城市軌道交通信號系統(tǒng)信息安全風(fēng)險辨識

陳嘉怡，燕 飛

?

城市軌道交通信號系統(tǒng)信息安全風(fēng)險辨識

陳嘉怡，燕 飛

（北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

從城市軌道交通信息安全面臨的嚴(yán)峻形勢出發(fā)，介紹城軌交通信號系統(tǒng)組成，并對信號系統(tǒng)各子系統(tǒng)功能進(jìn)行闡述。城軌交通信號系統(tǒng)是保證列車安全、準(zhǔn)點、高密度運行的重要技術(shù)裝備，主要由列車自動監(jiān)控子系統(tǒng)、列車自動防護(hù)子系統(tǒng)、列車自動運行子系統(tǒng)、聯(lián)鎖子系統(tǒng)組成。根據(jù)信息安全風(fēng)險分析模型，識別城軌交通信號系統(tǒng)信息安全的威脅來源及核心資產(chǎn)。由于城軌交通系統(tǒng)屬于工業(yè)控制系統(tǒng)的典型系統(tǒng)，城軌信號系統(tǒng)則具備工控系統(tǒng)的一般性特點，繼承工控系統(tǒng)的脆弱性。針對國內(nèi)城軌交通信息安全研究的空白之處，結(jié)合工控系統(tǒng)不同層級結(jié)構(gòu)的脆弱性，從技術(shù)和管理兩個方面進(jìn)行信號系統(tǒng)的信息安全風(fēng)險辨識，通過分析發(fā)現(xiàn)存在物理安全、網(wǎng)絡(luò)安全、主機安全和應(yīng)用安全等層次上的風(fēng)險。風(fēng)險辨識結(jié)果反映出城軌交通信息安全存在大量的薄弱環(huán)節(jié)，以期為日后的研究和防護(hù)工作的開展打下基礎(chǔ)。

城市軌道交通；信號系統(tǒng)；信息安全；風(fēng)險辨識；脆弱性分析

城市軌道交通系統(tǒng)是工業(yè)控制系統(tǒng)的一部分，但其除延續(xù)了工業(yè)控制系統(tǒng)的系統(tǒng)特點之外，也存在特殊性。由于軌道交通列車運行直接承載乘客，危險性更高、更直接，并且近些年來無線通信技術(shù)和寬帶網(wǎng)絡(luò)技術(shù)的發(fā)展不僅給這個行業(yè)帶來了新的發(fā)展，也引入了相關(guān)的威脅。在《城市軌道交通2016年度統(tǒng)計和分析報告》中指出，城市軌道交通系統(tǒng)的運營較之前有很大的變化，主要體現(xiàn)在以下幾點：運營規(guī)模進(jìn)一步增大，運營網(wǎng)絡(luò)化趨勢明顯；客運量增長明顯，發(fā)車間隔縮短，運輸效率逐步提高。因此針對運營網(wǎng)絡(luò)化趨勢以及客運量日益增長的這些形勢，城市軌道交通信息安全面臨的威脅還是很嚴(yán)峻的。

城市軌道交通中重要的一環(huán)就是信號系統(tǒng)，但是如今針對信號系統(tǒng)信息安全的風(fēng)險辨識及研究工作還處在初步階段。現(xiàn)如今的網(wǎng)絡(luò)時代大環(huán)境要求我們盡快地投入這個課題的研究中，這也是筆者研究的初衷。

1 城市軌道交通信號系統(tǒng)概述

信號系統(tǒng)是保證列車安全、準(zhǔn)點、高密度運行的重要技術(shù)裝備。城市軌道交通信號系統(tǒng)包含以下4個子系統(tǒng)。

1.1 列車自動監(jiān)控子系統(tǒng)

列車自動監(jiān)控子系統(tǒng)（automatic train supervision，ATS）的功能包括：列車自動識別、列車運行自動跟蹤和顯示；運行時刻表或運行圖的編制及管理；自動和人工排列進(jìn)路；列車運行自動調(diào)整；列車運行和信號設(shè)備狀態(tài)自動監(jiān)視；列車運行數(shù)據(jù)統(tǒng)計；列車運行實際記錄；操作與數(shù)據(jù)記錄、輸出及統(tǒng)計處理；列車運行、監(jiān)控模擬及培訓(xùn)；系統(tǒng)故障和故障恢復(fù)處理。

