陈嘉怡,燕 飞
城市轨道交通信号系统信息安全风险辨识
陈嘉怡,燕 飞
(北京交通大学电子信息工程学院,北京 100044)
从城市轨道交通信息安全面临的严峻形势出发,介绍城轨交通信号系统组成,并对信号系统各子系统功能进行阐述。城轨交通信号系统是保证列车安全、准点、高密度运行的重要技术装备,主要由列车自动监控子系统、列车自动防护子系统、列车自动运行子系统、联锁子系统组成。根据信息安全风险分析模型,识别城轨交通信号系统信息安全的威胁来源及核心资产。由于城轨交通系统属于工业控制系统的典型系统,城轨信号系统则具备工控系统的一般性特点,继承工控系统的脆弱性。针对国内城轨交通信息安全研究的空白之处,结合工控系统不同层级结构的脆弱性,从技术和管理两个方面进行信号系统的信息安全风险辨识,通过分析发现存在物理安全、网络安全、主机安全和应用安全等层次上的风险。风险辨识结果反映出城轨交通信息安全存在大量的薄弱环节,以期为日后的研究和防护工作的开展打下基础。
城市轨道交通;信号系统;信息安全;风险辨识;脆弱性分析
城市轨道交通系统是工业控制系统的一部分,但其除延续了工业控制系统的系统特点之外,也存在特殊性。由于轨道交通列车运行直接承载乘客,危险性更高、更直接,并且近些年来无线通信技术和宽带网络技术的发展不仅给这个行业带来了新的发展,也引入了相关的威胁。在《城市轨道交通2016年度统计和分析报告》中指出,城市轨道交通系统的运营较之前有很大的变化,主要体现在以下几点:运营规模进一步增大,运营网络化趋势明显;客运量增长明显,发车间隔缩短,运输效率逐步提高。因此针对运营网络化趋势以及客运量日益增长的这些形势,城市轨道交通信息安全面临的威胁还是很严峻的。
城市轨道交通中重要的一环就是信号系统,但是如今针对信号系统信息安全的风险辨识及研究工作还处在初步阶段。现如今的网络时代大环境要求我们尽快地投入这个课题的研究中,这也是笔者研究的初衷。
信号系统是保证列车安全、准点、高密度运行的重要技术装备。城市轨道交通信号系统包含以下4个子系统。
列车自动监控子系统(automatic train supervision,ATS)的功能包括:列车自动识别、列车运行自动跟踪和显示;运行时刻表或运行图的编制及管理;自动和人工排列进路;列车运行自动调整;列车运行和信号设备状态自动监视;列车运行数据统计;列车运行实际记录;操作与数据记录、输出及统计处理;列车运行、监控模拟及培训;系统故障和故障恢复处理。
列车自动防护子系统(automatic train protection,ATP)的功能包括:检测列车位置;实现列车间隔控制和进路的正确排列;监督列车运行速度;实现列车超速防护控制;防止列车误退行等非预期的移动;为列车车门、站台门的开闭提供安全监控信息;实现车载信号设备的日检,记录司机操作和设备运行状况。
列车自动运行子系统(automatic train operation,ATO)的功能包括:启动列车并实现站间自动运行;控制列车实现车站定点停车、车站通过和折返作业;与行车指挥监控系统相结合,实现列车运行自动调整;车门、站台门的开闭监控。
联锁子系统(computer interlocking,CI)是保证列车运行安全的设备,实现列车在进路上道岔、信号机、轨道区段之间正确的联锁关系。
城市轨道交通信号系统按照设备设置的地域可分为7大部分,即控制中心设备、正线车站和轨旁设备、车载设备、车辆段及停车场设备、试车线设备、维修中心设备和培训中心设备,具体构成如图1所示。
资产所有者为了保证资产的可用性,会严格控制资产信息的传播和修改,并使用资产保护措施以抵御威胁。图2 说明了这些概念之间的关系[2]。
