郭亮， 余騫， 袁雪冰

（1. 中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司通信信號(hào)研究所，北京 100081；2. 北京華鐵信息技術(shù)有限公司，北京 100081）

我國(guó)高速鐵路具有安全、高效和高速等特點(diǎn)，已成為一張名副其實(shí)的靚麗名片。另外，城市軌道交通也隨著我國(guó)城鎮(zhèn)化的深入推進(jìn)，逐步成為城市交通的主要方式。地面信號(hào)控制系統(tǒng)作為軌道交通系統(tǒng)的神經(jīng)中樞和大腦，經(jīng)過(guò)長(zhǎng)期引進(jìn)消化和自主發(fā)展，功能安全的技術(shù)積累已較為成熟。由于目前我國(guó)地面信號(hào)控制系統(tǒng)大多通過(guò)以太網(wǎng)進(jìn)行信息交互，系統(tǒng)間接口較多，信息傳遞路徑復(fù)雜，而且信息安全研究體系尚未建立，因此，如何從信息安全的角度對(duì)典型地面信號(hào)控制系統(tǒng)進(jìn)行防護(hù)已成為重要研究課題。

1 信息安全分析的必要性

2016年，習(xí)近平總書記在網(wǎng)絡(luò)安全與信息化工作座談會(huì)上指出要“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”［1]，特別提到交通領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施作為經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，具有重大風(fēng)險(xiǎn)隱患，一旦出問(wèn)題，具有很大的破壞性和殺傷力。近年來(lái)，越來(lái)越多針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊事件也不斷顯示其強(qiáng)大的破壞性和廣泛的影響力。例如，2010年，伊朗爆發(fā)了專門針對(duì)可編程邏輯器件PLC 的“震網(wǎng)”病毒，利用西門子Step 7軟件中的漏洞突破后臺(tái)權(quán)限并感染數(shù)據(jù)庫(kù)，造成離心機(jī)頻繁損壞，使得伊朗的鈾濃縮計(jì)劃延期長(zhǎng)達(dá)2年之久。2015年12月，網(wǎng)絡(luò)攻擊者利用其在烏克蘭能源網(wǎng)絡(luò)中的立足點(diǎn)關(guān)閉了3 家電力配送公司，導(dǎo)致22 萬(wàn)多個(gè)家庭在寒冷的冬季無(wú)電可用。2018年5月，丹麥國(guó)家鐵路公司（DSB）遭遇了大規(guī)模的DDoS 攻擊，事件造成約1.5 萬(wàn)旅客無(wú)法通過(guò)該公司的應(yīng)用程序和售票機(jī)購(gòu)買火車票，運(yùn)營(yíng)商只得人工售票。這些事件都表明，確保工控系統(tǒng)特別是軌道交通信號(hào)控制系統(tǒng)的網(wǎng)絡(luò)安全，對(duì)于保障國(guó)家工業(yè)基礎(chǔ)設(shè)施和人民生命財(cái)產(chǎn)安全具有重大意義。

長(zhǎng)期以來(lái)，聯(lián)鎖、列控等典型地面信號(hào)系統(tǒng)采用核心子系統(tǒng)的容錯(cuò)架構(gòu)、傳輸通道的冗余配置以及關(guān)鍵信息的交叉校驗(yàn)等方式保證傳輸信息的安全與可靠。在發(fā)展之初，由于傳輸信息量小、傳輸環(huán)境與通道進(jìn)行物理封閉，并未考慮對(duì)信號(hào)系統(tǒng)設(shè)置信息安全防護(hù)機(jī)制。但是，隨著接入信息傳輸網(wǎng)絡(luò)的設(shè)備越來(lái)越多，傳輸?shù)男畔⒁踩遮厪?fù)雜，并出現(xiàn)了基于GSM-R 等開放式網(wǎng)絡(luò)環(huán)境的應(yīng)用場(chǎng)景。因此，我國(guó)信號(hào)系統(tǒng)信息安全采用了傳統(tǒng)防火墻、訪問(wèn)控制、隔離等技術(shù)，同時(shí)制定了鐵路安全通信協(xié)議等專用協(xié)議。這些措施雖然從一定程度上提升了系統(tǒng)的安全性，但由于鐵路信息傳輸大多采用TCP/IP 協(xié)議的開放式技術(shù)，因此，極易因各方面缺陷被非法分子通過(guò)網(wǎng)絡(luò)進(jìn)行破壞、竊取或者篡改，遭受各種黑客攻擊。

