王 鋒

（通號(hào)城市軌道交通技術(shù)有限公司，北京 100070）

1 概述

為滿足系統(tǒng)的功能及安全需求，CBTC 信號(hào)系統(tǒng)網(wǎng)絡(luò)連接一般采用冗余組網(wǎng)的方式。典型的CBTC 信號(hào)系統(tǒng)網(wǎng)絡(luò)一般包含2 個(gè)冗余的安全網(wǎng)用來傳遞控制信息，2 個(gè)冗余的列車自動(dòng)監(jiān)督系統(tǒng)(ATS)網(wǎng)用來交互ATS 相關(guān)消息，1 個(gè)維護(hù)網(wǎng)用來傳輸維護(hù)信息。CBTC 信號(hào)系統(tǒng)中大量使用了商用現(xiàn)成品或技術(shù)（COTS），雖然系統(tǒng)采用了三取二、二乘二取二等安全冗余結(jié)構(gòu)來提高可靠性，但對(duì)于網(wǎng)絡(luò)中存在的信息安全威脅卻沒有高度重視。對(duì)CBTC 信號(hào)系統(tǒng)網(wǎng)絡(luò)信息安全進(jìn)行分析，識(shí)別出網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)，對(duì)確保整個(gè)CBTC 系統(tǒng)安全高效運(yùn)行具有重要的意義。

2 CBTC信號(hào)系統(tǒng)網(wǎng)絡(luò)面臨的信息安全問題

2.1 CBTC信號(hào)系統(tǒng)設(shè)備的信息安全問題

CBTC 信號(hào)系統(tǒng)中設(shè)備主要包括計(jì)算機(jī)聯(lián)鎖（CI）、區(qū)域控制器(ZC）、ATS 子系統(tǒng)、列車自動(dòng)防護(hù)（ATP）子系統(tǒng)和列車自動(dòng)運(yùn)行（ATO）子系統(tǒng)，此外還包含數(shù)據(jù)存儲(chǔ)單元、維護(hù)終端、上位機(jī)以及輸入/輸出單元設(shè)備等。這些設(shè)備按安全完整性等級(jí)一般可分為安全設(shè)備和非安設(shè)備。

2.1.1 安全設(shè)備

CI、ZC 以及ATP 系統(tǒng)的安全完整性等級(jí)為SIL4 級(jí)，在系統(tǒng)信息安全分析過程中這些設(shè)備面臨的威脅也應(yīng)該得到更多的重視。安全設(shè)備的主機(jī)采用Dos 以及VxWorks 等嵌入式操作系統(tǒng)，通過以太網(wǎng)板卡與外部設(shè)備通信，設(shè)備開放的端口以及系統(tǒng)漏洞存在被攻擊者利用的風(fēng)險(xiǎn)。通信板開啟的通信類型的端口會(huì)被利用登錄到服務(wù)器，竊聽通信會(huì)話內(nèi)容或其他敏感信息，部分設(shè)備開啟的Telnet、Ftp 端口沒有登錄錯(cuò)誤次數(shù)限制，容易被暴力破解。設(shè)備系統(tǒng)的漏洞名稱、數(shù)目以及等級(jí)等信息可使用Nessus 等漏洞掃描工具獲取，在公共漏洞和暴露（CVE）中有關(guān)于這些漏洞被利用后果的詳細(xì)介紹。

2.1.2 非安設(shè)備

信號(hào)系統(tǒng)中維護(hù)系統(tǒng)和上位機(jī)等大量的終端設(shè)備多由商業(yè)工控機(jī)充當(dāng)，設(shè)備的操作系統(tǒng)一般選用Windows XP 或Windows 7 系統(tǒng)。商業(yè)工控機(jī)及軟件存在通用的漏洞，因此設(shè)備的漏洞信息很容易被攻擊者獲取。Windows 操作系統(tǒng)采用圖形用戶界面為設(shè)備使用人員帶來了便利，但計(jì)算機(jī)、U 盤等設(shè)備都能輕易接入，給設(shè)備帶來木馬、病毒等威脅。微軟已停止更新Windows XP 及Windows 7系統(tǒng)的安全補(bǔ)丁，系統(tǒng)安全補(bǔ)丁及殺毒軟件病毒庫無法及時(shí)更新，將導(dǎo)致設(shè)備缺乏有效的病毒防護(hù)措施，軟件后期的升級(jí)維護(hù)難度也將增大。