在城市轨道交通信号系统需抵御的信息安全威胁程度确定条件中,初始识别的信号系统面临的信息安全威胁是指可能是恶意的、非恶意的或环境的(自然的),并可能导致工业控制系统基本功能损害或丧失。其中,威胁来源通常包括以下3种[2-3]:
1)非恶意的威胁,是指非恶意人员可能意外地损害工业控制系统信息资产的行为,如:企业内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏。
2)恶意的威胁,是指恶意人员针对工业控制系统信息资产的所有故意行为,如内部人员(缺乏训练的、心怀不满的、恶意的、疏忽的、不诚实的或终止劳动关系的人员),黑客、解密高手、恶意入侵者,计算机犯罪分子,恐怖组织,工业间谍(情报机构、公司、敌对国家政府、其他政府利益集团)。
3)环境的威胁,也称自然的威胁,是指不是基于人为行为损害工业控制系统信息资产的所有事件,如:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害。
在进行城市轨道交通信号系统风险辨识分析之前,要先进行重要资产的识别。信号系统涉及区域:正线、停车场、试车线、控制中心、备用控制中心区域和列车车体。
图1 城市轨道交通信号系统构成
考虑到与信息安全相关,可能成为攻击目标,并且结合维护成本以及被攻击后的损失,将信号系统的核心资产总结归纳为以下几部分:
1)现场设备:信号地面机、转辙机、计轴器、区间防护门、轨旁/车载无线设备、地面/车载无线宽带设备、中心/车站电调设备、中心/车站CCTV等。
2)现场控制:PIS(passenger information system)、DCS(data communication system)、CI(computer interlocking)、DSU(data saving unit)等控制级设备。
3)过程监控:中央/车站监控系统。
依据城轨交通信号系统中典型工业控制系统的属性,按照工业控制系统的结构分层,把信号系统的结构分为现场总线控制网络、过程控制与监控网络以及企业办公网络[4-6]。
现场总线网络由于通常处于作业现场,因此环境复杂,部分控制系统网络采用各种接入技术作为现有网络的延伸,如无线等,这也就存在一定的安全风险。同时维护现场设备时,也可能因不安全的串口连接(如缺乏连接认证)或缺乏有效的配置核查,影响整个系统的正常运营和功能实现。该网络众多设备云集,设备自身的安全漏洞也是不容忽视的。同时,网络中传输的重要数据没有进行加密也存在被篡改或泄露的风险。
图2 安全概念及其关系
过程控制与监控网络中的安全威胁有以下几点:不安全的移动维护设备的未授权接入;监控网络设备与控制系统或是现场设备之间不安全的无线通信;一些网络协议在设计时大多没有考虑安全因素,缺少认证、授权和加密机制。
企业办公网络中的安全风险包括以下几点:信息资产自身漏洞的脆弱性;网络互连给系统带来的脆弱性;内部管理机制缺失带来的脆弱性,由于企业内部系统或人员访问缺少基本的管控和认证机制,也同时存在设备随意接入、非授权访问、越权访问等多种风险;缺乏安全意识带来的脆弱性,主要是安全政策、管理制度以及人员的安全意识培养都不完善[4-7]。
根据《网络安全等级保护基本要求》中第五部分对于工业控制系统安全拓展要求中的规定,从技术和管理两个方面进行城市轨道交通风险辨识的研究[8]。
3.1.1 物理安全
1)环境因素的风险。城轨交通信号系统大部分所处的环境都较特殊,并且系统对于环境温度及湿度的要求较高,因此自然环境带来的风险不可能忽视。雷电、洪水、火灾等都可能成为威胁物理安全的重要风险[9]。
2)缺乏物理访问控制。机房、控制室或工程师站等设备和数据服务集中站经常是防护手段中较薄弱的一环,对于进出的人员如不进行鉴别、控制和记录,无法实现物理访问的安全,可能会导致更严重的后果。同时,对于站内设备的区域管理也不是很完善,没有实现应有的物理隔离。
