城轨CBTC系统信息安全分析

张 磊

(通号城市轨道交通技术有限公司，北京，100070)

1 概述

随着社会发展，科技进步，互联网技术得到飞速突破，并且应用到各个领域。在城市轨道交通信号系统内，也采用局域网的方式进行信息交互传输。但随着互联网的应用与日俱增，其漏洞及缺陷也陆续暴露，并被黑客利用，对网络设备进行渗透、攻击，造成严重后果，因而信息安全在社会生活中的重要性越来越高。轨道交通基于通信的列车控制系统（CBTC）信号系统虽然利用封闭的局域网，但其安全性同样受到挑战，作为保障轨道交通运行安全的信号系统，其信息安全的重要性更为突出。结合目前信号系统状况，分析地铁信号CBTC系统存在的隐患，并提出信息安全应对措施。

2 CBTC系统介绍

CBTC是一种连续的自动控制系统，采用大容量、双向连续的车地数据通信，实现列车的自动控制。通常CBTC信号系统由如下子系统组成：

列车自动监控子系统（ATS）；

计算机联锁系统（CBI）；

列车自动防护子系统（ATP）；

列车自动运行子系统（ATO）；

维护子系统（MSS）；

数据通信系统（DCS）。

如图1所示，信号CBTC系统，其通信依托DCS子系统网络，通过传输设备、交换及路由设备连接控制中心、车站、车辆段以及列车，为应用设备提供透明传输通道，与互联网无连接接口，是一个相对封闭的局域网络。

图1 信号CBTC系统结构图Fig.1 Structure of signaling CBTC system

其外部接口主要是ATS子系统与通信系统（无线、时钟、广播）、综合监控系统、电力监控系统、乘客信息系统（PIS）、列控中心（TCC）系统等，以及与临线信号设备存在互联互通的接口。

结合《信息系统安全等级保护定级指南》中对信息系统安全保护等级的两个定级要素（等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度）的理解，结合轨交协用户需求书模板以及各大城市公安部门对城轨信号系统的等保备案要求，目前城轨信号系统信息安全等级保护定位为三级。

3 CBTC信号系统信息安全现状分析

3.1 信号系统安全现状

地铁信号CBTC系统网络是一个相对封闭的环境，在以往建设中，更侧重于通过管理手段确保系统安全，通过严格的准入制度，结合外部接口的防火墙设备、杀毒软件等，作为基本的信息安全防护手段，保护信号系统的安全。通过在多个地铁运营公司的调研和多家地铁设计公司的交流调查，得出轨道交通行业信号系统的现状如下：

安全域划分不明确；

病毒库升级无法实时更新；

外部接口限制隐患；

维护工作存在安全隐患；

没有安全审计机制；

非国产化设备存在设计漏洞。

3.2 信号系统安全分析

信息等级保护可以划分为技术与管理两个方面，根据《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息安全技术信息系统安全管理要求》（GB/T20269-2006）的要求，其中技术要求更多面向信号系统，而管理要求更侧重于建设及运营管理，因此本文从技术方面对信号CBTC系统的信息安全特性进行分析。

结合信号CBTC系统特点及现状，从信息安全技术角度划分，可分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复5个方面。原则上物理安全由运营单位组织管理，依靠运营管理制度确保信号CBTC系统的物理安全，其他4个方面的常见问题总结如下。

1) 网络安全

安全域划分不明确，安全域之间的隔离设置不合理，缺乏安全域之间的访问控制功能等；

缺少防止地址欺骗的技术手段；

在边界入口缺少访问控制策略，对HTTP、FTP、TELNET、SMTP、POP3等协议未进行有效控制；

无法有效的检测到网络攻击行为，并对攻击源IP、攻击类型等信息进行记录；

交换机剩余端口未封闭、访问协议未加密、登录用户及密码简单，日志未启用等；

缺少有效安全审计功能。

2) 主机安全

缺乏有效的安全审计功能；

采用传统网络防病毒软件，无法及时更新恶意代码库，且影响系统稳定性；

服务器存在大量的弱口令；

服务器的USB、光驱等未封闭，存在交叉感染的隐患。

3) 应用安全

登录用户及密码简单，登录方式单一；

缺乏有效的安全审计功能；

4) 数据安全

数据库登录用户及密码简单；

缺失数据备份手段。

4 应对措施

由于信号CBTC系统用于保护行车安全，各子系统的相关性高，运营维护实时性高，在进行信息安全防护时，需要充分结合信号CBTC系统的特点，避免对系统的整体性能、故障维护造成影响。

