城市轨道交通信号系统安全问题及对策研究

2018-07-24周海燕

电子产品可靠性与环境试验 2018年3期

周海燕

（工业和信息化部电子第五研究所，广东广州 510610）

0 引言

随着城市现代化进程的明显加快，城市规模不断扩大，国内城市对轨道交通系统的需求也越来越大，目前已进入了高峰时期。与传统的固定闭塞、准移动闭塞相比，基于无线通信的移动闭塞CBTC信号系统是实现城市轨道交通高速度、高密度和小编组的最终解决方案，并得到了广泛的应用[1]。然而，随着城市轨道交通建设步伐的加快，城市轨道交通安全事件频繁发生，城市轨道交通信号系统所面临的安全问题日益凸显[2]。

1 国内地铁信号系统技术方案现状

在通信信号系统领域，地铁信号系统主要依赖进口，由于我国国内企业缺乏自主知识产权，因而在地铁项目中国内企业通常需要与外资公司合作共同投标，例如:法国阿尔斯通、德国西门子集团、法国泰雷兹、加拿大庞巴迪公司和英国西屋公司等。在统计的62条线路中，采用卡斯柯-阿尔斯通方案的有17条线路，采用西门子方案的有19条线路，采用自仪-泰雷兹方案的有9条线路。

目前代表信号系统发展方向的为移动闭塞制式，移动闭塞制式中的ATP/ATO设备供应商主要有卡斯柯-阿尔斯通的Urbalis888、自仪-泰雷兹的SekTrac S40、西门子的TrainGuard MT和交控科技的LCF-300等。

2 轨道交通脆弱性分析

2.1 平台脆弱性

平台脆弱性包括平台硬件脆弱性、平台软件脆弱性和平台配置漏洞。其中，平台硬件脆弱性是指硬件设备由国外提供，有恶意植入问题。平台软件脆弱性主要有运维依赖国外，软件恶意后门，为了满足远程数据调试、信息收集的常规技术后门3个方面。平台配置问题包括访问控制策略不合理、口令策略不恰当、补丁更新不及时、使用默认配置、开启不必要的服务、未安装恶意防护软件和更新不及时等。

2.2 网络的脆弱性

网络的脆弱性主要体现在以下几个方面。

a）信号系统网络架构不合理，未划分安全域。生产系统所处网络未划分安全域，缺乏安全隔离和防护设备[3]。例如:各种生产系统之间仅通过VLAN的划分形式，未采用防火墙等安全设备进行逻辑隔离。一旦某台终端违规外联、感染病毒，或者发起网络攻击，将会造成网络大面积服务中断，并且无法快速地定位攻击源和感染源，从而引起地铁长时间无法正常运营。

b）网络传输采用标准协议，对数据、用户和设备的验证不充分。在系统设计初期，缺少网络安全防护设计，大量使用明码传输，极易被破译和伪造。虽然目前安全意识已提高，但仍存在客户端与接入点之间的验证不充分、数据保护不够等问题。

2012年4月对某市地铁10号线的扫描检测发现，轨旁AP隐蔽性差，安全性低，例如:广播SSID未采用任何加密机制和任何接入认证机制，对接入终端未做限制，攻击者可通过利用这些安全性较低的AP，直接接入到无线网络中，对其进行恶意攻击；而对某市地铁4号线的检测发现，其机车驾驶室车顶信号AP使用了WEP的加密方式，该加密方式极易被破解。攻击者可利用破解后的WEP密钥接入到无线系统中，对4号线机车正常运营构成严重的安全威胁。

c）无线通信易被物理干扰。CBTC模式下的轨旁AP信标及点式固定闭塞模式下的LEU应答器在与列车通信时均采用开放的无线通讯方式，所以传输的信号很容易被干扰。假如遭到干扰就会导致ATP轨旁系统无法获得列车传递的信息，ATP系统将无法正常工作，最终影响地铁正常运营[4-5]。

d）工业领域的通信设备为非自主可控产品。工业领域的交换机、路由器多数为国外品牌，存在较大的安全隐患。此外，持续外包国外服务的可靠性、安全性也难以保证。

2.3 管理脆弱性

管理脆弱性主要体现在以下几个方面。

a）安全政策规范欠缺，安全意识薄弱。城市轨道交通领域安全管理有待提高。通过访谈了解到，大部分地铁在信息安全管理方面，体系架构尚未考虑信息安全问题，同时也缺乏从设计、开发、运营和维护等各个环节的信息安全规范准则。员工对安全的理解还主要停留在传统的行车安全方面，针对信息安全风险防范、安全意识等方面有待进一步地加强。

b）生产系统服务器未及时更新升级补丁。部分服务器已发现存在远程认证绕过、缓冲区溢出和conficker蠕虫等高危漏洞，没有及时更新，存在恶意人员利用这些已有的高危漏洞访问、甚至破坏系统的危险。

c）生产系统终端管理不完善。部分终端未安装杀毒软件或者未及时升级，未对USB接口进行封锁，发现USB违规使用的痕迹。若USB设备带入病毒，则可能大面积感染整个系统设备，导致整个系统无法正常运营。其次，还存在终端安装了非正常工作需要的软件，用户名和口令张贴于显示器等问题。