许伟 中国铁道科学研究院通信信号研究所
男,吉林洮南人,副研究员,现就职于中国铁道科学研究院通信信号研究所,主要从事 “TDCS- y型列车调度指挥系统”、“FZy- CTC型分散自律调度集中系统”的设计研发、工程实施、标准制定以及运筹调度优化等交通信息工程及控制前沿技术研究和CRCC产品认证等工作。研究方向为铁路行车指挥自动化。
面临的安全风险分析
各个子系统接口安全分析
列控子系统(CTCS)
时速300km及以上的高速铁路信号系统采用CTCS-3级列控系统,工作原理是基于GSM-R无线通信实现车地信息双向传输,无线闭塞中心(RBC)生成行车许可,轨道电路实现列车占用检查,应答器实现列车定位。列控子系统主要由列控中心(TCC)、无线闭塞中心(RBC)、临时限速服务器(TSRS)、车载设备、应答器和传输网络组成。列车通过车载设备与RBC建立连接,保证列控中心指令能够正确传输给车载。TSRS与TCC、RBC与TSRS、TSRS与TSRS、RBC与RBC之间采用基于TCP/IP的安全数据通信网保证数据的传输安全。RBC与CBI之间采用以太网连接并且采用信号安全通信协议,能防止系统间的网络渗透。
联锁子系统(CBI)
计算机联锁子系统(CBI)作为现场的基础信号设备,主要控制站内的道岔,为进出站的列车提供安全进路。CBI正常情况下接收CTC系统的排列进路指令,为列车排列进路,然后把进路信息发送给TCC和RBC。CBI与TCC、RBC、CTC、集中监测(GSM)等接口。CBI与TCC、RBC间采用RJ45以太网连接,并且应用铁路信号安全通信协议,可以防止系统间网络渗透问题。CBI与CTC、GSM间采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。
调度集中子系统(CTC)
高速铁路调度集中采用分散自律调度集中系统。以TDCS为平台,以调度指挥为核心,以行车指挥自动化为目标,实现了列车进路和调车进路统一管理、列车进路自动控制,避免了行车调度人员与车站行车人员频繁交接控制权的问题,提高了系统的使用效率。CTC系统作为核心信息的来源与微机联锁(CBI)、列控中心(TCC)、无线闭塞中心(RBC)、临时限速服务器(TSRS)、GSM-R系统和运输调度管理系统(TDMS)相连接。CTC与CBI、TCC采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。CTC与TSRS和RBC间子系统间单独组网的物理隔离方法(接口服务器或者双宿主机方式),并且应用铁路信号安全通信协议,可以防止调度集中向信息安全控制网络渗透问题。CTC与GSM-R、TDMS采用双宿主机的方式,并且与内网之间再采用网闸物理隔离方式,防止外界系统通过以太网边界向调度集中系统进行网络渗透。
铁路数字移动通信子系统(GSM-R)
随着车地之间双向、大容量、实时和可靠信息传输的迫切需求,CTCS-3级列控系统引入GSM-R无线通信技术应用高速铁路中,地面设备增加RBC和GSM-R无线通信网络。然而,GSM-R采用无线公共信道,这使得铁路信号系统网络作为专网,具有了更高的开放性,提供了从公共信道渗透铁路信号系统的通道,增加了铁路信号系统信息安全的脆弱性。目前,我国铁路信号系统信息安全防护大量采用传统的防火墙、访问控制、隔离、病毒漏洞扫描等技术,未针对我国铁路通信应用及相关安全通信协议(如RSSP-II)进行专门的安全防护,致使有些情况下防护措施是否能够有效还需要进一步验证。
表1 RSSP常见威胁-防御矩阵
集中监测子系统(CSM)
集中监测子系统与CBI、CTC之间的接口采用串口RS-422方式,不存在渗透风险,但是与TCC维护机以及轨道电路ZPW-2000维护机之间采用RJ45方式连接,应用TCP/IP协议并且之间的通信未采用安全通信协议和防火墙。由于集中监测系统为非安全系统,从系统边界防护角度考虑,应该对集中监测系统和其它系统之间的通信接口采用安全通信协议。集中监控系统站内部分与系统中心之间应采用防火墙进行防护,与其它系统接口之间也应进行防火墙防护。避免系统网络之间的相互渗透问题,尤其是通过以太网络对信号安全数据通信网的渗透问题。
兼容性分析
我国高速铁路已经形成了自己的标准,但还没有成为国际上完全采用的标准,高铁“走出去”还存在与具有一定铁路技术基础的国家当地信号系统兼容问题。例如,美国铁路自20世纪80年代以来,一直致力于开发一种提高铁路运营安全性的系统(PTC,PositiveTrainControl),以有效地减少列车相撞概率、铁路职工的意外伤亡、设备损坏及超速事故的发生。PTC系统是为保证列车安全、可靠、精确和有效地运行等而将行车指挥、控制、通信和信息化等子系统集于一体的集成系统。在美国修建铁路必定要满足PTC要求,并且面临与既有系统相结合问题。
另外,国外高速铁路不一定是完全新建的双线铁路,有可能与既有线共用通道甚至共用轨道,跨线列车运行等情况,这不可避免地产生信号系统与既有线兼容问题,同时也相互引入网络安全威胁。
建议
我国工控系统信息安全防护体系建设明显滞后于工控系统建设,在防护意识、防护策略、防护机制、法规标准、防护检测等方面都存在不少问题,涉及工控系统的信息安全工作尚在起步阶段。我国高速铁路信号系统经历了快速的发展,但基本采用欧洲电气化标准委员会制定铁路信号安全标准,在新的网络病毒和网络攻击层出不穷和我国高铁“走出去”的时代背景下,我国高速铁路信号系统信息安全、网络安全采用的标准以及不同子系统接口间的边界和GSM-R开放网络面临的风险等问题亟待解决,在保证高速铁路运输安全的基础上,建议如下:
(1)借鉴工业化的纵深防御思想,实现各个子系统“垂直分层、水平分区;边界控制、内部监测;集中展现”。通过垂直分层将管理和控制从网络上分离,水平分区将不同的子系统之间从网络上隔离;通过边界防护和准入控制,内部监测网络流量以及入侵、业务异常等实现实时监测;最后将各种设备、业务流程等安全告警事件能够多维度综合展示给监控人员。
(2)我国高速铁路正处在大规模的建设和开通中,新建高铁和既有普速和已开通高铁的互联互通存在大量的系统测试、软件移植、修改和维护工作,严格遵照信号系统软件修改和维护规范,防止由于升级和维护引入风险。
(3)继续深入研究、完善现有系统的技术标准与体系结构,使系统更加安全,结构更加合理。中国铁路信号标准以中文形式颁布后,应及时发布对应的英文版标准,并及时纳入有关国际组织的标准名录,以便宣传和被其他国家认可,同时免于针对兼容各种当地的不同标准引入的风险。
(4)加强基础技术和新兴技术的研究,例如采用软件定义网络SDN等新技术实现通过软件定义将安全策略应用到各种网络设备中,从而实现对整个网络通讯的安全控制,建立铁路信号管控一体化提供安全、可靠的平台。开发新型冗余的管控一体的铁路信号系统,功能上实现行车安全预警,信息安全上实现纵深防御、集防护、监测、管理与一体。
(5)改进现有鉴定、评审方式积极开展信号系统安全工程管理活动,我国铁路产品认证机构与国际第三方安全认证组织展开积极合作,实现互通互认。
本文摘自《高速铁路信号系统信息安全几点分析》一文,原文刊载于《自动化博览》2016年增刊——《工业控制系统信息安全》专刊(第三辑)