一、高速铁路信号系统现状研究

1. 高速铁路信号系统简介

截止到2021年1月,我国高速铁路总里程达到3.97万公里,占世界高速铁路总里程的2/3以上,是世界上唯一成网运营的国家。高速铁路覆盖我国30多个省级行政区以及80%以上的大城市,是国家快速运输体系的主体,作为“中枢和神经”的信号系统是确保高铁安全、高效、有序运行的基石。

在我国高速铁路超量运输需求下,路网运行的列车数量持续增多,从2011年的652列动车组、6492辆车辆到2019年的3665列动车组、29319辆车辆,呈现多制式多型号列车并存的特征。高速铁路的运营压力大,2010年动车组客运量为2.9亿人,2019年达到23.2亿人,复杂的运营环境下,为保障高效的运行秩序,信号系统的稳健性、可靠性和安全性极为重要。

图1 路网运行列车数量增长趋势

图2 路网内动车组客运量统计

高速铁路信号系统包括列控系统、行车指挥系统、联锁系统和信号集中监测系统,如图3所示。列控系统包括列控中心(TCC)、车载设备、应答器、无线闭塞中心(RBC)、临时限速服务器和传输网络;行车指挥系统由CTC中心、自律分机、传输网络、服务器系统、行调台、辅助台和电源系统组成;联锁系统由联锁设备、轨道电路、道岔转换、信号机和电源系统组成。信号集中监测通过标准接口与联锁系统、列控中心、TDCS/CTC、智能电源屏、ZPW2000轨道电路系统、有源应答器、RBC、TSRS的信号设备连接,监测设备状态。

图3 高速铁路信号系统组成架构

高速铁路列车运行控制系统是复杂巨系统,根据子系统功能可分为过程层、控制层、执行层和管理层,其中,调度指挥主要位于管理层和执行层,运行控制则分布在过程层、控制层和执行层。系统运行时,同层子系统以及层间子系统均有频繁、大量的数据交互,信息流走向极为复杂,如图4所示。

图4 高速铁路列控系统信息流

高速铁路信号系统地面设备以信号集中监测数据通信以太网、安全数据通信局域网和调度集中数据通信以太网三大数据通信网络为中心,安全数据网设备、列车调度指挥设备、轨旁设备和相关维修中心设备连接相应网络,是一个完全的封闭网络,不与任何外部网络进行连接。

2.高速铁路信号系统建设现状

高速铁路信号系统是保障高铁安全高效运行的核心装备,是指挥列车运行的大脑和中枢神经。自2007年开展CTCS-3级列控系统攻关以来,中国铁路确定了“引进消化吸收再创新”的技术路线,取得了一系列技术创新成果。

2019年3月,中国通号成功研制自主化高速铁路列控系统,在大西客专和京沈客专开展了上道试验和工程示范应用,自主化率达到100%,并全部实现产业化,为我国高速铁路列控系统自主研发及技术进步奠定了坚实的基础。2019年11月,铁科院集团公司自主化CTCS-3级列控系统全面投入现场试用,标志着我国打破了国外公司对高铁列控核心技术的垄断,摆脱了列控关键技术受制于人的不利局面,进一步提高了高铁运行安全保障能力和智能化水平,是推进智能铁路建设、我国铁路“走出去”的关键步骤,对于保持我国高铁列控技术在国际上的先进水平具有重要意义。

主要的供应商包括铁科院、和利时、通号院、交大微联和交大思诺,具体如表1所示。但是,软硬件平台、数据库等均为直接采购的商用设备,自主可控的比例较低。具体如表2所示。

表1 高铁列控系统设备供应商

表2 高铁列控装备的自主化情况

当前高速铁路列控系统相关设备已经实现了100%的国产化,尤其是应用层软件,从架构设计、研制开发以及运营维护等均实现了自主可控,但是在操作系统、数据库以及芯片为代表的硬件平台方面还未能实现自主化。全路通信信号设计院目前已经在发改委、国铁集团的支持下开展了信号系统全方位深度自主化的研究并取得了阶段性的成果。

实际上,当前高铁信号系统为保障功能安全在设计时遵循故障导向安全的准则,对自然环境、人为失误或硬件随机故障导致的组件或系统失效进行有效地防护。但是针对信息安全包括恶意代码、木马程序、命令篡改等来自系统外部或内部的恶意攻击缺乏有效的内生防护,迫切需要在系统设计之初就对系统的信息安全与功能安全进行联合优化设计,实现系统的内生安全。