2 典型地面信號(hào)系統(tǒng)信息安全分析發(fā)展現(xiàn)狀

2.1 安全標(biāo)準(zhǔn)與規(guī)范

通常，工業(yè)控制領(lǐng)域中的安全問(wèn)題可分為物理安全（Physical Safety）、功能安全（Functional Safety）和信息安全（Information Security）。除物理安全是針對(duì)由外部環(huán)境和應(yīng)用場(chǎng)景產(chǎn)生的影響外，功能安全和信息安全則均需開發(fā)人員自行做出防護(hù)。其中，功能安全是保證系統(tǒng)安全運(yùn)行、實(shí)現(xiàn)系統(tǒng)全生命周期的終極目標(biāo)，而信息安全則是實(shí)現(xiàn)系統(tǒng)安全的保護(hù)手段的集合。

ISO/IEC 27002《信息安全管理要求》是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)。標(biāo)準(zhǔn)提出信息安全的3要素：機(jī)密性（Confidentiality）、完整性（Integrity）和可用性（Availability），簡(jiǎn)稱為CIA。在此基礎(chǔ)上，IEC 62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》針對(duì)工控系統(tǒng)進(jìn)一步具體規(guī)定，應(yīng)先考慮可用性，其次為完整性，最后才是信息的機(jī)密性，簡(jiǎn)稱AIC。

IEC 61508《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》是目前為止在安全相關(guān)系統(tǒng)領(lǐng)域中較為核心的國(guó)際標(biāo)準(zhǔn)之一，該標(biāo)準(zhǔn)對(duì)系統(tǒng)的功能安全作出理論概括和技術(shù)總結(jié)，并不針對(duì)某一特定的應(yīng)用領(lǐng)域。IEC 61508 定義了安全完整性等級(jí)，并將風(fēng)險(xiǎn)作為度量危險(xiǎn)的指標(biāo)，是功能安全領(lǐng)域的總綱。

在此基礎(chǔ)上，歐洲電氣化標(biāo)準(zhǔn)委員會(huì)制定了鐵路安全相關(guān)標(biāo)準(zhǔn)EN 50126、EN 50128、EN 50129 和EN 50159。其中EN 50159 是針對(duì)鐵路通信信號(hào)系統(tǒng)中有關(guān)信息傳輸?shù)陌踩ㄐ艠?biāo)準(zhǔn)，重點(diǎn)關(guān)注了安全相關(guān)系統(tǒng)中當(dāng)借助封閉傳輸系統(tǒng)和開放傳輸系統(tǒng)進(jìn)行信息傳輸過(guò)程中可能面臨的7種威脅安全問(wèn)題，并針對(duì)每種威脅推薦了相應(yīng)的防御方式。但EN 50159 在信息安全領(lǐng)域只關(guān)注可能出現(xiàn)的異常消息對(duì)安全應(yīng)用的影響，并未考慮信息在傳輸過(guò)程中的私密性、外部主動(dòng)或惡意攻擊等一般性的信息安全問(wèn)題。在我國(guó)鐵路安全的具體實(shí)踐中，國(guó)標(biāo)GB/T 24339 完全引入EN 50159，二者互為等價(jià)標(biāo)準(zhǔn)，其內(nèi)容和條款也完全一致。這些協(xié)議主要是立足于信息傳輸過(guò)程中的完整性和可靠性，并沒(méi)有考慮信息在傳輸過(guò)程中遭到竊聽或泄露等信息安全攻擊的場(chǎng)景。

