浅析城市轨道交通综合监控系统数据安全检测方法

井柯，安尚平

（杭州安恒信息技术股份有限公司，北京 100101）

0 引言

当前，世界各国广泛采用以信息化、数字化促进城市轨道交通发展的战略，信息化、数字化已覆盖城市轨道交通的建设、运营、管理、安全、服务等各个方面，我国强力推进“互联网+城市轨道交通”战略，信息化、数据化建设也已进入到大规模开发和应用阶段。综合监控系统，作为城市轨道系统中链接子系统最多，数据环境最复杂的系统，对业务数据的完整性和保密性进行检测就显得尤为重要。所以针对城市轨道交通综合监控系统数据安全检测方法研究具有实际意义。

1 综合监控系统（ISCS）

地铁综合监控系统的总体构架由中央级综合监控系统、车站级综合监控系统、车辆段综合监控系统和其他辅助功能子系统（例如：培训管理系统、集中告警系统、仿真测试平台和网管系统等）等多个部分组成。通过综合监控骨干传输网将以上各部分联接起来，形成一个有机整体。中央综合监控系统和车站综合监控系统的支持网为局域网，骨干网为广域网。骨干网分布在各地（车站）的节点与节点所支持的本地局域网构成了综合监控系统的总体网络架构。

1.1 系统组成

中央级综合监控系统包括冗余的服务器、中央前端处理器（FEP）、各种调度员工作站、冗余的带路由功能的网络交换机、大屏幕系统（OPS）、不间断电源（UPS）等设备。其中核心网络交换机实现中央级所有网络资源的互联。网络交换机直接连接到综合监控系统的骨干通信网络（MBN）；调度员通过调度员工作站，控制和监视各被监控对象、被集成系统。中央级的命令，通过网络发送到各被监控对象及各被集成系统；中央FEP主要负责综合监控系统在中央与各接入系统的数据通信的接口功能。

车站级综合监控系统是热备、冗余、开放、易扩展的计算机系统，是由带路由功能的冗余以太网交换机、冗余的服务器、值班站长工作站、前端处理器（FEP）、在线式后备电源（UPS）、打印机、车站综合后备盘（IBP）等组成。车站级交换机通过以太网光纤接口与全线其他车站级和中央级交换机独立构成综合监控骨干网。其中服务器主要功能是完成实时数据的采集与处理，向分布在车站内的被监控对象和被集成系统发送模式、程控、点控等控制命令；车站冗余的前端处理器（FEP），用于接收和发送车站集成和互联系统的相关信息。

车辆段综合监控系统与车站综合监控系统一样，都属于第二层，只是配置略有所不同。

图1 典型ISCS 系统网络结构

1.2 现有安全措施

已经开通运营的综合监控系统，由于建设时期较早，更多的关注于业务的可用性和功能性设计，未考虑信息安全设计。通过现场调研发现，综合监控系统现有的安全措施存在如下问题：

边界隔离不到位，综合监控系统互联和集成的子系统较多，各子系统的安全级别不一样，综合监控系统缺乏与各子系统的网络隔离措施，各系统之间存在互相访问的可能性；个别子系统与综合监控系统之间虽然部署了传统信息安全产品，但传统信息安全产品不识别综合监控系统业务流量，不能对进出网络的信息内容进行过滤，不能实现对应用层协议命令级的控制。

数据传输不加密，综合监控系统需要采集互联子系统和集成子系统的相关数据，大量监视和控制数据在传输过程中未进行完整性和保密性防护措施，明文传输，容易被窃取和篡改，将直接影响城市轨道交通的安全运营。

设备访问无限制，综合监控系统包含大量的上位机、工作站和现场控制设备，上位机的数据访问、工作站的操作权限、现场设备的数据收发均为做权限划分和访问控制，攻击者可直接对现场数据进行读取和伪造攻击。

恶意软件无防护，综合监控系统的部分工作站和上位机未部署防病毒软件，即使在系统建设时部署了传统防病毒软件，但由于误报率高、与业务软件兼容性差，也会在使用过程中被卸载。部分工作站防病毒软件虽然处于运行状态，但病毒库却长时间未更新，形同虚设。

2 综合监控系统（ISCS）数据安全问题

2.1 数据保密性

由于列车自动控制系统的分布特点，数据传输网络由地上、车地无线、车载三部分组成，车地无线网络的存在给非法无线网络的接入和攻击提供了极佳的攻击路径。不仅如此，现有的ISCS系统另外存在如下的不安全因素：

