1. 行業(yè)概述

進入21世紀以來，軌道交通在優(yōu)化城市空間結(jié)構(gòu)、緩解城市交通擁擠等方面均顯示出積極促進作用，已日益成為中國走新型城鎮(zhèn)化道路的重要戰(zhàn)略舉措。伴隨著中國城市化進程的加快，城市交通需求劇增，城市軌道交通也進入高速發(fā)展時期。

工程實踐證明，目前基于無線局域網(wǎng)的CBTC系統(tǒng)的可用性、可靠性等均能滿足當前城市軌道交通安全高效運營的需要。但隨著計算機和網(wǎng)絡技術(shù)的發(fā)展，特別是信息化與信號系統(tǒng)深度融合，CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS、PA等網(wǎng)絡連接，造成病毒、木馬等威脅向CBTC系統(tǒng)擴散，信號系統(tǒng)安全問題日益突出。

2. 隱患分析

目前軌道交通信號系統(tǒng)的安全措施僅限于安裝防火墻、保密設備和殺毒軟件等初級的保護措施，無法有效的防止信息安全事件的發(fā)生。結(jié)合國家信息安全等級保護基本要求的內(nèi)容，我們羅列了（包括但不限于）以下安全隱患：

• 在重要網(wǎng)段與其他網(wǎng)段之間缺乏可靠的技術(shù)隔離手段，缺乏有效的區(qū)域隔離；

• 沒有在網(wǎng)絡邊界部署訪問控制設備，缺乏訪問控制功能；

• 缺少為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

• 不能對進出網(wǎng)絡的信息內(nèi)容進行過濾，不能實現(xiàn)對應用層協(xié)議命令級的控制；

• 缺少防止地址欺騙的技術(shù)手段；

• 缺乏對非授權(quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查、定位和阻斷的能力；

• 無法有效的檢測到網(wǎng)絡攻擊行為，并對攻擊源IP、攻擊類型等信息進行記錄；

• 無法在網(wǎng)絡邊界處對惡意代碼進行檢測和清除，更新惡意代碼庫不及時；

3. 安全事件

1) 波蘭有軌電車出軌事件

事件經(jīng)過：

2008年，波蘭羅茲(Lodz)市有軌電車的駕駛員計劃向右轉(zhuǎn)彎時，電車調(diào)度系統(tǒng)發(fā)出的命令卻變成了向左轉(zhuǎn)，此舉不但導致被操縱電車后部車箱脫軌，而且還造成12名乘客受傷，所幸這起事件并沒有造成人員死亡。

原因分析：

經(jīng)波蘭警方證實，此次事件是由該國一名年僅14歲的學生黑客侵入了波蘭羅茲市有軌電車運營調(diào)度系統(tǒng)引起的。這名肇事少年一直在研究該市有軌電車系統(tǒng),然后自己制作了一個類似電視遙控器的裝置來,并利用它改變電車行駛方向。這名學生黑客表示,自己使用遙控裝置三次變換了電車軌道，警方隨后在這名少年家中發(fā)現(xiàn)了他所用的遙控裝置。

2)深圳地鐵WIFI干擾事件

事件經(jīng)過：

• 2012年11月1日上午8時15分至9時30分，深圳地鐵蛇口線多趟列車因信號系統(tǒng)自動防護功能作用而產(chǎn)生緊急制動，列車再次啟動后只能維持低速運行。事件處理過程中，部分列車退出服務，造成大量乘客滯留。

• 11月5日，這條線路故障重演，再次停運；

• 11月7日，深圳地鐵環(huán)中線在行駛過程中亦多次中斷運行。

原因分析：

據(jù)官方通報稱，目前排除了由信號系統(tǒng)自身原因造成故障的可能性，初步判斷故障原因是線路信號系統(tǒng)受到了列車上乘客所使用的便攜式3G無線路由器所產(chǎn)生的信號干擾所致。

深圳地鐵進一步解釋，此類便攜式3G無線路由器，主要用于將移動通信3G信號轉(zhuǎn)換為WiFi信號供無線終端使用，其無線數(shù)據(jù)傳輸頻段與地鐵信號系統(tǒng)傳輸頻段相同，均為公眾免費頻段2.4GHz。

即列車運行時，信號系統(tǒng)數(shù)據(jù)在列車與地面間進行無線數(shù)據(jù)傳輸過程中，受此類設備所產(chǎn)生的同頻段信號干擾，引起數(shù)據(jù)包延時傳輸或堵塞，導致信號系統(tǒng)安全保護功能動作使列車緊急制動。