鐵路信號(hào)系統(tǒng)作為工控系統(tǒng)中重點(diǎn)領(lǐng)域的核心設(shè)備，由于其獨(dú)特的應(yīng)用場(chǎng)景和嚴(yán)苛的安全要求，因此在傳統(tǒng)工控系統(tǒng)信息安全防護(hù)策略的基礎(chǔ)上，還存在以下特殊需求：

（1）信息安全防護(hù)手段不能對(duì)信息實(shí)時(shí)性造成明顯的影響；

（2）信息安全防護(hù)手段不能降低系統(tǒng)的可用性，即不能出現(xiàn)非計(jì)劃性的重啟；

（3）子系統(tǒng)間多采用專用通信協(xié)議。

2.2 國(guó)內(nèi)外研究現(xiàn)狀

目前，國(guó)外學(xué)者在信息安全領(lǐng)域中提出很多風(fēng)險(xiǎn)分析的基本方案與重要模型，構(gòu)建了信息安全綜合分析的流程與方法。例如，評(píng)估建模中的攻擊樹（AttackTree）模型［2]、攻擊圖（AttackGraph）模型［3]及Petri 網(wǎng)模型［4]等，但在鐵路信號(hào)系統(tǒng)領(lǐng)域的具體實(shí)踐中也缺乏足夠的范例。

長(zhǎng)期以來(lái)，我國(guó)學(xué)者對(duì)鐵路信息系統(tǒng)，尤其是信號(hào)系統(tǒng)的信息安全開展了大量深入研究。特別是在城市軌道交通迅猛發(fā)展的背景下，學(xué)者也越來(lái)越關(guān)注CBTC系統(tǒng)和其他地鐵信息系統(tǒng)中的信息安全問(wèn)題。

初期，研究人員只關(guān)注鐵路管理網(wǎng)絡(luò)等非核心信息網(wǎng)絡(luò)，由于封閉式設(shè)計(jì)和安全協(xié)議的防護(hù)，并未將研究重點(diǎn)放在鐵路信號(hào)系統(tǒng)，同時(shí)安全的手段也停留在建立制度與人員管理上，技術(shù)手段還相對(duì)薄弱。2005年，劉磊［5]對(duì)鐵路信息網(wǎng)中的系統(tǒng)層和信息安全2方面的保障措施進(jìn)行調(diào)研，并制定了一系列安全管理制度和提出了相關(guān)的安全技術(shù)防范措施。2006年，熊劍等［6]提出采用信息加密技術(shù)保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，從功能安全角度分析了鐵路信號(hào)網(wǎng)絡(luò)。

隨著信息系統(tǒng)等級(jí)保護(hù)制度逐步建立和工控系統(tǒng)正式成為信息系統(tǒng)的組成部分之一，研究人員開始從等級(jí)保護(hù)的角度出發(fā)，對(duì)信號(hào)系統(tǒng)的安全防護(hù)提出策略與建議。2012年，張磊等［7]對(duì)地鐵信號(hào)控制系統(tǒng)、相關(guān)信息系統(tǒng)和無(wú)線信號(hào)的主要評(píng)價(jià)指標(biāo)進(jìn)行測(cè)評(píng)，同時(shí)結(jié)合軌道交通的功能特點(diǎn)，探索建立等級(jí)保護(hù)測(cè)評(píng)的方法。2012年，陳登科［8]從軌道交通信號(hào)系統(tǒng)中的操作系統(tǒng)、功能應(yīng)用軟件和信息網(wǎng)絡(luò)通道3方面分析可能出現(xiàn)的各種威脅，并參考常用的網(wǎng)絡(luò)安全防護(hù)技術(shù)提出部署IPS入侵防御系統(tǒng)、網(wǎng)管系統(tǒng)、帶寬管理系統(tǒng)等手段。2017—2019年，王海濤、劉龍、劉晨陽(yáng)、張琪等［9-12]對(duì)符合城市軌道交通信號(hào)系統(tǒng)安全三級(jí)等級(jí)保護(hù)要求的建設(shè)方案進(jìn)行了探討。