ISCS数据传输加密方式易被破解和攻击；

无线接入网络多采用静态密钥，缺少密钥管理；

密钥掌握在设备供应商手中。

2.2 数据完整性

系统中应用的操作系统本身所具有的漏洞也会给系统带来威胁，包括：

ISCS系统终端设备的操作系统漏洞；

实时嵌入式系统所带来的的操作系统漏洞风险；

2.3 工控协议传输的安全威胁

工业协议为了满足数据响应的实时性和周期性，往往缺乏有效的用户安全认证和数据传输加密解密等基本信息安全手段。

这些协议大多假定工控网络和其它网络相隔离，因此在设计和描述时缺乏必要的安全防护机制，同时协议的相关信息又能通过各种途径获得，攻击者很有可能利用协议的漏洞对工控网络发起攻击。以MODBUS通讯协议为例，其主要暴露出以下安全隐患：

（1）缺乏认证。通过伪造合法的ISCS传输报文，在无认证情况下建立会话；（2）缺乏加密。地址和命令明文传输，可以很容易地捕获和解析；（3）传输控制协议（TCP）和互联网际协议（IP）的安全问题。

目前，ISCS的安全网和非安全网的列车自动控制协议都是基于通用的服务器、操作系统和数据库系统，并运行于 TCP/IP协议之上。TCP/IP协议存在的不足，一类主要是由于主机依赖IP源地址来寻求认证，另一类则主要是利用了网络中的某些控制协议，尤其是路由协议。所以TCP/IP协议自身存在的安全问题不可避免地会影响到运行于其上的应用层工控协议，如中间人攻击。

2.4 已有安全防护措施的威胁

缺少入侵检测和安全自检机制。

ISCS子系统间缺少对数据流的允许、拒绝或重新定向，缺失网络服务和访问的审计和控制。

传统IT安全产品不贴切适应ISCS这种高安全等级的应用需求。

FEP前置机技术和实现方案并不足以构成完整的安全体系。

缺乏有效的网络状态监控和日志行为审计。

3 综合监控系统（ISCS）数据安全要求

综合监控系统需要处理互联子系统和集成子系统的大量数据，所以网络安全等级保护建设过程中对数据安全提出更高要求：

综合监控系统应采用校验码技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

综合监控系统应采用校验码技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

综合监控系统应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

综合监控系统应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

4 一种针对小数据的随机性检测方法

在对轨道交通综合监控系统（ISCS）数据进行保密性检测时，总遇到不能获得数据加密密钥的情况。例如针对用户实际业务数据的安全检测，客户不愿意提供加密密钥，因为提供实际使用的加密密钥会增大一大批业务数据的安全风险。因此，在没有掌握加密密钥的情况下进行数据保密性之存在性进行检测，在实际中是不可避免的问题，也是数据安全保障中不可或缺的内容。

正如我们前面分析的，对数据保密性的检测可以转化为对数据随机性的测 评。考虑到ISCS环境下的许多业务数据都是小数据，也就是说数据量不大，传统的对数据的随机性检测方法不再适用。例如，在国家标准《信息安全技术 二元序列随机性检测方法》中就列出了几种随机性检测方法，包括“单比特频数检测方法”、“块内频数检测方法”、“扑克检测方法”、“重叠子序列检测方法”、“游程分布检测方法”、“块内最大 1-游程检测方法”、“二元推导检测方法”、“自相关检测方法”、“矩阵秩检测方法”、“累加和检测方法”、“近似熵检测方法”、“线性复杂度检测方法”、“Maurer通用统计检测方法”、“离散傅立叶检测方法”等。

我们注意到该随机检测标准中的“扑克检测方法”使用了较为复杂的频数 统计值和不完全伽玛函数(igamc)，难以对其结果的误判率给出估计。“重叠 子序列检测方法”与“扑克检测方法”使用了同样的统计值和不完全伽玛函数，其特点是被检测序列在划分子序列时允许重叠，因此子序列样本显得多得多。这两种方法都需要确定参数 n(样本长度)和 m(子序列长度)后才能执行。这些方法对ISCS数据都是不适合的。

《序列随机性检测方法》标准中要求采集随机数样本数量不少于1000个，每个样本长度不低于1000000(一百万)比特。这显然对ISCS环境的数据是很难满足要求的。因此，针对ISCS环境的小数据，需要有适合这一特殊应用场景的随机性检测方法。

4.1 基于比特平衡性的随机性检测方法

参考国家标准《二元序列随机性检测方法》中的“单比特频数检测方法”，我们提出如下检测方法。

（1）捕获n个不同的被测数据，data1,data2,...,datan。如果捕获的数据中有相同的，则删除重复的数据；（2）计算每个比特位上0和1出现的个数之差，将差值的绝对值除以 n，分别得到δ1,δ2,...,δk，其中k为数据长度；（3）设δ=max{δ1,δ2,...,δk}。若δ>t，则随机性检测失败；否则随机性检测通过。这里的t为预置参数，与被测环境的数据类型有关。

