转载|高速铁路信号系统信息安全现状、安全风险的分析及建议
作者 | 许伟
中国铁道科学研究院通信信号研究所
中国铁路目前正处于“走出去”的时代背景中,随之而来的网络病毒和网络攻击层出不穷,给中国高铁信号系统信息安全带来很大挑战。本文主要对我国高速铁路信号系统的组成、各子系统间的信息交互方式以及所采用的安全措施进行介绍,同时对中国高铁信号系统信息安全所面临的挑战进行分析,最后对高速铁路信号系统的信息安全防护提出一些建议。
1
引言
截至2015年底,我国高速铁路运营里程达1.9万公里,已成为世界高速铁路运营里程最长、运营速度最高的国家。作为高速铁路核心技术之一的高速铁路信号系统集计算机技术、现代控制技术、通信技术于一体,是保障行车安全、提高运输效率的关键技术装备,在过去的几年经历了快速发展。我国高速铁路信号系统主要包含列车运行控制系统(CTCS,简称列控系统)、分散自律调度集中(CTC)系统、计算机联锁系统(CBI)以及相应的监测系统,其中前三个系统直接与行车相关联。CTC系统把排列进路的命令发给CBI系统,CBI系统将排好的进路信息发给列控地面设备,列控地面设备根据CBI系统进路信息、列车追踪信息、允许速度信息、线路坡度信息等形成列车行车许可,列车车载设备通过接收行车许可来控制列车运行。
安全是铁路运输生产的生命线和永恒的主题,是铁路各项工作的基石。高速铁路信号系统是保证铁路行车安全的核心设备,其系统自身的安全直接关系到铁路运输的安全,其重要性不言而喻。长期以来铁路信号系统采用专用封闭的网络基本不存在外界入侵和网络病毒传播等问题,然而随着高铁信号系统对数据共享和大容量数据通信需求的提升,各个子系统实现了高速互联互通,网络也达到了前所未有的开放性。近年来,随着针对工控系统的新病毒(如“震网病毒”)和新攻击(如APT攻击)的出现,高速铁路信号系统虽然采用了一些安全防护措施,但仍面临日益严峻的网络信息安全考验。
2
高速铁路信号系统信息安全现状
我国高速铁路信号系统组成如图1所示,主要包含列车运行控制系统(CTCS,简称列控系统)、分散自律调度集中(CTC)系统、计算机联锁系统(CBI)以及相应的监测系统。其中CTC系统采用铁路通信专用网络,CBI、CTCS系统采用信号安全通信数据网络和GSM-R通信网络,其他检测系统使用集中监测网络。如图1所示,CTC调度中心与临时服务器(TSRS)、RBC无线闭塞中心、GSM-R之间采用物理接口并且实时通信,CTC调度中心通过专用的网络与CTC车站子系统进行通信,CTC车站子系统与联锁系统、TCC中心和综合监控系统之间采用物理接口并且实时通信;联锁系统与TCC、CTC、RBC中心以及综合监控系统物理连接且实时通信;车站TCC中心与TSRS、地面应答器、CTC车站自系统、联锁子系统物理连接且实时通信;GSM-R网络负责车地之间的通信。
2.1采用的安全技术标准
铁路应用系列安全标准是以国际上广泛认可的《电气/电子/可编程电子安全相关系统的功能安全标准》(IEC61508)系列为基础,附加列车安全控制系统的技术条件而制定的一系列铁路应用安全标准,如图2所示。
铁路应用的EN5012X系列安全标准:
(1)EN50126-1:1999:铁路应用可靠性、可用性、可维护性和安全性技术条件和验证;
(2)EN50128:2001:铁路应用通信、信号、处理系统—铁路控制和防护系统软件;
(3)EN50129:2003:铁路应用通信、信号、处理系统—信号用安全相关电子系统;
(4)EN50129-1:2001:铁路应用通信、信号、处理系统—封闭传输系统中的安全相关通信;
(5)EN50129-1:2001:铁路应用通信、信号、处理系统—开放传输系统中的安全相关通信。
