1. 行業(yè)概述
進(jìn)入21世紀(jì)以來(lái),軌道交通在優(yōu)化城市空間結(jié)構(gòu)、緩解城市交通擁擠等方面均顯示出積極促進(jìn)作用,已日益成為中國(guó)走新型城鎮(zhèn)化道路的重要戰(zhàn)略舉措。伴隨著中國(guó)城市化進(jìn)程的加快,城市交通需求劇增,城市軌道交通也進(jìn)入高速發(fā)展時(shí)期。
工程實(shí)踐證明,目前基于無(wú)線(xiàn)局域網(wǎng)的CBTC系統(tǒng)的可用性、可靠性等均能滿(mǎn)足當(dāng)前城市軌道交通安全高效運(yùn)營(yíng)的需要。但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與信號(hào)系統(tǒng)深度融合,CBTC系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與PIS、PA等網(wǎng)絡(luò)連接,造成病毒、木馬等威脅向CBTC系統(tǒng)擴(kuò)散,信號(hào)系統(tǒng)安全問(wèn)題日益突出。
2. 隱患分析
目前軌道交通信號(hào)系統(tǒng)的安全措施僅限于安裝防火墻、保密設(shè)備和殺毒軟件等初級(jí)的保護(hù)措施,無(wú)法有效的防止信息安全事件的發(fā)生。結(jié)合國(guó)家信息安全等級(jí)保護(hù)基本要求的內(nèi)容,我們羅列了(包括但不限于)以下安全隱患:
在重要網(wǎng)段與其他網(wǎng)段之間缺乏可靠的技術(shù)隔離手段,缺乏有效的區(qū)域隔離;
沒(méi)有在網(wǎng)絡(luò)邊界部署訪(fǎng)問(wèn)控制設(shè)備,缺乏訪(fǎng)問(wèn)控制功能;
缺少為數(shù)據(jù)流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力;
不能對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾,不能實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議命令級(jí)的控制;
缺少防止地址欺騙的技術(shù)手段;
缺乏對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查、定位和阻斷的能力;
無(wú)法有效的檢測(cè)到網(wǎng)絡(luò)攻擊行為,并對(duì)攻擊源IP、攻擊類(lèi)型等信息進(jìn)行記錄;
無(wú)法在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除,更新惡意代碼庫(kù)不及時(shí);
3. 安全事件
1) 波蘭有軌電車(chē)出軌事件
事件經(jīng)過(guò):
2008年,波蘭羅茲(Lodz)市有軌電車(chē)的駕駛員計(jì)劃向右轉(zhuǎn)彎時(shí),電車(chē)調(diào)度系統(tǒng)發(fā)出的命令卻變成了向左轉(zhuǎn),此舉不但導(dǎo)致被操縱電車(chē)后部車(chē)箱脫軌,而且還造成12名乘客受傷,所幸這起事件并沒(méi)有造成人員死亡。
原因分析:
經(jīng)波蘭警方證實(shí),此次事件是由該國(guó)一名年僅14歲的學(xué)生黑客侵入了波蘭羅茲市有軌電車(chē)運(yùn)營(yíng)調(diào)度系統(tǒng)引起的。這名肇事少年一直在研究該市有軌電車(chē)系統(tǒng),然后自己制作了一個(gè)類(lèi)似電視遙控器的裝置來(lái),并利用它改變電車(chē)行駛方向。這名學(xué)生黑客表示,自己使用遙控裝置三次變換了電車(chē)軌道,警方隨后在這名少年家中發(fā)現(xiàn)了他所用的遙控裝置。
