周海燕

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

0 引言

隨著城市現(xiàn)代化進(jìn)程的明顯加快，城市規(guī)模不斷擴(kuò)大，國(guó)內(nèi)城市對(duì)軌道交通系統(tǒng)的需求也越來(lái)越大，目前已進(jìn)入了高峰時(shí)期。與傳統(tǒng)的固定閉塞、準(zhǔn)移動(dòng)閉塞相比，基于無(wú)線通信的移動(dòng)閉塞CBTC信號(hào)系統(tǒng)是實(shí)現(xiàn)城市軌道交通高速度、高密度和小編組的最終解決方案，并得到了廣泛的應(yīng)用[1]。然而，隨著城市軌道交通建設(shè)步伐的加快，城市軌道交通安全事件頻繁發(fā)生，城市軌道交通信號(hào)系統(tǒng)所面臨的安全問(wèn)題日益凸顯[2]。

1 國(guó)內(nèi)地鐵信號(hào)系統(tǒng)技術(shù)方案現(xiàn)狀

在通信信號(hào)系統(tǒng)領(lǐng)域，地鐵信號(hào)系統(tǒng)主要依賴(lài)進(jìn)口，由于我國(guó)國(guó)內(nèi)企業(yè)缺乏自主知識(shí)產(chǎn)權(quán)，因而在地鐵項(xiàng)目中國(guó)內(nèi)企業(yè)通常需要與外資公司合作共同投標(biāo)，例如:法國(guó)阿爾斯通、德國(guó)西門(mén)子集團(tuán)、法國(guó)泰雷茲、加拿大龐巴迪公司和英國(guó)西屋公司等。在統(tǒng)計(jì)的62條線路中，采用卡斯柯-阿爾斯通方案的有17條線路，采用西門(mén)子方案的有19條線路，采用自?xún)x-泰雷茲方案的有9條線路。

目前代表信號(hào)系統(tǒng)發(fā)展方向的為移動(dòng)閉塞制式，移動(dòng)閉塞制式中的ATP/ATO設(shè)備供應(yīng)商主要有卡斯柯-阿爾斯通的Urbalis888、自?xún)x-泰雷茲的SekTrac S40、西門(mén)子的TrainGuard MT和交控科技的LCF-300等。

2 軌道交通脆弱性分析

2.1 平臺(tái)脆弱性

平臺(tái)脆弱性包括平臺(tái)硬件脆弱性、平臺(tái)軟件脆弱性和平臺(tái)配置漏洞。其中，平臺(tái)硬件脆弱性是指硬件設(shè)備由國(guó)外提供，有惡意植入問(wèn)題。平臺(tái)軟件脆弱性主要有運(yùn)維依賴(lài)國(guó)外，軟件惡意后門(mén)，為了滿(mǎn)足遠(yuǎn)程數(shù)據(jù)調(diào)試、信息收集的常規(guī)技術(shù)后門(mén)3個(gè)方面。平臺(tái)配置問(wèn)題包括訪問(wèn)控制策略不合理、口令策略不恰當(dāng)、補(bǔ)丁更新不及時(shí)、使用默認(rèn)配置、開(kāi)啟不必要的服務(wù)、未安裝惡意防護(hù)軟件和更新不及時(shí)等。

2.2 網(wǎng)絡(luò)的脆弱性

網(wǎng)絡(luò)的脆弱性主要體現(xiàn)在以下幾個(gè)方面。

a）信號(hào)系統(tǒng)網(wǎng)絡(luò)架構(gòu)不合理，未劃分安全域。生產(chǎn)系統(tǒng)所處網(wǎng)絡(luò)未劃分安全域，缺乏安全隔離和防護(hù)設(shè)備[3]。例如:各種生產(chǎn)系統(tǒng)之間僅通過(guò)VLAN的劃分形式，未采用防火墻等安全設(shè)備進(jìn)行邏輯隔離。一旦某臺(tái)終端違規(guī)外聯(lián)、感染病毒，或者發(fā)起網(wǎng)絡(luò)攻擊，將會(huì)造成網(wǎng)絡(luò)大面積服務(wù)中斷，并且無(wú)法快速地定位攻擊源和感染源，從而引起地鐵長(zhǎng)時(shí)間無(wú)法正常運(yùn)營(yíng)。

b）網(wǎng)絡(luò)傳輸采用標(biāo)準(zhǔn)協(xié)議，對(duì)數(shù)據(jù)、用戶(hù)和設(shè)備的驗(yàn)證不充分。在系統(tǒng)設(shè)計(jì)初期，缺少網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)，大量使用明碼傳輸，極易被破譯和偽造。雖然目前安全意識(shí)已提高，但仍存在客戶(hù)端與接入點(diǎn)之間的驗(yàn)證不充分、數(shù)據(jù)保護(hù)不夠等問(wèn)題。