3.高铁信号系统信息安全体系现状

自 2017 年以来,中国国家铁路集团有限公司相继出台多项网络安全规章制度,针对网络安全责任落实、重要信息系统保护、互联网专项保护等进行部署,在产品研发上积极推进“铁网护栏”工程,在一定程度上保障了铁路网络安全。但是,高速铁路信号系统方面还缺乏系统性的网络安全防护体系。目前,国标委和国家铁路局正在筹划高速铁路网络安全国家标准和行业标准,国铁集团企业标准也在紧锣密鼓的推进中,已经有部分为企业标准发布实施,如下表所示。

实际上,高速铁路信号系统的网络安全防护工作开展较晚,相关体系还不成熟,标准的制定也不完善,管理制度和专业人员不到位。具体来说,信号系统本质上是计算机网络系统,尽管其具有封闭性和专用性,但是信息安全的问题仍然不能忽视。尤其是在信息技术快速发展的今天,计算机网络技术在给高铁信号系统带来效率提升的同时,也带来了越来越多信息安全问题。

主要表现在以下几个方面:

图5 高铁网络信息安全问题

(1)恶意攻击

随着新的攻击手段,如APT(Advanced Persistent Threat)出现,加之高速铁路信号系统的发展,铁路通信网络覆盖面积增加,系统对外界的依赖性增强,针对铁路信号系统网络的恶意攻击也越来越多样化和复杂化。

(2)人员方面的威胁

任何技术和设备都离不开操作和使用人员,信息化也不例外。有人的地方就会存在人员方面的安全隐患。高铁信息化也出现了很多由于人为误操作引起的各类系统问题。这里主要是人员的技术水平还跟不上铁路的信息化发展要求,其次也有人员素质及责任心存在问题。

(3)操作系统存在漏洞引发安全问题

现在很多操作系统都是Unix 或者windows 操作系统,由于这些系统本身存在一些安全隐患和系统漏洞,这些都是黑客等实施入侵的重要目标。

(4)网络安全存在威胁

网络系统由于采用TCP/IP 作为主要的网络通讯协议,由于TCP/IP 是以开放性著称的,所以现在存在很多针对它进行的网络攻击以及一些安全漏洞,对于病毒、黑客来说,网络协议的开放性使信息安全威胁的风险大为增加。

(5)数据安全的问题

高铁信息化的数据安全十分重要,主要是与行车有关的数据。这些数据对铁路乃至国家都非常重要。目前,还没有对于项目范围内的重要信息数据(比如,技术文档、源程序、企业运行数据、电子邮件、管理文档、商业文档)的安全保护框架,以及承载这些数据的系统的安全保护框架进行全面的设计、评估。

针对高铁信号系统存在的信息安全问题,当前的防护还主要从内网物理隔离的角度出发,在必要的地方增加外围防护,而外围防护和系统本身的功能安全防护并未协同考虑,与信息安全领域所提的系统内生安全还存在巨大差距。

目前高速铁路信号系统的网络安全防护措施如下所述。

(1)调度集中网

调度集中系统(CTC),是调度所对某一调度区段的信号设备进行集中控制,对列车运行进行直接指挥、管理的技术装备。面对列车高速度、高密度、重载化要求,我国铁路采用新一代分散自律调度集中系统,分散自律调度集中系统综合了计算机技术、网络通信技术和现代化控制技术,采用智能化分散自律控制技术,采用智能化分散自律设计原则,以列车运行计划为中心,兼顾了列车和调车作业,是符合我国铁路现状的调度指挥系统。

为降低调度集中系统安全风险,当前调度集中网以双网冗余结构为组网方式,已部署安全管理中心、网闸、安全边界,通过SIL 4级认证。调度集中网的结构框架如图6所示。

图6 调度集中网结构框架

(2)信号集中监测网

信号集中监测系统是信号设备的综合集中监测平台,俗称电务系统的“黑匣子”。该系统采用“三级四层”的结构和基于TCP/IP协议之上的C/S架构,主要由各种服务器、终端、站机、采集设备、网络设备等组成。系统将网络通信、智能传感器、数字信号处理、现场总线、软件工程、大数据分析等技术融为一体,实现信号设备运用过程的动态实时监测、数据记录、统计分析、故障报警与预警,为电务部门掌握设备的实时状态、进行故障分析提供科学依据。