2.2 DCS的安全問題

DCS 采用的工業(yè)以太網(wǎng)環(huán)網(wǎng)結(jié)構(gòu)使得CBTC 信號(hào)系統(tǒng)網(wǎng)絡(luò)環(huán)網(wǎng)協(xié)議配置不當(dāng)或交換機(jī)故障時(shí)可能發(fā)生網(wǎng)絡(luò)風(fēng)暴，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。CBTC 信號(hào)系統(tǒng)中的安全網(wǎng)以及非安網(wǎng)中存在大量的交換機(jī)設(shè)備負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)，支撐CBTC 系統(tǒng)的正常運(yùn)轉(zhuǎn)。交換機(jī)通常處于局域網(wǎng)的內(nèi)部，一旦交換機(jī)被攻擊者利用或者破壞，整個(gè)網(wǎng)絡(luò)便處于危險(xiǎn)之中，針對(duì)交換機(jī)的攻擊種類很多，攻擊包括“VLAN 中繼攻擊”，“MAC 表洪水攻擊”等。使用時(shí)應(yīng)避免安全網(wǎng)與非安網(wǎng)接入到同一個(gè)交換機(jī)上，防止安全網(wǎng)與非安網(wǎng)相互影響。

2.3 通信安全問題

信號(hào)系統(tǒng)采用有線跟無線兩種通信方式。安全網(wǎng)中數(shù)據(jù)傳輸協(xié)議使用鐵路信號(hào)安全通信協(xié)議RSSP-I/II 協(xié)議，RSSP-I/II 是公開的鐵路通信協(xié)議，其潛在的漏洞也使攻擊者可能通過分析協(xié)議挖掘利用。CBTC 信號(hào)系統(tǒng)網(wǎng)絡(luò)中典型的通信協(xié)議，如 TCP/IP 協(xié)議簇，存在著包括“嗅探攻擊”“IP欺騙攻擊”“拒絕服務(wù)攻擊”“攔截攻擊”等漏洞。車載VOBC 與地面設(shè)備之間采用WLAN 無線傳輸技術(shù)通信，采用基于IEEE 802.11 標(biāo)準(zhǔn)的無線傳輸技術(shù)也面臨很多信息安全方面的威脅。比如“中間人攻擊”，攻擊者與通訊的兩端分別創(chuàng)建獨(dú)立的聯(lián)系，會(huì)話被攻擊者完全控制：“蜜罐攻擊”，攻擊者使用作為一臺(tái)惡意設(shè)備偽裝成企業(yè)網(wǎng)內(nèi)部的合法 設(shè)備來吸引企業(yè)網(wǎng)內(nèi)部的合法設(shè)備與之關(guān)聯(lián)等。WLAN 無線網(wǎng)絡(luò)的開放性也使其易受到頻段干擾。

3 CBTC信號(hào)系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析

對(duì)系統(tǒng)的信息安全分析可以從安全事件發(fā)生的影響以及概率兩個(gè)方面著手。依據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984-2007）系統(tǒng)信息安全評(píng)估涉及到信息資產(chǎn)、威脅性、脆弱性3個(gè)要素。利用識(shí)別出的系統(tǒng)信息資產(chǎn)、威脅性、脆弱性定量或定性評(píng)估出安全事故發(fā)生的可能性。系統(tǒng)的風(fēng)險(xiǎn)指標(biāo)集合Risk={A1,T1,V1}={信息資產(chǎn)，威脅性，脆弱性}，A1,T1,V1又可以細(xì)分為更多的風(fēng)險(xiǎn)指標(biāo)，原理如圖1 所示?！缎畔踩夹g(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T 31509-2015）定義了風(fēng)險(xiǎn)的計(jì)算原理，如公式（1）所示。

圖1 風(fēng)險(xiǎn)分析原理Fig.1 Schematic diagram of risk analysis

公式（1）中，R表示風(fēng)險(xiǎn)的計(jì)算函數(shù)；A,T,V分別表示系統(tǒng)的資產(chǎn)、威脅、脆弱性。

10月29日，唐山分公司友誼路加油站改造升級(jí)后開業(yè)運(yùn)營。這座新運(yùn)營的加油站的最大亮點(diǎn)是肯德基穿梭其中，使廣大消費(fèi)者滿足進(jìn)站加油、在昆侖好客便利店購物的同時(shí)，不用下車就可以享受到高質(zhì)快捷的肯德基美食?！按蠹罄?，今夜吃雞”，友誼路加油站為廣大有車一族提供了全新的“人·車·生活”驛站新體驗(yàn)。這是河北銷售公司在探索實(shí)踐高質(zhì)量服務(wù)中的又一成功實(shí)踐。

