国家互联网应急中心

信联科技(南京)有限公司

北京交通大学

1. 前言

1.1城市轨道交通发展现状

城市轨道交通具有快速、准时、便利的特点,特别适合城市内部与城郊之间大规模出行的需求,成为现代城市公共客运交通体系的骨干,起到客流组织的主导作用。以北京为例,2019年北京地铁全网工作日正常客流在1200万人次左右,成为人们公共交通出行的首选方式。城市轨道交通的建设能够显著地节约出行者的出行时间和交通成本,改变土地的利用性质,促进城市经济的繁荣,带来巨大的经济效益。此外,在我国土地资源日益紧张和环境保护压力巨大的条件下,城市轨道交通依赖其相同运量占用土地面积小、节能低污染的特性,在城市交通基础设施建设中占据日益重要位置。

截至2019年底,中国内地累计有40个城市开通城市轨道交通,运营线路总里程达6730.27公里。刚刚过去的2019年,中国内地新增的城市轨道线路多达50条,新增运营线路里程968.77公里。2019年9月,中共中央、国务院印发了《交通强国建设纲要》。《纲要》提出,到2020年,完成决胜全面建成小康社会交通建设任务和“十三五”现代综合交通运输体系发展规划各项任务;到2035年,基本建成交通强国;到本世纪中叶,全面建成人民满意、保障有力、世界前列的交通强国。2019年9月26日,习总书记乘坐北京城轨交通大兴机场线并发表重要讲话。习总书记强调,要构建综合、绿色、安全、智能的立体化现代化城市交通系统,要发展世界一流的轨道交通,我国城市轨道交通迎来了实现高质量发展的历史性机遇。

1.2城市轨道交通网络安全风险

近年来,伴随着城市轨道交通项目的持续建设,国内城市轨道交通信息化建设呈现快速稳步的发展。随着信息化与轨道交通自动化的深度融合,轨道交通自动化与控制网络也向着分布式、智能化的方向迅速发展,越来越多基于TCP/IP的通信协议和接口被采用,实现了各子系统的互联互通、资源共享,进一步提升了自动化水平。城市轨道交通信息化系统的集成化、智能化程度越来越高,业务运行过程对信息系统的依赖性日益增强,随之而来的网络安全面临的挑战也变得更大。信息系统一旦停滞,车辆调度、故障报警、安全运维等各个环节都无法正常进行,后果将不可想象。城市轨道交通系统每天承载上千万人的出行,一旦出现网络安全事故将直接影响人民的正常生活,造成的损失不可估量。因此,城市轨道交通的网络安全风险需引发高度重视。

1.3城市轨道交通网络安全管理政策

国家政府和各级管理单位高度重视城市轨道交通网络安全问题,相继出台一系列的网络安全管理和保障政策。

2017年,《中华人民共和国网络安全法》正式施行,关键信息基础设施的运行安全受到法律保护。城市轨道交通作为交通行业的重要组成部分,其是否能够持续安全运行,直接影响着国计民生、人民的公共利益。城市轨道交通系统一旦遭到破坏、丧失功能,直接危害国家安全。《网络安全法》的实施对于保障城市轨道交通安全运行提供了强有力的法律支撑。

2017年7月,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》。条例明确将交通行业列入关键信息基础设施保护范围。

2019年4月,国家认监委发布《关于明确城市轨道交通装备认证机构资质条件及认证实施规则的公告》,从四方面对城市轨道交通装备认证机构资质条件进行了明确。同时,发布了与第一批目录对应的认证实施规则。公告的发布对于城市轨道交通装备准入认证提供了明确的指导建议。

2019年8月,交通运输部印发了关于城市轨道交通的四个管理办法,包括:《城市轨道交通运营安全风险分级管控和隐患排查治理管理办法》(交运规〔2019〕7号)、《城市轨道交通设施设备运行维护管理办法》(交运规〔2019〕8号)、《城市轨道交通运营突发事件应急演练管理办法》(交运规〔2019〕9号)、《城市轨道交通运营险性事件信息报告与分析管理办法》(交运规〔2019〕10号)。10月,交通运输部印发5项管理制度,包括:《城市轨道交通正式运营前安全评估规范第1部分:地铁和轻轨》、《城市轨道交通正式运营前和运营期间安全评估管理暂行办法》、《城市轨道交通运营期间安全评估规范》、《城市轨道交通客运组织与服务管理办法》、《城市轨道交通行车组织管理办法》。交通运输部制定了风险隐患、安全评估、行车组织、运行维护、应急演练,客运服务、质量评价等方面的九个规范性文件,以及四个配套服务文件,初步构建起了城市轨道交通管理体系。

2019年8月,中国城市轨道交通协会正式发布了《智慧城市轨道交通信息技术架构及网络安全规范》,对利用云计算、大数据等技术构建城市轨道交通信息化系统及保障其网络安全提供建设规范。

为贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”,“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的重要指示精神,CNCERT对国内城市轨道交通信息化建设情况进行梳理,排查网络安全风险,编写本报告。

2. 国内城市轨道交通建设情况

2.1城市轨道交通线路分布及运营商情况

据2020年初调研统计数据显示,中国内地共有44个城市有城市轨道交通建设及运营信息,其中上海、北京、广州、南京、武汉、重庆、深圳、天津、成都、香港、青岛、西安、杭州、大连、郑州、苏州、昆明、长春、宁波、沈阳、台北、南宁、长沙、南昌、无锡、福州、温州、合肥、高雄、石家庄、东莞、贵阳、常州、佛山、哈尔滨、厦门、乌鲁木齐、济南、兰州、徐州以及呼和浩特共40个城市已经建设并开通运营城市轨道交通,此外南通、绍兴、洛阳、太原4个城市正在规划城市轨道交通建设。全国城市轨道交通累计运营里程达6730.27公里,其中2019年当年,中国内地共新增温州、济南、常州、徐州、呼和浩特5个城轨交通运营城市;另有27个城市有新增线路(段)投运,新增运营线路26条,新开延伸段或后通断24段,新增运营线路长度共计968.77公里,再创历史新高。

2019年新增968.77公里的城轨交通运营线路共涉及3种制式,其中,地铁832.72公里,市域快轨59.11公里,现代有轨电车76.94公里。可以看到,新增城市轨道线路中,地铁仍是多数城市的主流选择。地铁运营里程城市排名如下图所示。中国已成为全球地铁运营里程最长的国家,其中上海、北京、广州位列全球城市地铁运营里程前三甲。

图1 地铁总里程TOP15城市统计图

经过对各地地铁运营商的调研发现,各地的地铁由所属城市的地铁集团有限公司负责经营管理和维护,例如北京地铁由北京地铁运营有限公司、北京京港地铁有限公司负责运营。上海地铁的运营公司为上海地铁运营有限公司。

2.2城市轨道交通主要业务系统及供应商情况

城市轨道交通运行业务系统主要包括城市轨道交通信号系统、城市轨道交通供电系统、BAS环境与设备监控系统、FAS火灾报警系统、票务系统以及运营控制系统等。具体介绍如下:

2.2.1. CBTC城市轨道交通系统

城市轨道交通系统(Communication based train control, CBTC)中的信号设备是城市轨道交通的主要技术设备,它担负着指挥列车运行、保证行车安全、提高运输效率的重要任务。典型的CBTC信号系统由列车自动监控(ATS)、列车自动运行(ATP)、列车自动运行(ATO)、计算机联锁(CI)、数据通信系统(DCS)子系统组成,还宜配置维护监测子系统。

图2 CBTC系统网络结构

列车自动监控子系统(ATS)由控制中心、车站、车场以及车载设备组成。ATS系统在ATP系统的支持下完成对列车运行的自动监控。

列车自动防护子系统(ATP)设备由车站、轨旁设备和车载设备组成,监督列车在安全速度下运行,确保列车一旦超过规定速度,立即施行制动。

列车自动驾驶子系统(ATO)是控制列车自动运行的设备,主要由ATO车载设备及轨旁设备组成,在ATP系统的保护下,根据ATS的指令实现列车运行的自动驾驶、速度的自动调整、列车车门控制。

CI系统是实现车站联锁的信号系统,CI将控制范围内信号机、列车占用检测装置及道岔等信号设备构成一种既相互联系又相互制约的关系。CI能满足城轨正线车站、车辆段/停车场运输作业及系统功能的要求,保证行车安全、提高运输效率、改善劳动条件,并具备大信息量和联网功能。

DCS数据通信系统的主要作用是在各个信号子系统之间传输列车控制信息和维护信息,允许轨旁设备和车载设备之间在正线、车辆段/停车场和试车线进行连续双向大容量的数据通信。

CBTC城市轨道交通系统的主要供应商为:西门子、阿尔斯通、USSI、阿尔卡特、庞巴迪、交控科技等。

2.2.2. 城市轨道交通供电系统

城市轨道交通供电系统是城市轨道交通运营的动力源泉,负责电能的供应和传输,为电动列车牵引供电和提供车站、区间、车辆段、控制中心等其他建筑物所需要的动力照明用电。它担负着为电动车辆和各种运营设备提供电能的重要任务。它的主要功能包括:全方位的供电服务功能,故障自救功能,自我保护功能,防误操作功能、方便灵活的调度功能、完善的控制、显示和计量功能、电磁兼容功能。

图3 城市轨道交通供电系统构成示意图

系统主要由外部电源供电系统、主变电所或电源开闭所、牵引供电系统、动力照明供电系统、杂散电流腐蚀防护系统、电力监控系统构成。详情如下:

