轉載|高速鐵路信號系統信息安全現狀、安全風險的分析及建議

?

作者 | 許偉

中國鐵道科學研究院通信信號研究所

??????? 中國鐵路目前正處于“走出去”的時代背景中，隨之而來的網絡病毒和網絡攻擊層出不窮，給中國高鐵信號系統信息安全帶來很大挑戰。本文主要對我國高速鐵路信號系統的組成、各子系統間的信息交互方式以及所采用的安全措施進行介紹，同時對中國高鐵信號系統信息安全所面臨的挑戰進行分析，最后對高速鐵路信號系統的信息安全防護提出一些建議。?

1

引言

截至2015年底，我國高速鐵路運營里程達1.9萬公里，已成為世界高速鐵路運營里程最長、運營速度最高的國家。作為高速鐵路核心技術之一的高速鐵路信號系統集計算機技術、現代控制技術、通信技術于一體，是保障行車安全、提高運輸效率的關鍵技術裝備，在過去的幾年經歷了快速發展。我國高速鐵路信號系統主要包含列車運行控制系統（CTCS，簡稱列控系統）、分散自律調度集中（CTC）系統、計算機聯鎖系統（CBI）以及相應的監測系統，其中前三個系統直接與行車相關聯。CTC系統把排列進路的命令發給CBI系統，CBI系統將排好的進路信息發給列控地面設備，列控地面設備根據CBI系統進路信息、列車追蹤信息、允許速度信息、線路坡度信息等形成列車行車許可，列車車載設備通過接收行車許可來控制列車運行。?

安全是鐵路運輸生產的生命線和永恒的主題，是鐵路各項工作的基石。高速鐵路信號系統是保證鐵路行車安全的核心設備，其系統自身的安全直接關系到鐵路運輸的安全，其重要性不言而喻。長期以來鐵路信號系統采用專用封閉的網絡基本不存在外界入侵和網絡病毒傳播等問題，然而隨著高鐵信號系統對數據共享和大容量數據通信需求的提升，各個子系統實現了高速互聯互通，網絡也達到了前所未有的開放性。近年來，隨著針對工控系統的新病毒（如“震網病毒”）和新攻擊（如APT攻擊）的出現，高速鐵路信號系統雖然采用了一些安全防護措施，但仍面臨日益嚴峻的網絡信息安全考驗。?

2

高速鐵路信號系統信息安全現狀

我國高速鐵路信號系統組成如圖1所示，主要包含列車運行控制系統（CTCS，簡稱列控系統）、分散自律調度集中（CTC）系統、計算機聯鎖系統（CBI）以及相應的監測系統。其中CTC系統采用鐵路通信專用網絡，CBI、CTCS系統采用信號安全通信數據網絡和GSM-R通信網絡，其他檢測系統使用集中監測網絡。如圖1所示，CTC調度中心與臨時服務器（TSRS）、RBC無線閉塞中心、GSM-R之間采用物理接口并且實時通信，CTC調度中心通過專用的網絡與CTC車站子系統進行通信，CTC車站子系統與聯鎖系統、TCC中心和綜合監控系統之間采用物理接口并且實時通信；聯鎖系統與TCC、CTC、RBC中心以及綜合監控系統物理連接且實時通信；車站TCC中心與TSRS、地面應答器、CTC車站自系統、聯鎖子系統物理連接且實時通信；GSM-R網絡負責車地之間的通信。

2.1采用的安全技術標準

鐵路應用系列安全標準是以國際上廣泛認可的《電氣/電子/可編程電子安全相關系統的功能安全標準》（IEC61508）系列為基礎，附加列車安全控制系統的技術條件而制定的一系列鐵路應用安全標準，如圖2所示。

鐵路應用的EN5012X系列安全標準：

（1）EN50126-1：1999：鐵路應用可靠性、可用性、可維護性和安全性技術條件和驗證；

（2）EN50128：2001：鐵路應用通信、信號、處理系統—鐵路控制和防護系統軟件；

（3）EN50129：2003：鐵路應用通信、信號、處理系統—信號用安全相關電子系統；

（4）EN50129-1：2001：鐵路應用通信、信號、處理系統—封閉傳輸系統中的安全相關通信；

（5）EN50129-1：2001：鐵路應用通信、信號、處理系統—開放傳輸系統中的安全相關通信。

歐洲電工標準化委員會（C E N E L EC）開發的EN5012X系列標準在鐵路信號系統設計、產品開發、產品認證等方面得到國際上的廣泛認可。?

