列控系統信息安全風險分析與防護技術探討

趙小軍，黃天天，馬金鑫

(北京華鐵信息技術有限公司，北京 100081）

1 概述

列車運行控制系統（簡稱列控系統）目的是充分利用各種先進的科學信息技術和裝置，保障列車以最低安全間隙的距離運行，以期達到最大軌道交通運輸能力。廣義上列車運行控制系統包括調度集中系統（行車指揮）、計算機聯鎖系統（進路控制）、列車控制系統（列車運行間隔控制）和鐵路信息通信專用設備等。在列控系統的建立初期，各子系統形成自己的獨有網絡，系統間相互獨立，且鐵路系統運行管理過程中對實施流程具有完善、嚴格的約束，整體上來說，可以認為幾乎沒有網絡信息安全問題。近年來，隨著IT技術的快速發展，鐵路系統智能化發展及科技創新需求日益顯著，通用IT技術在鐵路列控系統中的應用也開始日趨廣泛、深入，列車運行控制過程的各子系統、設備之間以及與外部相關系統之間逐漸開始存在大量的數據交換和信息共享，導致系統內部各個設備既相互獨立工作又相互聯系，形成了復雜的內部結構。而列控系統設備之間對外信息交互接口日益增多，越來越多的通用軟件、標準硬件和通用的通信協議被應用于列控系統，導致系統本身安全漏洞緩慢增多。例如自身系統內核漏洞、網絡通信協議漏洞和應用層軟件漏洞，一旦潛在的攻擊者偵察到這些安全漏洞，將導致針對信息網絡的各種網絡攻擊在列控系統中擴散，嚴重威脅鐵路運輸安全。

鐵路列控系統面臨不斷加劇的網絡信息安全態勢及快速發展且逐步嚴峻的外部網絡信息環境，鐵路運輸系統中涉及運行安全的相關核心裝備，典型如列控系統，亟待在傳統的功能安全保障基礎上，進一步深化開展網絡與信息安全層面的梳理、風險分析與防護能力優化設計。鐵路列控系統作為一種特定行業背景的工業控制系統，在網絡與信息安全層面的防護方法能夠從工業控制領域得到眾多啟示。

國內外對工業控制系統的發展均已將信息安全作為系統優化、能力加固的一種重要方向，其相關研究主要集中在4個方面：信息安全體系架構、漏洞挖掘技術、態勢感知技術、主動防御技術，相應的核心技術、產品等也已在眾多工業控制領域得到實際應用，發揮了確保網絡信息安全能力的關鍵效應。

國外鐵路信號廠商、研究機構也已開始關注鐵路列控系統的信息安全防護問題，在軌旁聯鎖系統的網絡安全及漏洞挖掘、系統攻防測試、調度指揮系統的安全邊界等方面已有一定探索。然而，隨著國內CTCS列控系統體系的不斷深化，面向以車載中心化、衛星定位自主感知、基于IP的多模通信等為核心技術特征的下一代列控系統已開展了多項相關研究，其配套的信息安全層面的技術創新、體系構建及應用融合等已迫在眉睫。

2 列控系統信息安全風險分析

信息安全態勢評估（Cyber Security Situation Assessment，CSSA）是對系統當前的安全態勢以及未來的安全發展趨勢進行評估，以此為基礎進一步深入研究，實現在有入侵信息系統動作發生之前，就快速準確預警并實施有效的防御，把信息系統面臨的風險降到最低，從而達到主動防護的效果。

在實施信息安全風險分析過程中，對系統在信息安全層面的脆弱性進行挖掘，是明確系統風險來源和切入點的前提基礎。系統的脆弱性不可避免，其存在的原因有多方面，例如通信協議的漏洞、系統網絡結構和軟硬件的不正確部署和配置、操作系統程序的缺陷等。這些漏洞、問題導致系統出現脆弱點，不但威脅到使用透析傳輸的各種應用，也嚴重威脅到某些以認證和授權的方式進行傳輸的系統。因此，通過對鐵路列控系統進行脆弱性分析，可以發掘存在的相關弱點，便于后期防護設備的布置、防御技術的疊加或融合。

對鐵路列控系統開展相應脆弱性分析的主要內容包括以下5個方面。

1）利用脆弱性分析提供詳細的列控系統安全說明，使系統設計、研制與管理應用人員可以根據系統的狀況以及現有脆弱性情況進行有效合理的安全措施部署，避免因新增安全措施而產生新的脆弱性的可能。

2）通過脆弱性分析，能更直接的反映列控系統的信息安全狀態，更具備說服力，使系統設計、研制與管理應用人員更加直觀地了解列控系統信息安全整體狀況并定位具體的薄弱環節，為系統信息安全優化提供理論指導和依據，為安全策略制定提供參考。

3）通過脆弱性分析結果生成攻擊圖，可以使系統設計、研制與管理應用人員明確發現現有系統的安全缺陷，釆取有效補救辦法，花費最小代價提高列控系統的信息安全狀態及抵御能力。

4）在一些不安全因素尚存的前提下，列控系統在未來一段時間內的安全趨勢成為被關注的焦點，脆弱性分析可以為列控系統安全態勢分析提供一定理論依據。

5）在列控系統的風險分析中，脆弱性導致的生產安全問題會對設備本身在保密性、完好性和實用性方面產生威脅，脆弱性分析可以為風險分析提供參考意義；同時，根據脆弱性產生的安全威脅在整個運行相關系統中可能導致的危害程度不同，對系統組件分別采取不同程度的保護措施，從而為列控系統的等級保護提供相應評判依據。