外部电源供电系统:城轨供电系统的主变电所或电源开闭所提供电能的外部城市电网电源供电系统。包括从发电厂经升压、高压输电网、区域变电站至主降压变电站部分。

主变电所或电源开闭所:主变电所,接受城市电网输送的电能,再将接受的高压(110KV或220KV)通过主变压器降压后向为牵引变电所、降压变电所提供中压电源。主变电所适用于集中式供电方式。电源开闭所,接受城市电网提供的中压电源(10KV或35KV),为牵引变电所转供中压电源。电源开闭所适用于分散式供电。

牵引供电系统:将交流中压经降压整流变成直流1500V或直流750V电压,为城轨电动列车提供牵引供电。牵引供电系统包括牵引变电所和牵引网两个部分。

动力照明供电系统:将交流中压(35KV或10KV)降压变成交流220/380V电压,为运营需要的各种机电设备提供电源,它包括降压变电所、动力照明配电系统。

杂散电流腐蚀防护系统:在城市轨道交通中由于采用直流牵引供电,电流有牵引变电锁的正极出发,经由接触网、电动列车、钢轨、回流线返回牵引变电所负极。由于钢轨与隧道或道床等结构之间的绝缘电阻不是无穷大,不可避免地将造成部分电流不从钢轨回流,而是通过沿线的道床钢筋、隧道、高架桥或建筑物的结构钢筋或土壤回流到牵引变电所,这一部分电流就是杂散电流,也叫迷流。杂散电流腐蚀防护系统是减少因直流牵引供电引起的杂散电流并防止其对外扩散,尽量避免杂散电流对城市轨道交通本身及其附近结构钢筋、金属管线的电腐蚀,并对杂散电流及其腐蚀防护情况进行监测。

电力监控系统:又称电力SCADA系统或者远动系统,往往简称SCADA系统。是贯穿于整个供电系统的监视控制部分,是控制技术在电力系统中的应用。电力监控系统由控制中心、通信通道和被控制站系统组成,对全线路的变电所及沿线的供电设备实行集中监视、控制和测量。典型的电力监控系统由以下四部分组成:位于控制中心的电力调度中心主站系统(即中央监控系统)、位于变电所的远程终端(RTU,即变电所综合自动化系统)、通信网络、位于供电维修基地的供电复示系统。

城市轨道交通供电系统的主要供应商为:苏州史比特照明科技有限公司、杭州华塑加达网络科技有限公司、杭州鸿雁电器有限公司、天津益昌电气设备股份有限公司、株洲弘浩达科技有限责任公司、杭州高电科技有限公司、南京南车电气科技有限公司、沈阳二一三电子科技有限公司等。

2.2.3. BAS环境与设备监控系统

BAS环境与设备监控系统负责监控及管理通风、空调、水冷、给排水、电梯、照明系统、人防、屏蔽门等各类设备运行。其主要职能包括控制和调节地铁内的热环境,保证地铁内的IAQ(室内空气品质)在一个合理舒适的范围之内,满足乘客和工作人员的舒适性、健康和安全需求以及设备降低能耗的工作要求;在事故及灾害情况下进行通风、排烟和排热,起到生命保障及辅助灭火作用。

图4 BAS 网络拓扑图

系统的主要目的如下所述:

车站环境控制,为乘客提供舒适的乘车环境;

保证城轨环境达到国家有关规定和标准,并在灾害发生时能够及时迅速地进入防灾运行方式,包括列车阻塞时通风、火灾时防排烟等,保证人员的生命安全和减少财产损失;

在正常状态下保证各城轨车站及区间内机电设备运营安全、各项公共设备可靠、节能;

在不牺牲车站卫生标准和热舒适的前提下,提高空调系统管理水平,降低维护管理人员工作量,节省空调设备运行能耗。

控制环控机电设备运转,监视设备状态,提高操作、管理及维护的自动化水平。

BAS环境与设备监控系统的主要供应商为:Honeywell(霍尼韦尔),Johnson(江森),SIEMENS(西门子),美国KMC,施耐德,GE等。

2.2.4. FAS火灾报警系统

城市轨道交通FAS系统设置两级(中心级、车站级)管理和三级(中心级、车站级、就地级)控制设置全线系统,实现对运营线路火灾探测报警和消防系统设备进行监控与管理。在地铁发生火灾时,发出模式指令使消防系统和各相关设备转入火灾模式运行,执行消防联动,实现防救火灾功能。

( 1 ) 中心级系统

中心级系统主要包括中心级火灾报警控制器、图形工作站、打印机、系统软件、全线系统网络接口设备、主备电源、火警电话等设备,通过通信协议,将全线信息传输到主干网,以备OCC(运营控制中心)内的其他系统使用。

中心级系统主要功能包括:

