郭亮， 余骞， 袁雪冰

（1. 中国铁道科学研究院集团有限公司通信信号研究所，北京 100081；2. 北京华铁信息技术有限公司，北京 100081）

我国高速铁路具有安全、高效和高速等特点，已成为一张名副其实的靓丽名片。另外，城市轨道交通也随着我国城镇化的深入推进，逐步成为城市交通的主要方式。地面信号控制系统作为轨道交通系统的神经中枢和大脑，经过长期引进消化和自主发展，功能安全的技术积累已较为成熟。由于目前我国地面信号控制系统大多通过以太网进行信息交互，系统间接口较多，信息传递路径复杂，而且信息安全研究体系尚未建立，因此，如何从信息安全的角度对典型地面信号控制系统进行防护已成为重要研究课题。

1 信息安全分析的必要性

2016年，习近平总书记在网络安全与信息化工作座谈会上指出要“加快构建关键信息基础设施安全保障体系”［1]，特别提到交通领域的关键信息基础设施作为经济社会运行的神经中枢，具有重大风险隐患，一旦出问题，具有很大的破坏性和杀伤力。近年来，越来越多针对工控系统的网络攻击事件也不断显示其强大的破坏性和广泛的影响力。例如，2010年，伊朗爆发了专门针对可编程逻辑器件PLC 的“震网”病毒，利用西门子Step 7软件中的漏洞突破后台权限并感染数据库，造成离心机频繁损坏，使得伊朗的铀浓缩计划延期长达2年之久。2015年12月，网络攻击者利用其在乌克兰能源网络中的立足点关闭了3 家电力配送公司，导致22 万多个家庭在寒冷的冬季无电可用。2018年5月，丹麦国家铁路公司（DSB）遭遇了大规模的DDoS 攻击，事件造成约1.5 万旅客无法通过该公司的应用程序和售票机购买火车票，运营商只得人工售票。这些事件都表明，确保工控系统特别是轨道交通信号控制系统的网络安全，对于保障国家工业基础设施和人民生命财产安全具有重大意义。

长期以来，联锁、列控等典型地面信号系统采用核心子系统的容错架构、传输通道的冗余配置以及关键信息的交叉校验等方式保证传输信息的安全与可靠。在发展之初，由于传输信息量小、传输环境与通道进行物理封闭，并未考虑对信号系统设置信息安全防护机制。但是，随着接入信息传输网络的设备越来越多，传输的信息也日趋复杂，并出现了基于GSM-R 等开放式网络环境的应用场景。因此，我国信号系统信息安全采用了传统防火墙、访问控制、隔离等技术，同时制定了铁路安全通信协议等专用协议。这些措施虽然从一定程度上提升了系统的安全性，但由于铁路信息传输大多采用TCP/IP 协议的开放式技术，因此，极易因各方面缺陷被非法分子通过网络进行破坏、窃取或者篡改，遭受各种黑客攻击。

2 典型地面信号系统信息安全分析发展现状

2.1 安全标准与规范

通常，工业控制领域中的安全问题可分为物理安全（Physical Safety）、功能安全（Functional Safety）和信息安全（Information Security）。除物理安全是针对由外部环境和应用场景产生的影响外，功能安全和信息安全则均需开发人员自行做出防护。其中，功能安全是保证系统安全运行、实现系统全生命周期的终极目标，而信息安全则是实现系统安全的保护手段的集合。

ISO/IEC 27002《信息安全管理要求》是信息安全领域的管理体系标准。标准提出信息安全的3要素：机密性（Confidentiality）、完整性（Integrity）和可用性（Availability），简称为CIA。在此基础上，IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》针对工控系统进一步具体规定，应先考虑可用性，其次为完整性，最后才是信息的机密性，简称AIC。

IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》是目前为止在安全相关系统领域中较为核心的国际标准之一，该标准对系统的功能安全作出理论概括和技术总结，并不针对某一特定的应用领域。IEC 61508 定义了安全完整性等级，并将风险作为度量危险的指标，是功能安全领域的总纲。

在此基础上，欧洲电气化标准委员会制定了铁路安全相关标准EN 50126、EN 50128、EN 50129 和EN 50159。其中EN 50159 是针对铁路通信信号系统中有关信息传输的安全通信标准，重点关注了安全相关系统中当借助封闭传输系统和开放传输系统进行信息传输过程中可能面临的7种威胁安全问题，并针对每种威胁推荐了相应的防御方式。但EN 50159 在信息安全领域只关注可能出现的异常消息对安全应用的影响，并未考虑信息在传输过程中的私密性、外部主动或恶意攻击等一般性的信息安全问题。在我国铁路安全的具体实践中，国标GB/T 24339 完全引入EN 50159，二者互为等价标准，其内容和条款也完全一致。这些协议主要是立足于信息传输过程中的完整性和可靠性，并没有考虑信息在传输过程中遭到窃听或泄露等信息安全攻击的场景。

