎖關(guān)系。

城市軌道交通信號(hào)系統(tǒng)按照設(shè)備設(shè)置的地域可分為7大部分，即控制中心設(shè)備、正線車站和軌旁設(shè)備、車載設(shè)備、車輛段及停車場設(shè)備、試車線設(shè)備、維修中心設(shè)備和培訓(xùn)中心設(shè)備，具體構(gòu)成如圖1所示。

2 信息安全風(fēng)險(xiǎn)分析

2.1 風(fēng)險(xiǎn)分析模型

資產(chǎn)所有者為了保證資產(chǎn)的可用性，會(huì)嚴(yán)格控制資產(chǎn)信息的傳播和修改，并使用資產(chǎn)保護(hù)措施以抵御威脅。圖2 說明了這些概念之間的關(guān)系[2]。

2.2 威脅主體

在城市軌道交通信號(hào)系統(tǒng)需抵御的信息安全威脅程度確定條件中，初始識(shí)別的信號(hào)系統(tǒng)面臨的信息安全威脅是指可能是惡意的、非惡意的或環(huán)境的（自然的），并可能導(dǎo)致工業(yè)控制系統(tǒng)基本功能損害或喪失。其中，威脅來源通常包括以下3種[2-3]：

1）非惡意的威脅，是指非惡意人員可能意外地?fù)p害工業(yè)控制系統(tǒng)信息資產(chǎn)的行為，如：企業(yè)內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞。

2）惡意的威脅，是指惡意人員針對(duì)工業(yè)控制系統(tǒng)信息資產(chǎn)的所有故意行為，如內(nèi)部人員（缺乏訓(xùn)練的、心懷不滿的、惡意的、疏忽的、不誠實(shí)的或終止勞動(dòng)關(guān)系的人員），黑客、解密高手、惡意入侵者，計(jì)算機(jī)犯罪分子，恐怖組織，工業(yè)間諜（情報(bào)機(jī)構(gòu)、公司、敵對(duì)國家政府、其他政府利益集團(tuán)）。

3）環(huán)境的威脅，也稱自然的威脅，是指不是基于人為行為損害工業(yè)控制系統(tǒng)信息資產(chǎn)的所有事件，如：斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害。

2.3 核心資產(chǎn)

在進(jìn)行城市軌道交通信號(hào)系統(tǒng)風(fēng)險(xiǎn)辨識(shí)分析之前，要先進(jìn)行重要資產(chǎn)的識(shí)別。信號(hào)系統(tǒng)涉及區(qū)域：正線、停車場、試車線、控制中心、備用控制中心區(qū)域和列車車體。

圖1 城市軌道交通信號(hào)系統(tǒng)構(gòu)成

考慮到與信息安全相關(guān)，可能成為攻擊目標(biāo)，并且結(jié)合維護(hù)成本以及被攻擊后的損失，將信號(hào)系統(tǒng)的核心資產(chǎn)總結(jié)歸納為以下幾部分：

1）現(xiàn)場設(shè)備：信號(hào)地面機(jī)、轉(zhuǎn)轍機(jī)、計(jì)軸器、區(qū)間防護(hù)門、軌旁/車載無線設(shè)備、地面/車載無線寬帶設(shè)備、中心/車站電調(diào)設(shè)備、中心/車站CCTV等。

2）現(xiàn)場控制：PIS（passenger information system）、DCS（data communication system）、CI（computer interlocking）、DSU（data saving unit）等控制級(jí)設(shè)備。

3）過程監(jiān)控：中央/車站監(jiān)控系統(tǒng)。

2.4 分析信息安全風(fēng)險(xiǎn)必要性

依據(jù)城軌交通信號(hào)系統(tǒng)中典型工業(yè)控制系統(tǒng)的屬性，按照工業(yè)控制系統(tǒng)的結(jié)構(gòu)分層，把信號(hào)系統(tǒng)的結(jié)構(gòu)分為現(xiàn)場總線控制網(wǎng)絡(luò)、過程控制與監(jiān)控網(wǎng)絡(luò)以及企業(yè)辦公網(wǎng)絡(luò)[4-6]。