目前，考慮到信號(hào)系統(tǒng)的應(yīng)用特殊性，我國(guó)學(xué)者開始將功能安全與信息安全相融合，在充分分析系統(tǒng)結(jié)構(gòu)特點(diǎn)的基礎(chǔ)上，有針對(duì)性地提出解決方案，并進(jìn)一步完成了風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)監(jiān)測(cè)等方面的研究。2016年，王紹杰等［13]對(duì)比當(dāng)前CTCS-3 級(jí)列車控制系統(tǒng)中的功能安全和信息安全在威脅、漏洞、后果、評(píng)價(jià)方式和標(biāo)準(zhǔn)要求等方面的區(qū)別，詳細(xì)列舉了目前CTCS-3 級(jí)列車控制系統(tǒng)中的網(wǎng)絡(luò)威脅，并針對(duì)性地提出安全防護(hù)策略。李賽飛等［14-16]將下一代網(wǎng)絡(luò)架構(gòu)的軟件定義網(wǎng)絡(luò)（SDN）引入鐵路信息網(wǎng)絡(luò)安全防護(hù)中。由于這種新型網(wǎng)絡(luò)架構(gòu)將網(wǎng)絡(luò)設(shè)備的控制面和數(shù)據(jù)面分離，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，同時(shí)可對(duì)所有設(shè)備的傳輸數(shù)據(jù)進(jìn)行統(tǒng)一管理。該團(tuán)隊(duì)首先在鐵路通信系統(tǒng)網(wǎng)絡(luò)中進(jìn)行驗(yàn)證，采用故障樹分析方法，提出基于可信計(jì)算和軟件定義網(wǎng)絡(luò)相結(jié)合的安全體系架構(gòu)。隨后，提出基于我國(guó)高速鐵路信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)的SD-SSDN 安全防護(hù)方案，改進(jìn)后的SDN 架構(gòu)是面向功能設(shè)計(jì)的白名單表控制方式，可提升網(wǎng)絡(luò)的可靠性、保證網(wǎng)絡(luò)的實(shí)時(shí)性。2017年，付淳川等［17]詳細(xì)研究了高鐵信號(hào)系統(tǒng)中面臨的安全風(fēng)險(xiǎn)。劃定不同的安全域，采用不同的算法實(shí)現(xiàn)攻擊圖的生成，得到較為完整的攻擊路徑。同時(shí)對(duì)分析出的風(fēng)險(xiǎn)，還采用基于組件安全屬性的風(fēng)險(xiǎn)評(píng)估方法，實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)值的定量評(píng)估。2018年，陳佳民［18]對(duì)CBTC 系統(tǒng)中的安全通信場(chǎng)景和重放攻擊場(chǎng)景分別建模，將CBTC 系統(tǒng)類比為典型的無(wú)線網(wǎng)絡(luò)控制系統(tǒng)（WiNCS），并基于軌道交通領(lǐng)域的功能特點(diǎn)改進(jìn)了殘差卡方算法和Pearson 系數(shù)法對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)。2018年，陶偉［19]分析了目前城市軌道交通信號(hào)系統(tǒng)的安全措施僅限于安裝防火墻和部署殺毒軟件等初級(jí)的保護(hù)措施，提出實(shí)時(shí)網(wǎng)絡(luò)攻擊行為捕獲、“白名單”準(zhǔn)入等信息安全防護(hù)建議。2018年，孫心宇［20]提出將信息安全中的威脅和風(fēng)險(xiǎn)等相關(guān)因素納入功能安全防護(hù)的框架中，將功能安全分析中的故障樹和信息安全分析中的攻擊樹方法整合，并選取CBTC 中的ATP 子系統(tǒng)為研究對(duì)象作出綜合安全分析。2018年，陳文賽［21]分析了軌道交通信號(hào)系統(tǒng)與通用信息技術(shù)系統(tǒng)中信息安全遵循原則的區(qū)別，并結(jié)合當(dāng)前新技術(shù)，從功能安全、信息安全與物理安全3 方面為軌道交通信號(hào)系統(tǒng)提供信息安全保障的體系結(jié)構(gòu)。2019年，羅銘等［22]通過(guò)調(diào)研當(dāng)前滲透測(cè)試的常用方法，立足于CBTC 系統(tǒng)的實(shí)際功能，對(duì)系統(tǒng)主機(jī)采取了一般攻擊和漏洞利用等滲透攻擊方法，進(jìn)而根據(jù)實(shí)際攻擊結(jié)果提出改善建議。