3)电力供应手段不足。城市轨道交通信号系统的正常运营会建立在电力供应正常的基础上,因此如果电力供应不稳定或是因某一电缆线路损坏而导致不能正常运营,可能会引发站内乘客滞留,甚至导致车厢内的乘客恐慌而引发更严重的事故。
3.1.2 网络安全
1)网络结构配置不完善。由于很多网络设计之初更多的考虑实用性,对于安全性考虑较少,从而导致没有给网络预留冗余结构空间,在业务高峰期或是发生特殊险情之时没有足够的带宽或空间来进行协调和调度。同时,还要根据部门的不同职能和信息的重要程度来划分不同的网段和子网,并对它们各自的地址段进行完全的管控[10]。
2)网络的访问控制管理不完善。由于城轨交通系统网络的特殊性,对于其管控应该更加严格。网络边界缺乏访问控制也是信号系统的一个重大隐患。由于通信信号应用的无线网络频段与乘客的无线设备的频段相似,因此,列车接收的信号很容易被乘客或一些其他的信号信息所干扰,城轨交通曾发生过类似事故,由此反映了现如今对于进出网络的信息还没有进行有效的过滤措施。
3)缺乏安全审计。对于信号系统网络中的网络设备运行情况、网络流量、管理者行为应进行日志记录,但是对于这些重要数据和文件的审计并不完善,导致核心数据未及时记录,影响设备的监察和维护,同时攻击者可能对审计记录进行破坏或者篡改,因此对审计记录的保存也应予以高度重视,以避免未预期的删除、修改或覆盖等。
4)恶意代码攻击或入侵。攻击者可能针对网络边界处进行恶意代码攻击,由于目前城轨系统中对于恶意代码的防范以及恶意代码库的建立并不完善,因此如果攻击者选取其中一个薄弱点进行攻击的话,有可能造成列车运营中的各种事故,甚至威胁乘客或站内工作人员的生命财产安全。
对于攻击者恶意入侵这一危险源,目前暂不能进行预计,因此只能加强网络边界处的恶意入侵防范,并且在受到攻击时,及时针对攻击手段和攻击目标进行紧急处理,将损失降到最低。
5)网络设备防护不完善。信号系统的网络设备对实现信号系统的功能有重要作用,因此网络设备的登录管理要更加完善,要对登录请求的用户进行身份鉴别和登录地址限制,同时身份鉴别的口令要有一定的复杂度并且不定时更换,否则就会导致攻击者登录网络设备,进而进行数据篡改、损坏更改控制命令等不法操作。
同样不可忽略的是,目前对于网络设备的远程管理还不够完善。攻击者可能绕过网络边界的访问,直接对数据传输通道进行窃听或是监听。
3.1.3 主机安全
1)控制系统和数据库访问控制机制不完善。中心和车站的控制系统都是由专职的工作人员负责的,因此对于这些系统的访问控制是不容忽视的。攻击者可能直接对没有访问控制的系统执行不法操作,或是冒用非法掌握的身份信息进行访问。
2)剩余信息保护措施不完善。中心和车站最重要的区域就是控制中心、调度站等进行控制行为和存储大量数据的地点。因此,工作人员之间对于访问权限的设定是很重要的环节。不容忽略的是,在进行工作人员之间的存储空间转换时,要对存储空间中的剩余信息进行清除和保护,否则可能造成权限外的关键数据和信息的泄露,为攻击者所用。
3)资源控制措施不完善。由于城市轨道交通信号系统的实行范围很大,工作环境人员较为密集,并且对于重点工作区域的安保工作不够强,因此,对于操作系统或重要服务器的终端登录方式设定如果太过简单就会给攻击者可乘之机,并且不能忽视攻击者中可能存在内部工作人员和外部人员。对于操作系统的登录超时要设定适当的时间,否则如果攻击者直接接触或直接在操作台上操作或篡改重要数据,导致的后果不堪设想。
3.1.4 应用安全