現(xiàn)場總線網(wǎng)絡(luò)由于通常處于作業(yè)現(xiàn)場，因此環(huán)境復(fù)雜，部分控制系統(tǒng)網(wǎng)絡(luò)采用各種接入技術(shù)作為現(xiàn)有網(wǎng)絡(luò)的延伸，如無線等，這也就存在一定的安全風(fēng)險(xiǎn)。同時(shí)維護(hù)現(xiàn)場設(shè)備時(shí)，也可能因不安全的串口連接（如缺乏連接認(rèn)證）或缺乏有效的配置核查，影響整個(gè)系統(tǒng)的正常運(yùn)營和功能實(shí)現(xiàn)。該網(wǎng)絡(luò)眾多設(shè)備云集，設(shè)備自身的安全漏洞也是不容忽視的。同時(shí)，網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)沒有進(jìn)行加密也存在被篡改或泄露的風(fēng)險(xiǎn)。

圖2 安全概念及其關(guān)系

過程控制與監(jiān)控網(wǎng)絡(luò)中的安全威脅有以下幾點(diǎn)：不安全的移動(dòng)維護(hù)設(shè)備的未授權(quán)接入；監(jiān)控網(wǎng)絡(luò)設(shè)備與控制系統(tǒng)或是現(xiàn)場設(shè)備之間不安全的無線通信；一些網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)時(shí)大多沒有考慮安全因素，缺少認(rèn)證、授權(quán)和加密機(jī)制。

企業(yè)辦公網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)包括以下幾點(diǎn)：信息資產(chǎn)自身漏洞的脆弱性；網(wǎng)絡(luò)互連給系統(tǒng)帶來的脆弱性；內(nèi)部管理機(jī)制缺失帶來的脆弱性，由于企業(yè)內(nèi)部系統(tǒng)或人員訪問缺少基本的管控和認(rèn)證機(jī)制，也同時(shí)存在設(shè)備隨意接入、非授權(quán)訪問、越權(quán)訪問等多種風(fēng)險(xiǎn)；缺乏安全意識(shí)帶來的脆弱性，主要是安全政策、管理制度以及人員的安全意識(shí)培養(yǎng)都不完善[4-7]。

3 信息安全風(fēng)險(xiǎn)辨識(shí)

根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中第五部分對(duì)于工業(yè)控制系統(tǒng)安全拓展要求中的規(guī)定，從技術(shù)和管理兩個(gè)方面進(jìn)行城市軌道交通風(fēng)險(xiǎn)辨識(shí)的研究[8]。

3.1 技術(shù)層面上的風(fēng)險(xiǎn)辨識(shí)

3.1.1 物理安全

1）環(huán)境因素的風(fēng)險(xiǎn)。城軌交通信號(hào)系統(tǒng)大部分所處的環(huán)境都較特殊，并且系統(tǒng)對(duì)于環(huán)境溫度及濕度的要求較高，因此自然環(huán)境帶來的風(fēng)險(xiǎn)不可能忽視。雷電、洪水、火災(zāi)等都可能成為威脅物理安全的重要風(fēng)險(xiǎn)[9]。

2）缺乏物理訪問控制。機(jī)房、控制室或工程師站等設(shè)備和數(shù)據(jù)服務(wù)集中站經(jīng)常是防護(hù)手段中較薄弱的一環(huán)，對(duì)于進(jìn)出的人員如不進(jìn)行鑒別、控制和記錄，無法實(shí)現(xiàn)物理訪問的安全，可能會(huì)導(dǎo)致更嚴(yán)重的后果。同時(shí)，對(duì)于站內(nèi)設(shè)備的區(qū)域管理也不是很完善，沒有實(shí)現(xiàn)應(yīng)有的物理隔離。

3）電力供應(yīng)手段不足。城市軌道交通信號(hào)系統(tǒng)的正常運(yùn)營會(huì)建立在電力供應(yīng)正常的基礎(chǔ)上，因此如果電力供應(yīng)不穩(wěn)定或是因某一電纜線路損壞而導(dǎo)致不能正常運(yùn)營，可能會(huì)引發(fā)站內(nèi)乘客滯留，甚至導(dǎo)致車廂內(nèi)的乘客恐慌而引發(fā)更嚴(yán)重的事故。