對(duì)系統(tǒng)的信息安全風(fēng)險(xiǎn)分析一定程度上存在著主觀性，結(jié)論一定程度上也具有模糊性。信號(hào)系統(tǒng)網(wǎng)絡(luò)中CI、ZC 以及ATP 等設(shè)備安全等級(jí)高受到物理隔離保護(hù)，一些常見的攻擊方式并不能很好地適用于這些設(shè)備，因此設(shè)備被成功攻擊的可能性較低。非安設(shè)備如維護(hù)機(jī)等設(shè)備，由于安全等級(jí)較低且經(jīng)常需要進(jìn)行回放、日志查詢等操作，暴露程度較高，被攻擊的概率也較大。結(jié)合CBTC 信號(hào)系統(tǒng)的網(wǎng)絡(luò)特點(diǎn)以及網(wǎng)絡(luò)風(fēng)險(xiǎn)分析原理，可采取專家評(píng)分的方式對(duì)可能威脅信號(hào)系統(tǒng)信息安全的事件進(jìn)行評(píng)估，并將其存儲(chǔ)于分析數(shù)據(jù)庫中，用以支撐網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)等級(jí)評(píng)估。評(píng)估元素發(fā)生成功的可能性可分5 個(gè)等級(jí)，對(duì)應(yīng)的評(píng)語集V={V1,V2,V3,V4,V5}={低，較低，中，較高，高}，評(píng)估等級(jí)的高、低程度與該類型攻擊發(fā)生成功的概率成正比。

3.1 漏洞挖掘

在一些已知的工業(yè)系統(tǒng)信息安全事故中，攻擊者都是利用設(shè)備存在的漏洞或者“后門”發(fā)起攻擊，信號(hào)系統(tǒng)設(shè)備開放端口跟系統(tǒng)漏洞都存在被利用的可能。CI 是CBTC 系統(tǒng)中的核心地面控車設(shè)備，主要用以采集現(xiàn)場信號(hào)設(shè)備狀態(tài)，接收操作員發(fā)來的操作命令，進(jìn)行聯(lián)鎖運(yùn)算。測試時(shí)以某型號(hào)CI 系統(tǒng)為研究對(duì)象，利用端口掃描器Nmap 和漏洞掃描器Nessus 對(duì)CI 系統(tǒng)的邏輯部、控顯機(jī)、維護(hù)機(jī)進(jìn)行掃描，分析設(shè)備開放端口跟系統(tǒng)漏洞帶來的信息安全威脅。CI 的組成以及與外圍系統(tǒng)的接口示意如圖2 所示。

圖2 聯(lián)鎖系統(tǒng)結(jié)構(gòu)Fig.2 CI system structure

3.1.1 CI通信板漏洞挖掘

利用端口掃描工具通過接出的以太網(wǎng)口對(duì)CI通信板掃描，掃描結(jié)果包含通信板開放的端口號(hào)以及端口的服務(wù)類型等信息。漏洞掃描結(jié)果顯示設(shè)備存在一個(gè)中級(jí)漏洞，該漏洞為公開漏洞，在公共漏洞和暴露（Common Vulnerabilities &Exposures，CVE）中有詳細(xì)介紹。測試時(shí)發(fā)現(xiàn)環(huán)境中的設(shè)備未設(shè)置密碼，通過Telnet 命令可以直接登入進(jìn)內(nèi)部系統(tǒng)。

3.1.2 控顯漏洞挖掘

控顯是聯(lián)鎖子系統(tǒng)的操作顯示終端，與聯(lián)鎖邏輯部、ATS 系統(tǒng)、控制臺(tái)接口通信。控顯的端口掃描結(jié)果如圖3 所示。

圖3 計(jì)算機(jī)聯(lián)鎖系統(tǒng)上位機(jī)端口開放狀態(tài)Fig.3 Ports in open state of CI host computer

控顯機(jī)使用Windows XP 系統(tǒng)，微軟公司于2014 年停止了該系統(tǒng)的服務(wù)支持。控顯機(jī)操作系統(tǒng)漏洞掃描部分結(jié)果如圖4 所示，掃描結(jié)果表明該上位機(jī)缺少漏洞補(bǔ)丁，系統(tǒng)被攻破的可能性較大。

