我的位置 态势感知  >  安全态势

高速铁路信号系统信息安全现状、安全风险的分析及建议

来源:工业安全产业联盟 时间:2018-03-20 阅读次数:

摘要:

随着技术的发展网络的开放,以及中国铁路走出去的时代背景,随之而来的网络病毒和攻击威胁愈加严重给高铁信号系统信息安全带来了极大的挑战。本文主要介绍了我国高铁信号系统的组成、各子系统间的信息交互方式以及采用的安全措施,同时分析了系统所面临的安全挑战文章第三部分对信息安全防护提出一些建议。

 

一、序言

 

截止2016年底,中国高铁运营里程突破2.2万公里,占世界高铁运营里程的60%以上,位居世界第一位。高铁信号系统是其中的核心技术之一,它集控制、计算机、通信技术于一体,是提高运输效率保障运行安全的关键装备,具有举足轻重的地位。随着技术的发展和高铁信号系统对数据通信和数据共享需求的快速提升铁路信号系统网络已经从封闭变得越来越开发,通过专用网络防止外界入侵和病毒传播的模式已经被逐渐打破最近几年震网病毒和APT攻击为代表的针对工控系统的新型攻击手段的出现,对铁路信号系统的安全产生了严峻的考验。

 

二、信息安全现状

 

图1描述了我国高铁信号系统的组成结构,主要包括列车运行控制系统(CTCS,简称列控系统)、分散自律调度集中系统(CTC)、计算机联锁系统(CBI)以及相应的监测系统。其中CTC采用铁路通信专用网络,CBICTCS系统采用信号安全通信数据网络和GSM-R通信网络,其他监测系统使用集中监测网络。CTC系统把排列进路的命令发给CBI系统,CBI系统将排好的进路信息发给列控地面设备,列控地面设备根据CBI系统进路信息、列车追踪信息、允许速度信息、线路坡度信息等形成列车行车许可,列车车载设备通过接收行车许可来控制列车运行。

 

 

2.1安全技术标准

如图2所示,《电气/电子/可编程电子安全相关系统的功能安全标准》(IEC61508)是国际上广泛认可的安全标准,我国铁路应用系列安全标准是以其为基础,并补充了列车安全控制系统的技术条件而制定的。

我国铁路信号产品上道使用前必须取得认证,认证由第三方独立检验机构中铁检验认证中心(CRCC)负责。

 

2.2 采用的安全技术

2.2.1系统安全技术

G B / T 2 0 4 3 8(IEC51508)标准定义了安全完整性等级(SIL),用来衡量系统安全相关的完整性水平,我国高铁信号系统核心的联锁系统、列控系统采用SIL4级。对于SIL4级系统,在发生单一随机故障时应确保系统安全,标准中有三种安全技术方案可供选用:

(1)组合故障—安全技术:每个安全相关功能至少有两个对象来执行并进行表决。各对象之间相互独立,避免共因失效。

(2)反应故障—安全技术:允许一个安全相关功能由单个对象执行,但必须保证该对象的危险故障可以得到及时检测并切断输出,确保安全性。

(3)固有故障—安全技术:允许一个安全功能由单个对象执行,前提是该对象的所有可信失效模式均为非危险的。

(1)和(2)安全技术方案在高铁信号系统中被广泛应用,其中列控系统采用了2取2或3取2的表决方式,当表决结果不一致时,故障系统输出被切断,并进行主备系统切换。

此外,高铁信号系统同时采用大量的故障检测手段,以及冗余编码、正反码多重传输技术,以保证系统安全

 

2.2.2信号安全通信协议

铁路信号安全通信协议以EN50159标准为基础,并针对铁路信号系统的特点制定。该标准指出了信号传输过程中可能面临的威胁及相应的防御手段,提出在安全相关设备之间进行信息交换、消息传递的过程中,需要进行安全编码、安全传输以及安全校验等安全相关通信过程。如图3所示,安全通信在系统结构上将安全编码与解码的安全层插入到传输层与应用层之间。安全设备之间传递的用户报文由应用层传递给安全层进行安全编码,将生成的安全报文通过传输层传输;接收端接收到报文,也要通过安全层解码、校验、过滤后才被采用。

中国铁路总公司( 原铁道部) 先后发布了《RSSP-I 铁路信号安全通信协议》和《RSSP-II铁路信号安全通信协议》,其中RSSP-I规定了信号安全设备之间通过封闭式传输系统进行安全相关信息交互的功能结构和协议;RSSP-II规定了信号安全设备之间,通过封闭式网络或开放式网络,进行安全相关信息交互的功能结构和协议。二者描述的封闭式和开放式安全通信系统的结构基本相同,不同之处在于信息传输系统,相对于封闭式传输系统而言,开放式传输系统需要采用更多的安全防护措施来防御开放环境中未知节点带来的风险,如表1所示常见威胁安全防御项目。

 

三、安全风险分析

 

3.1各个子系统接口安全分析

3.3.1 列控子系统(CTCS)