2)深圳地鐵WIFI干擾事件
事件經(jīng)過(guò):
2012年11月1日上午8時(shí)15分至9時(shí)30分,深圳地鐵蛇口線(xiàn)多趟列車(chē)因信號(hào)系統(tǒng)自動(dòng)防護(hù)功能作用而產(chǎn)生緊急制動(dòng),列車(chē)再次啟動(dòng)后只能維持低速運(yùn)行。事件處理過(guò)程中,部分列車(chē)退出服務(wù),造成大量乘客滯留。
11月5日,這條線(xiàn)路故障重演,再次停運(yùn);
11月7日,深圳地鐵環(huán)中線(xiàn)在行駛過(guò)程中亦多次中斷運(yùn)行。
原因分析:
據(jù)官方通報(bào)稱(chēng),目前排除了由信號(hào)系統(tǒng)自身原因造成故障的可能性,初步判斷故障原因是線(xiàn)路信號(hào)系統(tǒng)受到了列車(chē)上乘客所使用的便攜式3G無(wú)線(xiàn)路由器所產(chǎn)生的信號(hào)干擾所致。
深圳地鐵進(jìn)一步解釋?zhuān)祟?lèi)便攜式3G無(wú)線(xiàn)路由器,主要用于將移動(dòng)通信3G信號(hào)轉(zhuǎn)換為WiFi信號(hào)供無(wú)線(xiàn)終端使用,其無(wú)線(xiàn)數(shù)據(jù)傳輸頻段與地鐵信號(hào)系統(tǒng)傳輸頻段相同,均為公眾免費(fèi)頻段2.4GHz。
即列車(chē)運(yùn)行時(shí),信號(hào)系統(tǒng)數(shù)據(jù)在列車(chē)與地面間進(jìn)行無(wú)線(xiàn)數(shù)據(jù)傳輸過(guò)程中,受此類(lèi)設(shè)備所產(chǎn)生的同頻段信號(hào)干擾,引起數(shù)據(jù)包延時(shí)傳輸或堵塞,導(dǎo)致信號(hào)系統(tǒng)安全保護(hù)功能動(dòng)作使列車(chē)緊急制動(dòng)。
3)上海地鐵追尾事件
事件經(jīng)過(guò):
2011年9月27日13時(shí)58分,上海自動(dòng)化儀表股份有限公司電工在進(jìn)行地鐵10號(hào)線(xiàn)新天地車(chē)站電纜孔洞封堵作業(yè)時(shí)造成供電缺失,導(dǎo)致10號(hào)線(xiàn)新天地集中站信號(hào)失電,造成中央調(diào)度列車(chē)自動(dòng)監(jiān)控紅光帶、區(qū)間線(xiàn)路區(qū)域內(nèi)車(chē)站列車(chē)自動(dòng)監(jiān)控面板黑屏。地鐵運(yùn)營(yíng)由自動(dòng)系統(tǒng)向人工控制系統(tǒng)轉(zhuǎn)換。此時(shí),1016號(hào)列車(chē)在豫園站下行出站后顯示無(wú)速度碼,司機(jī)即向10號(hào)線(xiàn)調(diào)度控制中心報(bào)告,行車(chē)調(diào)度員命令1016號(hào)列車(chē)以手動(dòng)限速(RMF)方式向老西門(mén)站運(yùn)行。
14 時(shí),1016 號(hào)列車(chē)在豫園站至老西門(mén)站區(qū)間遇紅燈停車(chē),行車(chē)調(diào)度員命令停車(chē)待命。
14 時(shí)01分,行車(chē)調(diào)度員開(kāi)始進(jìn)行列車(chē)定位。
14 時(shí)08分,行車(chē)調(diào)度員未嚴(yán)格執(zhí)行調(diào)度規(guī)定,違規(guī)發(fā)布調(diào)度命令。
14 時(shí)35分,1005 號(hào)列車(chē)從豫園站發(fā)車(chē)。