我國高速鐵路信號系統目前采納CENELEC制定的EN5012X系列國際標準，經過翻譯整理后結合我國鐵路的實際情況發布了我國的鐵路信號系統國家標準，如對應IEC 61508的GB/T 20438 （所有部分）《電氣/電子/可編程電子安全相關系統的功能安全》；對應IEC62278（或EN50126）的GB/T 21562《軌道交通可靠性、可用性、可維護性和安全性規范及示例》；對應IEC 62280（或EN 50159）的GB/T 24339《軌道交通通信、信號和處理系統第1部分封閉式傳輸系統中的安全相關通信，第2部分開放式傳輸系統中的安全相關通信》。鐵路信號系統設計、產品開發和產品認證等方面嚴格執行相應的標準。?

目前國際上從事鐵路信號產品獨立安全認證的機構主要有T V、Atkins、LR等歐洲公司。我國鐵路產品第三方獨立檢驗機構和認證中心機構是中鐵檢驗認證中心（CRCC），上道使用的主要鐵路信號產品必須取得CRCC認證。?

2.2 采用的安全技術

2.2.1

系統安全技術措施?

我國高速鐵路信號系統采用G B / T 2 0 4 3 8（IEC51508）標準定義的安全完整性等級（SIL）衡量系統安全相關的完整性水平，其中高速鐵路信號系統完成核心安全功能的聯鎖系統、列控系統采用SIL4級。

我國鐵路信號系統設備一直采用故障安全理念，即設備或系統一旦發生安全故障后，能防止出現災難性后果自動導向安全一方的重要設計原則。對于SIL4系統，在發生單一隨機故障時應確保系統保持安全，標準中有三種安全技術方案可供選擇：

（1）組合故障—安全技術：每個安全相關功能至少有兩個對象來執行并進行表決。各對象之間相互獨立，避免共因失效。

（2）反應故障—安全技術：允許一個安全相關功能有單個對象執行，但必須保證該對象的危險故障可以得到及時檢測并切斷輸出，確保安全性（通過編碼，多路計算和比較或通過連續測試等方式，檢測、測試、檢查相互獨立，避免共因失效）。

（3）固有故障—安全技術：允許一個安全功能有單個對象執行，前提是該對象的所有可信失效模式均為非危險的。

高速鐵路信號系統中（1）和（2）安全技術方案被廣泛應用，其中列控系統采用了2取2或3取2的表決方式，當表決結果不一致時，故障系統輸出被切斷，并進行主備系統切換；系統產品同時采用大量的故障檢測手段，以及冗余編碼、正反碼多重傳輸技術，保證系統安全。

2.2.2

鐵路信號安全通信協議

為了保證信號系統通信安全，高速鐵路信號系統對SIL4級核心功能的子系統采用封閉的信號安全數據網進行信息安全傳輸，主要包含無線閉塞中心（RBC）與車站聯鎖設備（CBI）、臨時限速服務器（TSRS）與無線閉塞中心（RBC）、臨時限速服務器與車站列控中心（TCC）間、聯鎖設備和列控中心間以及聯鎖設備之間的信息交換。?

參考借鑒國際先進經驗和技術的同時，結合我國高速鐵路的實際情況，以EN50159標準為基礎專門針對鐵路通信和信號系統中安全相關通信設立鐵路信號安全通信協議標準。該標準制定了系統傳輸過程中的威脅與防御手段，提出在安全相關設備之間進行信息交換、消息傳遞的過程中，需要進行安全編碼、安全傳輸以及安全校驗等安全相關通信過程。如圖3所示，安全通信在系統結構上將安全編碼與解碼的安全層插入到傳輸層與應用層之間。安全設備之間傳遞的用戶報文由應用層傳遞給安全層進行安全編碼，將生成的安全報文通過傳輸層傳輸；接收端接收到報文，也要通過安全層解碼、校驗、過濾后才被采用。

?