1.2 列車自動防護(hù)子系統(tǒng)

列車自動防護(hù)子系統(tǒng)（automatic train protection，ATP）的功能包括：檢測列車位置；實現(xiàn)列車間隔控制和進(jìn)路的正確排列；監(jiān)督列車運行速度；實現(xiàn)列車超速防護(hù)控制；防止列車誤退行等非預(yù)期的移動；為列車車門、站臺門的開閉提供安全監(jiān)控信息；實現(xiàn)車載信號設(shè)備的日檢，記錄司機操作和設(shè)備運行狀況。

1.3 列車自動運行子系統(tǒng)

列車自動運行子系統(tǒng)（automatic train operation，ATO）的功能包括：啟動列車并實現(xiàn)站間自動運行；控制列車實現(xiàn)車站定點停車、車站通過和折返作業(yè)；與行車指揮監(jiān)控系統(tǒng)相結(jié)合，實現(xiàn)列車運行自動調(diào)整；車門、站臺門的開閉監(jiān)控。

1.4 聯(lián)鎖子系統(tǒng)

聯(lián)鎖子系統(tǒng)（computer interlocking，CI）是保證列車運行安全的設(shè)備，實現(xiàn)列車在進(jìn)路上道岔、信號機、軌道區(qū)段之間正確的聯(lián)鎖關(guān)系。

城市軌道交通信號系統(tǒng)按照設(shè)備設(shè)置的地域可分為7大部分，即控制中心設(shè)備、正線車站和軌旁設(shè)備、車載設(shè)備、車輛段及停車場設(shè)備、試車線設(shè)備、維修中心設(shè)備和培訓(xùn)中心設(shè)備，具體構(gòu)成如圖1所示。

2 信息安全風(fēng)險分析

2.1 風(fēng)險分析模型

資產(chǎn)所有者為了保證資產(chǎn)的可用性，會嚴(yán)格控制資產(chǎn)信息的傳播和修改，并使用資產(chǎn)保護(hù)措施以抵御威脅。圖2 說明了這些概念之間的關(guān)系[2]。

2.2 威脅主體

在城市軌道交通信號系統(tǒng)需抵御的信息安全威脅程度確定條件中，初始識別的信號系統(tǒng)面臨的信息安全威脅是指可能是惡意的、非惡意的或環(huán)境的（自然的），并可能導(dǎo)致工業(yè)控制系統(tǒng)基本功能損害或喪失。其中，威脅來源通常包括以下3種[2-3]：

1）非惡意的威脅，是指非惡意人員可能意外地?fù)p害工業(yè)控制系統(tǒng)信息資產(chǎn)的行為，如：企業(yè)內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞。

2）惡意的威脅，是指惡意人員針對工業(yè)控制系統(tǒng)信息資產(chǎn)的所有故意行為，如內(nèi)部人員（缺乏訓(xùn)練的、心懷不滿的、惡意的、疏忽的、不誠實的或終止勞動關(guān)系的人員），黑客、解密高手、惡意入侵者，計算機犯罪分子，恐怖組織，工業(yè)間諜（情報機構(gòu)、公司、敵對國家政府、其他政府利益集團(tuán)）。

3）環(huán)境的威脅，也稱自然的威脅，是指不是基于人為行為損害工業(yè)控制系統(tǒng)信息資產(chǎn)的所有事件，如：斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害。

2.3 核心資產(chǎn)

在進(jìn)行城市軌道交通信號系統(tǒng)風(fēng)險辨識分析之前，要先進(jìn)行重要資產(chǎn)的識別。信號系統(tǒng)涉及區(qū)域：正線、停車場、試車線、控制中心、備用控制中心區(qū)域和列車車體。

圖1 城市軌道交通信號系統(tǒng)構(gòu)成

考慮到與信息安全相關(guān)，可能成為攻擊目標(biāo)，并且結(jié)合維護(hù)成本以及被攻擊后的損失，將信號系統(tǒng)的核心資產(chǎn)總結(jié)歸納為以下幾部分：

1）現(xiàn)場設(shè)備：信號地面機、轉(zhuǎn)轍機、計軸器、區(qū)間防護(hù)門、軌旁/車載無線設(shè)備、地面/車載無線寬帶設(shè)備、中心/車站電調(diào)設(shè)備、中心/車站CCTV等。

