CBTC信號系統信息安全問題分析

王 鋒

（通號城市軌道交通技術有限公司，北京 100070）

1 概述

為滿足系統的功能及安全需求，CBTC 信號系統網絡連接一般采用冗余組網的方式。典型的CBTC 信號系統網絡一般包含2 個冗余的安全網用來傳遞控制信息，2 個冗余的列車自動監督系統(ATS)網用來交互ATS 相關消息，1 個維護網用來傳輸維護信息。CBTC 信號系統中大量使用了商用現成品或技術（COTS），雖然系統采用了三取二、二乘二取二等安全冗余結構來提高可靠性，但對于網絡中存在的信息安全威脅卻沒有高度重視。對CBTC 信號系統網絡信息安全進行分析，識別出網絡中存在的風險，對確保整個CBTC 系統安全高效運行具有重要的意義。

2 CBTC信號系統網絡面臨的信息安全問題

2.1 CBTC信號系統設備的信息安全問題

CBTC 信號系統中設備主要包括計算機聯鎖（CI）、區域控制器(ZC）、ATS 子系統、列車自動防護（ATP）子系統和列車自動運行（ATO）子系統，此外還包含數據存儲單元、維護終端、上位機以及輸入/輸出單元設備等。這些設備按安全完整性等級一般可分為安全設備和非安設備。

2.1.1 安全設備

CI、ZC 以及ATP 系統的安全完整性等級為SIL4 級，在系統信息安全分析過程中這些設備面臨的威脅也應該得到更多的重視。安全設備的主機采用Dos 以及VxWorks 等嵌入式操作系統，通過以太網板卡與外部設備通信，設備開放的端口以及系統漏洞存在被攻擊者利用的風險。通信板開啟的通信類型的端口會被利用登錄到服務器，竊聽通信會話內容或其他敏感信息，部分設備開啟的Telnet、Ftp 端口沒有登錄錯誤次數限制，容易被暴力破解。設備系統的漏洞名稱、數目以及等級等信息可使用Nessus 等漏洞掃描工具獲取，在公共漏洞和暴露（CVE）中有關于這些漏洞被利用后果的詳細介紹。

2.1.2 非安設備

信號系統中維護系統和上位機等大量的終端設備多由商業工控機充當，設備的操作系統一般選用Windows XP 或Windows 7 系統。商業工控機及軟件存在通用的漏洞，因此設備的漏洞信息很容易被攻擊者獲取。Windows 操作系統采用圖形用戶界面為設備使用人員帶來了便利，但計算機、U 盤等設備都能輕易接入，給設備帶來木馬、病毒等威脅。微軟已停止更新Windows XP 及Windows 7系統的安全補丁，系統安全補丁及殺毒軟件病毒庫無法及時更新，將導致設備缺乏有效的病毒防護措施，軟件后期的升級維護難度也將增大。

2.2 DCS的安全問題

DCS 采用的工業以太網環網結構使得CBTC 信號系統網絡環網協議配置不當或交換機故障時可能發生網絡風暴，導致整個網絡癱瘓。CBTC 信號系統中的安全網以及非安網中存在大量的交換機設備負責數據轉發，支撐CBTC 系統的正常運轉。交換機通常處于局域網的內部，一旦交換機被攻擊者利用或者破壞，整個網絡便處于危險之中，針對交換機的攻擊種類很多，攻擊包括“VLAN 中繼攻擊”，“MAC 表洪水攻擊”等。使用時應避免安全網與非安網接入到同一個交換機上，防止安全網與非安網相互影響。

2.3 通信安全問題

信號系統采用有線跟無線兩種通信方式。安全網中數據傳輸協議使用鐵路信號安全通信協議RSSP-I/II 協議，RSSP-I/II 是公開的鐵路通信協議，其潛在的漏洞也使攻擊者可能通過分析協議挖掘利用。CBTC 信號系統網絡中典型的通信協議，如 TCP/IP 協議簇，存在著包括“嗅探攻擊”“IP欺騙攻擊”“拒絕服務攻擊”“攔截攻擊”等漏洞。車載VOBC 與地面設備之間采用WLAN 無線傳輸技術通信，采用基于IEEE 802.11 標準的無線傳輸技術也面臨很多信息安全方面的威脅。比如“中間人攻擊”，攻擊者與通訊的兩端分別創建獨立的聯系，會話被攻擊者完全控制：“蜜罐攻擊”，攻擊者使用作為一臺惡意設備偽裝成企業網內部的合法 設備來吸引企業網內部的合法設備與之關聯等。WLAN 無線網絡的開放性也使其易受到頻段干擾。

3 CBTC信號系統網絡信息安全風險分析

對系統的信息安全分析可以從安全事件發生的影響以及概率兩個方面著手。依據《信息安全技術信息安全風險評估規范》（GB/T 20984-2007）系統信息安全評估涉及到信息資產、威脅性、脆弱性3個要素。利用識別出的系統信息資產、威脅性、脆弱性定量或定性評估出安全事故發生的可能性。系統的風險指標集合Risk={A1,T1,V1}={信息資產，威脅性，脆弱性}，A1,T1,V1又可以細分為更多的風險指標，原理如圖1 所示。《信息安全技術 信息安全風險評估實施指南》（GB/T 31509-2015）定義了風險的計算原理，如公式（1）所示。

圖1 風險分析原理Fig.1 Schematic diagram of risk analysis

公式（1）中，R表示風險的計算函數；A,T,V分別表示系統的資產、威脅、脆弱性。

10月29日，唐山分公司友誼路加油站改造升級后開業運營。這座新運營的加油站的最大亮點是肯德基穿梭其中，使廣大消費者滿足進站加油、在昆侖好客便利店購物的同時，不用下車就可以享受到高質快捷的肯德基美食。“大吉大利，今夜吃雞”，友誼路加油站為廣大有車一族提供了全新的“人·車·生活”驛站新體驗。這是河北銷售公司在探索實踐高質量服務中的又一成功實踐。