4.1 实施原则

信号CBTC系统信息安全等级保护方案，其设计原则如下。

1) 最小影响原则。增加的信息安全方案应尽量减少对信号系统性能及架构的影响，避免引入新的故障点。

2) 技术管理并重原则。信息安全问题不是单纯的技术问题，仅仅通过技术手段很难完整解决全部问题，需要综合考虑技术手段和管理手段，使用管理方法提升CBTC系统的安全级别。

3) 适度安全原则。没有绝对的安全系统，过高的安全要求，将增加安全防护的成本，并增加系统的维护故障点，需要在安全性、便利性和成本等诸方面寻找平衡点。

4) 方案可行性原则。增加的信息安全方案要考虑工程实施的可行性，兼顾建设方、运营方、维护方等各方的需求。

5) 分区分域建设原则。根据信号系统的特点，充分考虑信号CBTC系统的线性分布格局，以及外部系统、邻线信号系统的通信需求，合理划分安全域。

6) 多重保护原则。建立整体的防护体系，当一种防护机制失效时，其他防护措施能够提供有效的防御。

7) 可扩展性原则。网络面临的风险是实时变化的，随着技术的进步，可能出现新的危险源，因此在建设网络防护机制时，需考虑到一定扩展要求，使得防护系统本身具备升级能力。

4.2 实施方案

根据信号CBTC系统的现状，结合信息安全分析情况，在增强管理手段的同时，需对信号系统的网络重新规划，对主机进行加固，并增加部分信息安全设备，共同解决信号CBTC系统的安全防护等级。

1) 网络安全

信号CBTC系统分为5个独立的网络，各网络物理隔离，沿着地铁线路呈线性分布，由于信号系统整体功能紧凑，不适合按照地域划分安全域，因此将一条线路信号系统每个网络划分为一个独立的安全域，在与通信系统（无线、时钟、广播）、综合监控系统、电力监控系统、PIS系统、TCC系统等外部系统接口处，设置工业级安全网关，对网络进行隔离防护；在与临线信号系统接口处，设置工业级安全网关，对网络进行隔离防护。

在安全域边界入口设备上，设置访问控制策略，禁 止 HTTP、FTP、TELNET、SMTP、POP3等 协的进出，并防范地址的进入，检测外部网络攻击行为，并对攻击源IP、攻击类型等信息进行记录。

增加管理手段，对交换机端口进行配置，关闭未使用的端口，并对访问协议进行控制，按照规范要求设置用户名及密码。

增加安全审计设备，采用旁路接入的方式，对整个信号CBTC网络进行审计监控。

2) 主机安全

增加安全审计设备，并在应用主机上设置审计软件，记录用户的操作行为、系统资源异常占用以及使用重要系统命令等重要的安全行为，并生成报表以供后续审计。

升级防病毒设备，由于信号系统网络为封闭网络，传统的网络防病毒软件，无法及时更新恶意代码库，需要人工定期升级，实时性较差，且有一定的误杀情况，建议使用白名单机制的防病毒系统，通过学习信号系统的通信情况，建立允许机制，提高防病毒工作的实时性及有效性。

增加漏洞扫描设备，定期检查系统是否存在漏洞，消除隐患。

通过管理手段，将弱口令修改为强口令，并关闭USB以及光驱等外设接口，提高主机的安全性。

3) 应用安全

通过管理手段，修改软件用户名及登录密码。

增加安全审计设备，并在应用主机上设置审计软件对应用活动进行审计。

4) 数据安全

通过管理手段，修改数据库用户名及登录密码。

通过管理手段，实现本地数据备份与恢复，维护人员每日进行数据备份，备份的数据异地存放；实现异地数据备份，可利用CBTC数据专用网络在地铁运行空闲时段发送备份数据。

在以上4个方面的基础上，在不影响系统性能的前提下，还应尽可能的使用国产设备的应用，逐步提高国产自主化产品应用，提升自主可控能力。如在CBTC系统研发中逐步国产网络设备、硬件设备、操作系统的比例，使用国产安全设备进行安全防护，降低安全问题对信号CBTC系统的影响。

5 结论

通过合理规划CBTC信号网络，对现有CBTC系统主机及应用进行加固，适当增加信息安全设备，并逐步提高国产设备的应用比例，提高CBTC系统的安全性，使得城市轨道交通系统的正常运行得到了可靠保障，有效防止黑客的非法攻击，保证旅客安全出行。而在未来，随着信息安全的理念更加深入，信息安全设备也会在轨道交通系统下得到大规模的应用，在各个方面提供安全、稳定的服务。