城市軌道交通信號系統(tǒng)安全問題及對策研究

張軍濤

摘 要：城市軌道交通的安全運(yùn)行對國家安全、社會穩(wěn)定有著重大的影響，安全事件的頻繁出現(xiàn)，使得安全問題引起了人們的廣泛關(guān)注，急需解決。國家、行業(yè)和建設(shè)運(yùn)營單位應(yīng)加大這方面的研究，制定新政策、新規(guī)范，加大專項(xiàng)資金投入，解決城市軌道交通安全問題，保障運(yùn)行安全。

關(guān)鍵詞：軌道交通；信號系統(tǒng)；安全問題；對策

1軌道交通信號系統(tǒng)概述

軌道交通信號系統(tǒng)一般是由連鎖裝置和列車自動(dòng)控制系統(tǒng)（ATC）兩大結(jié)構(gòu)組成。ATC又分為列車自動(dòng)監(jiān)控系統(tǒng)（ATS）、列車自動(dòng)防護(hù)子系統(tǒng)（ATP）和列車自動(dòng)運(yùn)行系統(tǒng)（ATO）三個(gè)部分。它們利用信息交換網(wǎng)絡(luò)構(gòu)成閉環(huán)系統(tǒng)的方法，實(shí)現(xiàn)地面控制與車上控制相結(jié)合、現(xiàn)地控制與中央控制相結(jié)合。組成一個(gè)列車自動(dòng)控制系統(tǒng)，包含集行車指揮、運(yùn)行調(diào)整以及列車駕駛自動(dòng)化等功能，它是一個(gè)安全基礎(chǔ)設(shè)備。ATS是ATC的核心功能，是由OCC（控制中心）內(nèi)的設(shè)備實(shí)現(xiàn)，自動(dòng)和人工都可以進(jìn)行監(jiān)督與控制，從而給外部系統(tǒng)提供真實(shí)有效的信息。ATP具有列車檢測的功能，可保障列車運(yùn)行的安全。ATO利用分析地面情況來進(jìn)行控制，不管列車加速還是減速，都能保證舒適、節(jié)能。這三個(gè)系統(tǒng)相互作用才能提高列車的安全運(yùn)行，各式各樣的科技化產(chǎn)物造就了軌道交通系統(tǒng)，具有成本低、效率高的特點(diǎn)。總體來說，速度提高、效率變快、安全性更有保障。

2軌道交通脆弱性分析

2.1平臺脆弱性

平臺脆弱性包括平臺硬件脆弱性、平臺軟件脆弱性和平臺配置漏洞。其中，平臺硬件脆弱性是指硬件設(shè)備由國外提供，有惡意植入問題。平臺軟件脆弱性主要有運(yùn)維依賴國外，軟件惡意后門，為了滿足遠(yuǎn)程數(shù)據(jù)調(diào)試、信息收集的常規(guī)技術(shù)后門3個(gè)方面。平臺配置問題包括訪問控制策略不合理、口令策略不恰當(dāng)、補(bǔ)丁更新不及時(shí)、使用默認(rèn)配置、開啟不必要的服務(wù)、未安裝惡意防護(hù)軟件和更新不及時(shí)等。

2.2網(wǎng)絡(luò)的脆弱性

網(wǎng)絡(luò)的脆弱性主要體現(xiàn)在以下幾個(gè)方面。

a）信號系統(tǒng)網(wǎng)絡(luò)架構(gòu)不合理，未劃分安全域。生產(chǎn)系統(tǒng)所處網(wǎng)絡(luò)未劃分安全域，缺乏安全隔離和防護(hù)設(shè)備。例如：各種生產(chǎn)系統(tǒng)之間僅通過VLAN的劃分形式，未采用防火墻等安全設(shè)備進(jìn)行邏輯隔離。一旦某臺終端違規(guī)外聯(lián)、感染病毒，或者發(fā)起網(wǎng)絡(luò)攻擊，將會造成網(wǎng)絡(luò)大面積服務(wù)中斷，并且無法快速地定位攻擊源和感染源，從而引起地鐵長時(shí)間無法正常運(yùn)營。