3.1.2 網(wǎng)絡(luò)安全

1）網(wǎng)絡(luò)結(jié)構(gòu)配置不完善。由于很多網(wǎng)絡(luò)設(shè)計(jì)之初更多的考慮實(shí)用性，對(duì)于安全性考慮較少，從而導(dǎo)致沒有給網(wǎng)絡(luò)預(yù)留冗余結(jié)構(gòu)空間，在業(yè)務(wù)高峰期或是發(fā)生特殊險(xiǎn)情之時(shí)沒有足夠的帶寬或空間來進(jìn)行協(xié)調(diào)和調(diào)度。同時(shí)，還要根據(jù)部門的不同職能和信息的重要程度來劃分不同的網(wǎng)段和子網(wǎng)，并對(duì)它們各自的地址段進(jìn)行完全的管控[10]。

2）網(wǎng)絡(luò)的訪問控制管理不完善。由于城軌交通系統(tǒng)網(wǎng)絡(luò)的特殊性，對(duì)于其管控應(yīng)該更加嚴(yán)格。網(wǎng)絡(luò)邊界缺乏訪問控制也是信號(hào)系統(tǒng)的一個(gè)重大隱患。由于通信信號(hào)應(yīng)用的無線網(wǎng)絡(luò)頻段與乘客的無線設(shè)備的頻段相似，因此，列車接收的信號(hào)很容易被乘客或一些其他的信號(hào)信息所干擾，城軌交通曾發(fā)生過類似事故，由此反映了現(xiàn)如今對(duì)于進(jìn)出網(wǎng)絡(luò)的信息還沒有進(jìn)行有效的過濾措施。

3）缺乏安全審計(jì)。對(duì)于信號(hào)系統(tǒng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、管理者行為應(yīng)進(jìn)行日志記錄，但是對(duì)于這些重要數(shù)據(jù)和文件的審計(jì)并不完善，導(dǎo)致核心數(shù)據(jù)未及時(shí)記錄，影響設(shè)備的監(jiān)察和維護(hù)，同時(shí)攻擊者可能對(duì)審計(jì)記錄進(jìn)行破壞或者篡改，因此對(duì)審計(jì)記錄的保存也應(yīng)予以高度重視，以避免未預(yù)期的刪除、修改或覆蓋等。

4）惡意代碼攻擊或入侵。攻擊者可能針對(duì)網(wǎng)絡(luò)邊界處進(jìn)行惡意代碼攻擊，由于目前城軌系統(tǒng)中對(duì)于惡意代碼的防范以及惡意代碼庫的建立并不完善，因此如果攻擊者選取其中一個(gè)薄弱點(diǎn)進(jìn)行攻擊的話，有可能造成列車運(yùn)營中的各種事故，甚至威脅乘客或站內(nèi)工作人員的生命財(cái)產(chǎn)安全。

對(duì)于攻擊者惡意入侵這一危險(xiǎn)源，目前暫不能進(jìn)行預(yù)計(jì)，因此只能加強(qiáng)網(wǎng)絡(luò)邊界處的惡意入侵防范，并且在受到攻擊時(shí)，及時(shí)針對(duì)攻擊手段和攻擊目標(biāo)進(jìn)行緊急處理，將損失降到最低。

5）網(wǎng)絡(luò)設(shè)備防護(hù)不完善。信號(hào)系統(tǒng)的網(wǎng)絡(luò)設(shè)備對(duì)實(shí)現(xiàn)信號(hào)系統(tǒng)的功能有重要作用，因此網(wǎng)絡(luò)設(shè)備的登錄管理要更加完善，要對(duì)登錄請求的用戶進(jìn)行身份鑒別和登錄地址限制，同時(shí)身份鑒別的口令要有一定的復(fù)雜度并且不定時(shí)更換，否則就會(huì)導(dǎo)致攻擊者登錄網(wǎng)絡(luò)設(shè)備，進(jìn)而進(jìn)行數(shù)據(jù)篡改、損壞更改控制命令等不法操作。