欧洲电工标准化委员会(C E N E L EC)开发的EN5012X系列标准在铁路信号系统设计、产品开发、产品认证等方面得到国际上的广泛认可。
我国高速铁路信号系统目前采纳CENELEC制定的EN5012X系列国际标准,经过翻译整理后结合我国铁路的实际情况发布了我国的铁路信号系统国家标准,如对应IEC 61508的GB/T 20438 (所有部分)《电气/电子/可编程电子安全相关系统的功能安全》;对应IEC62278(或EN50126)的GB/T 21562《轨道交通可靠性、可用性、可维护性和安全性规范及示例》;对应IEC 62280(或EN 50159)的GB/T 24339《轨道交通通信、信号和处理系统第1部分封闭式传输系统中的安全相关通信,第2部分开放式传输系统中的安全相关通信》。铁路信号系统设计、产品开发和产品认证等方面严格执行相应的标准。
目前国际上从事铁路信号产品独立安全认证的机构主要有T V、Atkins、LR等欧洲公司。我国铁路产品第三方独立检验机构和认证中心机构是中铁检验认证中心(CRCC),上道使用的主要铁路信号产品必须取得CRCC认证。
2.2 采用的安全技术
2.2.1
系统安全技术措施
我国高速铁路信号系统采用G B / T 2 0 4 3 8(IEC51508)标准定义的安全完整性等级(SIL)衡量系统安全相关的完整性水平,其中高速铁路信号系统完成核心安全功能的联锁系统、列控系统采用SIL4级。
我国铁路信号系统设备一直采用故障安全理念,即设备或系统一旦发生安全故障后,能防止出现灾难性后果自动导向安全一方的重要设计原则。对于SIL4系统,在发生单一随机故障时应确保系统保持安全,标准中有三种安全技术方案可供选择:
(1)组合故障—安全技术:每个安全相关功能至少有两个对象来执行并进行表决。各对象之间相互独立,避免共因失效。
(2)反应故障—安全技术:允许一个安全相关功能有单个对象执行,但必须保证该对象的危险故障可以得到及时检测并切断输出,确保安全性(通过编码,多路计算和比较或通过连续测试等方式,检测、测试、检查相互独立,避免共因失效)。
(3)固有故障—安全技术:允许一个安全功能有单个对象执行,前提是该对象的所有可信失效模式均为非危险的。
高速铁路信号系统中(1)和(2)安全技术方案被广泛应用,其中列控系统采用了2取2或3取2的表决方式,当表决结果不一致时,故障系统输出被切断,并进行主备系统切换;系统产品同时采用大量的故障检测手段,以及冗余编码、正反码多重传输技术,保证系统安全。
2.2.2
铁路信号安全通信协议
为了保证信号系统通信安全,高速铁路信号系统对SIL4级核心功能的子系统采用封闭的信号安全数据网进行信息安全传输,主要包含无线闭塞中心(RBC)与车站联锁设备(CBI)、临时限速服务器(TSRS)与无线闭塞中心(RBC)、临时限速服务器与车站列控中心(TCC)间、联锁设备和列控中心间以及联锁设备之间的信息交换。
参考借鉴国际先进经验和技术的同时,结合我国高速铁路的实际情况,以EN50159标准为基础专门针对铁路通信和信号系统中安全相关通信设立铁路信号安全通信协议标准。该标准制定了系统传输过程中的威胁与防御手段,提出在安全相关设备之间进行信息交换、消息传递的过程中,需要进行安全编码、安全传输以及安全校验等安全相关通信过程。如图3所示,安全通信在系统结构上将安全编码与解码的安全层插入到传输层与应用层之间。安全设备之间传递的用户报文由应用层传递给安全层进行安全编码,将生成的安全报文通过传输层传输;接收端接收到报文,也要通过安全层解码、校验、过滤后才被采用。