为降低信号集中监测系统安全风险,信号集中监测网已部署防火墙、防病毒服务器、入侵检测、漏扫系统,有一定信息安全防护能力。信号集中监测网的结构框架如图7所示。

图7 信号集中监测网结构框架

(3)信号安全数据网

信号系统安全数据网是应用在高铁列控系统中的数据网,为列控中心(TCC)、无线闭塞中心(RBC)、车站计算机联锁(CBI)、临时限速服务器(TSRS)等设备之间的信息传送提供安全数据通道。信号安全数据网采用每个车站或中继站设置的工业以太网设备构成冗余的双环网,双环之间物理隔离。该网络未部署安全防护设备、网管服务器通过防火墙接入安全数据网内,部分防火墙设置为直通模式。信号安全数据网的结构框架如图8所示。

图8 信号安全数据网的结构框架

(4)列控设备动态监测系统

列控设备动态监测系统(DMS)的主要功能为实时监测动车组运行过程中列控车载设备和地面设备的状态、应答器报文、RBC交互消息和轨道电路等信息,将监测数据通过铁路专用网络或公众移动网络实时传回地面数据中心,经过分析处理后通过用户终端展现给用户。系统为列控车载设备的日常管理维护、故障处理提供信息化支持,实现维护故障处理工作的针对性和时效性,有效提高了设备检测的工作效率。

为保证DMS系统的安全性,该系统采用连接铁路办公网的组网方式,且车载数据通过无线通信(GPRS/GSM-R)方式传输,DMS的结构框架如图9所示,网络本身并没有其他的信息安全防护手段。

图9 列控设备动态监测系统结构框架

(5)动车段集中控制系统

动车段集中控制系统(CCS)是针对动车段、动车运用所业务流程和用户需求而研发的新型自动化系统。系统主要完成动车段内接发列车作业、调车作业进路的自动化控制,提高动车段作业效率,保障作业安全。

动车段集中控制系统作为综合自动化的关键环节,位于管控结合的关键点,为降低其安全风险,该系统组网方式部署为和CTC、监测网有通信接口,且和CTC接口有边界防护,和动车组管理信息系统、动车组车号识别系统有边界防护。CCS的结构框架如图10所示。

图10 动车段集中控制系统结构框架

当前对信号系统信息安全调研结果表明,当前高速铁路信号系统相关设备已经实现了100%的国产化,尤其是应用层软件,从架构设计、研制开发以及运营维护等均实现了自主可控。高铁信号系统为保障功能安全在设计时遵循故障导向安全的准则,对自然环境、人为失误或硬件随机故障导致的组件或系统失效进行有效地防护。在信息安全方面,由于我国暂无相关的标准和规范,高铁信号系统对信息安全风险的防护手段基本来源于工业控制系统的经验,重点在于保障信息传输的安全,通过入侵检测、防火墙、密钥管理以及认证机制等方式提升信号系统信息传输通道的信息安全水平。

当前的信息安全设计主要依赖于不同层级的安全协议,这种安全建设方法重运营,轻设计,并没有在设计阶段考虑系统可能遭遇的信息安全攻击。这些解决方案采用的都是“补丁式”“外挂式”的设计思想。系统在设计之初未考虑功能安全与信息安全的融合,使得系统在主机安全、身份认证、网络通信和数据传输等层面存在着诸多威胁,安全问题严峻。迫切需要在系统设计之初就对系统的信息安全与功能安全进行联合优化设计,实现系统的内生安全。

另一方面,当前的信号系统在上线之前,并没有做信息安全相关的第三方测评,主机,系统,以及网络存在着诸多威胁,安全问题严峻。在运维方面,目前的安全相关的运维流程都是铁路运营提具体需求,网络安全厂商做设计方案与实施,主要的工作包括主机与网络的漏洞扫描与打补丁,病毒库的升级,具体的安全运维效果没有独立的评价,同样存在巨大的安全隐患。

4.高铁信号系统信息安全的队伍建设与应急管理

4.1安全防护队伍建设

信号系统具有功能安全苛求特征,从设计阶段即采用热备、容错、冗余等机制保障设备、系统具有高可靠性、高可用性、高可维修性和高安全性。信息安全防护基本依赖于外接设备和管理机制,因此,高速铁路网络安全人员发挥了巨大的作用。高速铁路网络安全队伍建设分为四类:铁路局专职安全人员、高校科研人员、信号设备厂商开发人员以及网络安全设备厂商人员等。