列控子系统(CTCS)主要由下列几部分组成:列控中心(TCC)、临时限速服务器(TSRS)、无线闭塞中心(RBC)、应答器、车载设备和传输网络。列车通过车载设备与RBC建立连接,保证TCC指令能够正确传输给列车为了保证数据的传输安全RBCTSRSRBCRBCTSRSTSRSTSRSTCC之间采用基于TCP/IP的安全数据通信网来进行数据的传输为了防止系统间的网络渗透RBCCBI之间采用以太网连接并采用信号安全通信协议。

 

​3.1.2 联锁子系统(CBI)

计算机联锁子系统(CBI)是最基础的信号设备,它主要控制站内的道岔,为列车提供运行轨道。CBI接收CTC系统的排列进路指令,为列车排列进路,然后把进路信息发送给TCC和RBC。CBI与TCC、RBC间采用以太网连接,应用铁路信号安全通信协议,可防止系统间网络渗透问题。CBI与CTC、GSM间采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。

 

3.1.3 调度集中子系统(CTC)

调度集中子系统(CTC)实现了列车进路和调车进路统一管理、列车进路自动控制,提高了系统运行的效率。CTC系统作为核心信息的来源与CBI、TCC、RBC、TSRS、GSM-R系统和运输调度管理系统(TDMS)相连接。CTC与TSRS和RBC间子系统间单独组网的物理隔离方法,并且应用铁路信号安全通信协议,可以防止网络渗透问题。CTC与CBI、TCC采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。CTC与GSM-R、TDMS采用双宿主机的方式,并且与内网之间再采用网闸进行物理隔离,防止外部的网络渗透。

 

3.1.4 铁路数字移动通信子系统(GSM-R)

铁路数字移动通信子系统(GSM-R)采用无线公共信道,这提高了铁路信号系统网络的开放性,增加了铁路信号系统信息安全的风险。当前我国铁路信号系统的信息安全防护主要依靠防火墙、隔离、访问控制、病毒漏洞扫描等传统的技术方案,未针对我国铁路通信应用及相关安全通信协议进行专门的安全防护,因此在一些特殊情况下这些防护措施是否有效能还需要更多的验证。

 

3.1.5 集中监测子系统(CSM)

集中监测系统(CSM)为非安全系统,应该对CSM和其它系统之间的通信接口采用安全通信协议。CSM站内部分与系统中心之间、与其它系统接口之间采用防火墙进行防护,避免网络之间的相互渗透问题。CSM与CTC、CBI的接口采用串口方式,不存在渗透的风险。但CSM与TCC维护机、轨道电路维护机ZPW-2000之间采用RJ45的方式连接,应用TCP/IP协议并且之间的通信未采用安全通信协议和防火墙。

 

3.2 兼容性分析

我国高铁“走出去”需要解决与当地信号系统兼容问题。例如美国铁路有一种提高铁路运营安全性的系统(PTC,PositiveTrainControl),它是行车指挥、控制、通信等子系统的集成系统,可以有效地减少列车相撞的概率、列车超速事件、设备损坏及人员伤亡事故的发生。中国高铁要在美国修建必须要满足PTC要求。

此外国外高铁未必是全新建的双线铁路,可能与既有线路共用轨道、跨线运行等,这要求信号系统能够与既有线的信号系统兼容,在兼容的同时也相互的引入网络安全威胁。

 

四、建议措施

 

我国工控系统的信息安全工作还处于起步阶段,工控系统信息安全防护体系的建设还明显滞后于工控系统的建设,在防护意识、策略、机制、法规等方面存在很多问题。通过前文所述的背景基础上,在保证高铁运输安全上,我们总结了如下几条建议:

(1)继续加强对现有系统的技术标准与体系结构的研究工作,使系统更加安全,结构更加合理

(2)严格遵照信号系统软件修改和维护规范,防止由于升级和维护引入风险。当前我国高铁正处在大规模的建设和开通中,新建高铁和既有普速的互联互通存在大量的软件移植、修改和维护工作,这些工作需要严格遵循规范。

(3)借鉴纵深防御的理念,各个子系统“垂直分层、水平分区;边界控制、内部监测;集中展现”开发新型冗余的管控一体的铁路信号系统,功能上实现行车安全预警,信息安全上实现纵深防御、集防护、监测、管理与一体

(4)加强基础技术和新兴技术的研究,例如采用软件定义网络SDN等新技术实现通过软件定义将安全策略应用到各种网络设备中,从而实现对整个网络通讯的安全控制,建立铁路信号管控一体化提供安全、可靠的平台。

(5)加强我国铁路产品认证机构与国际第三方安全认证组织的合作,实现互通互认。

(6)中国铁路信号标准以中文形式颁布后,应及时发布对应的英文版标准,并及时纳入有关国际组织的标准名录,以便宣传和被其他国家认可,同时免于针对兼容各种当地的不同标准引入的风险。

 

作者 | 许伟 (中国铁道科学研究院通信信号研究所

 

文章来源:工业安全产业联盟

 
8条评论