圖4 計(jì)算機(jī)聯(lián)鎖控顯機(jī)漏洞掃描結(jié)果Fig.4 Scanned results of vulnerabilities in CI host computer

3.1.3 維護(hù)機(jī)漏洞挖掘

聯(lián)鎖維護(hù)機(jī)的主要功能是記錄操作信息、報(bào)警信息、站場顯示信息和輸入輸出等信息。維護(hù)機(jī)并不直接控制邏輯部，在實(shí)際使用中沒有受到太多重視。聯(lián)鎖維護(hù)機(jī)與控顯機(jī)一樣采用微軟的Windows 操作系統(tǒng)。漏洞掃描結(jié)果顯示設(shè)備暴露的端口號(hào)較多，存在多個(gè)嚴(yán)重漏洞，測試設(shè)備已被Conficker 蠕蟲感染。

3.2 漏洞利用測試

利用3.1 節(jié)中掃描獲得的端口開放信息以及系統(tǒng)漏洞信息模擬攻擊者對(duì)設(shè)備進(jìn)行攻擊測試。測試時(shí)分別嘗試對(duì)CI 通信板、控顯機(jī)以及維護(hù)機(jī)進(jìn)行攻擊，測試結(jié)果如表1 所示。

表1 設(shè)備漏洞利用測試總結(jié)Tab.1 Summary of tests of exploiting the vulnerabilities of devices

獲取CI 通信板開放的端口信息后，利用拒絕服務(wù)（DOS）攻擊軟件LOIC 對(duì)設(shè)備實(shí)施TCP 泛洪攻擊，設(shè)備通信板重啟。CI 內(nèi)部的控顯機(jī)和維護(hù)機(jī)使用的Windows 操作系統(tǒng)存在著大量公開暴露的漏洞，利用 MS09-001 漏洞進(jìn)行測試，聯(lián)鎖控顯機(jī)藍(lán)屏并重啟。CBTC 信號(hào)系統(tǒng)網(wǎng)絡(luò)內(nèi)的設(shè)備管理嚴(yán)格，攻擊者往往在無法直接接入的情況下可能會(huì)采取一些復(fù)雜的“滲透型攻擊”。測試效果表明，攻擊者在不與主機(jī)設(shè)備接觸的前提下，利用寫好的“自動(dòng)攻擊腳本”可通過U 盤擺渡攻擊信號(hào)系統(tǒng)的設(shè)備使其重啟。

3.3 網(wǎng)絡(luò)信息安全威脅對(duì)系統(tǒng)的影響分析

CBTC 信號(hào)系統(tǒng)遵循嚴(yán)格“故障-安全”的設(shè)計(jì)原則，系統(tǒng)對(duì)于所有故障或失效源均導(dǎo)向安全側(cè)。基于這一設(shè)計(jì)原則能夠使得設(shè)備出現(xiàn)故障或失效時(shí)大多時(shí)候不對(duì)系統(tǒng)安全性產(chǎn)生影響，只影響系統(tǒng)可用性。正常情況下CBTC 信號(hào)系統(tǒng)安全設(shè)備被攻擊成功的概率較低，網(wǎng)絡(luò)面臨的信息安全風(fēng)險(xiǎn)主要是對(duì)系統(tǒng)的可用性產(chǎn)生影響。若需對(duì)系統(tǒng)的安全產(chǎn)生威脅，如篡改信號(hào)系統(tǒng)的輸入/輸出信息，需實(shí)施更加復(fù)雜的攻擊方法。

4 結(jié)束語

本文對(duì)CBTC 信號(hào)系統(tǒng)中的信息安全問題進(jìn)行探討，并以CI 為研究對(duì)象，對(duì)CI 邏輯部通信板、控顯機(jī)以及維護(hù)機(jī)進(jìn)行了端口跟漏洞掃描。依據(jù)掃描結(jié)果對(duì)部分漏洞進(jìn)行了測試，分析信息安全事件攻擊CBTC 系統(tǒng)所帶來的影響。測試表明設(shè)備暴露的端口號(hào)以及漏洞會(huì)影響系統(tǒng)的正常運(yùn)行，應(yīng)當(dāng)關(guān)閉一些不使用的端口并及時(shí)為系統(tǒng)漏洞打補(bǔ)丁。