各铁路局层面根据《国铁集团关于改革优化铁路局集团公司网络安全与信息化管理体制的指导意见》设立了网络安全管理科,该部门隶属于科信部进行管理,下设系统管理员、网络管理员、安全管理员。安全管理员负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。安全工作委员会定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。目前,每个铁路局的网络安全管理科的编制为3-4个人,全路18个铁路局,总人数在70人左右。我国高速铁路总里程接近4万公里,70人左右的专职人员队伍距离满足实际需求还有非常大的差距。

高等院校设立轨道交通安全保障研究方向,研究轨道交通安全状态获取、融合及预警方法,探索轨道交通安全行为建模及分析、应急管理及应急资源动态配置的理论与方法,构建轨道交通的安全保障技术体系。以北京交通大学为例,依托轨道交通运行控制与安全国家重点实验室、轨道交通运行控制系统国家工程中心和轨道交通安全评估研究中心等国家级平台,面向轨道交通信息安全领域中级亟待解决的问题开展科学研究和人才培养工作。

高速铁路信号系统设备厂商明确信号系统的运行机理,结合网络安全的需求会在应用层做针对性的开发和设计,能够与网络安全设备厂商配合,形成较为合理的信号系统安全防护解决方案。目前以北京全路通信信号研究设计院、中国铁道科学院以及北京和利时系统工程有限公司为代表的高速铁路信号系统设备厂商均设立了20人左右规模的专职研发人员,按照等保2.0的标准来提升相关产品在应对信息安全方面的性能。

高速铁路信号系统网络安全设备厂商更加了解网络安全的前沿动态,明确国家网络安全相关的法律法规,能够从网络安全设备的角度为信号系统的安全防护提供更为明确的解决方案。目前主流的网络安全设备厂商如信达环宇、道迩、交大盛阳、启明星辰、天融信、绿盟、奇安信等凭借自身在网络安全领域的多年技术积累,在铁路局专职人员的指导下开展信号系统的防护工作,深度参与到高速铁路信号系统网络安全补强方案中。

4.2信息安全防护应急管理现状

(1)应急组织机构

国铁集团(原铁道部)设立铁路网络与信息安全事故应急领导小组,国铁集团董事长任组长,分管副总经理和总工程师任副组长,办公厅、财务部、科技和信息化部、建设管理部、运输局、宣传部等为成员单位。

(2)应急响应等级

铁路网络与信息安全事故(含突发事件)应急响应按事故灾难的严重程度和影响范围,原则上分为Ⅰ、Ⅱ、Ⅲ、Ⅳ四级。Ⅰ级应急响应由国铁集团报请国务院,由国务院或国务院授权铁道部启动。Ⅱ、Ⅲ级应急响应由铁路局负责启动。Ⅳ级应急响应由铁路运输站段负责启动。

(3)应急预警

国铁集团共同负责全路网络与信息安全信息通报的管理、组织、协调工作;信息技术处承担铁路网络与信息安全信息通报中心日常工作,负责铁路各信息系统预警信息的通报工作,负责各通报单位网络与信息安全信息通报的接收、核实和跟踪了解;信息安全监察专职人员负责信息通报的汇总、分析和研判。铁路网络与信息安全事件、预警信息随时通报,通报时间为发生安全事件或预警信息2小时内;安全状况、形势分析、网络环境及计算机感染病毒情况每月通报。

二、国内外轨道交通网络安全事件研究

1.国内外安全事件描述

信号系统本质上是计算机网络系统,为保障信号系统的网络安全,传统的设计均是以实现物理隔离、专网运行为目的,故而能够较好地防止外界入侵及网络病毒传播问题,因此对该系统的安全研究大多围绕系统的安全可靠性。然而,随着新的攻击手段,如APT(Advanced Persistent Threat)出现,加之高速铁路信号系统的发展,铁路通信网络覆盖面积增加,系统对外界的依赖性增强,针对铁路信号系统网络的恶意攻击也越来越多样化和复杂化。国内外均有大量的轨道交通遭受攻击的案例。