可以看出，信號(hào)系統(tǒng)的信息安全研究經(jīng)歷了由單純的“加密算法改進(jìn)”等功能安全措施，到“加強(qiáng)管理制度和體系建設(shè)”等一般工控系統(tǒng)安全策略的過(guò)程，最終形成了基于信號(hào)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)和應(yīng)用場(chǎng)景，采用其他工控系統(tǒng)成熟的防護(hù)技術(shù)加以改進(jìn)，努力建設(shè)具備針對(duì)性和可實(shí)踐性的信號(hào)系統(tǒng)信息安全防護(hù)技術(shù)的研究方向。

3 信息安全分析流程

在上述文獻(xiàn)調(diào)研的基礎(chǔ)上，通過(guò)借鑒成熟的工控系統(tǒng)信息安全分析技術(shù)，充分考慮信號(hào)系統(tǒng)的功能特點(diǎn)，根據(jù)GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，即“等保2.0”將典型地面信號(hào)系統(tǒng)的信息安全分為5個(gè)方向：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全建設(shè)管理。而風(fēng)險(xiǎn)分析是面向全過(guò)程安全防范技術(shù)，可有力地支撐上述5個(gè)方向的具體實(shí)施。信息安全風(fēng)險(xiǎn)分析流程可分為4個(gè)階段：分析準(zhǔn)備階段、風(fēng)險(xiǎn)識(shí)別階段、風(fēng)險(xiǎn)計(jì)算階段和安全防護(hù)階段（見圖1）。

圖1 信息安全風(fēng)險(xiǎn)分析流程

在此，以CTCS-3 級(jí)列車控制系統(tǒng)中無(wú)線閉塞中心子系統(tǒng)RBC-YH 為例，結(jié)合該子系統(tǒng)的功能，對(duì)其風(fēng)險(xiǎn)分析流程的4個(gè)階段進(jìn)行闡述。

3.1 分析準(zhǔn)備階段

系統(tǒng)分析是進(jìn)行安全防護(hù)的基本前提。無(wú)線閉塞中心RBC-YH 是CTCS-3 級(jí)列車控制系統(tǒng)中的地面核心設(shè)備，通過(guò)接收安全網(wǎng)通信對(duì)象（CBI、TSRS 和NRBC）、CTC 和車載ATP 的信息，計(jì)算生成列車的移動(dòng)授權(quán)，并通過(guò)GSM-R 無(wú)線網(wǎng)絡(luò)下達(dá)至車載設(shè)備，達(dá)到控制列車安全運(yùn)行的目的。RBC-YH 的結(jié)構(gòu)及內(nèi)外接口見圖2。

