周海燕

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

0 引言

隨著城市現(xiàn)代化進程的明顯加快，城市規(guī)模不斷擴大，國內(nèi)城市對軌道交通系統(tǒng)的需求也越來越大，目前已進入了高峰時期。與傳統(tǒng)的固定閉塞、準移動閉塞相比，基于無線通信的移動閉塞CBTC信號系統(tǒng)是實現(xiàn)城市軌道交通高速度、高密度和小編組的最終解決方案，并得到了廣泛的應(yīng)用[1]。然而，隨著城市軌道交通建設(shè)步伐的加快，城市軌道交通安全事件頻繁發(fā)生，城市軌道交通信號系統(tǒng)所面臨的安全問題日益凸顯[2]。

1 國內(nèi)地鐵信號系統(tǒng)技術(shù)方案現(xiàn)狀

在通信信號系統(tǒng)領(lǐng)域，地鐵信號系統(tǒng)主要依賴進口，由于我國國內(nèi)企業(yè)缺乏自主知識產(chǎn)權(quán)，因而在地鐵項目中國內(nèi)企業(yè)通常需要與外資公司合作共同投標，例如:法國阿爾斯通、德國西門子集團、法國泰雷茲、加拿大龐巴迪公司和英國西屋公司等。在統(tǒng)計的62條線路中，采用卡斯柯-阿爾斯通方案的有17條線路，采用西門子方案的有19條線路，采用自儀-泰雷茲方案的有9條線路。

目前代表信號系統(tǒng)發(fā)展方向的為移動閉塞制式，移動閉塞制式中的ATP/ATO設(shè)備供應(yīng)商主要有卡斯柯-阿爾斯通的Urbalis888、自儀-泰雷茲的SekTrac S40、西門子的TrainGuard MT和交控科技的LCF-300等。

2 軌道交通脆弱性分析

2.1 平臺脆弱性

平臺脆弱性包括平臺硬件脆弱性、平臺軟件脆弱性和平臺配置漏洞。其中，平臺硬件脆弱性是指硬件設(shè)備由國外提供，有惡意植入問題。平臺軟件脆弱性主要有運維依賴國外，軟件惡意后門，為了滿足遠程數(shù)據(jù)調(diào)試、信息收集的常規(guī)技術(shù)后門3個方面。平臺配置問題包括訪問控制策略不合理、口令策略不恰當、補丁更新不及時、使用默認配置、開啟不必要的服務(wù)、未安裝惡意防護軟件和更新不及時等。

2.2 網(wǎng)絡(luò)的脆弱性

網(wǎng)絡(luò)的脆弱性主要體現(xiàn)在以下幾個方面。

a）信號系統(tǒng)網(wǎng)絡(luò)架構(gòu)不合理，未劃分安全域。生產(chǎn)系統(tǒng)所處網(wǎng)絡(luò)未劃分安全域，缺乏安全隔離和防護設(shè)備[3]。例如:各種生產(chǎn)系統(tǒng)之間僅通過VLAN的劃分形式，未采用防火墻等安全設(shè)備進行邏輯隔離。一旦某臺終端違規(guī)外聯(lián)、感染病毒，或者發(fā)起網(wǎng)絡(luò)攻擊，將會造成網(wǎng)絡(luò)大面積服務(wù)中斷，并且無法快速地定位攻擊源和感染源，從而引起地鐵長時間無法正常運營。

b）網(wǎng)絡(luò)傳輸采用標準協(xié)議，對數(shù)據(jù)、用戶和設(shè)備的驗證不充分。在系統(tǒng)設(shè)計初期，缺少網(wǎng)絡(luò)安全防護設(shè)計，大量使用明碼傳輸，極易被破譯和偽造。雖然目前安全意識已提高，但仍存在客戶端與接入點之間的驗證不充分、數(shù)據(jù)保護不夠等問題。

2012年4月對某市地鐵10號線的掃描檢測發(fā)現(xiàn)，軌旁AP隱蔽性差，安全性低，例如:廣播SSID未采用任何加密機制和任何接入認證機制，對接入終端未做限制，攻擊者可通過利用這些安全性較低的AP，直接接入到無線網(wǎng)絡(luò)中，對其進行惡意攻擊；而對某市地鐵4號線的檢測發(fā)現(xiàn)，其機車駕駛室車頂信號AP使用了WEP的加密方式，該加密方式極易被破解。攻擊者可利用破解后的WEP密鑰接入到無線系統(tǒng)中，對4號線機車正常運營構(gòu)成嚴重的安全威脅。

c）無線通信易被物理干擾。CBTC模式下的軌旁AP信標及點式固定閉塞模式下的LEU應(yīng)答器在與列車通信時均采用開放的無線通訊方式，所以傳輸?shù)男盘柡苋菀妆桓蓴_。假如遭到干擾就會導(dǎo)致ATP軌旁系統(tǒng)無法獲得列車傳遞的信息，ATP系統(tǒng)將無法正常工作，最終影響地鐵正常運營[4-5]。

d）工業(yè)領(lǐng)域的通信設(shè)備為非自主可控產(chǎn)品。工業(yè)領(lǐng)域的交換機、路由器多數(shù)為國外品牌，存在較大的安全隱患。此外，持續(xù)外包國外服務(wù)的可靠性、安全性也難以保證。