中国铁路总公司( 原铁道部) 先后发布了《RSSP-I 铁路信号安全通信协议》和《RSSP-II铁路信号安全通信协议》,其中RSSP-I规定了信号安全设备之间通过封闭式传输系统进行安全相关信息交互的功能结构和协议;RSSP-II规定了信号安全设备之间,通过封闭式网络或开放式网络,进行安全相关信息交互的功能结构和协议。二者描述的封闭式和开放式安全通信系统的结构基本相同,不同之处在于信息传输系统,相对于封闭式传输系统而言,开放式传输系统需要采用更多的安全防护措施来防御开放环境中未知节点带来的风险,如表1所示常见威胁安全防御项目。
3
面临的安全风险分析
3.1各个子系统接口安全分析
3.3.1
列控子系统(CTCS)
时速3 0 0 k m 及以上的高速铁路信号系统采用CTCS-3级列控系统,工作原理是基于GSM-R无线通信实现车地信息双向传输,无线闭塞中心(RBC)生成行车许可,轨道电路实现列车占用检查,应答器实现列车定位。列控子系统主要由列控中心(TCC)、无线闭塞中心(RBC)、临时限速服务器(TSRS)、车载设备、应答器和传输网络组成。列车通过车载设备与RBC建立连接,保证列控中心指令能够正确传输给车载。TSRS与TCC、RBC与TSRS、TSRS与TSRS、RBC与RBC之间采用基于TCP/IP的安全数据通信网保证数据的传输安全。RBC与CBI之间采用以太网连接并且采用信号安全通信协议,能防止系统间的网络渗透。
3.1.2
联锁子系统(CBI)
计算机联锁子系统(CBI)作为现场的基础信号设备,主要控制站内的道岔,为进出站的列车提供安全进路。CBI正常情况下接收CTC系统的排列进路指令,为列车排列进路,然后把进路信息发送给TCC和RBC。CBI与TCC、RBC、CTC、集中监测(GSM)等接口。CBI与TCC、RBC间采用RJ45以太网连接,并且应用铁路信号安全通信协议,可以防止系统间网络渗透问题。CBI与CTC、GSM间采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。
3.1.3
调度集中子系统(CTC)
高速铁路调度集中采用分散自律调度集中系统。以TDCS为平台,以调度指挥为核心,以行车指挥自动化为目标,实现了列车进路和调车进路统一管理、列车进路自动控制,避免了行车调度人员与车站行车人员频繁交接控制权的问题,提高了系统的使用效率。CTC系统作为核心信息的来源与微机联锁(CBI)、列控中心(TCC)、无线闭塞中心(RBC)、临时限速服务器(TSRS)、GSM-R系统和运输调度管理系统(TDMS)相连接。CTC与CBI、TCC采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。CTC与TSRS和RBC间子系统间单独组网的物理隔离方法(接口服务器或者双宿主机方式),并且应用铁路信号安全通信协议,可以防止调度集中向信息安全控制网络渗透问题。CTC与GSM-R、TDMS采用双宿主机的方式,并且与内网之间再采用网闸物理隔离方式,防止外界系统通过以太网边界向调度集中系统进行网络渗透。
3.1.4
铁路数字移动通信子系统(GSM-R)
随着车地之间双向、大容量、实时和可靠信息传输的迫切需求,CTCS-3级列控系统引入GSM-R无线通信技术应用高速铁路中,地面设备增加RBC和GSM-R无线通信网络。然而,GSM-R采用无线公共信道,这使得铁路信号系统网络作为专网,具有了更高的开放性,提供了从公共信道渗透铁路信号系统的通道,增加了铁路信号系统信息安全的脆弱性。目前,我国铁路信号系统信息安全防护大量采用传统的防火墙、访问控制、隔离、病毒漏洞扫描等技术,未针对我国铁路通信应用及相关安全通信协议(如RSSP-II)进行专门的安全防护,致使有些情况下防护措施是否能够有效还需要进一步验证。
3.1.5
集中监测子系统(CSM)