b）網(wǎng)絡(luò)傳輸采用標(biāo)準(zhǔn)協(xié)議，對數(shù)據(jù)、用戶和設(shè)備的驗(yàn)證不充分。在系統(tǒng)設(shè)計(jì)初期，缺少網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)，大量使用明碼傳輸，極易被破譯和偽造。雖然目前安全意識已提高，但仍存在客戶端與接入點(diǎn)之間的驗(yàn)證不充分、數(shù)據(jù)保護(hù)不夠等問題。2012年4月對某市地鐵10號線的掃描檢測發(fā)現(xiàn)，軌旁AP隱蔽性差，安全性低，例如：廣播SSID未采用任何加密機(jī)制和任何接入認(rèn)證機(jī)制，對接入終端未做限制，攻擊者可通過利用這些安全性較低的AP，直接接入到無線網(wǎng)絡(luò)中，對其進(jìn)行惡意攻擊；而對某市地鐵4號線的檢測發(fā)現(xiàn)，其機(jī)車駕駛室車頂信號AP使用了WEP的加密方式，該加密方式極易被破解。攻擊者可利用破解后的WEP密鑰接入到無線系統(tǒng)中，對4號線機(jī)車正常運(yùn)營構(gòu)成嚴(yán)重的安全威脅。

c）無線通信易被物理干擾。CBTC模式下的軌旁AP信標(biāo)及點(diǎn)式固定閉塞模式下的LEU應(yīng)答器在與列車通信時(shí)均采用開放的無線通訊方式，所以傳輸?shù)男盘柡苋菀妆桓蓴_。假如遭到干擾就會導(dǎo)致ATP軌旁系統(tǒng)無法獲得列車傳遞的信息，ATP系統(tǒng)將無法正常工作，最終影響地鐵正常運(yùn)營。

d）工業(yè)領(lǐng)域的通信設(shè)備為非自主可控產(chǎn)品。工業(yè)領(lǐng)域的交換機(jī)、路由器多數(shù)為國外品牌，存在較大的安全隱患。此外，持續(xù)外包國外服務(wù)的可靠性、安全性也難以保證。

2.3管理脆弱性

管理脆弱性主要體現(xiàn)在以下幾個(gè)方面。

a）安全政策規(guī)范欠缺，安全意識薄弱。城市軌道交通領(lǐng)域安全管理有待提高。通過訪談了解到，大部分地鐵在信息安全管理方面，體系架構(gòu)尚未考慮信息安全問題，同時(shí)也缺乏從設(shè)計(jì)、開發(fā)、運(yùn)營和維護(hù)等各個(gè)環(huán)節(jié)的信息安全規(guī)范準(zhǔn)則。員工對安全的理解還主要停留在傳統(tǒng)的行車安全方面，針對信息安全風(fēng)險(xiǎn)防范、安全意識等方面有待進(jìn)一步地加強(qiáng)。

b）生產(chǎn)系統(tǒng)服務(wù)器未及時(shí)更新升級補(bǔ)丁。部分服務(wù)器已發(fā)現(xiàn)存在遠(yuǎn)程認(rèn)證繞過、緩沖區(qū)溢出和conficker蠕蟲等高危漏洞，沒有及時(shí)更新，存在惡意人員利用這些已有的高危漏洞訪問、甚至破壞系統(tǒng)的危險(xiǎn)。

c）生產(chǎn)系統(tǒng)終端管理不完善。部分終端未安裝殺毒軟件或者未及時(shí)升級，未對USB接口進(jìn)行封鎖，發(fā)現(xiàn)USB違規(guī)使用的痕跡。若USB設(shè)備帶入病毒，則可能大面積感染整個(gè)系統(tǒng)設(shè)備，導(dǎo)致整個(gè)系統(tǒng)無法正常運(yùn)營。其次，還存在終端安裝了非正常工作需要的軟件，用戶名和口令張貼于顯示器等問題。

