高速铁路信号系统信息安全风险分析及建议

许伟  中国铁道科学研究院通信信号研究所

男，吉林洮南人，副研究员，现就职于中国铁道科学研究院通信信号研究所，主要从事 “TDCS- y型列车调度指挥系统”、“FZy- CTC型分散自律调度集中系统”的设计研发、工程实施、标准制定以及运筹调度优化等交通信息工程及控制前沿技术研究和CRCC产品认证等工作。研究方向为铁路行车指挥自动化。

面临的安全风险分析 

各个子系统接口安全分析 

列控子系统（CTCS） 

时速300km及以上的高速铁路信号系统采用CTCS-3级列控系统，工作原理是基于GSM-R无线通信实现车地信息双向传输，无线闭塞中心（RBC）生成行车许可，轨道电路实现列车占用检查，应答器实现列车定位。列控子系统主要由列控中心（TCC）、无线闭塞中心（RBC）、临时限速服务器（TSRS）、车载设备、应答器和传输网络组成。列车通过车载设备与RBC建立连接，保证列控中心指令能够正确传输给车载。TSRS与TCC、RBC与TSRS、TSRS与TSRS、RBC与RBC之间采用基于TCP/IP的安全数据通信网保证数据的传输安全。RBC与CBI之间采用以太网连接并且采用信号安全通信协议，能防止系统间的网络渗透。 

联锁子系统（CBI） 

计算机联锁子系统（CBI）作为现场的基础信号设备，主要控制站内的道岔，为进出站的列车提供安全进路。CBI正常情况下接收CTC系统的排列进路指令，为列车排列进路,然后把进路信息发送给TCC和RBC。CBI与TCC、RBC、CTC、集中监测（GSM）等接口。CBI与TCC、RBC间采用RJ45以太网连接,并且应用铁路信号安全通信协议，可以防止系统间网络渗透问题。CBI与CTC、GSM间采用的是RS-422串口方式连接,并采取隔离措施，不存在网络渗透问题。 

调度集中子系统（CTC） 

高速铁路调度集中采用分散自律调度集中系统。以TDCS为平台，以调度指挥为核心，以行车指挥自动化为目标，实现了列车进路和调车进路统一管理、列车进路自动控制，避免了行车调度人员与车站行车人员频繁交接控制权的问题，提高了系统的使用效率。CTC系统作为核心信息的来源与微机联锁（CBI）、列控中心（TCC）、无线闭塞中心（RBC）、临时限速服务器（TSRS）、GSM-R系统和运输调度管理系统（TDMS）相连接。CTC与CBI、TCC采用的是RS-422串口方式连接，并采取隔离措施，不存在网络渗透问题。CTC与TSRS和RBC间子系统间单独组网的物理隔离方法（接口服务器或者双宿主机方式），并且应用铁路信号安全通信协议，可以防止调度集中向信息安全控制网络渗透问题。CTC与GSM-R、TDMS采用双宿主机的方式，并且与内网之间再采用网闸物理隔离方式，防止外界系统通过以太网边界向调度集中系统进行网络渗透。 

铁路数字移动通信子系统（GSM-R） 

随着车地之间双向、大容量、实时和可靠信息传输的迫切需求，CTCS-3级列控系统引入GSM-R无线通信技术应用高速铁路中，地面设备增加RBC和GSM-R无线通信网络。然而，GSM-R采用无线公共信道，这使得铁路信号系统网络作为专网，具有了更高的开放性，提供了从公共信道渗透铁路信号系统的通道，增加了铁路信号系统信息安全的脆弱性。目前，我国铁路信号系统信息安全防护大量采用传统的防火墙、访问控制、隔离、病毒漏洞扫描等技术，未针对我国铁路通信应用及相关安全通信协议（如RSSP-II）进行专门的安全防护，致使有些情况下防护措施是否能够有效还需要进一步验证。 