铁路信号系统作为工控系统中重点领域的核心设备，由于其独特的应用场景和严苛的安全要求，因此在传统工控系统信息安全防护策略的基础上，还存在以下特殊需求：

（1）信息安全防护手段不能对信息实时性造成明显的影响；

（2）信息安全防护手段不能降低系统的可用性，即不能出现非计划性的重启；

（3）子系统间多采用专用通信协议。

2.2 国内外研究现状

目前，国外学者在信息安全领域中提出很多风险分析的基本方案与重要模型，构建了信息安全综合分析的流程与方法。例如，评估建模中的攻击树（AttackTree）模型［2]、攻击图（AttackGraph）模型［3]及Petri 网模型［4]等，但在铁路信号系统领域的具体实践中也缺乏足够的范例。

长期以来，我国学者对铁路信息系统，尤其是信号系统的信息安全开展了大量深入研究。特别是在城市轨道交通迅猛发展的背景下，学者也越来越关注CBTC系统和其他地铁信息系统中的信息安全问题。

初期，研究人员只关注铁路管理网络等非核心信息网络，由于封闭式设计和安全协议的防护，并未将研究重点放在铁路信号系统，同时安全的手段也停留在建立制度与人员管理上，技术手段还相对薄弱。2005年，刘磊［5]对铁路信息网中的系统层和信息安全2方面的保障措施进行调研，并制定了一系列安全管理制度和提出了相关的安全技术防范措施。2006年，熊剑等［6]提出采用信息加密技术保护网内的数据、文件、口令和控制信息，从功能安全角度分析了铁路信号网络。

随着信息系统等级保护制度逐步建立和工控系统正式成为信息系统的组成部分之一，研究人员开始从等级保护的角度出发，对信号系统的安全防护提出策略与建议。2012年，张磊等［7]对地铁信号控制系统、相关信息系统和无线信号的主要评价指标进行测评，同时结合轨道交通的功能特点，探索建立等级保护测评的方法。2012年，陈登科［8]从轨道交通信号系统中的操作系统、功能应用软件和信息网络通道3方面分析可能出现的各种威胁，并参考常用的网络安全防护技术提出部署IPS入侵防御系统、网管系统、带宽管理系统等手段。2017—2019年，王海涛、刘龙、刘晨阳、张琪等［9-12]对符合城市轨道交通信号系统安全三级等级保护要求的建设方案进行了探讨。

目前，考虑到信号系统的应用特殊性，我国学者开始将功能安全与信息安全相融合，在充分分析系统结构特点的基础上，有针对性地提出解决方案，并进一步完成了风险分析与风险监测等方面的研究。2016年，王绍杰等［13]对比当前CTCS-3 级列车控制系统中的功能安全和信息安全在威胁、漏洞、后果、评价方式和标准要求等方面的区别，详细列举了目前CTCS-3 级列车控制系统中的网络威胁，并针对性地提出安全防护策略。李赛飞等［14-16]将下一代网络架构的软件定义网络（SDN）引入铁路信息网络安全防护中。由于这种新型网络架构将网络设备的控制面和数据面分离，从而实现了网络流量的灵活控制，同时可对所有设备的传输数据进行统一管理。该团队首先在铁路通信系统网络中进行验证，采用故障树分析方法，提出基于可信计算和软件定义网络相结合的安全体系架构。随后，提出基于我国高速铁路信号系统安全数据网的SD-SSDN 安全防护方案，改进后的SDN 架构是面向功能设计的白名单表控制方式，可提升网络的可靠性、保证网络的实时性。2017年，付淳川等［17]详细研究了高铁信号系统中面临的安全风险。划定不同的安全域，采用不同的算法实现攻击图的生成，得到较为完整的攻击路径。同时对分析出的风险，还采用基于组件安全属性的风险评估方法，实现了对风险值的定量评估。2018年，陈佳民［18]对CBTC 系统中的安全通信场景和重放攻击场景分别建模，将CBTC 系统类比为典型的无线网络控制系统（WiNCS），并基于轨道交通领域的功能特点改进了残差卡方算法和Pearson 系数法对风险进行监测。2018年，陶伟［19]分析了目前城市轨道交通信号系统的安全措施仅限于安装防火墙和部署杀毒软件等初级的保护措施，提出实时网络攻击行为捕获、“白名单”准入等信息安全防护建议。2018年，孙心宇［20]提出将信息安全中的威胁和风险等相关因素纳入功能安全防护的框架中，将功能安全分析中的故障树和信息安全分析中的攻击树方法整合，并选取CBTC 中的ATP 子系统为研究对象作出综合安全分析。2018年，陈文赛［21]分析了轨道交通信号系统与通用信息技术系统中信息安全遵循原则的区别，并结合当前新技术，从功能安全、信息安全与物理安全3 方面为轨道交通信号系统提供信息安全保障的体系结构。2019年，罗铭等［22]通过调研当前渗透测试的常用方法，立足于CBTC 系统的实际功能，对系统主机采取了一般攻击和漏洞利用等渗透攻击方法，进而根据实际攻击结果提出改善建议。