3軌道交通信息安全對策建議

3.1采用故障樹分析法對故障進(jìn)行分析

故障樹分析法是分析系統(tǒng)安全性與可靠性最常用的方法，從一個(gè)可能的故障開始，由上至下，一步一步尋找導(dǎo)致這一故障發(fā)生的可能原因，直到原因不能夠被分析為止，并將這些事件的邏輯關(guān)系以樹形圖的方式表達(dá)出來。根據(jù)信號系統(tǒng)的組成將ATP、ATO、ATS和車輛基地信號控制系統(tǒng)作為頂事件；找到引起各子系統(tǒng)發(fā)生故障的直接原因及原因組合；分析所有能夠引發(fā)子系統(tǒng)故障的事件，如果該事件依然能夠被分解，則將其作為下一級的輸出事件；逐級向下、層層分解，直到輸入事件不能再分解或者不必再分解為止；對故障樹進(jìn)行定性分析，即找出引發(fā)系統(tǒng)故障的所有可能性。在對故障樹進(jìn)行定量分析過程中，判斷引發(fā)故障的各底事件發(fā)生故障時(shí)引發(fā)信號系統(tǒng)故障的概率，即底事件概率重要度，從而找出容易觸發(fā)信號系統(tǒng)故障的原因，作為重點(diǎn)監(jiān)控對象。

3.2利用故障診斷系統(tǒng)進(jìn)行動(dòng)態(tài)監(jiān)測

故障診斷系統(tǒng)是一種智能診斷系統(tǒng)。故障診斷系統(tǒng)一般由信號設(shè)備故障推理機(jī)、數(shù)據(jù)庫、解答機(jī)以及圖形顯示等構(gòu)成。圖形顯示的主要作用是讓該故障診斷系統(tǒng)能夠和外部進(jìn)行數(shù)據(jù)信息的交換，數(shù)據(jù)庫是用來存放信號設(shè)備可能出現(xiàn)的問題的集合，它包含了以往信號設(shè)備出現(xiàn)的種種問題。故障推理機(jī)能夠利用數(shù)據(jù)庫當(dāng)中的存有的資料信息，結(jié)合現(xiàn)在信號設(shè)備的運(yùn)行現(xiàn)狀，進(jìn)行故障原因的推理，找到引發(fā)故障的原因。解答機(jī)是根據(jù)系統(tǒng)內(nèi)部所具有的數(shù)據(jù)庫資料，用來解答用戶的問題團(tuán)。故障診斷系統(tǒng)除了能夠完成故障的發(fā)現(xiàn)、故障問題的分析、故障原因分析和提出故障解決方案，它還能夠在故障解決以后對整個(gè)信號設(shè)備進(jìn)行監(jiān)測和二次診斷，防止同樣的故障再次發(fā)生。

3.3建立狀態(tài)評價(jià)及風(fēng)險(xiǎn)監(jiān)測模型

及時(shí)檢測信號設(shè)備的運(yùn)行狀態(tài)，用健康指數(shù)進(jìn)行表示，用信號設(shè)備發(fā)生故障的概率為依據(jù)對健康指數(shù)進(jìn)行校正，對信號設(shè)備未來故障率進(jìn)行評估和計(jì)算，明確信號設(shè)備故障的嚴(yán)重程度，建構(gòu)風(fēng)險(xiǎn)監(jiān)測模型。通過對信號設(shè)備運(yùn)行狀態(tài)的評估及時(shí)發(fā)現(xiàn)不良情況，并進(jìn)行風(fēng)險(xiǎn)評定，根據(jù)評定結(jié)果確定安全隱患。

結(jié)束語

近幾年來安全事件的頻繁發(fā)生，使得城市軌道交通安全問題備受關(guān)注，其信息系統(tǒng)所面臨的安全問題也日益突現(xiàn)。依據(jù)城市軌道交通的運(yùn)行現(xiàn)狀，結(jié)合信號系統(tǒng)的特性，對國家基礎(chǔ)設(shè)施城市軌道交通信號系統(tǒng)的脆弱性、安全威脅和風(fēng)險(xiǎn)點(diǎn)進(jìn)行了分析，最后提出了相應(yīng)的對策建議。

參考文獻(xiàn)：

[1]侯多林.淺析軌道交通信號系統(tǒng)可靠性與安全性[J].城市建設(shè)理論研究（電子版），2017（32）：18+28.

[2]劉龍.城市軌道交通信號系統(tǒng)安全的三級等級保護(hù)[J].城市軌道交通研究，2017，20（S1）：20-21.