鐵路運維軟件安全性測試方法研究

摘 要：隨著我國鐵路信息化發展，鐵路運維軟件在鐵路運營發展中起到了不可或缺的關鍵作用，通過鐵路運維系統，可以針對鐵路系統進行實時監控和設備維護。因此，如何確保鐵路運營中鐵路運維系統安全可靠運行，提高系統運行的安全性和穩定性，是目前鐵路運維軟件領域重點研究方向。本文主要設計了鐵路運維系統的測試流程，對如何選擇安全性測試方法進行了探討。

關鍵詞：鐵路;鐵路運維;安全測性試;軟件測試

1 引言

鐵路運維系統是一個結構復雜、業務繁多的綜合信息管理系統。鐵路運維系統的網絡結構層級多、響應速度快、信息量大，這對鐵路運維系統的穩定性和安全性有著極高要求。一旦鐵路運維系統出現錯誤，帶來的將是災難性的后果。因此，在鐵路運維系統的軟件開發過程中，需要對系統進行多次安全性測試，以確保系統在鐵路運營中應用的安全性、穩定性和可靠性[1][2]。

2 鐵路運維系統安全性測試流程

2.1系統信息收集過程

測試人員在進行鐵路運維系統進行威脅建模之前必須全面收集系統的必要信息，熟悉和了解系統整體結構設計情況。系統信息收集主要包括以下兩種方式：

（1）測試人員召開會議，與鐵路運維系統架構師進行深入交流，以攻擊者的角色提出重點問題，全面掌握系統各方面的信息，了解系統組件之間的結構關系，熟悉系統各個模塊能夠實現的功能。要求架構師以圖表的方式將系統各個組件之間的關系和數據流程情況展示出來，此時架構師和測試人員都要重視每個系統進程之外可能存在的數據流程，這些數據流程都可能呢被攻擊者利用發起攻擊威脅。

（2）架構師展示的系統數據流程情況有可能和系統實際運行存在差異。因此，測試人員要提前做好系統審查情況，以提高系統測試的有效性。測試人員可以借助一些系統應用痕跡工具來了解系統運行過程中可能調用了哪些數據、具體涉及哪些端口和文件等。這也是系統信息收集過程中需要重點關注的問題之一。

2.2系統威脅建模過程

當測試人員完成了系統信息收集后，全面掌握了系統可能被攻擊的風險，下一步需要根據系統的數據流程進行系統威脅建模，以發現系統存在的高風險部分。鐵路運維系統威脅建模過程示意圖如圖1所示：

系統威脅建模過程主要包括以下4個方面：

（1）軟件分解

系統威脅建模過程的第一步是對軟件進行分解，測試人員找到軟件安全威脅已經達到高級或中級的部分，以制定相應的安全防護措施。

（2）威脅判斷

將軟件分解后會得到相應的軟件威脅路徑，接著按照軟件威脅路徑的具體情況進行處理，將每一天安全威脅問題理清，處理好程序路徑與安全威脅的關系，威脅判斷過程應該以系統高風險區域的路徑開始。

（3）排除漏洞

在軟件分析、威脅判斷的基礎上，要找出系統中存在的實際漏洞，并逐一排除。測試人員可以將系統與漏洞數據庫進行比對，篩選出明顯的系統漏洞，由系統開發人員對明顯的安全漏洞進行修改。測試人員暫時將無法劃分級別的安全威脅分為不同等級，在實際測試過程中再次確認是否存在安全漏洞，如果確認屬于安全漏洞則交由系統開發人員修改。

（4）確定測試等級

對于不能立刻判斷屬于哪種安全漏洞的威脅路徑，測試人員要及時排列等級，以便在后續測試工作中節約成本。等級劃分要根據測試人員工作經驗完成，綜合考慮測試成本、測試條件、測試時間、測試環境、系統損耗程度等問題。

3鐵路運維系統安全性測試

（1）開源測試工具的應用

目前，基于網絡環境下已經存在比較完善的安全漏洞掃描系統，主要對系統端口、操作類型、程序運行等進行掃描，及時發現系統存在的安全漏洞。一般情況下，通過安全漏洞掃描系統尋找到的漏洞主要是網絡協議、操作類型、程序服務等方面。這些開源的系統測試工具可靠性強、通用性高、響應速度快，因此，在鐵路運維系統安全性測試過程中可以優先使用開源工具對數據采集和支撐平臺進行測試，這樣可以快速尋找到明顯的安全漏洞，節約測試成本，提高測試效率[3][4]。

（2）系統業務應用層測試

鐵路運維系統由于需要實時監控和綜合維護，根據其管理特點，系統測試要區別于其他軟件。因此，針對鐵路運維系統業務應用層的測試要包括對系統數據庫、鐵路網絡設備的實時監控測試;對系統防火墻、路由器等設備運行的測試;對系統端口狀態、網絡流量的測試;對系統報警功能的測試，這些都是鐵路運維系統獨有的功能。鐵路運維系統測試方案如圖2所示：

針對鐵路運維系統的安全性測試包括對數據采集平臺、支撐平臺和業務應用平臺的測試。測試主要基于第三方角度進行評價，綜合考慮系統測試的準確性、測試人員綜合能力、測試環境、測試時間、測試成本等方面。

結論

隨著我國鐵路工程的高速發展，各類鐵路運維系統已經投入到鐵路運營中，因此，不僅要求系統功能強大，更要持續提高系統質量[5]。因此，針對鐵路運維系統的安全性測試成為了重點研究問題。目前，我國針對鐵路運維系統的測試雖然已經有了一套完整的測試體系，但其主要是對系統功能進行評價，對系統安全性測試仍然處于基礎研究階段，本文針對鐵路運維系統安全性測試流程和方法的研究，具有良好的現實應用意義。

參考文獻

[1]李耀，張曉霞，郭進，張亞東.鐵路信號系統軟件測試建模方法[J/OL].西南交通大學學報：1-9[2021-06-04].http：//kns.cnki. net/kcms/ detail/51.1277. U.20210401. 0927.002.html.

[2]李海海，陳曉軒.鐵路系統中安全嵌入式軟件測試模型研究[J].電子技術與軟件工程，2020（14）：81-82.

[3]凌珊.鐵路信號軟件單元測試研究[J].鐵路計算機應用，2020，29（02）：58-61.

[4]蘆樹晴.鐵路計算機聯鎖軟件智能測試系統[A].國鐵科創新軌道交通科技股份有限公司.高速鐵路與軌道交通（金融版）[C].：國鐵科創新軌道交通科技股份有限公司，2016：7.

[5]王琦.基于對比環境的鐵路信號監控軟件安全測試方法的研究與應用[D].合肥工業大學，2005.

作者簡介：

謝翔，男，漢族，1992年9月 湖南株洲，本科學歷，現任職于湖南中車時代通信信號有限公司，從事列控車載設備軟件的開發和測試工作。