● 在OCC设立“中心级”系统,实现对运营线路FAS集中监视。

● 作为OCC管理全线FAS网络控制器,是全线系统设备的管理和控制中心,实现对全线火灾自动报警控制系统、气体灭火控制系统和联动设备等的监控和管理。

● 通过图形和文字的方式对全线各站FAS设备的报警、故障、屏蔽、复位、反馈、控制等信息进行实时监视和管理。

● 发生火灾时,中心对火灾点相关车站发布救灾运行模式的控制指令。

● 收集车站级报送的火灾报警信息和FAS监控设备的运行状态及故障信息,并记录存档,按信息类别进行历史资料档案管理。

● 发生火灾时,若本站水源故障,通过中心级下发指令,车站启动备用车站消防水系统。

( 2 ) 车站级系统

车站级系统主要包括火灾自动报警控制器、图形工作站、探测器、气体灭火控制器、手动报警按钮、消火栓启泵按钮、消防电话系统、防救灾设备、现场各种监控模块等设备,下图所示为车站级火灾自动报警系统框图。FAS通过报警主机与全线通信骨干网相连,在车站与ISCS综合监控系统、BAS(环境与设备监控系统)相连。

图5 车站级火灾自动报警系统框图

( 3 ) 就地级设备

就地级设备主要包括消防泵、防排烟设备、防火卷帘、气体灭火系统、电梯、自动扶梯等。

就地级设备功能包括:

● 当火灾报警控制器、消防泵处于自动方式下,FAS接收到消火栓按钮启泵请求后,火灾报警控制器报警,消防泵启泵并反馈状态信息;当火灾报警控制器处于手动方式、消防泵处于自动方式下,FAS接收到消火栓按钮消防泵启泵请求信号,需人为确认后(灭火需用消防水的情况下)人工启动消防泵。

防烟/排烟联动控制:火灾时, FAS向ISCS发送控制优先指令,使ISCS停止对共用设备的控制,BAS启动相应火灾模式,FAS按预先编制的联动控制逻辑通过输入/输出模块开启相应区域内的排烟防火阀,防烟防火阀,排烟风机,送风机进行排烟与通风。

防火卷帘门联动控制:火灾时,FAS接到报警信息后,根据监控程序,向卷帘门控制器发出下降指令,使卷帘门自动下降。

非消防电源切除:火灾时,按照防火分区FAS自动切除空调、非疏散用扶梯、电梯系统等非消防电源。

气体灭火系统联动控制:当气体灭火保护区发生火灾时,探头将火警信息传输给火灾报警控制器,火灾报警控制器向气体灭火控制器发控制指令,对火灾区域进行灭火控制。

开启应急照明系统(含应急疏散指示,此条指地面车站)。

电梯联动控制:发生火灾事故时,由FAS通过BAS发指令给电梯(电2)控箱,电梯控制箱接到指令后,自动停靠在基站,打开电梯门,并由电控箱反馈信号给FAS,同时屏蔽其它呼叫操作,FAS收到反馈信号后切除电梯电源。

图6 火灾自动报警系统基本结构

FAS火灾报警系统的主要设备供应商为:桥程、金一鸣、海湾GST、日本能美、焰井、Honeywell/霍尼韦尔、泛海三江、康朝、VESDA、IFD、ICAM、瓦格纳、凯德Kidde、 爱森司、博康、艾华、海湾GST、国泰怡安、利达消防、赛科等。

2.2.5. AFC票务系统

票务系统是指通过计算机技术、现代通讯网络技术、自动控制技术、智能卡技术、大型数据库技术、传感技术、统计和财务等专业知识的综合应用,来实现轨道交通的售票、检票、计费、收费、统计、清分结算和运营管理等全过程的自动化系统。其总体功能主要包括:售检票作业处理、票务管理、运营管理、设备管理、财务管理、清算对账管理、统计查询管理、网络管理、数据管理、安全管理、用户权限管理以及运营模式的监控管理等。

AFC 系统采用五层架构,每一层都包含相对独立的职能,同时通过网络通信系统将各层连接组成一个完整的系统。分别是:清算管理中心ACC、线路中心LC、车站中心SC、终端设备、车票。

( 1 ) 清算管理中心(ACC)

ACC系统是城市轨道交通网络化运营条件下AFC系统的管理中心。其主要功能是统一城市轨道交通AFC系统的各种运行参数、收集AFC系统产生的交易和审计数据并进行数据清分和对帐、具备数据管理、客流分析、票卡发行、票务管理功能,同时负责连接城市轨道交通AFC系统和一卡通清分系统,可适应多线路自动售检票系统联网运营模式。

( 2 ) 线路中心(LC)

LC系统是AFC系统的核心和大脑,是系统的运营管理中心和交易数据存储、分析中心,用其实现线路设备监控、运营管理、数据的集中采集、各种业务报表处理。LC可以接收ACC系统下发的运营参数并下发至车站计算机系统及车站终端设备,同时接收终端设备上传的各类交易和管理数据,并按照票务清分系统的要求上传,实现清分对账功能。

( 3 ) 车站中心(SC)