2004年,澳大利亚铁路公司遭到震荡波病毒的影响,导致无线系统无法应用,信号系统无法正常工作,司机无法与调度中心联系,30万人的通勤受到了影响。

2008年1月,波兰罗兹市的地铁运营调度系统被一名年仅14岁的学生黑客入侵,黑客通过自制遥控装置改变了多辆列车的行驶方向,造成4节车厢出轨。

2011年1月17日,日本5条新干线运行管理系统被恶意攻击,JR东日本公司运营的东北、上越、长野、山形和秋田5条新干线运行管理系统遭到攻击,导致22台机器画面时而黑屏时而显示,上午8点23分起全线临时停运约75分钟,时刻表被大幅打乱,约8.12万人出行受到影响。

2012年3月,上海申通地铁车站信息发布系统和运行调度系统无线网络受攻击。

2012年10月,北京地铁5号线车站信息显示屏出现异常,全部显示“王鹏你妹”四个字。

2012年11月,深圳地铁信号通信系统设备受到列车上乘客所使用的WiFi设备的无线干扰,导致车地无线网络异常,多列列车在运行过程中发生了紧急制动。

2016年,美国旧金山市交通局内部系统在11月25日“黑色星期五”当天遭遇黑客的勒索软件攻击,旧金山一些地铁车站售票机的显示屏上出现了“你已被黑,所有数据已被加密”的信息,并索要7.3万美元,以换取数据解密。

2017年10月11日,黑客针对瑞典运输管理局展开了DDoS攻击,导致该机构负责管理列车订单的IT系统瘫痪,电子邮件系统与网站宕机,从而影响旅客预定或修改订单。

2017年10月12日,瑞典交通运输局以及公共交通运营商的IT系统遭到类似DDoS攻击。

2018年5月13日,丹麦铁路运营商(DSB)遭遇了大规模的DDoS攻击,造成约1.5万客户旅客无法通过该公司的应用程序、售票机、网站和商店购买火车票。攻击者成功瓦解了DSB的内部邮件和电话基础设施,致使DSB不得不选择通过社交媒体作为其与客户沟通的唯一方式。

近20年来,铁路系统遭到攻击的对象越来越多,危害越来越大,攻击的方式也越来越复杂。同时,2016年旧金山地铁遭到勒索病毒的攻击证明了面向铁路系统攻击的商业模式已经出现,因此,未来类似的攻击事件将持续增加,攻击手段更趋隐秘和高级,防护难度也会持续提升。我国高速铁路暂未有遭到网络攻击的案例,但是随着路网规模的增大,尤其是越来越复杂的国际环境形势下,我国高速铁路面临较大的攻击风险。

2.安全事件对高铁信息安全的借鉴

根据既有案例铁路遭到攻击的对象包括信号系统、调度系统、无线通信系统、乘客服务系统等,均对列车运行秩序产生了极大的影响。既有的信息安全案例带给我们如下启示:

首先,铁路运输生产和经营办公用信息设备数量众多、种类繁杂、分布广泛。各类安全设备和系统防护策略执行不统一,各自为战,呈现“碎片化”现象,难以应对复杂化、多样化的网络攻击,安全防护的系统性、结构性不强,间接增高了网络攻击风险系数。

其次,在数据安全领域,针对铁路业务系统内部个人隐私数据的安全防护与风险预警能力有待加强。尤其是随着云计算与大数据技术在铁路系统的广泛应用,使得应用系统和数据高度集中,数据安全防护意识更需进一步提升。

最后,在网络安全防护、主动态势感知、及时有效预警等方面差距仍然明显,一旦发生重大故障或遭到破坏而导致应用中断、网络瘫痪、数据丢失,将直接影响铁路运输生产和经营活动,情况严重时甚至会波及铁路运输安全。

特别地,我国的高速铁路系统与国外铁路系统有较大的区别,首先,全国一张网导致单点异常会快速传播,并造成区域甚至整个网络受到影响;其次,GSM-R作为CTCS-3级系统的车地通信传输媒介,存在固有缺陷,具有较大的安全隐患;再次,我国高速铁路从业人员精通行业专业知识,对网络安全缺乏深入了解,尽管有相关制度的约束,但是难以弥补技术层面的缺陷;最后,我国高速铁路客流量大,网络攻击影响到的列车秩序必须快速恢复,应急处置决策需要精准、快速。