同樣不可忽略的是，目前對(duì)于網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理還不夠完善。攻擊者可能繞過網(wǎng)絡(luò)邊界的訪問，直接對(duì)數(shù)據(jù)傳輸通道進(jìn)行竊聽或是監(jiān)聽。

3.1.3 主機(jī)安全

1）控制系統(tǒng)和數(shù)據(jù)庫訪問控制機(jī)制不完善。中心和車站的控制系統(tǒng)都是由專職的工作人員負(fù)責(zé)的，因此對(duì)于這些系統(tǒng)的訪問控制是不容忽視的。攻擊者可能直接對(duì)沒有訪問控制的系統(tǒng)執(zhí)行不法操作，或是冒用非法掌握的身份信息進(jìn)行訪問。

2）剩余信息保護(hù)措施不完善。中心和車站最重要的區(qū)域就是控制中心、調(diào)度站等進(jìn)行控制行為和存儲(chǔ)大量數(shù)據(jù)的地點(diǎn)。因此，工作人員之間對(duì)于訪問權(quán)限的設(shè)定是很重要的環(huán)節(jié)。不容忽略的是，在進(jìn)行工作人員之間的存儲(chǔ)空間轉(zhuǎn)換時(shí)，要對(duì)存儲(chǔ)空間中的剩余信息進(jìn)行清除和保護(hù)，否則可能造成權(quán)限外的關(guān)鍵數(shù)據(jù)和信息的泄露，為攻擊者所用。

3）資源控制措施不完善。由于城市軌道交通信號(hào)系統(tǒng)的實(shí)行范圍很大，工作環(huán)境人員較為密集，并且對(duì)于重點(diǎn)工作區(qū)域的安保工作不夠強(qiáng)，因此，對(duì)于操作系統(tǒng)或重要服務(wù)器的終端登錄方式設(shè)定如果太過簡單就會(huì)給攻擊者可乘之機(jī)，并且不能忽視攻擊者中可能存在內(nèi)部工作人員和外部人員。對(duì)于操作系統(tǒng)的登錄超時(shí)要設(shè)定適當(dāng)?shù)臅r(shí)間，否則如果攻擊者直接接觸或直接在操作臺(tái)上操作或篡改重要數(shù)據(jù)，導(dǎo)致的后果不堪設(shè)想。

3.1.4 應(yīng)用安全

1）通信保護(hù)措施不完善。由于信號(hào)系統(tǒng)的主要功能是建立設(shè)備、系統(tǒng)之間的通信聯(lián)系，因此通信的完整性和保密性尤為重要。如果在通信路徑上沒有建立足夠完善的保護(hù)措施，那么攻擊者可能會(huì)竊聽到重要的控制命令和通信內(nèi)容，這就破壞了通信的保密性，甚至在竊聽的基礎(chǔ)上篡改數(shù)據(jù)指令，破壞數(shù)據(jù)的完整性。

2）抗抵賴措施不完善。攻擊者可能冒充控制中心傳遞錯(cuò)誤信息，這時(shí)如果沒有提供原發(fā)證據(jù)的要求，那么數(shù)據(jù)接受設(shè)備或執(zhí)行者很難識(shí)別錯(cuò)誤信息，使得列車的運(yùn)行狀態(tài)被擾亂或列車調(diào)度出現(xiàn)問題，從而導(dǎo)致重大事故的發(fā)生。

3）軟件容錯(cuò)功能不完善。即使系統(tǒng)在設(shè)計(jì)之初保障了系統(tǒng)的可用性，但是由于信號(hào)系統(tǒng)一定程度上的故障率，在運(yùn)行過程中由于各種原因發(fā)生故障也是無法避免的，這就需要設(shè)置軟件容錯(cuò)功能。在一定程度上其功能要保證人機(jī)接口的輸入輸出數(shù)據(jù)格式是系統(tǒng)可識(shí)別的，同時(shí)在系統(tǒng)發(fā)生故障時(shí)，應(yīng)啟動(dòng)自動(dòng)保護(hù)功能，保護(hù)當(dāng)時(shí)的運(yùn)行狀態(tài)，以確保系統(tǒng)能夠進(jìn)行恢復(fù)。