SC 系统是直接控制车站终端设备的基本管理单元,负责对车站系统运营、票务、收益、维修等的集中管理。SC系统接收LC系统下达的各类运营参数并下发给各终端设备、接收终端设备上传的交易数据等并转发给LC系统。另外,系统操作员还可以通过在SC工作站上设置命令,来控制车站系统的运营,及车站设备的运行。

( 4 ) 终端设备

终端设备直接面向地铁乘客,AFC系统中终端设备扮演着信息收集者的角色。车站终端设备安装在各车站的站厅,包括各类操作终端,如自动售票机、自动检票机、半自动售/补票机、自动查询机等,直接对乘客提供自动售检票服务。车站终端设备通过车站网络连接到车站计算机系统,将数据上传至SC并接收SC下发的参数及指令。

( 5 ) 车票层

车票层是记录乘客乘车信息的媒介和载体,能记录车票的系统编号、安全信息、车票种类、个人信息、进出站信息、金额、有效期、历史交易记录等信息,与车站设备共同完成自动售票、检票功能。

图7 AFC系统网络拓扑图

AFC票务系统主要为定制系统,在网络系统的主要供应商为:华为技术有限公司、深信服科技股份有限公司、杭州华三通信技术有限公司、思科公司、Juniper网络公司。工控机部分供应商主要为研华科技、艾宝科技(ARBOO)、研祥智能科技股份有限公司、富士康科技集团、深圳华北工控股份有限公司、索奇、天拓集团、深圳市久峰科技有限公司等。

2.2.6. OCC运营控制系统

运营控制系统(OCC),英文全称为Operating Control Center。OCC主要是对列车的运行、车站设备、电力供应、火灾报警、票务管理等工作进行统一调度指挥,在列车的运行中,是整个运行线路的信息枢纽中心,在紧急情况下,还能够担任救灾抢险工作。其子调度系统为:电力调度、行车调度、维修调度、控制调度几部分。在列车的运行中,电力调度系统内的行车、电力、控制三者之间是相互联系,缺一不可的。其工作是由OCC的值班调度主任领导,其他三部分开展协助,以此完成调度工作,确保地铁车辆的稳定运行。系统主要功能如下:

( 1 ) 管理该线路日常运营的指挥调度

行车调度是所有其他功能的前提与归宿,城市轨道交通主要工作就是安全、快捷的运送旅客,车辆是所有工作的根本。电力调度是对城市轨道交通所有运行设备电力分配的管理过程,电力系统是整个城市轨道交通的能源动力系统,是所有系统运行的前提条件,所以其调度管理工作非常重要。在正常运营情况下,电力调度可以按日常计划按部就班地进行,但是当在非正常运营的情况下,电力调度就要准确地根据突发事件类型选择调度模式。环控调度就是对城市轨道交通系统环境控制的相关设备根据运营要求进行适时地调度管理。维修调度除了对日常设备的按计划检修外,更重要的作用是在发生突发故障之后能迅速地恢复相关设备的功能,将其对正常运营的影响降到最低。

( 2 ) 实现对本线路的机电设备系统运行状况的监控

OCC是线路各个机电设备系统的监控管理中心,各设备系统负责收集该设备系统自身的工作状态等各项数据,并通过通信传输系统传送给OCC使运营单位的设备管理人员及时掌握,随时根据运营状况对设备系统进行监视和控制保障本专业系统设备的正常运营。OCC下辖的有一个综合监控系统,该系统就是完成对各个机电设备的监视与控制,同时具有采集各个机电设备的各项工作数据的功能,最终综合监控系统会将这些数据交给OCC处理来保证城市轨道交通的正常运营。

( 3 ) 负责协调本线路的组织运营,完成突发事件时的指挥恢复工作

OCC是整条线路的运营管理中心,是负责轨道交通运营管理的具体执行单位,对行车运营相关的各个部口具有协调调度的作用。当有突发事件或灾害事件发生后,运营控制中心就是应急指挥中心,通过大屏幕显示系统和各机电设备控制系统及时掌捏行车状况和紧急事件的发展态势,从而使各级管理人员迅速准确地处置突发事件,完成各种命令的下达,确保人员和财产的安全。

( 4 ) 实现与上级管理部门及外部单位之间的数据交换和资源引入功能

OCC是轨道交通本线路与上级管理部口和外单位进行信息交互的窗口。轨道交通系统也需要外接的资源和支持才能正常运作,主要是提供电力系统、通信系统和火灾报警系统。电力供应直接来自城市电网,作为整个城市电力调度的一部分,轨道交通的供电系统也需要将本系统的主要状态参数反馈给城市电力调度中心。同样地,火灾报警系统需要与城市消防中心联动,所以需要和其进行数据交换,在火灾情况下,OCC要能迅速将信息传递给城市消防中心从而使其快速出警应对火情。来自城市电信等部门的语音、数据资源则是整个轨道交通与外界保持通信和资源共享的基础。OCC与外部单位之间的数据交换等业务主要是上述三个系统,原因在于这三个系统OCC没有独立自主的监管权力需要上级相关管理部口协调管理。