14 時(shí)37分,1005 號(hào)列車(chē)以54公里/小時(shí)的速度行進(jìn)到豫園站至老西門(mén)站區(qū)間彎道時(shí),發(fā)現(xiàn)前方有列車(chē)(1016 號(hào))停留,隨即采取制動(dòng)措施,但由于慣性仍以35公里/小時(shí)的速度與1016 號(hào)列車(chē)發(fā)生追尾碰撞。該事故造成295人受傷,至少36人重傷,無(wú)人員死亡。
原因分析:
地鐵行車(chē)調(diào)度員在未準(zhǔn)確定位故障區(qū)間內(nèi)全部列車(chē)位置的情況下,違規(guī)發(fā)布電話(huà)閉塞命令;
接車(chē)站值班員在未嚴(yán)格確認(rèn)區(qū)間線(xiàn)路是否空閑的情況下,違規(guī)同意發(fā)車(chē)站的電話(huà)閉塞要求,導(dǎo)致地鐵10 號(hào)線(xiàn)1005 號(hào)列車(chē)與1016號(hào)列車(chē)發(fā)生追尾碰撞。
4. 常見(jiàn)攻擊方式
1)無(wú)線(xiàn)入侵
軌道交通信號(hào)系統(tǒng)的車(chē)地通信普遍采用無(wú)線(xiàn)WLAN的方式,通過(guò)一臺(tái)黑客筆記本電腦接入軌旁無(wú)線(xiàn)AP,病毒模擬當(dāng)前列車(chē)車(chē)載控制器(VOBC)向區(qū)域控制器(ZC)發(fā)送列車(chē)信息,并篡改其中的列車(chē)位置信息、列車(chē)完整性標(biāo)示等關(guān)鍵信息,區(qū)域控制器(ZC)收到異常數(shù)據(jù)后,撤銷(xiāo)移動(dòng)授權(quán),向列車(chē)發(fā)送緊急停車(chē)消息,列車(chē)觸發(fā)緊急制動(dòng),立即制動(dòng)停車(chē)。
2) 水坑攻擊
黑客攻陷公司的內(nèi)網(wǎng),將內(nèi)網(wǎng)上一個(gè)要求全體職工下載的表格偷偷換成了木馬程序,這樣,所有按要求下載這一表格的人都會(huì)被植入木馬程序,地鐵運(yùn)營(yíng)人員在日常維護(hù)操作的過(guò)程中就有可能把病毒帶入信號(hào)系統(tǒng)網(wǎng)絡(luò)中,病毒伺機(jī)在系統(tǒng)內(nèi)蔓延,在特定的情況下發(fā)起攻擊,造成系統(tǒng)癱瘓。
5. 行業(yè)解決方案
產(chǎn)品部署圖:
說(shuō)明:
1)IAD智能保護(hù)平臺(tái)
部署位置:
控制中心ATS與互聯(lián)系統(tǒng)間(PIS、ISCS、PA等)網(wǎng)絡(luò)邊界位置。
為了滿(mǎn)足等級(jí)保護(hù)三級(jí)要求中有關(guān)訪(fǎng)問(wèn)控制、邊界完整性檢查等的要求。
2)監(jiān)測(cè)審計(jì)平臺(tái)
部署位置:
控制中心的維護(hù)網(wǎng)交換機(jī)、ATS接入交換機(jī);
設(shè)備集中站、停車(chē)場(chǎng)、車(chē)輛段的ATC接入交換機(jī)、ATS接入交換機(jī)和維護(hù)網(wǎng)交換機(jī);
非設(shè)備集中站的維護(hù)網(wǎng)交換機(jī)。
為了滿(mǎn)足等級(jí)保護(hù)三級(jí)要求中有關(guān)安全審計(jì)和入侵防范的要求。
3)威脅評(píng)估平臺(tái)
部署位置:
控制中心維護(hù)網(wǎng)交換機(jī)
為了滿(mǎn)足等級(jí)保護(hù)三級(jí)要求中有關(guān)等級(jí)測(cè)評(píng)的要求。
4)工控衛(wèi)士
部署位置:
全線(xiàn)所有工作站和服務(wù)器
為了滿(mǎn)足等級(jí)保護(hù)三級(jí)要求中有關(guān)主機(jī)安全的要求。