表1 RSSP常见威胁-防御矩阵 

集中监测子系统（CSM） 

集中监测子系统与CBI、CTC之间的接口采用串口RS-422方式，不存在渗透风险，但是与TCC维护机以及轨道电路ZPW-2000维护机之间采用RJ45方式连接，应用TCP/IP协议并且之间的通信未采用安全通信协议和防火墙。由于集中监测系统为非安全系统，从系统边界防护角度考虑，应该对集中监测系统和其它系统之间的通信接口采用安全通信协议。集中监控系统站内部分与系统中心之间应采用防火墙进行防护，与其它系统接口之间也应进行防火墙防护。避免系统网络之间的相互渗透问题，尤其是通过以太网络对信号安全数据通信网的渗透问题。 

兼容性分析 

我国高速铁路已经形成了自己的标准，但还没有成为国际上完全采用的标准，高铁“走出去”还存在与具有一定铁路技术基础的国家当地信号系统兼容问题。例如，美国铁路自20世纪80年代以来，一直致力于开发一种提高铁路运营安全性的系统（PTC，PositiveTrainControl），以有效地减少列车相撞概率、铁路职工的意外伤亡、设备损坏及超速事故的发生。PTC系统是为保证列车安全、可靠、精确和有效地运行等而将行车指挥、控制、通信和信息化等子系统集于一体的集成系统。在美国修建铁路必定要满足PTC要求，并且面临与既有系统相结合问题。 

另外，国外高速铁路不一定是完全新建的双线铁路，有可能与既有线共用通道甚至共用轨道，跨线列车运行等情况，这不可避免地产生信号系统与既有线兼容问题，同时也相互引入网络安全威胁。 

建议 

我国工控系统信息安全防护体系建设明显滞后于工控系统建设，在防护意识、防护策略、防护机制、法规标准、防护检测等方面都存在不少问题，涉及工控系统的信息安全工作尚在起步阶段。我国高速铁路信号系统经历了快速的发展，但基本采用欧洲电气化标准委员会制定铁路信号安全标准，在新的网络病毒和网络攻击层出不穷和我国高铁“走出去”的时代背景下，我国高速铁路信号系统信息安全、网络安全采用的标准以及不同子系统接口间的边界和GSM-R开放网络面临的风险等问题亟待解决，在保证高速铁路运输安全的基础上，建议如下：

（1）借鉴工业化的纵深防御思想，实现各个子系统“垂直分层、水平分区；边界控制、内部监测；集中展现”。通过垂直分层将管理和控制从网络上分离，水平分区将不同的子系统之间从网络上隔离；通过边界防护和准入控制，内部监测网络流量以及入侵、业务异常等实现实时监测；最后将各种设备、业务流程等安全告警事件能够多维度综合展示给监控人员。 

（2）我国高速铁路正处在大规模的建设和开通中，新建高铁和既有普速和已开通高铁的互联互通存在大量的系统测试、软件移植、修改和维护工作，严格遵照信号系统软件修改和维护规范，防止由于升级和维护引入风险。 

（3）继续深入研究、完善现有系统的技术标准与体系结构，使系统更加安全，结构更加合理。中国铁路信号标准以中文形式颁布后，应及时发布对应的英文版标准，并及时纳入有关国际组织的标准名录，以便宣传和被其他国家认可，同时免于针对兼容各种当地的不同标准引入的风险。 

（4）加强基础技术和新兴技术的研究，例如采用软件定义网络SDN等新技术实现通过软件定义将安全策略应用到各种网络设备中，从而实现对整个网络通讯的安全控制，建立铁路信号管控一体化提供安全、可靠的平台。开发新型冗余的管控一体的铁路信号系统，功能上实现行车安全预警，信息安全上实现纵深防御、集防护、监测、管理与一体。 

（5）改进现有鉴定、评审方式积极开展信号系统安全工程管理活动，我国铁路产品认证机构与国际第三方安全认证组织展开积极合作，实现互通互认。 

本文摘自《高速铁路信号系统信息安全几点分析》一文，原文刊载于《自动化博览》2016年增刊——《工业控制系统信息安全》专刊（第三辑）