三、高速铁路网络安全防护思考建议

1.高速铁路网络安全防护必要性

党的十八大以来,国内外力推高铁建设,将高速铁路在外交战略及国计民生中的地位提升到了前所未有的高度。目前,高速铁路已经成为中国最重要的外交名片,并成为中国高端装备制造技术及相关行业产能的输出桥梁;同时,高铁的快速发展极大改善了人民群众的出行条件,加快了我国城镇化进程和区域协调发展进度,推动了经济增长和产业结构优化升级,提升了我国生产力水平。高铁是中国现代装备业成建制国产化、从“中国制造”迈向“中国创造”的典型代表。中国高铁成功实现了中国技术由跟跑者向领跑者的转变,并已跻身世界先进技术行列。

2019年的《交通强国建设纲要》指出需求“构筑以高铁,……为主体的大容量、高效率区际快速客运服务,提升主要通道旅客运输能力”。2021年的《国家综合立体交通网规划纲要》重申“高铁……出行占比不断提升,……城市群旅客出行需求更加旺盛”。因此,高速铁路在我国的快速发展趋势将长期持续,并将在国计民生中发挥更为重要的作用。

高速铁路的本质是为乘客提供高效、安全的运输服务,信号系统作为保障安全的最核心装备,具有(功能)安全苛求特征。因此,以计算机网络为基础的信号系统呈现独立组网、封闭运营的特征。信号系统在设计之初即考虑功能安全的问题,大量采用冗余、容错、校验等架构和机制,保障数据处理、传输和存储的可靠性和可用性。因此,信号系统的固有设计面向的是随机失效所带来的风险。然而,随着信息技术的发展,网络攻击的威胁越来越多,网络攻击的技术越来越强,信号系统的安全设计机制面临着严峻的考验。

(1) 应用层自主开发,操作系统、芯片以及数据库等均依赖国外厂商。在数据库、操作系统层面,信号设备商无法主动实现对漏洞的辨识和应对,100%依赖国外厂商的补丁。面向以芯片为代表的硬件平台,信号设备商难以实现底层的防护,无法进行修改和适配,难以实现主动安全控制。

(2) 信号系统网络相对封闭,独立运营。CTCS-3级信号系统以GSM-R无线通信作为列车和地面传输的主要制式,鉴于无线通信的固有特征,易遭到多样化、隐蔽性的攻击。更为重要的,以应答器、轨道电路为代表的信号系统轨旁设备沿铁路沿线覆盖,潜在攻击点多。

(3) 信号系统采用安全计算机平台,关注可靠性、可用性、可维修性和安全性等指标,但是计算性能相对有限。计算资源受限条件下,难以实现有效的安全防护,直接对抗攻击的能力较弱。

(4) 信号系统基本按照等级保护的要求安装了基本的安全设备,区域防护能力不完善,设备接入控制技术有限,非法接入风险较大,边界防护能力亟待提升。信号系统的网络安全设备并未结合业务特征、设备特征和网络特征进行定制化开发,面临风险时的对抗能力不高。

(5) 信号系统进入了技术迭代更新的关键期,以5G、云计算、边缘计算等为代表的大量新兴技术亟待应用,传统的网络安全防护机制难以适配新技术的发展。在全国一张网的运营模式下,“点”的安全风险易引起“面”的危害,严重影响高铁的运行秩序甚至安全。

高速铁路信号系统为列车的高效、安全运营发挥了巨大的作用。鉴于设计原则、设计理念以及软硬件平台的客观约束条件,以应用层完全自主化为基础的国产信号系统面临着操作系统漏洞难以主动控制、硬件平台难以实现定制化、广域分布威胁多、安全防护装备不适配以及防护技术迭代更新慢等突出问题。在国际形势日趋严峻的今天,实现对高铁信号系统的自主可控、可信安全至关重要。

2.高速铁路安全防护坚持的原则

区别于其他工业控制系统,高速铁路信号系统提供的产品是安全、高效、准确的运输服务,对象是乘客。因此,固有的功能安全防护和功能安全的新需求都是为了更好地满足乘客对高铁的服务质量需求。因此,高速铁路信号系统安全防护的首要原则是防护水平和运营效率的动态平衡,即不能降低高速铁路既有的运输服务能力;第二个原则是网络安全防护机制和功能安全保障机制的有机统一,避免防护机制的冗余和冲突;第三个原则是网络安全防护机制和信号系统设计理念的深入融合,不能影响既有的运营机制,不能破坏成熟的运营秩序;第四个原则是网络安全防护人员应该兼容信号系统和网络安全两个专业,需要两个学科交叉培养。具体如下:

原则一:高速铁路信号系统安全防护的首要原则是防护机制和运营效率的动态平衡

网络安全防护的基本理念是“三分靠技术、七分靠管理”,安全的强约束性必然导致管理机制的细化,进而影响到既有的管理方式和操作方式,有极大的可能影响到操作人员的执行效率,进而导致运营效率的下降。尤其是在应急情况下,效率优先、恢复为主的基本策略与安全防护的硬约束具有相悖性。因此,保障防护机制和运营效率的动态平衡至关重要,否则极有可能在考核压力下被铁路所抛弃。

原则二:网络安全防护机制和功能安全保障机制的有机统一

信号系统的根本设计原则是“故障导向安全”,故而有大量的热备、冗余、容错机制和装备。从应用层软件开发、接口设置到硬件平台均符合这一核心理念,因此,基于顶层架构实现信息安全和功能安全的统一,能够充分发挥功能安全的防护作用,降低信息安全的软硬件开发和投入,更重要的是,从设计之初即考虑信息安全能够实现信号设备、子系统和系统的内生安全,具有更高的防护水平。

原则三:网络安全防护机制和信号系统设计理念的深入融合

信号系统具有封闭性和相对独立性,网络安全对漏洞库、防护策略具有动态更新的需求。信号系统的运行机制具有稳定性的特征,网络安全防护机制不应打破信号系统既有的封闭性和稳定性,进而保障信号系统在原有的封闭体系下进行安全防护,保证信号系统的相对独立。网络安全设备的引入不能影响信号系统基本架构、网络划分等基本理念,需要依据信号系统的设备和业务流属性进行有针对性的防护和布置,并实现定制化开发。

原则四:高速铁路网络安全防护人员应该兼容信号系统和网络安全两个专业,需要两个学科交叉培养

高速铁路信号系统网络安全防护人员需要从软件、硬件、接口和协议多个层次对信号系统的安全现状、安全威胁、潜在攻击以及防护机制等进行实时评估,并在紧急情况下进行有效的应对。考虑到信号系统的专业属性,效能评估需要结合信号系统的运行机理和设备机制,应对策略需要考虑到信号系统的运输属性。因此,高速铁路信号系统网络安全防护人员需要信号系统学科和网络安全学科的交叉培养,才能真正为信号系统的安全防护提供重要的支撑。

3.高速铁路安全防护建设建议

高速铁路信号系统的目标是保障列车的高效、安全运行,本质是为乘客提供优质的出行服务。面向复杂多样的网络攻击,能够在功能安全的前提下,保障基本的运输运力,从而维持区域乃至全国的列车运行秩序,提升高铁对国计民生的保障作用。

按照国家网络安全等级保护的有关规定,调度指挥系统为等保四级,列控系统为等保三级。因此,在满足国家相关法律法规的前提下,构筑面向高速铁路信号系统的高等级防御体系有迫切的需求,进而,实现主动的安全防护功能,隔绝潜在的攻击行为和威胁,形成对有组织团体乃至国家级攻击的应对机制,最大限度维持高速铁路在多种极端环境下的运输服务,保障社会的正常运行。下图11即为高速铁路信号系统防护机制的基本架构。

图11 高速铁路信号系统防护机制基本架构

实现高速铁路信号系统的主动防护任道重远,体系、技术、制度、人才等方面都需要革新和储备,具体的建议如下:

(1)强化网络安全建设

高速铁路信号系统的网络CTC分散自律调度集中通信网络、信号安全通信数据网和集中监测网络,网络安全等级不同,分别独立成网,采用物理手段隔离(双宿主机、接口服务器等),但是功能上有交互、逻辑上有接口,具有相互渗透的风险。因此,高速铁路信号系统网络安全建设应该坚持“分区分域、专网专用、纵深防御、综合预警”的安全防护策略。

1)针对独立运行网络,结合子系统的SIL等级以功能划分原则,强化区域化管理。

2)针对不同安全等级的网络间接口,强化边界控制。

3)针对网络的封闭性,从技术上实现系统、设备的专网专用,最大程度降低外部有意或者无意的入侵行为。

4)针对工作必需的外接设备、移动介质等的实现有效管控,防止数据泄露。

5)针对网络安全防护的设计,形成面向信号系统的网络安全设备布设规则,实现设计层面的均衡,确保受限资源条件下网络安全防护水平。

6)针对数据库、操作系统、硬件平台等非自主可控装备,实现有效安全风险扫描和评估,减少零日漏洞的威胁。

(2)推动网络安全装备改造

针对高速铁路信号系统网络安全,实现铁路信号领域和工业控制安全领域的深度合作,实现网络安全设备的定制化,保障网络安全装备的有效性。

现有网络安全装备以及软件大多从其他工业控制领域直接移植,缺乏和信号系统的适配性开发,导致网络安全防护存在“搭积木”的特征,也难以达到预期的防护效果。因此,网络安全装备应该充分考虑到信号设备、信号系统、信号网络的特征,尤其是业务流、运行逻辑等,实现网络防护产品和信号系统的深入融合,为构建信号系统的主动安全防护体系提供重要的技术基础。