3.1.5 數(shù)據(jù)安全與備份恢復(fù)

在現(xiàn)如今的安全保障措施中，對(duì)于數(shù)據(jù)的完整性和保密性措施是很匱乏的，對(duì)于管理數(shù)據(jù)和普通數(shù)據(jù)也還沒有進(jìn)行完善的分類保護(hù)，影響了安全審計(jì)的效果，也無法正常實(shí)施系統(tǒng)的維護(hù)和監(jiān)控。

同時(shí)，對(duì)數(shù)據(jù)進(jìn)行備份也是保障信息安全、降低攻擊受影響程度的一個(gè)重要措施。對(duì)于本地?cái)?shù)據(jù)的備份恢復(fù)功能是基礎(chǔ)，并且要以天為單位，同時(shí)還要建立重要數(shù)據(jù)異地備份功能。這樣即使攻擊者針對(duì)數(shù)據(jù)進(jìn)行破壞或篡改之后，系統(tǒng)依然能夠?qū)崿F(xiàn)容錯(cuò)功能。

3.2 管理層面上的風(fēng)險(xiǎn)辨識(shí)

目前城軌交通系統(tǒng)信息安全的形勢是員工的安全意識(shí)不強(qiáng)，沒有完善的信息安全管理也是導(dǎo)致這一形勢的重要原因。雖然管理層面上的風(fēng)險(xiǎn)可能不會(huì)直接導(dǎo)致事故的產(chǎn)生，但是它卻是一切安全措施正常實(shí)施的根本保障[11]。

1）對(duì)于員工的安全意識(shí)和安全專業(yè)知識(shí)的定期培訓(xùn)是容易忽視的一點(diǎn)。

2）系統(tǒng)文檔不全面也是管理上的漏洞。例如一份系統(tǒng)操作指南對(duì)于規(guī)范工作人員的行為是很重要的，操作指南是系統(tǒng)發(fā)生故障之時(shí)安全恢復(fù)的重要組成部分，在運(yùn)維時(shí)，操作指南的缺失會(huì)大大降低工作人員的工作效率，增加再次故障的風(fēng)險(xiǎn)。

3）業(yè)務(wù)連續(xù)性計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃也不明確。由于城軌交通系統(tǒng)的穩(wěn)定性是直接和乘客的人身安全息息相關(guān)的，因此在發(fā)生故障或事故的同時(shí)，如果在管理層面上沒有正確的應(yīng)急響應(yīng)機(jī)制，那么無疑會(huì)無限擴(kuò)大事故波及的范圍，也會(huì)對(duì)乘客造成更加嚴(yán)重的傷害。

在重要的軟硬件設(shè)備發(fā)生故障時(shí)，如果業(yè)務(wù)連續(xù)性計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃缺失，可能會(huì)造成業(yè)務(wù)中斷及生產(chǎn)數(shù)據(jù)丟失。

4 結(jié)語

對(duì)于城市軌道交通信號(hào)系統(tǒng)信息安全風(fēng)險(xiǎn)辨識(shí)的工作是不容忽視的，由于交通行業(yè)也是工業(yè)控制系統(tǒng)的一個(gè)典型系統(tǒng)，因此可以借鑒工業(yè)控制系統(tǒng)的一些已有理論加以拓展。但是由于其系統(tǒng)還存在特殊性，所以一切分析不能一概而論，要結(jié)合行業(yè)特點(diǎn)和實(shí)踐經(jīng)驗(yàn)加以分析。

[1] 趙玉巖. 城市軌道交通信號(hào)系統(tǒng)的研究[J]. 城市建設(shè)理論研究(電子版), 2015, 5(26): 1536-1537.

ZHAO Yuyan. Research on urban rail transit signal system[J].Urban construction theory research, 2015, 5(26): 1536-1537.

[2] 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范: GB/T 20984—2007[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2007.

Information security technology-Risk assessment specifi-ca-tion for information security: GB/T 20984—2007[S]. Beijing: Standards Press of China, 2007.