2012年4月對(duì)某市地鐵10號(hào)線的掃描檢測(cè)發(fā)現(xiàn)，軌旁AP隱蔽性差，安全性低，例如:廣播SSID未采用任何加密機(jī)制和任何接入認(rèn)證機(jī)制，對(duì)接入終端未做限制，攻擊者可通過(guò)利用這些安全性較低的AP，直接接入到無(wú)線網(wǎng)絡(luò)中，對(duì)其進(jìn)行惡意攻擊；而對(duì)某市地鐵4號(hào)線的檢測(cè)發(fā)現(xiàn)，其機(jī)車(chē)駕駛室車(chē)頂信號(hào)AP使用了WEP的加密方式，該加密方式極易被破解。攻擊者可利用破解后的WEP密鑰接入到無(wú)線系統(tǒng)中，對(duì)4號(hào)線機(jī)車(chē)正常運(yùn)營(yíng)構(gòu)成嚴(yán)重的安全威脅。

c）無(wú)線通信易被物理干擾。CBTC模式下的軌旁AP信標(biāo)及點(diǎn)式固定閉塞模式下的LEU應(yīng)答器在與列車(chē)通信時(shí)均采用開(kāi)放的無(wú)線通訊方式，所以傳輸?shù)男盘?hào)很容易被干擾。假如遭到干擾就會(huì)導(dǎo)致ATP軌旁系統(tǒng)無(wú)法獲得列車(chē)傳遞的信息，ATP系統(tǒng)將無(wú)法正常工作，最終影響地鐵正常運(yùn)營(yíng)[4-5]。

d）工業(yè)領(lǐng)域的通信設(shè)備為非自主可控產(chǎn)品。工業(yè)領(lǐng)域的交換機(jī)、路由器多數(shù)為國(guó)外品牌，存在較大的安全隱患。此外，持續(xù)外包國(guó)外服務(wù)的可靠性、安全性也難以保證。

2.3 管理脆弱性

管理脆弱性主要體現(xiàn)在以下幾個(gè)方面。

a）安全政策規(guī)范欠缺，安全意識(shí)薄弱。城市軌道交通領(lǐng)域安全管理有待提高。通過(guò)訪談了解到，大部分地鐵在信息安全管理方面，體系架構(gòu)尚未考慮信息安全問(wèn)題，同時(shí)也缺乏從設(shè)計(jì)、開(kāi)發(fā)、運(yùn)營(yíng)和維護(hù)等各個(gè)環(huán)節(jié)的信息安全規(guī)范準(zhǔn)則。員工對(duì)安全的理解還主要停留在傳統(tǒng)的行車(chē)安全方面，針對(duì)信息安全風(fēng)險(xiǎn)防范、安全意識(shí)等方面有待進(jìn)一步地加強(qiáng)。

b）生產(chǎn)系統(tǒng)服務(wù)器未及時(shí)更新升級(jí)補(bǔ)丁。部分服務(wù)器已發(fā)現(xiàn)存在遠(yuǎn)程認(rèn)證繞過(guò)、緩沖區(qū)溢出和conficker蠕蟲(chóng)等高危漏洞，沒(méi)有及時(shí)更新，存在惡意人員利用這些已有的高危漏洞訪問(wèn)、甚至破壞系統(tǒng)的危險(xiǎn)。

c）生產(chǎn)系統(tǒng)終端管理不完善。部分終端未安裝殺毒軟件或者未及時(shí)升級(jí)，未對(duì)USB接口進(jìn)行封鎖，發(fā)現(xiàn)USB違規(guī)使用的痕跡。若USB設(shè)備帶入病毒，則可能大面積感染整個(gè)系統(tǒng)設(shè)備，導(dǎo)致整個(gè)系統(tǒng)無(wú)法正常運(yùn)營(yíng)。其次，還存在終端安裝了非正常工作需要的軟件，用戶(hù)名和口令張貼于顯示器等問(wèn)題。