1)通信保护措施不完善。由于信号系统的主要功能是建立设备、系统之间的通信联系,因此通信的完整性和保密性尤为重要。如果在通信路径上没有建立足够完善的保护措施,那么攻击者可能会窃听到重要的控制命令和通信内容,这就破坏了通信的保密性,甚至在窃听的基础上篡改数据指令,破坏数据的完整性。
2)抗抵赖措施不完善。攻击者可能冒充控制中心传递错误信息,这时如果没有提供原发证据的要求,那么数据接受设备或执行者很难识别错误信息,使得列车的运行状态被扰乱或列车调度出现问题,从而导致重大事故的发生。
3)软件容错功能不完善。即使系统在设计之初保障了系统的可用性,但是由于信号系统一定程度上的故障率,在运行过程中由于各种原因发生故障也是无法避免的,这就需要设置软件容错功能。在一定程度上其功能要保证人机接口的输入输出数据格式是系统可识别的,同时在系统发生故障时,应启动自动保护功能,保护当时的运行状态,以确保系统能够进行恢复。
3.1.5 数据安全与备份恢复
在现如今的安全保障措施中,对于数据的完整性和保密性措施是很匮乏的,对于管理数据和普通数据也还没有进行完善的分类保护,影响了安全审计的效果,也无法正常实施系统的维护和监控。
同时,对数据进行备份也是保障信息安全、降低攻击受影响程度的一个重要措施。对于本地数据的备份恢复功能是基础,并且要以天为单位,同时还要建立重要数据异地备份功能。这样即使攻击者针对数据进行破坏或篡改之后,系统依然能够实现容错功能。
目前城轨交通系统信息安全的形势是员工的安全意识不强,没有完善的信息安全管理也是导致这一形势的重要原因。虽然管理层面上的风险可能不会直接导致事故的产生,但是它却是一切安全措施正常实施的根本保障[11]。
1)对于员工的安全意识和安全专业知识的定期培训是容易忽视的一点。
2)系统文档不全面也是管理上的漏洞。例如一份系统操作指南对于规范工作人员的行为是很重要的,操作指南是系统发生故障之时安全恢复的重要组成部分,在运维时,操作指南的缺失会大大降低工作人员的工作效率,增加再次故障的风险。
3)业务连续性计划或灾难恢复计划也不明确。由于城轨交通系统的稳定性是直接和乘客的人身安全息息相关的,因此在发生故障或事故的同时,如果在管理层面上没有正确的应急响应机制,那么无疑会无限扩大事故波及的范围,也会对乘客造成更加严重的伤害。
在重要的软硬件设备发生故障时,如果业务连续性计划或灾难恢复计划缺失,可能会造成业务中断及生产数据丢失。
对于城市轨道交通信号系统信息安全风险辨识的工作是不容忽视的,由于交通行业也是工业控制系统的一个典型系统,因此可以借鉴工业控制系统的一些已有理论加以拓展。但是由于其系统还存在特殊性,所以一切分析不能一概而论,要结合行业特点和实践经验加以分析。
[1] 赵玉岩. 城市轨道交通信号系统的研究[J]. 城市建设理论研究(电子版), 2015, 5(26): 1536-1537.
ZHAO Yuyan. Research on urban rail transit signal system[J].Urban construction theory research, 2015, 5(26): 1536-1537.
[2] 信息安全技术信息安全风险评估规范: GB/T 20984—2007[S]. 北京: 中国标准出版社, 2007.
Information security technology-Risk assessment specification for information security: GB/T 20984—2007[S]. Beijing: Standards Press of China, 2007.
[3] 卢慧康, 陈冬青, 彭勇, 等. 工业控制系统信息安全风险评估量化研究[J]. 自动化仪表, 2014, 35(10): 21-25.