[3] 盧慧康, 陳冬青, 彭勇, 等. 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估量化研究[J]. 自動(dòng)化儀表, 2014, 35(10): 21-25.

LU Huikang, CHEN Dongqing, PENG Yong, et al. Quan-titative research on risk assessment for information security of industrial control system[J]. Automatic instrument2014, 35(10): 21-25.

[4] Security for industrial auto-mation and control systems part 1: Terminology, Concepts, and Models: ANSI/ISA– 99.00.01–2007[S]. American National Standard, 2007.

[5] STOUFFER K, FALCO J, SCARFON KE. Guide to industrial control systems (ICS) security[M]. NIST Special Publication, 2008.

[6] Industrial control network & system security standar-dization: IEC 62443 [S]. Information technology & stan-dardi-zation, 2011

[7] 陶凌漢, 李璐. 工業(yè)控制系統(tǒng)脆弱性分析及安全管控研[J]. 保密科學(xué)技術(shù), 2016 (1): 30-35.

TAO Linghan, LI Lu. Vulnerability analysis of industrial control systems and safety management research [J]. Sec-recy science and technology, 2016 (1): 30-35

[8] 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求: GB/T 22239—2008[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2008.

Ionformation secuiryt technology: Baseline for classified protection of information system security: GB/T 22239—2008 [S]. Beijing: Standards Press of China, 2008

[9] 陶志堅(jiān), 姚日煌. 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估研究[J]. 電子產(chǎn)品可靠性與環(huán)境試驗(yàn), 2016, 34 (6): 15-21.

TAO Zhijian, YAO Rihuang, Study on information security risk assessment of industrial control systems. Electronic product reliability and environmental testing, 2016, 34(6): 15-21.

[10] 張帥. 工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析[J]. 信息安全與通信保密, 2012(3): 15-19.

ZHANG Shuai. Industrial control system security risk analysis. China information security, 2016, 34(6): 15-21.

[11] 束昱, 田坤, 路姍, 等. 我國城市地鐵運(yùn)營系統(tǒng)的風(fēng)險(xiǎn)與安全評(píng)價(jià)研究[C]//地下交通工程與工程安全?第五屆中國國際隧道工程研討會(huì)文集. 上海, 2011.

BU Yu, TIAN Kun, LU Shan, et al. Study on risk and safety evaluation of metro operation system in China [C] // Proceedings of the 5th China International Tunnel Engi-neering Symposium on Underground Traffic Engineering and Engineering. Shanghai, 2011.

（編輯：王艷菊）

Identification of Information Security Risk in Urban Rail Transit Signal Systems

CHEN Jiayi, YAN Fei

(School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044)

Based on the critical situation of information security in urban rail transportation systems, a signal system is introduced for the latter, and the functions of each subsystem of the signal system are elaborated. The signal system comprises the core technology and equipment that ensure the safety, punctuality, and high-density operation of trains, and primarily consists of an automatic control system, automatic protection system, automatically operated subsystem, and interlocking subsystem. The risk sources and core assets of information security in the signal system are identified using an information security risk analysis model. As the urban rail transportation system is a typical industrial control system, its signal system is characterized by the general traits and vulnerabilities of the latter. Our studies in the field of transportation information security of domestic urban rail systems and the vulnerabilities at different levels of the industrial control system have been performed keeping the two aspects of information security risk identification, viz., technology and management, in mind. We have identified the risks existing in the current level of physical, network, host, and application securities through proper analysis.Our results highlight the weaknesses of urban rail transportation information security, and pave the way for future research and protection work.

urban rail transit; signal system; information security; risk identification; vulnerability analysis

U231

A

1672-6073(2018)02-0119-05

10.3969/j.issn.1672-6073.2018.02.020

2017-06-27

2017-07-23

陳嘉怡，女，碩士研究生，從事城市軌道交通信息安全研究，chenjiayi1610@163.com

燕飛，男，副教授，碩士生導(dǎo)師，從事城市軌道交通信息安全研究，fyan@bjtu.edu.cn

國家自然科學(xué)基金重點(diǎn)項(xiàng)目（U1434209）；中國信息安全測評(píng)中心項(xiàng)目（CNITSEC-KY-2016-01）