中國鐵路總公司（ 原鐵道部） 先后發布了《RSSP-I 鐵路信號安全通信協議》和《RSSP-II鐵路信號安全通信協議》，其中RSSP-I規定了信號安全設備之間通過封閉式傳輸系統進行安全相關信息交互的功能結構和協議；RSSP-II規定了信號安全設備之間，通過封閉式網絡或開放式網絡，進行安全相關信息交互的功能結構和協議。二者描述的封閉式和開放式安全通信系統的結構基本相同，不同之處在于信息傳輸系統，相對于封閉式傳輸系統而言，開放式傳輸系統需要采用更多的安全防護措施來防御開放環境中未知節點帶來的風險，如表1所示常見威脅安全防御項目。?

3

面臨的安全風險分析

3.1各個子系統接口安全分析

3.3.1

列控子系統(CTCS)

時速3 0 0 k m 及以上的高速鐵路信號系統采用CTCS-3級列控系統，工作原理是基于GSM-R無線通信實現車地信息雙向傳輸，無線閉塞中心（RBC）生成行車許可，軌道電路實現列車占用檢查，應答器實現列車定位。列控子系統主要由列控中心（TCC）、無線閉塞中心（RBC）、臨時限速服務器（TSRS）、車載設備、應答器和傳輸網絡組成。列車通過車載設備與RBC建立連接，保證列控中心指令能夠正確傳輸給車載。TSRS與TCC、RBC與TSRS、TSRS與TSRS、RBC與RBC之間采用基于TCP/IP的安全數據通信網保證數據的傳輸安全。RBC與CBI之間采用以太網連接并且采用信號安全通信協議，能防止系統間的網絡滲透。

3.1.2

聯鎖子系統（CBI）?

計算機聯鎖子系統（CBI）作為現場的基礎信號設備，主要控制站內的道岔，為進出站的列車提供安全進路。CBI正常情況下接收CTC系統的排列進路指令，為列車排列進路，然后把進路信息發送給TCC和RBC。CBI與TCC、RBC、CTC、集中監測（GSM）等接口。CBI與TCC、RBC間采用RJ45以太網連接，并且應用鐵路信號安全通信協議，可以防止系統間網絡滲透問題。CBI與CTC、GSM間采用的是RS-422串口方式連接，并采取隔離措施，不存在網絡滲透問題。

3.1.3

調度集中子系統（CTC）?

高速鐵路調度集中采用分散自律調度集中系統。以TDCS為平臺，以調度指揮為核心，以行車指揮自動化為目標，實現了列車進路和調車進路統一管理、列車進路自動控制，避免了行車調度人員與車站行車人員頻繁交接控制權的問題，提高了系統的使用效率。CTC系統作為核心信息的來源與微機聯鎖（CBI）、列控中心（TCC）、無線閉塞中心（RBC）、臨時限速服務器（TSRS）、GSM-R系統和運輸調度管理系統（TDMS）相連接。CTC與CBI、TCC采用的是RS-422串口方式連接，并采取隔離措施，不存在網絡滲透問題。CTC與TSRS和RBC間子系統間單獨組網的物理隔離方法（接口服務器或者雙宿主機方式），并且應用鐵路信號安全通信協議，可以防止調度集中向信息安全控制網絡滲透問題。CTC與GSM-R、TDMS采用雙宿主機的方式，并且與內網之間再采用網閘物理隔離方式，防止外界系統通過以太網邊界向調度集中系統進行網絡滲透。

3.1.4

鐵路數字移動通信子系統（GSM-R）

隨著車地之間雙向、大容量、實時和可靠信息傳輸的迫切需求，CTCS-3級列控系統引入GSM-R無線通信技術應用高速鐵路中，地面設備增加RBC和GSM-R無線通信網絡。然而，GSM-R采用無線公共信道，這使得鐵路信號系統網絡作為專網，具有了更高的開放性，提供了從公共信道滲透鐵路信號系統的通道，增加了鐵路信號系統信息安全的脆弱性。目前，我國鐵路信號系統信息安全防護大量采用傳統的防火墻、訪問控制、隔離、病毒漏洞掃描等技術，未針對我國鐵路通信應用及相關安全通信協議（如RSSP-II）進行專門的安全防護，致使有些情況下防護措施是否能夠有效還需要進一步驗證。

3.1.5

集中監測子系統（CSM）?