對系統的信息安全風險分析一定程度上存在著主觀性，結論一定程度上也具有模糊性。信號系統網絡中CI、ZC 以及ATP 等設備安全等級高受到物理隔離保護，一些常見的攻擊方式并不能很好地適用于這些設備，因此設備被成功攻擊的可能性較低。非安設備如維護機等設備，由于安全等級較低且經常需要進行回放、日志查詢等操作，暴露程度較高，被攻擊的概率也較大。結合CBTC 信號系統的網絡特點以及網絡風險分析原理，可采取專家評分的方式對可能威脅信號系統信息安全的事件進行評估，并將其存儲于分析數據庫中，用以支撐網絡信息安全風險等級評估。評估元素發生成功的可能性可分5 個等級，對應的評語集V={V1,V2,V3,V4,V5}={低，較低，中，較高，高}，評估等級的高、低程度與該類型攻擊發生成功的概率成正比。

3.1 漏洞挖掘

在一些已知的工業系統信息安全事故中，攻擊者都是利用設備存在的漏洞或者“后門”發起攻擊，信號系統設備開放端口跟系統漏洞都存在被利用的可能。CI 是CBTC 系統中的核心地面控車設備，主要用以采集現場信號設備狀態，接收操作員發來的操作命令，進行聯鎖運算。測試時以某型號CI 系統為研究對象，利用端口掃描器Nmap 和漏洞掃描器Nessus 對CI 系統的邏輯部、控顯機、維護機進行掃描，分析設備開放端口跟系統漏洞帶來的信息安全威脅。CI 的組成以及與外圍系統的接口示意如圖2 所示。

圖2 聯鎖系統結構Fig.2 CI system structure

3.1.1 CI通信板漏洞挖掘

利用端口掃描工具通過接出的以太網口對CI通信板掃描，掃描結果包含通信板開放的端口號以及端口的服務類型等信息。漏洞掃描結果顯示設備存在一個中級漏洞，該漏洞為公開漏洞，在公共漏洞和暴露（Common Vulnerabilities &Exposures，CVE）中有詳細介紹。測試時發現環境中的設備未設置密碼，通過Telnet 命令可以直接登入進內部系統。

3.1.2 控顯漏洞挖掘

控顯是聯鎖子系統的操作顯示終端，與聯鎖邏輯部、ATS 系統、控制臺接口通信。控顯的端口掃描結果如圖3 所示。

圖3 計算機聯鎖系統上位機端口開放狀態Fig.3 Ports in open state of CI host computer

控顯機使用Windows XP 系統，微軟公司于2014 年停止了該系統的服務支持。控顯機操作系統漏洞掃描部分結果如圖4 所示，掃描結果表明該上位機缺少漏洞補丁，系統被攻破的可能性較大。

圖4 計算機聯鎖控顯機漏洞掃描結果Fig.4 Scanned results of vulnerabilities in CI host computer

3.1.3 維護機漏洞挖掘

聯鎖維護機的主要功能是記錄操作信息、報警信息、站場顯示信息和輸入輸出等信息。維護機并不直接控制邏輯部，在實際使用中沒有受到太多重視。聯鎖維護機與控顯機一樣采用微軟的Windows 操作系統。漏洞掃描結果顯示設備暴露的端口號較多，存在多個嚴重漏洞，測試設備已被Conficker 蠕蟲感染。

3.2 漏洞利用測試

利用3.1 節中掃描獲得的端口開放信息以及系統漏洞信息模擬攻擊者對設備進行攻擊測試。測試時分別嘗試對CI 通信板、控顯機以及維護機進行攻擊，測試結果如表1 所示。

表1 設備漏洞利用測試總結Tab.1 Summary of tests of exploiting the vulnerabilities of devices

獲取CI 通信板開放的端口信息后，利用拒絕服務（DOS）攻擊軟件LOIC 對設備實施TCP 泛洪攻擊，設備通信板重啟。CI 內部的控顯機和維護機使用的Windows 操作系統存在著大量公開暴露的漏洞，利用 MS09-001 漏洞進行測試，聯鎖控顯機藍屏并重啟。CBTC 信號系統網絡內的設備管理嚴格，攻擊者往往在無法直接接入的情況下可能會采取一些復雜的“滲透型攻擊”。測試效果表明，攻擊者在不與主機設備接觸的前提下，利用寫好的“自動攻擊腳本”可通過U 盤擺渡攻擊信號系統的設備使其重啟。

3.3 網絡信息安全威脅對系統的影響分析

CBTC 信號系統遵循嚴格“故障-安全”的設計原則，系統對于所有故障或失效源均導向安全側。基于這一設計原則能夠使得設備出現故障或失效時大多時候不對系統安全性產生影響，只影響系統可用性。正常情況下CBTC 信號系統安全設備被攻擊成功的概率較低，網絡面臨的信息安全風險主要是對系統的可用性產生影響。若需對系統的安全產生威脅，如篡改信號系統的輸入/輸出信息，需實施更加復雜的攻擊方法。

4 結束語

本文對CBTC 信號系統中的信息安全問題進行探討，并以CI 為研究對象，對CI 邏輯部通信板、控顯機以及維護機進行了端口跟漏洞掃描。依據掃描結果對部分漏洞進行了測試，分析信息安全事件攻擊CBTC 系統所帶來的影響。測試表明設備暴露的端口號以及漏洞會影響系統的正常運行，應當關閉一些不使用的端口并及時為系統漏洞打補丁。