LU Huikang, CHEN Dongqing, PENG Yong, et al. Quantitative research on risk assessment for information security of industrial control system[J]. Automatic instrument2014, 35(10): 21-25.
[4] Security for industrial automation and control systems part 1: Terminology, Concepts, and Models: ANSI/ISA– 99.00.01–2007[S]. American National Standard, 2007.
[5] STOUFFER K, FALCO J, SCARFON KE. Guide to industrial control systems (ICS) security[M]. NIST Special Publication, 2008.
[6] Industrial control network & system security standardization: IEC 62443 [S]. Information technology & standardization, 2011
[7] 陶凌汉, 李璐. 工业控制系统脆弱性分析及安全管控研[J]. 保密科学技术, 2016 (1): 30-35.
TAO Linghan, LI Lu. Vulnerability analysis of industrial control systems and safety management research [J]. Secrecy science and technology, 2016 (1): 30-35
[8] 信息安全技术信息系统安全等级保护基本要求: GB/T 22239—2008[S]. 北京: 中国标准出版社, 2008.
Ionformation secuiryt technology: Baseline for classified protection of information system security: GB/T 22239—2008 [S]. Beijing: Standards Press of China, 2008
[9] 陶志坚, 姚日煌. 工业控制系统信息安全风险评估研究[J]. 电子产品可靠性与环境试验, 2016, 34 (6): 15-21.
TAO Zhijian, YAO Rihuang, Study on information security risk assessment of industrial control systems. Electronic product reliability and environmental testing, 2016, 34(6): 15-21.
[10] 张帅. 工业控制系统安全风险分析[J]. 信息安全与通信保密, 2012(3): 15-19.
ZHANG Shuai. Industrial control system security risk analysis. China information security, 2016, 34(6): 15-21.
[11] 束昱, 田坤, 路姗, 等. 我国城市地铁运营系统的风险与安全评价研究[C]//地下交通工程与工程安全¾第五届中国国际隧道工程研讨会文集. 上海, 2011.
BU Yu, TIAN Kun, LU Shan, et al. Study on risk and safety evaluation of metro operation system in China [C] // Proceedings of the 5th China International Tunnel Engineering Symposium on Underground Traffic Engineering and Engineering. Shanghai, 2011.
(编辑:王艳菊)
Identification of Information Security Risk in Urban Rail Transit Signal Systems
CHEN Jiayi, YAN Fei
(School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044)
Based on the critical situation of information security in urban rail transportation systems, a signal system is introduced for the latter, and the functions of each subsystem of the signal system are elaborated. The signal system comprises the core technology and equipment that ensure the safety, punctuality, and high-density operation of trains, and primarily consists of an automatic control system, automatic protection system, automatically operated subsystem, and interlocking subsystem. The risk sources and core assets of information security in the signal system are identified using an information security risk analysis model. As the urban rail transportation system is a typical industrial control system, its signal system is characterized by the general traits and vulnerabilities of the latter. Our studies in the field of transportation information security of domestic urban rail systems and the vulnerabilities at different levels of the industrial control system have been performed keeping the two aspects of information security risk identification, viz., technology and management, in mind. We have identified the risks existing in the current level of physical, network, host, and application securities through proper analysis.Our results highlight the weaknesses of urban rail transportation information security, and pave the way for future research and protection work.
urban rail transit; signal system; information security; risk identification; vulnerability analysis
U231
A
1672-6073(2018)02-0119-05
10.3969/j.issn.1672-6073.2018.02.020
2017-06-27
2017-07-23
陈嘉怡,女,硕士研究生,从事城市轨道交通信息安全研究,chenjiayi1610@163.com
燕飞,男,副教授,硕士生导师,从事城市轨道交通信息安全研究,fyan@bjtu.edu.cn
国家自然科学基金重点项目(U1434209);中国信息安全测评中心项目(CNITSEC-KY-2016-01)