集中監測子系統與CBI、CTC之間的接口采用串口RS-422方式，不存在滲透風險，但是與TCC維護機以及軌道電路ZPW-2000維護機之間采用RJ45方式連接，應用TCP/IP協議并且之間的通信未采用安全通信協議和防火墻。由于集中監測系統為非安全系統，從系統邊界防護角度考慮，應該對集中監測系統和其它系統之間的通信接口采用安全通信協議。集中監控系統站內部分與系統中心之間應采用防火墻進行防護，與其它系統接口之間也應進行防火墻防護。避免系統網絡之間的相互滲透問題，尤其是通過以太網絡對信號安全數據通信網的滲透問題。

3.2兼容性分析

我國高速鐵路已經形成了自己的標準，但還沒有成為國際上完全采用的標準，高鐵“走出去”還存在與具有一定鐵路技術基礎的國家當地信號系統兼容問題。例如，美國鐵路自20世紀80年代以來，一直致力于開發一種提高鐵路運營安全性的系統（PTC，PositiveTrainControl），以有效地減少列車相撞概率、鐵路職工的意外傷亡、設備損壞及超速事故的發生。PTC系統是為保證列車安全、可靠、精確和有效地運行等而將行車指揮、控制、通信和信息化等子系統集于一體的集成系統。在美國修建鐵路必定要滿足PTC要求，并且面臨與既有系統相結合問題。?

另外，國外高速鐵路不一定是完全新建的雙線鐵路，有可能與既有線共用通道甚至共用軌道，跨線列車運行等情況，這不可避免地產生信號系統與既有線兼容問題，同時也相互引入網絡安全威脅。

4

建議

我國工控系統信息安全防護體系建設明顯滯后于工控系統建設，在防護意識、防護策略、防護機制、法規標準、防護檢測等方面都存在不少問題，涉及工控系統的信息安全工作尚在起步階段。我國高速鐵路信號系統經歷了快速的發展，但基本采用歐洲電氣化標準委員會制定鐵路信號安全標準，在新的網絡病毒和網絡攻擊層出不窮和我國高鐵“走出去”的時代背景下，我國高速鐵路信號系統信息安全、網絡安全采用的標準以及不同子系統接口間的邊界和GSM-R開放網絡面臨的風險等問題亟待解決，在保證高速鐵路運輸安全的基礎上，建議如下：

（1）借鑒工業化的縱深防御思想，實現各個子系統“垂直分層、水平分區；邊界控制、內部監測；集中展現”。通過垂直分層將管理和控制從網絡上分離，水平分區將不同的子系統之間從網絡上隔離；通過邊界防護和準入控制，內部監測網絡流量以及入侵、業務異常等實現實時監測；最后將各種設備、業務流程等安全告警事件能夠多維度綜合展示給監控人員。

（2）我國高速鐵路正處在大規模的建設和開通中，新建高鐵和既有普速和已開通高鐵的互聯互通存在大量的系統測試、軟件移植、修改和維護工作，嚴格遵照信號系統軟件修改和維護規范，防止由于升級和維護引入風險。

（3）繼續深入研究、完善現有系統的技術標準與體系結構，使系統更加安全，結構更加合理。中國鐵路信號標準以中文形式頒布后，應及時發布對應的英文版標準，并及時納入有關國際組織的標準名錄，以便宣傳和被其他國家認可，同時免于針對兼容各種當地的不同標準引入的風險。

（4）加強基礎技術和新興技術的研究，例如采用軟件定義網絡SDN等新技術實現通過軟件定義將安全策略應用到各種網絡設備中，從而實現對整個網絡通訊的安全控制，建立鐵路信號管控一體化提供安全、可靠的平臺。開發新型冗余的管控一體的鐵路信號系統，功能上實現行車安全預警，信息安全上實現縱深防御、集防護、監測、管理與一體。

（5）改進現有鑒定、評審方式積極開展信號系統安全工程管理活動，我國鐵路產品認證機構與國際第三方安全認證組織展開積極合作，實現互通互認。

作者簡介：

許偉（1978-），男，吉林洮南人，副研究員，大學本科，現就職于中國鐵道科學研究院通信信號研究所，主要從事 “TDCS- y型列車調度指揮系統”、“FZy- CTC型分散自律調度集中系統”的設計研發、工程實施、標準制定以及運籌調度優化等交通信息工程及控制前沿技術研究和CRCC產品認證等工作。研究方向為鐵路行車指揮自動化。

文章來源：工業安全產業聯盟

?

?