赵小军，黄天天，马金鑫

(北京华铁信息技术有限公司，北京 100081）

1 概述

列车运行控制系统（简称列控系统）目的是充分利用各种先进的科学信息技术和装置，保障列车以最低安全间隙的距离运行，以期达到最大轨道交通运输能力。广义上列车运行控制系统包括调度集中系统（行车指挥）、计算机联锁系统（进路控制）、列车控制系统（列车运行间隔控制）和铁路信息通信专用设备等。在列控系统的建立初期，各子系统形成自己的独有网络，系统间相互独立，且铁路系统运行管理过程中对实施流程具有完善、严格的约束，整体上来说，可以认为几乎没有网络信息安全问题。近年来，随着IT技术的快速发展，铁路系统智能化发展及科技创新需求日益显著，通用IT技术在铁路列控系统中的应用也开始日趋广泛、深入，列车运行控制过程的各子系统、设备之间以及与外部相关系统之间逐渐开始存在大量的数据交换和信息共享，导致系统内部各个设备既相互独立工作又相互联系，形成了复杂的内部结构。而列控系统设备之间对外信息交互接口日益增多，越来越多的通用软件、标准硬件和通用的通信协议被应用于列控系统，导致系统本身安全漏洞缓慢增多。例如自身系统内核漏洞、网络通信协议漏洞和应用层软件漏洞，一旦潜在的攻击者侦察到这些安全漏洞，将导致针对信息网络的各种网络攻击在列控系统中扩散，严重威胁铁路运输安全。

铁路列控系统面临不断加剧的网络信息安全态势及快速发展且逐步严峻的外部网络信息环境，铁路运输系统中涉及运行安全的相关核心装备，典型如列控系统，亟待在传统的功能安全保障基础上，进一步深化开展网络与信息安全层面的梳理、风险分析与防护能力优化设计。铁路列控系统作为一种特定行业背景的工业控制系统，在网络与信息安全层面的防护方法能够从工业控制领域得到众多启示。

国内外对工业控制系统的发展均已将信息安全作为系统优化、能力加固的一种重要方向，其相关研究主要集中在4个方面：信息安全体系架构、漏洞挖掘技术、态势感知技术、主动防御技术，相应的核心技术、产品等也已在众多工业控制领域得到实际应用，发挥了确保网络信息安全能力的关键效应。

国外铁路信号厂商、研究机构也已开始关注铁路列控系统的信息安全防护问题，在轨旁联锁系统的网络安全及漏洞挖掘、系统攻防测试、调度指挥系统的安全边界等方面已有一定探索。然而，随着国内CTCS列控系统体系的不断深化，面向以车载中心化、卫星定位自主感知、基于IP的多模通信等为核心技术特征的下一代列控系统已开展了多项相关研究，其配套的信息安全层面的技术创新、体系构建及应用融合等已迫在眉睫。

2 列控系统信息安全风险分析

信息安全态势评估（Cyber Security Situation Assessment，CSSA）是对系统当前的安全态势以及未来的安全发展趋势进行评估，以此为基础进一步深入研究，实现在有入侵信息系统动作发生之前，就快速准确预警并实施有效的防御，把信息系统面临的风险降到最低，从而达到主动防护的效果。

在实施信息安全风险分析过程中，对系统在信息安全层面的脆弱性进行挖掘，是明确系统风险来源和切入点的前提基础。系统的脆弱性不可避免，其存在的原因有多方面，例如通信协议的漏洞、系统网络结构和软硬件的不正确部署和配置、操作系统程序的缺陷等。这些漏洞、问题导致系统出现脆弱点，不但威胁到使用透析传输的各种应用，也严重威胁到某些以认证和授权的方式进行传输的系统。因此，通过对铁路列控系统进行脆弱性分析，可以发掘存在的相关弱点，便于后期防护设备的布置、防御技术的叠加或融合。

对铁路列控系统开展相应脆弱性分析的主要内容包括以下5个方面。

1）利用脆弱性分析提供详细的列控系统安全说明，使系统设计、研制与管理应用人员可以根据系统的状况以及现有脆弱性情况进行有效合理的安全措施部署，避免因新增安全措施而产生新的脆弱性的可能。

2）通过脆弱性分析，能更直接的反映列控系统的信息安全状态，更具备说服力，使系统设计、研制与管理应用人员更加直观地了解列控系统信息安全整体状况并定位具体的薄弱环节，为系统信息安全优化提供理论指导和依据，为安全策略制定提供参考。

3）通过脆弱性分析结果生成攻击图，可以使系统设计、研制与管理应用人员明确发现现有系统的安全缺陷，釆取有效补救办法，花费最小代价提高列控系统的信息安全状态及抵御能力。

4）在一些不安全因素尚存的前提下，列控系统在未来一段时间内的安全趋势成为被关注的焦点，脆弱性分析可以为列控系统安全态势分析提供一定理论依据。

5）在列控系统的风险分析中，脆弱性导致的生产安全问题会对设备本身在保密性、完好性和实用性方面产生威胁，脆弱性分析可以为风险分析提供参考意义；同时，根据脆弱性产生的安全威胁在整个运行相关系统中可能导致的危害程度不同，对系统组件分别采取不同程度的保护措施，从而为列控系统的等级保护提供相应评判依据。