( 5 ) 实现运营部门与乘客之间的信息交流和存储

城市轨道交通的最终服务对象是乘客,时刻保持与乘客之间的信息交流成为提高城市轨道交通运营服务水平的重要手段。城市轨道交通与乘客直接相关的有两点,分别是车辆和车站,车辆上与乘客有信息交流的是车内广播、车内线路标示以及服务监督热线电话等。车站的各种可见设备大多是为乘客的服务而提供的。车站的主要设施包括自动售检票系统的相关设备,能为乘客提供列车线路、站点、票价等相关信息,除此之外还有可变情报板等服务设施可与乘客进行信息交流。关于乘客信息或者客流数据等城市轨道交通有专门的数据库对这些数据进行存储管理及处理,这些数据的意义重大,对以后的运营计划等都具有很大的指导意义。城市轨道交通系统设有专门的乘客信息系统,主要负责管理以上除自动售检票以外的其他服务功能,同时会将列车运营、新闻时事、天气情况等信息传达给乘客以方便乘客高效出行。

图8 OCC系统总体层次图

3. 城市轨道交通网络安全风险分析

3.1城市轨道交通系统联网情况

CNCERT针对城市轨道交通行业的联网管理系统进行了全国专项扫描和探测,全国共发现联网的城市轨道交通相关系统100个,分布在15个省20个城市,涉及到远程监控、资产管理、工程安全等系统。此外,福建地铁AFC工班备件系统经IP定位,发现其归属地为境外。

图9 联网的城市轨道交通系统分布统计

图10 地铁系统全国分布图

在联网城市轨道交通业务系统中,运行管理类系统共计89个,运行监控类系统11个。其中:

运行管理类包括:办公系统、邮件系统、项目管理系统、资产管理系统、施工管理平台、地铁造价指标管理系统等。

运行监控类包括:安检监控平台、施工安全监测预警系统、巡查系统、地铁监测平台等。

图11 地铁行业联网运行类系统的占比

3.2城市轨道交通联网系统风险分析

3.2.1. 城市轨道交通联网系统整体风险分析

针对城市轨道交通联网系统,CNCERT进行自动化无损漏洞扫描,发现其中84个联网系统存在漏洞,占联网系统总数的84%。共发现存在425个漏洞,其中高危漏洞33个、中危漏洞184个、低危漏洞208个。涉及配置不当、信息泄露等20种漏洞类型。漏洞分类统计如下图所示。

图12 漏洞等级统计图

图13 漏洞分类统计图

3.2.2. 城市轨道交通联网系统抽样安全检查

针对城市轨道交通行业联网监控管理系统,对北京、杭州、大连三地10个系统进行手动安全抽样巡检,发现其中有6个系统存在各种类型的安全漏洞,即有60%的系统存在明显的安全隐患。其中运行监控类1个,运行管理类5个。安全巡检过程中,共计发现11个安全漏洞。我们对系统存在的安全漏洞进行归类与统计分析,主要包括:弱口令漏洞、SQL注入漏洞、未授权访问漏洞、敏感信息泄露漏洞等。其中弱口令、SQL注入、未授权访问等属于高危漏洞,攻击者利用此类漏洞可获取服务器或数据库的控制权。

各类漏洞的数量比例如图所示:

图14 各类型安全漏洞的具体数量

从下图可知,高危漏洞占比约36.4%,中危漏洞占比约63.6%,数据反映出地铁行业部分监控管理系统的安全状况较为严重。从各个细分种类来看,未授权访问和敏感信息泄露最多,反映出地铁行业的系统开发和运维人员的安全意识较为薄弱。

图15 安全漏洞风险等级分布图

3.2.3. 城市轨道交通联网系统典型漏洞情况说明

弱口令漏洞

弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使系统面临风险。通过安全巡检,发现弱口令漏洞在工控系统中并不罕见,说明工控行业运维人员普遍存在安全意识薄弱的问题,这也成为工控网络安全网问题频出的诱因。分析巡检结果,常用的弱口令组合包括admin/123456、admin/admin、123/123、test/123456、test/111111、system/123456、admin/000000等。攻击者利用弱口令可直接进入生产类系统,轻则造成大量生产数据、用户数据被窃取,重则导致生产系统被操纵,生产活动被干扰或破坏。

下面是本次安全巡检发现的典型实例。该地铁乘务管理系统主要提供日常业务流程管理和日常办公等功能。该信息系统存在弱口令漏洞,通过弱口令成功登录后,可以对用户进行“增改删查”操作,同时可以配置相关用户权限,因此该用户具有较高权限,一旦被攻击成功,易导致大量信息泄露。

图16 某地铁乘务管理系统后台

SQL注入漏洞

SQL注入漏洞是最常见的WEB漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤、转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。SQL注入漏洞属于高危漏洞,造成的危害包括泄露敏感信息、操作任意文件、执行任意命令等。