集中监测子系统与CBI、CTC之间的接口采用串口RS-422方式,不存在渗透风险,但是与TCC维护机以及轨道电路ZPW-2000维护机之间采用RJ45方式连接,应用TCP/IP协议并且之间的通信未采用安全通信协议和防火墙。由于集中监测系统为非安全系统,从系统边界防护角度考虑,应该对集中监测系统和其它系统之间的通信接口采用安全通信协议。集中监控系统站内部分与系统中心之间应采用防火墙进行防护,与其它系统接口之间也应进行防火墙防护。避免系统网络之间的相互渗透问题,尤其是通过以太网络对信号安全数据通信网的渗透问题。
3.2兼容性分析
我国高速铁路已经形成了自己的标准,但还没有成为国际上完全采用的标准,高铁“走出去”还存在与具有一定铁路技术基础的国家当地信号系统兼容问题。例如,美国铁路自20世纪80年代以来,一直致力于开发一种提高铁路运营安全性的系统(PTC,PositiveTrainControl),以有效地减少列车相撞概率、铁路职工的意外伤亡、设备损坏及超速事故的发生。PTC系统是为保证列车安全、可靠、精确和有效地运行等而将行车指挥、控制、通信和信息化等子系统集于一体的集成系统。在美国修建铁路必定要满足PTC要求,并且面临与既有系统相结合问题。
另外,国外高速铁路不一定是完全新建的双线铁路,有可能与既有线共用通道甚至共用轨道,跨线列车运行等情况,这不可避免地产生信号系统与既有线兼容问题,同时也相互引入网络安全威胁。
4
建议
我国工控系统信息安全防护体系建设明显滞后于工控系统建设,在防护意识、防护策略、防护机制、法规标准、防护检测等方面都存在不少问题,涉及工控系统的信息安全工作尚在起步阶段。我国高速铁路信号系统经历了快速的发展,但基本采用欧洲电气化标准委员会制定铁路信号安全标准,在新的网络病毒和网络攻击层出不穷和我国高铁“走出去”的时代背景下,我国高速铁路信号系统信息安全、网络安全采用的标准以及不同子系统接口间的边界和GSM-R开放网络面临的风险等问题亟待解决,在保证高速铁路运输安全的基础上,建议如下:
(1)借鉴工业化的纵深防御思想,实现各个子系统“垂直分层、水平分区;边界控制、内部监测;集中展现”。通过垂直分层将管理和控制从网络上分离,水平分区将不同的子系统之间从网络上隔离;通过边界防护和准入控制,内部监测网络流量以及入侵、业务异常等实现实时监测;最后将各种设备、业务流程等安全告警事件能够多维度综合展示给监控人员。
(2)我国高速铁路正处在大规模的建设和开通中,新建高铁和既有普速和已开通高铁的互联互通存在大量的系统测试、软件移植、修改和维护工作,严格遵照信号系统软件修改和维护规范,防止由于升级和维护引入风险。
(3)继续深入研究、完善现有系统的技术标准与体系结构,使系统更加安全,结构更加合理。中国铁路信号标准以中文形式颁布后,应及时发布对应的英文版标准,并及时纳入有关国际组织的标准名录,以便宣传和被其他国家认可,同时免于针对兼容各种当地的不同标准引入的风险。
(4)加强基础技术和新兴技术的研究,例如采用软件定义网络SDN等新技术实现通过软件定义将安全策略应用到各种网络设备中,从而实现对整个网络通讯的安全控制,建立铁路信号管控一体化提供安全、可靠的平台。开发新型冗余的管控一体的铁路信号系统,功能上实现行车安全预警,信息安全上实现纵深防御、集防护、监测、管理与一体。
(5)改进现有鉴定、评审方式积极开展信号系统安全工程管理活动,我国铁路产品认证机构与国际第三方安全认证组织展开积极合作,实现互通互认。
作者简介:
许伟(1978-),男,吉林洮南人,副研究员,大学本科,现就职于中国铁道科学研究院通信信号研究所,主要从事 “TDCS- y型列车调度指挥系统”、“FZy- CTC型分散自律调度集中系统”的设计研发、工程实施、标准制定以及运筹调度优化等交通信息工程及控制前沿技术研究和CRCC产品认证等工作。研究方向为铁路行车指挥自动化。
文章来源:工业安全产业联盟