脆弱性分析包含定性和定量分析过程，为深入定位、辨识、评估脆弱点的风险类型和影响程度，运用专用工具实施针对性的测试评估是一种非常重要的手段，如在网络分析挖掘中常用的渗透测试，是一种常用来开展量化精准脆弱性分析的手段。一个完整的渗透测试过程包含预攻击阶段、攻击阶段、后攻击阶段，通过收集扫描受测对象设备的相关信息、实施端口/漏洞/协议等方面的攻击侵入实验，模拟实际运行过程中可能面临的安全攻击事件，并在后攻击阶段介入更高级别权限的攻击行为，从而观察、提取、确认系统中存在的漏洞、问题以及在特定攻击下显现的负向反应，为系统脆弱性分析提供明确、量化的分析结果。

3 列控系统信息安全防护技术

在明确列控系统信息安全脆弱性及相应风险的基础上，通过特定技术策略实现信息安全层面的有效防护，是将信息安全特征与思想融入实际列控系统研制与应用的关键环节。目前，工业控制系统中主要涉及信息安全方面的防护技术包括：网络基础架构、通信传输、控制无线使用、控制访问、入侵防范、恶意代码防范、安全审计、身份鉴别、资源控制、软件容错、数据完整性、数据保密性、数据备份恢复、剩余信息保护和边界防护等多个方面。对于铁路列控系统而言，目前主要关注的内容集中于顶层安全体系架构以及关键的感知防御技术层面。综合工业控制领域的研究发展经验以及国内、外在铁路列控系统方向的发展现状，针对列控系统的信息安全防护技术可以从以下4个方面进行。

1）铁路列控信息安全体系架构：通过把不同安全防护体相互融合来实现唯一有效的综合型防护屏障，这样的安全体系架构能够更好地减弱攻击者对铁路列控信息系统中的网络侵害和破坏，确保列控系统信息安全性，为信息保护、数据输送提供强健稳定的基础。铁路列控系统网络所带来的风险与压力在不断增强，为更好保证信息安全，必须注重提高列控系统特定安全管理体系架构的完整性、实用性。

工业控制领域相关系统的安全体系架构如图1所示。在管理安全方面，从安全策略和管理制度安全策略、安全管理机构和人员、安全管理建设外包软件开发、安全运维管理漏洞和风险管理4个方面进行信息安全考虑及控制。在可靠的安全技术方面，基于工业自动化控制系统划分的各层为单位，考虑各层包含的设备及设备功能、设备重要性、网络结构、可能存在的风险等因素，各层间采用边界防护技术，通过防火墙、网闸等设备对各层级之间，尤其是控制网络与非控制网络间的通信进行监视及控制。通过各层级内部以及层级之间的安全防护技术和加强管理方面的防护来保证工业控制系统的信息安全。铁路列控系统作为工业控制系统在铁路运输行业的一个典型实例，可参照上述安全体系架构设计与之相应的整体体系，进而对系统的设计、研制、运用、管理及维护等多个过程实施优化。

图1 工业控制系统安全体系架构Fig.1 Security architecture of industrial control system

2）网络安全漏洞挖掘技术：列控网络系统主要不安全因素包括系统应用层软件、各类运用设备间通信安全协议和组成信息系统等的所存在的网络信息泄露或漏洞。入侵者运用漏洞针对列控信息系统实施靶向攻击，会给列控信息系统带来极大的损失。以现有的安全技术手段，铲除这些隐患的方法除了进行可靠安全性应用程序的开发、通信协议加密、操作系统打补丁之外，最有效的方案就是在侵入者挖掘使用这些系统漏洞进行侵入破坏之前，利用既有的漏洞挖掘技术来侦测挖掘这些存在信息系统中的漏洞，进行针对性的信息系统攻击，以便对存在缺陷的应用程序进行相应安全补丁升级，及时建立抵当入侵者攻击的防御体系。

3）态势感知技术应用：如何进行实时、动态地监测了解列控系统所处的安全态势，是实施有效针对性措施的前提基础。态势感知技术是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。基于列控系统的态势感知技术应具备信息空间安全持续监控能力，时刻侦测挖掘分析各种存在的攻击威胁与异常风险信息，对与列控系统胁迫有关的影响范围、攻击途径、目标、攻击方式进行快速判别，从而有效提升列控系统信息安全性。

4）主动防御技术：是有入侵列控系统因素行为发生以前，能够即时准确的预警，同时构建防御体系，积极主动地采取防御策略，提前部署防御措施，防止、转移、减少信息系统面临的风险，使得攻击者无法达到其目的，从而保护被攻击的系统的防御技术。针对列控系统的主动防御技术部署与实施需结合各子系统实际特性及特定运行环境及场景实施定制化设计，并从顶层符合信息安全体系架构的整体约束，形成体系化且具有局部/全局综合提升效益的防御机制。

4 结论与展望

本文总结了列控系统运用发展过程中面临的网络信息安全环境及主要问题，论述列控系统信息安全风险分析的主要思想和实施途径。对列控系统信息安全脆弱性分析的主要方式及过程进行总结，以工业控制系统的信息安全体系为出发点，进一步从信息安全体系架构、漏洞挖掘技术、态势感知技术、主动防御技术等4个方面分析列控系统信息安全防护技术。本文所做的分析是对列控系统快速发展过程中在信息安全保障层面的进一步深入，相应的体系、技术思路对于促进列控系统技术、装备、体系的发展深入纳入信息安全特征与能力建设有促进意义。