脆弱性分析包含定性和定量分析過程，為深入定位、辨識、評估脆弱點的風險類型和影響程度，運用專用工具實施針對性的測試評估是一種非常重要的手段，如在網絡分析挖掘中常用的滲透測試，是一種常用來開展量化精準脆弱性分析的手段。一個完整的滲透測試過程包含預攻擊階段、攻擊階段、后攻擊階段，通過收集掃描受測對象設備的相關信息、實施端口/漏洞/協議等方面的攻擊侵入實驗，模擬實際運行過程中可能面臨的安全攻擊事件，并在后攻擊階段介入更高級別權限的攻擊行為，從而觀察、提取、確認系統中存在的漏洞、問題以及在特定攻擊下顯現的負向反應，為系統脆弱性分析提供明確、量化的分析結果。

3 列控系統信息安全防護技術

在明確列控系統信息安全脆弱性及相應風險的基礎上，通過特定技術策略實現信息安全層面的有效防護，是將信息安全特征與思想融入實際列控系統研制與應用的關鍵環節。目前，工業控制系統中主要涉及信息安全方面的防護技術包括：網絡基礎架構、通信傳輸、控制無線使用、控制訪問、入侵防范、惡意代碼防范、安全審計、身份鑒別、資源控制、軟件容錯、數據完整性、數據保密性、數據備份恢復、剩余信息保護和邊界防護等多個方面。對于鐵路列控系統而言，目前主要關注的內容集中于頂層安全體系架構以及關鍵的感知防御技術層面。綜合工業控制領域的研究發展經驗以及國內、外在鐵路列控系統方向的發展現狀，針對列控系統的信息安全防護技術可以從以下4個方面進行。

1）鐵路列控信息安全體系架構：通過把不同安全防護體相互融合來實現唯一有效的綜合型防護屏障，這樣的安全體系架構能夠更好地減弱攻擊者對鐵路列控信息系統中的網絡侵害和破壞，確保列控系統信息安全性，為信息保護、數據輸送提供強健穩定的基礎。鐵路列控系統網絡所帶來的風險與壓力在不斷增強，為更好保證信息安全，必須注重提高列控系統特定安全管理體系架構的完整性、實用性。

工業控制領域相關系統的安全體系架構如圖1所示。在管理安全方面，從安全策略和管理制度安全策略、安全管理機構和人員、安全管理建設外包軟件開發、安全運維管理漏洞和風險管理4個方面進行信息安全考慮及控制。在可靠的安全技術方面，基于工業自動化控制系統劃分的各層為單位，考慮各層包含的設備及設備功能、設備重要性、網絡結構、可能存在的風險等因素，各層間采用邊界防護技術，通過防火墻、網閘等設備對各層級之間，尤其是控制網絡與非控制網絡間的通信進行監視及控制。通過各層級內部以及層級之間的安全防護技術和加強管理方面的防護來保證工業控制系統的信息安全。鐵路列控系統作為工業控制系統在鐵路運輸行業的一個典型實例，可參照上述安全體系架構設計與之相應的整體體系，進而對系統的設計、研制、運用、管理及維護等多個過程實施優化。

圖1 工業控制系統安全體系架構Fig.1 Security architecture of industrial control system

2）網絡安全漏洞挖掘技術：列控網絡系統主要不安全因素包括系統應用層軟件、各類運用設備間通信安全協議和組成信息系統等的所存在的網絡信息泄露或漏洞。入侵者運用漏洞針對列控信息系統實施靶向攻擊，會給列控信息系統帶來極大的損失。以現有的安全技術手段，鏟除這些隱患的方法除了進行可靠安全性應用程序的開發、通信協議加密、操作系統打補丁之外，最有效的方案就是在侵入者挖掘使用這些系統漏洞進行侵入破壞之前，利用既有的漏洞挖掘技術來偵測挖掘這些存在信息系統中的漏洞，進行針對性的信息系統攻擊，以便對存在缺陷的應用程序進行相應安全補丁升級，及時建立抵當入侵者攻擊的防御體系。

3）態勢感知技術應用：如何進行實時、動態地監測了解列控系統所處的安全態勢，是實施有效針對性措施的前提基礎。態勢感知技術是一種基于環境的、動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式。基于列控系統的態勢感知技術應具備信息空間安全持續監控能力，時刻偵測挖掘分析各種存在的攻擊威脅與異常風險信息，對與列控系統脅迫有關的影響范圍、攻擊途徑、目標、攻擊方式進行快速判別，從而有效提升列控系統信息安全性。

4）主動防御技術：是有入侵列控系統因素行為發生以前，能夠即時準確的預警，同時構建防御體系，積極主動地采取防御策略，提前部署防御措施，防止、轉移、減少信息系統面臨的風險，使得攻擊者無法達到其目的，從而保護被攻擊的系統的防御技術。針對列控系統的主動防御技術部署與實施需結合各子系統實際特性及特定運行環境及場景實施定制化設計，并從頂層符合信息安全體系架構的整體約束，形成體系化且具有局部/全局綜合提升效益的防御機制。

4 結論與展望

本文總結了列控系統運用發展過程中面臨的網絡信息安全環境及主要問題，論述列控系統信息安全風險分析的主要思想和實施途徑。對列控系統信息安全脆弱性分析的主要方式及過程進行總結，以工業控制系統的信息安全體系為出發點，進一步從信息安全體系架構、漏洞挖掘技術、態勢感知技術、主動防御技術等4個方面分析列控系統信息安全防護技術。本文所做的分析是對列控系統快速發展過程中在信息安全保障層面的進一步深入，相應的體系、技術思路對于促進列控系統技術、裝備、體系的發展深入納入信息安全特征與能力建設有促進意義。