可以看出，信号系统的信息安全研究经历了由单纯的“加密算法改进”等功能安全措施，到“加强管理制度和体系建设”等一般工控系统安全策略的过程，最终形成了基于信号系统的网络架构和应用场景，采用其他工控系统成熟的防护技术加以改进，努力建设具备针对性和可实践性的信号系统信息安全防护技术的研究方向。

3 信息安全分析流程

在上述文献调研的基础上，通过借鉴成熟的工控系统信息安全分析技术，充分考虑信号系统的功能特点，根据GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》，即“等保2.0”将典型地面信号系统的信息安全分为5个方向：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全建设管理。而风险分析是面向全过程安全防范技术，可有力地支撑上述5个方向的具体实施。信息安全风险分析流程可分为4个阶段：分析准备阶段、风险识别阶段、风险计算阶段和安全防护阶段（见图1）。

图1 信息安全风险分析流程

在此，以CTCS-3 级列车控制系统中无线闭塞中心子系统RBC-YH 为例，结合该子系统的功能，对其风险分析流程的4个阶段进行阐述。

3.1 分析准备阶段

系统分析是进行安全防护的基本前提。无线闭塞中心RBC-YH 是CTCS-3 级列车控制系统中的地面核心设备，通过接收安全网通信对象（CBI、TSRS 和NRBC）、CTC 和车载ATP 的信息，计算生成列车的移动授权，并通过GSM-R 无线网络下达至车载设备，达到控制列车安全运行的目的。RBC-YH 的结构及内外接口见图2。

图2 RBC-YH结构及内外接口

分析上述结构，可针对无线闭塞中心RBC-YH 进行框架建模，该模型需描述基于安全数据网的有线封闭式网络环境和基于GSM-R 的无线开放式网络环境，同时还需考虑低级别网络（2M 专用数字网络），以便定量地描述系统的状态关系，为之后信息安全的攻击路径提供理论计算基础。

3.2 风险识别阶段

风险识别是进行安全防护的重要依据。由于RBCYH 与多种设备均进行数据交互，且网络连接复杂，同时存在内部接口和外部接口。因此，对通信接口的数据流和传输方式进行分析对风险识别具有重要意义。

通过列举RBC-YH 的内部接口和对外接口（见表1、表2），梳理完成各子系统间的传输方式与传输信息，可对各关键节点的安全属性进行编号与抽象。采用攻击图或攻击树等方式，对RBC-YH 的安全风险进行识别。

表1 RBC-YH内部接口分析

表2 RBC-YH对外接口分析

3.3 风险计算阶段

风险计算是进行安全防护的必要手段。立足于信息安全中的可用性、完整性、机密性，构建RBC-YH系统的风险评价指标，采用专家系统，对各评价指标进行打分。通过多目标优化算法，以系统的可靠性和实时性为约束条件，定量计算RBC-YH 的信息安全风险。

3.4 安全防护阶段

安全策略是进行安全防护的最终目的。对分析出的各项风险及其风险值，判断其是否为可接受的风险。如不可接受，则提出相应的安全防护策略。目前，基本的安全防护可分为安全技术防护与安全管理制度防护。除加强安全制度建设，人员和设备管理外，还应加强安全技术手段，如网络隔离、端口保护、增加防火墙等方式。同时，充分跟踪信息安全的发展趋势，为下一代信号系统的网络架构提出创新性建议。

4 结束语

基于充分调研信息安全领域的标准与铁路领域的现行规范，分析信息安全在高速铁路和城市轨道交通领域的发展现状，并结合“等保2.0”中对工控系统的明确要求和信号系统的功能特点，提出典型地面信号系统的信息安全分析流程。以自主化RBC-YH 为例，提出信息安全分析方案，对其他信号系统的信息安全分析具有借鉴意义。