3 安全威脅與風(fēng)險(xiǎn)點(diǎn)分析

3.1 當(dāng)前不可抗拒的風(fēng)險(xiǎn)

a）關(guān)鍵設(shè)備軟硬件的非常規(guī)后門(mén)。信號(hào)系統(tǒng)關(guān)鍵軟硬件設(shè)備是國(guó)外產(chǎn)品，國(guó)外生產(chǎn)廠掌握其核心技術(shù)，存在非常規(guī)后門(mén)的風(fēng)險(xiǎn)。然而國(guó)內(nèi)尚無(wú)完善的檢測(cè)手段對(duì)關(guān)鍵設(shè)備軟硬件的后門(mén)進(jìn)行檢測(cè)，當(dāng)出現(xiàn)國(guó)與國(guó)對(duì)抗時(shí)，此類(lèi)風(fēng)險(xiǎn)將是軌道交通行業(yè)最大的風(fēng)險(xiǎn)。

b）關(guān)鍵設(shè)備的運(yùn)維風(fēng)險(xiǎn)。目前在系統(tǒng)維護(hù)等方面也嚴(yán)重依賴(lài)國(guó)外廠商，幾乎無(wú)自主維護(hù)能力，而國(guó)外持續(xù)外包服務(wù)的可靠性難以保證，若國(guó)外廠商停止服務(wù)，將導(dǎo)致設(shè)備無(wú)法更新和維護(hù)。

3.2 可規(guī)避但需付出較大代價(jià)的風(fēng)險(xiǎn)

a）安全體系設(shè)計(jì)風(fēng)險(xiǎn)。在設(shè)計(jì)軌道交通的過(guò)程中，尚未充分地考慮信息安全的問(wèn)題，缺乏設(shè)計(jì)、開(kāi)發(fā)、運(yùn)營(yíng)和維護(hù)等各個(gè)環(huán)節(jié)的信息安全規(guī)范準(zhǔn)則?？赏ㄟ^(guò)標(biāo)準(zhǔn)制定[6]、政策扶持等手段，引導(dǎo)設(shè)計(jì)方、技術(shù)方案開(kāi)發(fā)商加強(qiáng)產(chǎn)品的安全設(shè)計(jì)開(kāi)發(fā)。

b）平臺(tái)軟硬件自身的漏洞。隨著技術(shù)的發(fā)展，軟硬件平臺(tái)自身的漏洞日益浮現(xiàn)，應(yīng)致力于已建成的平臺(tái)軟硬件漏洞挖掘，及時(shí)打補(bǔ)丁升級(jí)，或增加安全設(shè)備來(lái)提升其安全可用性。

c）常規(guī)技術(shù)后門(mén)的風(fēng)險(xiǎn)。針對(duì)軌道交通各系統(tǒng)存在技術(shù)后門(mén)的問(wèn)題，可以從管理上做出要求，在驗(yàn)收時(shí)要求刪除生產(chǎn)過(guò)程中用于調(diào)試的功能，杜絕常規(guī)技術(shù)后門(mén)的存在。

d）網(wǎng)絡(luò)防護(hù)?？赏ㄟ^(guò)加裝網(wǎng)絡(luò)安全裝置，更改網(wǎng)絡(luò)配置，提高網(wǎng)絡(luò)管理水平等來(lái)實(shí)現(xiàn)。

3.3 立即可規(guī)避的風(fēng)險(xiǎn)

通過(guò)常規(guī)風(fēng)險(xiǎn)評(píng)估檢測(cè)出來(lái)的風(fēng)險(xiǎn)，大部分都屬于立即可規(guī)避的風(fēng)險(xiǎn)，例如:平臺(tái)配置漏洞、管理漏洞等。此類(lèi)風(fēng)險(xiǎn)可通過(guò)加強(qiáng)系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)上的防護(hù)水平，提升管理要求，落實(shí)管理制度等方式來(lái)進(jìn)行規(guī)避。

4 軌道交通信息安全對(duì)策建議

針對(duì)以上發(fā)現(xiàn)的信息安全問(wèn)題，著重從國(guó)家層面和運(yùn)營(yíng)建設(shè)單位方面考慮，提出了以下對(duì)策和建議，如表1所示。

表1 軌道交通信息安全對(duì)策建議

5 結(jié)束語(yǔ)

城市軌道交通的安全運(yùn)行對(duì)國(guó)家安全、社會(huì)穩(wěn)定有著重大的影響，安全事件的頻繁出現(xiàn)，使得安全問(wèn)題引起了人們的廣泛關(guān)注，急需解決。國(guó)家、行業(yè)和建設(shè)運(yùn)營(yíng)單位應(yīng)加大這方面的研究，制定新政策、新規(guī)范，加大專(zhuān)項(xiàng)資金投入，解決城市軌道交通安全問(wèn)題，保障運(yùn)行安全。