3)上海地鐵追尾事件

事件經(jīng)過：

• 2011年9月27日13時58分，上海自動化儀表股份有限公司電工在進行地鐵10號線新天地車站電纜孔洞封堵作業(yè)時造成供電缺失，導致10號線新天地集中站信號失電，造成中央調(diào)度列車自動監(jiān)控紅光帶、區(qū)間線路區(qū)域內(nèi)車站列車自動監(jiān)控面板黑屏。地鐵運營由自動系統(tǒng)向人工控制系統(tǒng)轉(zhuǎn)換。此時，1016號列車在豫園站下行出站后顯示無速度碼，司機即向10號線調(diào)度控制中心報告，行車調(diào)度員命令1016號列車以手動限速（RMF）方式向老西門站運行。

• 14 時，1016 號列車在豫園站至老西門站區(qū)間遇紅燈停車，行車調(diào)度員命令停車待命。

• 14 時01分，行車調(diào)度員開始進行列車定位。

• 14 時08分，行車調(diào)度員未嚴格執(zhí)行調(diào)度規(guī)定，違規(guī)發(fā)布調(diào)度命令。

• 14 時35分，1005 號列車從豫園站發(fā)車。

• 14 時37分，1005 號列車以54公里／小時的速度行進到豫園站至老西門站區(qū)間彎道時，發(fā)現(xiàn)前方有列車（1016 號）停留，隨即采取制動措施，但由于慣性仍以35公里／小時的速度與1016 號列車發(fā)生追尾碰撞。該事故造成295人受傷，至少36人重傷，無人員死亡。

原因分析：

• 地鐵行車調(diào)度員在未準確定位故障區(qū)間內(nèi)全部列車位置的情況下，違規(guī)發(fā)布電話閉塞命令；

• 接車站值班員在未嚴格確認區(qū)間線路是否空閑的情況下，違規(guī)同意發(fā)車站的電話閉塞要求，導致地鐵10 號線1005 號列車與1016號列車發(fā)生追尾碰撞。

4. 常見攻擊方式

1）無線入侵

軌道交通信號系統(tǒng)的車地通信普遍采用無線WLAN的方式，通過一臺黑客筆記本電腦接入軌旁無線AP，病毒模擬當前列車車載控制器（VOBC）向區(qū)域控制器（ZC）發(fā)送列車信息，并篡改其中的列車位置信息、列車完整性標示等關(guān)鍵信息，區(qū)域控制器（ZC）收到異常數(shù)據(jù)后，撤銷移動授權(quán)，向列車發(fā)送緊急停車消息，列車觸發(fā)緊急制動，立即制動停車。

2） 水坑攻擊

黑客攻陷公司的內(nèi)網(wǎng)，將內(nèi)網(wǎng)上一個要求全體職工下載的表格偷偷換成了木馬程序，這樣，所有按要求下載這一表格的人都會被植入木馬程序，地鐵運營人員在日常維護操作的過程中就有可能把病毒帶入信號系統(tǒng)網(wǎng)絡中，病毒伺機在系統(tǒng)內(nèi)蔓延，在特定的情況下發(fā)起攻擊，造成系統(tǒng)癱瘓。

5. 行業(yè)解決方案

產(chǎn)品部署圖：

說明：

1）IAD智能保護平臺

部署位置：

• 控制中心ATS與互聯(lián)系統(tǒng)間（PIS、ISCS、PA等）網(wǎng)絡邊界位置。

為了滿足等級保護三級要求中有關(guān)訪問控制、邊界完整性檢查等的要求。

2）監(jiān)測審計平臺

部署位置：

• 控制中心的維護網(wǎng)交換機、ATS接入交換機；

• 設備集中站、停車場、車輛段的ATC接入交換機、ATS接入交換機和維護網(wǎng)交換機；

• 非設備集中站的維護網(wǎng)交換機。

為了滿足等級保護三級要求中有關(guān)安全審計和入侵防范的要求。

3）威脅評估平臺

部署位置：

• 控制中心維護網(wǎng)交換機

為了滿足等級保護三級要求中有關(guān)等級測評的要求。

4）工控衛(wèi)士

部署位置：

• 全線所有工作站和服務器

為了滿足等級保護三級要求中有關(guān)主機安全的要求。