下面给出安全巡检中发现的典型实例,该系统主要负责要负责故障收集、故障处理、人员考核管理等。该系统存在SQL漏洞,远程攻击者绕过密码限制登录系统,获得相关故障报警信息。

图17 某地铁监控管理系统存在SQL注入漏洞

图18 网站数据库列表

未授权访问漏洞

未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,不需要输入密码,即可通过输入网站控制台主页面地址或者不允许查看的连接便可进行访问,同时进行操作。

下面给出安全巡检中发现的典型实例,该系统主要负责要负责日常办公、事务处理等。该系统存在未授权访问漏洞,远程攻击者绕过密码限制登录系统,查看系统各个用户的身份信息等。

图19 某办公系统用户列表

3.3 城市轨道交通工控产品漏洞分析

3.3.1. 城市轨道交通行业工控产品供应商安全分析

CNCERT针对城市轨道交通行业中主要供应商漏洞情况展开分析。结合中心CNVD漏洞数据库对城市轨道交通行业设备主要供应商漏洞情况进行梳理,城市轨道交通行业主要供应商的工控产品共计发布漏洞539个,其中,高危漏洞234个、中危漏洞271个、低危漏洞34个,中高危漏洞数量占93.69%。

图20 城市轨道交通行业中主要供应商设备漏洞等级统计图

通过对漏洞的发现年份统计发现,城市轨道交通行业中主要供应商的产品漏洞数量整体呈现逐年递增趋势。

图21 地铁供应商设备漏洞年份统计图

3.3.2. 城市轨道交通行业典型工控产品漏洞情况分析

针对地铁、轻轨等城市轨道交通系统广泛采用的系统或设备暴露出的安全漏洞进行详细分析,主要为控制设备和网络交换设备。以下列举了城市轨道交通系统中常用的设备漏洞情况。

1. Belden Hirschmann MACH1000交换机产品

Belden Hirschmann MACH1000交换机是美国Belden公司的交换机产品。常用于轨道交通系统。目前已公布5个MACH1000交换机中存在的安全漏洞。漏洞分析如下:

● 漏洞类型

图22 Belden Hirschmann MACH1000交换机漏洞类型统计

● 漏洞危险等级

图23 Belden Hirschmann MACH1000交换机漏洞危险等级统计

● 高危漏洞信息

( 1 ) 0 Belden Hirschmann MACH1000交换机产品暴力破解漏洞

漏洞编号:CNVD-2018-04781

漏洞类型:暴力破解漏洞

公开时间:2018-03-09

危害级别:高

影响产品:Belden Hirschmann MACH1000

漏洞描述:Belden Hirschmann RS等都是美国Belden公司的交换机产品。多款Belden Hirschmann交换机产品中的Web界面存在安全漏洞,该漏洞源于程序未能正确的限制身份验证请求的次数。攻击者可利用该漏洞暴力破解身份验证。

( 2 ) Belden Hirschmann MACH1000交换机产品会话劫持漏洞

漏洞编号:CNVD-2018-04784

漏洞类型:会话劫持漏洞

公开时间:2018-03-09

危害级别:高

影响产品:Belden Hirschmann RS,Belden Hirschmann RSR,Belden Hirschmann RSB,Belden Hirschmann MACH100,Belden Hirschmann MACH1000,Belden Hirschmann MACH4000,Belden Hirschmann MS,Belden Hirschmann OCTOPUS

漏洞描述:Belden Hirschmann RS等都是美国Belden公司的交换机产品。多款Belden Hirschmann交换机产品中的Web界面存在会话固定漏洞。攻击者可利用该漏洞劫持Web会话。

2. Moxa PT-7528 交换机产品

Moxa PT-7528交换机是台湾Moxa公司的工业交换机产品。常用于轨道交通系统。目前已公布5个Moxa PT-7528交换机中存在的安全漏洞。漏洞分析如下:

● 漏洞类型

图24 Moxa PT-7528交换机漏洞危险等级统计

● 漏洞危险等级

图25 Moxa PT-7528交换机漏洞危险等级统计

● 高危漏洞信息

( 1 ) Moxa PT-7528和PT-7828 Series弱密码漏洞

漏洞编号:CNVD-2020-13514

漏洞类型:弱密码漏洞

公开时间:2020-02-26

危害级别:高

影响产品:Moxa PT-7828 series firmware <=3.9,Moxa PT-7528 series firmware <=4.0

漏洞描述:Moxa PT-7528和PT-7828 Series存在弱密码漏洞,攻击者可利用该漏洞未经授权的访问系统。

( 2 ) Moxa PT-7528和PT-7828 Series硬凭证漏洞

漏洞编号:CNVD-2020-13513

漏洞类型:硬凭证漏洞

公开时间:2020-02-26

危害级别:高

影响产品:Moxa PT-7828 series firmware <=3.9,Moxa PT-7528 series firmware <=4.0

漏洞描述:Moxa PT-7528和PT-7828 Series存在硬凭证漏洞,攻击者可利用该漏洞获取敏感信息。

3. Siemens SIMATIC S7-1200 PLC产品

Siemens SIMATIC S7-1200 PLC适用于广泛的自动化应用产品。常用于轨道交通系统。目前已公布28个S7-1200 PLC中存在的安全漏洞。漏洞分析如下:

● 漏洞类型

图26 Siemens SIMATIC S7-1200 PLC漏洞危险等级统计

● 漏洞危险等级

图27 Siemens SIMATIC S7-1200 PLC漏洞危险等级统计

● 高危漏洞信息

( 1 ) Siemens SIMATIC S7-300/1200/1500 CPU拒绝服务漏洞

漏洞编号:CNVD-2016-11519

漏洞类型:拒绝服务漏洞

公开时间:2017-02-17

危害级别:高

影响产品:Siemens SIMATIC S7-1200 CPU,SIEMENS SIMATIC S7-300 CPU,SIEMENS SIMATIC S7-1500 CPU

漏洞描述:Siemens SIMATIC S7-300/1200/1500 CPU存在拒绝服务漏洞。由于西门子S7-300、1200、1500 CPU在特定构造的ProfinetIO二层网络包通讯时拒绝服务,CPU进入故障模式,需手动重启进行恢复。攻击者利用漏洞可直接通过二次MAC广播获取目标信息发起拒绝服务攻击。

( 2 ) SIEMENS SIMATIC S7-1200 CPU Family跨站请求伪造漏洞

漏洞编号:CNVD-2018-20531

漏洞类型:跨站请求伪造漏洞

公开时间:2018-10-10

危害级别:高

影响产品:SIEMENS SIMATIC S7-1200 CPU family <4.2.3

漏洞描述:SIEMENS SIMATIC S7-1200 CPU Family存在跨站请求伪造漏洞。允许攻击者读取或修改设备配置的某些部分。

4. 我们的建议

我国城市轨道交通行业必须不断加强信息安全风险管理,通过提升基础设施产品的自主研发能力,按照等级保护安全管理要求积极开展信息安全管理体系、信息安全技术体系以及信息安全运维体系的建设,并通过教育培训等手段,提升行业就业人员的网络安全技能,加强安全风险防范意识,全面提升信息安全水平,为我国城市轨道交通业务的健康稳定发展保驾护航。同时企业必须加强新技术信息安全风险的防范意识,加强信息安全保护机制建设,以确保新技术在城市轨道交通行业应用的安全性。

为了更好应对城市轨道交通行业网络安全隐患,CNCERT建议如下:

● 健全组织结构,落实网络安全责任制

建议行业各单位以《网络安全法》为依据,按照中央和各省针对网络安全工作的相关要求,建立健全网络安全和信息化领导机构,明确各级网络安全职能部门的工作职责,加强人才队伍建设,完善各类安全岗位设置,落实网络安全工作责任到人,提高地铁行业网络安全整体防御能力。

● 加大建设力度,积极引进先进技术和设备

目前,关键设备的运行情况直接关系到城市轨道交通行业的信息安全程度,因此,需提高其整体防御性能,抵御病毒入侵,为城市轨道交通系统的高效率运行奠定基础。同时,为推动我国城市轨道交通系统的信息安全建设,技术团队需积极引进技术和设备,结合我国城市轨道交通系统的运行情况,实施改善,在此基础上形成符合我国国情的城市轨道交通系统安全运行体系。

● 统筹安全规划,完善运维管理体系

以关键设备为核心,依据相关标准规范,如《工业控制系统信息安全 第1部分:评估规范》(GB/T 30976.1-2014)等,建立安全运维整体策略,制定安全运维目标和内容,建立安全运维体系,明确安全运维团队的工作职责,定期进行安全风险评估,并通过培训和考核相结合的手段不断提高安全运维人员的安全意识及技能水平,以满足信息系统、数据应用全生命周期的运维需求。同时选择专业的安全管理团队,组织信息安全检查和运行系统监督工作,建立完善的安全检查和风险评估体系。通过对信息安全风险的评估和控制,确保能够及时发现工业控制系统中的安全问题,并采取相关的风险防范方式。

● 提升安全素养,强化安全培训工作

结合网络安全法律法规、网络安全意识、网络安全管理、网络安全技能等多个层面,对于网络安全管理人员、技术人员等不同角色,根据其实际工作需求组织开展不同内容的安全培训,提升人员的安全素养。整体培训内容要立足实际,符合当前安全形势,强化员工意识和安全技能,建立安全培训与岗位安全能力考核相结合的培训制度,将日常工作所需的知识与培训内容相结合,并通过岗位安全能力考核进行实践检验培训效果,查漏补缺切实提高相关人员的安全责任意识和安全能力。

对本文如有疑问,请联系国家互联网应急中心孙中豪(010-82992251)

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。