上述对随机性检测的方法还有两个问题没有明确，就是确定n的大小和t 的大小的问题。这两个参数都与实际应用环境有关。理论上n越大越好，但有些实际环境中不可能捕获到大量的通信数据，例如抄表系统，一天内可能实际抄不了几次，即使需要临时抄表，也是每发送一次抄表请求，抄表终端才抄报一次。因此n的大小要根据实际情况确定，尽量在可行的时间内，取较大的n值。另一个参数是t，这是被测数据分布均匀情况的一个门限参数，同样需要针对具体应用情况确定。如果有些数据规律性比较好，表明其随机性低，则可以给t设置较大的值；如果实际数据的随机性较高，则需要给t设置较小的值。需要实际测试大量数据后，才能在一定目标漏报率和误报率的条件下确定出合理的t值。

如果上述方法被用于检测标准中，则需要首先确定n和t的值，然后才能实施标准。正如上述所描述的n和t的值需要根据具体应用环境来确定，因此这种方法不适合在国家通用标准中使用。如果一定要在国家标准中使用的话，可以分几个大类，并遵循如下规则：

在每个大类中选取最小的 n 值。因为有些情况可能无法满足大的 n 值，也就是说无法获取足够多的数据样本用于检测，导致检测标准无法实施。

在每个大类中选取最大的 t 值。否则，一些本来使用了加密机制的系统 可能不能通过检测，即虚报率过高。

不难看出，当t的值较大时，漏报率也自然会提高，即一些没有采取加密措施的系统也以较高的概率通过检测，这就降低了标准的权威性和实际指导意义。

4.2 基于字节平衡性的随机性检测方法

参考国家标准《二元序列随机性检测方法》中的“块内频数检测方法”，我们提出如下字节级检测方法，即检测字节的均衡性，也就是字节出现的随机性，因为取值均衡的字节也表现为取值随机性高。这是为了避免两个字节为互补的情况，当互补字节均匀出现时，表现在比特位上似乎随机性很高，但表现在字节上可能仍然非常不随机。因此实际使用时应该结合比特级随机性检测和字节级随机性检测使用。字节级随机性检测方法的步骤如下:

（1）捕获n个不同的被测数据，data1,data2,...,datan。如果捕获的数 据中有相同的，则删除重复的数据；（2）统计每个被测数据中各字节出现的个数，分别记为δ1,δ2,...,δ256；（3）设δ=max{δ1,δ2,...,δ256}。若δ>「n/256+t，则随机性检测失败，否则随机性检测通过。其中「x为x的上取整函数，即不小于x的最小整数，t为某个误差允许值，是一个根据应用环境设定的预置参数。

值得注意的是，实测中所获取的数据字节数可能小于256，也就是说，即使各个字节出现的概率都理想地均匀，也有不出现的字节，因此传统的统计方法无法使用。这里的参数t需要根据实际环境确定。一般地，获取的数据字节总数（被测数据个数＊每个被测数据所含字节数）越多，t的值可以越小。当被测数据量很大时，t可以取值为0。一般地，t取值为一个小的正整数。

上述检测方法的有效性体现在实际数据随机性低的事实。对于一些高精度 传感数据，和动态数据（如使用中的计量表读数），虽然这些数据整体上在变化，但当他们的值用4个字节表示时，高精度变化部分只体现在少数比特位和字节位，多数比特位和字节位变化不大，甚至在一段时间内没有变化。但加密数据就不一样，只要明文消息有一个比特不同，加密后的密文就有一半左右的比特不同，反映在字节上几乎都是不同的。因此上述字节级随机性检测方法还可以进一步改进如下：

（1）捕获n个不同的被测数据，data1,data2,...,datan。如果捕获的数据中有相同的，则删除重复的数据；（2）统计每个被测数据中各对应字节位上不同字节出现的个数，分别记为 δ1,1,δ1,2,...,δ1,256,δ2,1,δ2,2,...,δ2,256,......,δk,1,δk,2,...,δk,256,其中k为一个被测数据中的字节数。（3）设δi=max{δi,1,δi,2,...,δi,256}。若max{δ1,δ2,...,δk}-min{δ1,δ2,...,δk}>t则随机性检测失败，否则随机性检测通过。其中t为某个可允许的误差值。

根据我们的初步模拟实验，一般可设t的值在1～5之间，就可保证误报率很低。我们没有检测漏报率，因为漏报率与具体业务数据有关，这类数据模拟的不准确。

5 结语

针对轨道交通ISCS系统数据特点，使用上述基于比特的随机性检测方法和基于字节的随机性检测方法，在很大程度上能区分明文数据和密文数据，而且随着被测数据样本的增多，检测失败的概率(误报率)会快速降低。就能有效的检测轨道交通ISCS系统中数据完整性和保密性的情况，有效降低各类风险发生的几率，同时最大限度的保证系统运行的稳定和安全，保障旅客生命财产的安全。