圖2 RBC-YH結(jié)構(gòu)及內(nèi)外接口

分析上述結(jié)構(gòu)，可針對(duì)無(wú)線閉塞中心RBC-YH 進(jìn)行框架建模，該模型需描述基于安全數(shù)據(jù)網(wǎng)的有線封閉式網(wǎng)絡(luò)環(huán)境和基于GSM-R 的無(wú)線開放式網(wǎng)絡(luò)環(huán)境，同時(shí)還需考慮低級(jí)別網(wǎng)絡(luò)（2M 專用數(shù)字網(wǎng)絡(luò)），以便定量地描述系統(tǒng)的狀態(tài)關(guān)系，為之后信息安全的攻擊路徑提供理論計(jì)算基礎(chǔ)。

3.2 風(fēng)險(xiǎn)識(shí)別階段

風(fēng)險(xiǎn)識(shí)別是進(jìn)行安全防護(hù)的重要依據(jù)。由于RBCYH 與多種設(shè)備均進(jìn)行數(shù)據(jù)交互，且網(wǎng)絡(luò)連接復(fù)雜，同時(shí)存在內(nèi)部接口和外部接口。因此，對(duì)通信接口的數(shù)據(jù)流和傳輸方式進(jìn)行分析對(duì)風(fēng)險(xiǎn)識(shí)別具有重要意義。

通過(guò)列舉RBC-YH 的內(nèi)部接口和對(duì)外接口（見表1、表2），梳理完成各子系統(tǒng)間的傳輸方式與傳輸信息，可對(duì)各關(guān)鍵節(jié)點(diǎn)的安全屬性進(jìn)行編號(hào)與抽象。采用攻擊圖或攻擊樹等方式，對(duì)RBC-YH 的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別。

表1 RBC-YH內(nèi)部接口分析

表2 RBC-YH對(duì)外接口分析

3.3 風(fēng)險(xiǎn)計(jì)算階段

風(fēng)險(xiǎn)計(jì)算是進(jìn)行安全防護(hù)的必要手段。立足于信息安全中的可用性、完整性、機(jī)密性，構(gòu)建RBC-YH系統(tǒng)的風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)，采用專家系統(tǒng)，對(duì)各評(píng)價(jià)指標(biāo)進(jìn)行打分。通過(guò)多目標(biāo)優(yōu)化算法，以系統(tǒng)的可靠性和實(shí)時(shí)性為約束條件，定量計(jì)算RBC-YH 的信息安全風(fēng)險(xiǎn)。

3.4 安全防護(hù)階段

安全策略是進(jìn)行安全防護(hù)的最終目的。對(duì)分析出的各項(xiàng)風(fēng)險(xiǎn)及其風(fēng)險(xiǎn)值，判斷其是否為可接受的風(fēng)險(xiǎn)。如不可接受，則提出相應(yīng)的安全防護(hù)策略。目前，基本的安全防護(hù)可分為安全技術(shù)防護(hù)與安全管理制度防護(hù)。除加強(qiáng)安全制度建設(shè)，人員和設(shè)備管理外，還應(yīng)加強(qiáng)安全技術(shù)手段，如網(wǎng)絡(luò)隔離、端口保護(hù)、增加防火墻等方式。同時(shí)，充分跟蹤信息安全的發(fā)展趨勢(shì)，為下一代信號(hào)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)提出創(chuàng)新性建議。

4 結(jié)束語(yǔ)

基于充分調(diào)研信息安全領(lǐng)域的標(biāo)準(zhǔn)與鐵路領(lǐng)域的現(xiàn)行規(guī)范，分析信息安全在高速鐵路和城市軌道交通領(lǐng)域的發(fā)展現(xiàn)狀，并結(jié)合“等保2.0”中對(duì)工控系統(tǒng)的明確要求和信號(hào)系統(tǒng)的功能特點(diǎn)，提出典型地面信號(hào)系統(tǒng)的信息安全分析流程。以自主化RBC-YH 為例，提出信息安全分析方案，對(duì)其他信號(hào)系統(tǒng)的信息安全分析具有借鑒意義。