2.3 管理脆弱性

管理脆弱性主要體現(xiàn)在以下幾個方面。

a）安全政策規(guī)范欠缺，安全意識薄弱。城市軌道交通領(lǐng)域安全管理有待提高。通過訪談了解到，大部分地鐵在信息安全管理方面，體系架構(gòu)尚未考慮信息安全問題，同時也缺乏從設(shè)計、開發(fā)、運營和維護等各個環(huán)節(jié)的信息安全規(guī)范準則。員工對安全的理解還主要停留在傳統(tǒng)的行車安全方面，針對信息安全風(fēng)險防范、安全意識等方面有待進一步地加強。

b）生產(chǎn)系統(tǒng)服務(wù)器未及時更新升級補丁。部分服務(wù)器已發(fā)現(xiàn)存在遠程認證繞過、緩沖區(qū)溢出和conficker蠕蟲等高危漏洞，沒有及時更新，存在惡意人員利用這些已有的高危漏洞訪問、甚至破壞系統(tǒng)的危險。

c）生產(chǎn)系統(tǒng)終端管理不完善。部分終端未安裝殺毒軟件或者未及時升級，未對USB接口進行封鎖，發(fā)現(xiàn)USB違規(guī)使用的痕跡。若USB設(shè)備帶入病毒，則可能大面積感染整個系統(tǒng)設(shè)備，導(dǎo)致整個系統(tǒng)無法正常運營。其次，還存在終端安裝了非正常工作需要的軟件，用戶名和口令張貼于顯示器等問題。

3 安全威脅與風(fēng)險點分析

3.1 當前不可抗拒的風(fēng)險

a）關(guān)鍵設(shè)備軟硬件的非常規(guī)后門。信號系統(tǒng)關(guān)鍵軟硬件設(shè)備是國外產(chǎn)品，國外生產(chǎn)廠掌握其核心技術(shù)，存在非常規(guī)后門的風(fēng)險。然而國內(nèi)尚無完善的檢測手段對關(guān)鍵設(shè)備軟硬件的后門進行檢測，當出現(xiàn)國與國對抗時，此類風(fēng)險將是軌道交通行業(yè)最大的風(fēng)險。

b）關(guān)鍵設(shè)備的運維風(fēng)險。目前在系統(tǒng)維護等方面也嚴重依賴國外廠商，幾乎無自主維護能力，而國外持續(xù)外包服務(wù)的可靠性難以保證，若國外廠商停止服務(wù)，將導(dǎo)致設(shè)備無法更新和維護。

3.2 可規(guī)避但需付出較大代價的風(fēng)險

a）安全體系設(shè)計風(fēng)險。在設(shè)計軌道交通的過程中，尚未充分地考慮信息安全的問題，缺乏設(shè)計、開發(fā)、運營和維護等各個環(huán)節(jié)的信息安全規(guī)范準則。可通過標準制定[6]、政策扶持等手段，引導(dǎo)設(shè)計方、技術(shù)方案開發(fā)商加強產(chǎn)品的安全設(shè)計開發(fā)。

b）平臺軟硬件自身的漏洞。隨著技術(shù)的發(fā)展，軟硬件平臺自身的漏洞日益浮現(xiàn)，應(yīng)致力于已建成的平臺軟硬件漏洞挖掘，及時打補丁升級，或增加安全設(shè)備來提升其安全可用性。

c）常規(guī)技術(shù)后門的風(fēng)險。針對軌道交通各系統(tǒng)存在技術(shù)后門的問題，可以從管理上做出要求，在驗收時要求刪除生產(chǎn)過程中用于調(diào)試的功能，杜絕常規(guī)技術(shù)后門的存在。

d）網(wǎng)絡(luò)防護?？赏ㄟ^加裝網(wǎng)絡(luò)安全裝置，更改網(wǎng)絡(luò)配置，提高網(wǎng)絡(luò)管理水平等來實現(xiàn)。

3.3 立即可規(guī)避的風(fēng)險

通過常規(guī)風(fēng)險評估檢測出來的風(fēng)險，大部分都屬于立即可規(guī)避的風(fēng)險，例如:平臺配置漏洞、管理漏洞等。此類風(fēng)險可通過加強系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)上的防護水平，提升管理要求，落實管理制度等方式來進行規(guī)避。

4 軌道交通信息安全對策建議

針對以上發(fā)現(xiàn)的信息安全問題，著重從國家層面和運營建設(shè)單位方面考慮，提出了以下對策和建議，如表1所示。

表1 軌道交通信息安全對策建議

5 結(jié)束語

城市軌道交通的安全運行對國家安全、社會穩(wěn)定有著重大的影響，安全事件的頻繁出現(xiàn)，使得安全問題引起了人們的廣泛關(guān)注，急需解決。國家、行業(yè)和建設(shè)運營單位應(yīng)加大這方面的研究，制定新政策、新規(guī)范，加大專項資金投入，解決城市軌道交通安全問題，保障運行安全。