(3)推动信号系统装备自主化

鉴于信号系统操作系统、硬件平台以及数据库等依赖于国外厂商的情况,既有的安全防护机制、安全防护措施难以实现最高等级的防护,无法从底层出发实现内生安全。因此,推动以自主化操作系统、自主化硬件平台以及自主化数据库为代表的信号装备完全自主可控是实现高速铁路信号系统安全防护的最高目标。

(4)开展设备动态维护

高速铁路信号系统的维度较大,网络异构特征明显,设备来源多样,实现有效的运营维护存在工作量大、强度高的问题。因此,针对庞大的信号系统,从应用软件、信息流、操作系统、硬件平台多个维度构建轻量化、精准的态势感知体系,实现对风险预警、监测和防护。

在现阶段,针对高速铁路信号系统安全防护设备维护效果不佳的情况,应构建长期的维护体系,明确维护重点,设立维护周期等。基于精准的态势感知能够及时辨识设备的异常状态,及时采取有效的措施进行控制和处理,提高设备的安全性,确定高速铁路信号设备维护周期并建立预防维护机制。

(5)推进专业人才培养

高速铁路信号系统缺乏专门的网络安全人才,突出地体现为信号专业和安全专业的不交叉,导致网络安全防护的推广工作存在较大的障碍。培养信号系统和网络安全相互交叉的人才是保障高速铁路信号系统深度安全的基础,也是提升应急处置的关键。

高速铁路信号系统网络安全人才的培养应该分为两个层次,企业培养和学校培养。企业培养应该着重构建专职网络安全人员及时更新网络安全防护技术、机制、法规的体系,使得专职人员能够从信号的特征出发对既有的安全防护机制进行客观、全面、深入的评价,形成具备处理网络安全应急事件的能力,现阶段可结合实际情况适当开展专业人才的引进工作;学校培养应该从网络安全、信号系统的结合点出发,建立信号系统和网络安全的复合型培养机制,形成与铁路现场、铁路案例的动态协作,做到为实际需求培养人才。

(6)建设网络安全队伍

高速铁路信号系统的网络安全防护是系统性重大工程,不能单独依赖国铁集团等运营单位,高等院校、网络安全企业、测评机构等均需要为重大基础设施的安全做出应有的贡献。因此,高速铁路网络安全的队伍建设应该以运营方为主,高等院校、网络安全企业以及测评机构等为辅的模式,即运营方专职人员进行日常的维护和监测,网络安全企业实现技术、装备的升级,高等院校和测评机构着力于第三方的支撑。在应急场景下,多方人员形成专职团队进行应对和攻关,充分发挥各方的优势,得到最优的效果。

(7)构建应急管理体系

高速铁路是关乎国计民生的国家重要基础设施,为了保障社会的正常运行秩序,构建集法规、技术、队伍和机制为一体化的高速铁路网络安全应急管理机制至关重要。

1)法规层面:应面向高速铁路信号系统的特征实现《网络安全法》、等级保护制度、工业安全控制规范等在高速铁路的解读,形成服务于高速铁路的网络安全法律法律、技术规范和测评方法,为应急管理提供重要的基础。

2)技术层面:应面向高速铁路既有信号系统和未来信号系统开展远近结合的网络安全技术研发,形成对现有信号系统的有效防护,并具备对未来技术的兼容性。

3)队伍层面:应构建高速铁路信号系统的网络安全应急场景,基于场景形成动态的应急队伍动员机制,实现专职网络安全运营人员、高效科研人员、安全装备研发人员以及测评人员的有机协作,保障应急的效率和效果。

4)应急机制:应面向高速铁路信号系统的本质属性,构建网络安全应急条件下的运营预案,保障列车的安全、有序运行,实现铁路运营和网络安全应急的并行。

作者:北京交通大学 王洪伟

声明:本文来自交大评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。