2）現(xiàn)場控制：PIS（passenger information system）、DCS（data communication system）、CI（computer interlocking）、DSU（data saving unit）等控制級設(shè)備。

3）過程監(jiān)控：中央/車站監(jiān)控系統(tǒng)。

2.4 分析信息安全風(fēng)險必要性

依據(jù)城軌交通信號系統(tǒng)中典型工業(yè)控制系統(tǒng)的屬性，按照工業(yè)控制系統(tǒng)的結(jié)構(gòu)分層，把信號系統(tǒng)的結(jié)構(gòu)分為現(xiàn)場總線控制網(wǎng)絡(luò)、過程控制與監(jiān)控網(wǎng)絡(luò)以及企業(yè)辦公網(wǎng)絡(luò)[4-6]。

現(xiàn)場總線網(wǎng)絡(luò)由于通常處于作業(yè)現(xiàn)場，因此環(huán)境復(fù)雜，部分控制系統(tǒng)網(wǎng)絡(luò)采用各種接入技術(shù)作為現(xiàn)有網(wǎng)絡(luò)的延伸，如無線等，這也就存在一定的安全風(fēng)險。同時維護(hù)現(xiàn)場設(shè)備時，也可能因不安全的串口連接（如缺乏連接認(rèn)證）或缺乏有效的配置核查，影響整個系統(tǒng)的正常運營和功能實現(xiàn)。該網(wǎng)絡(luò)眾多設(shè)備云集，設(shè)備自身的安全漏洞也是不容忽視的。同時，網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)沒有進(jìn)行加密也存在被篡改或泄露的風(fēng)險。

圖2 安全概念及其關(guān)系

過程控制與監(jiān)控網(wǎng)絡(luò)中的安全威脅有以下幾點：不安全的移動維護(hù)設(shè)備的未授權(quán)接入；監(jiān)控網(wǎng)絡(luò)設(shè)備與控制系統(tǒng)或是現(xiàn)場設(shè)備之間不安全的無線通信；一些網(wǎng)絡(luò)協(xié)議在設(shè)計時大多沒有考慮安全因素，缺少認(rèn)證、授權(quán)和加密機制。

企業(yè)辦公網(wǎng)絡(luò)中的安全風(fēng)險包括以下幾點：信息資產(chǎn)自身漏洞的脆弱性；網(wǎng)絡(luò)互連給系統(tǒng)帶來的脆弱性；內(nèi)部管理機制缺失帶來的脆弱性，由于企業(yè)內(nèi)部系統(tǒng)或人員訪問缺少基本的管控和認(rèn)證機制，也同時存在設(shè)備隨意接入、非授權(quán)訪問、越權(quán)訪問等多種風(fēng)險；缺乏安全意識帶來的脆弱性，主要是安全政策、管理制度以及人員的安全意識培養(yǎng)都不完善[4-7]。

3 信息安全風(fēng)險辨識

根據(jù)《網(wǎng)絡(luò)安全等級保護(hù)基本要求》中第五部分對于工業(yè)控制系統(tǒng)安全拓展要求中的規(guī)定，從技術(shù)和管理兩個方面進(jìn)行城市軌道交通風(fēng)險辨識的研究[8]。

3.1 技術(shù)層面上的風(fēng)險辨識

3.1.1 物理安全

1）環(huán)境因素的風(fēng)險。城軌交通信號系統(tǒng)大部分所處的環(huán)境都較特殊，并且系統(tǒng)對于環(huán)境溫度及濕度的要求較高，因此自然環(huán)境帶來的風(fēng)險不可能忽視。雷電、洪水、火災(zāi)等都可能成為威脅物理安全的重要風(fēng)險[9]。

2）缺乏物理訪問控制。機房、控制室或工程師站等設(shè)備和數(shù)據(jù)服務(wù)集中站經(jīng)常是防護(hù)手段中較薄弱的一環(huán)，對于進(jìn)出的人員如不進(jìn)行鑒別、控制和記錄，無法實現(xiàn)物理訪問的安全，可能會導(dǎo)致更嚴(yán)重的后果。同時，對于站內(nèi)設(shè)備的區(qū)域管理也不是很完善，沒有實現(xiàn)應(yīng)有的物理隔離。

3）電力供應(yīng)手段不足。城市軌道交通信號系統(tǒng)的正常運營會建立在電力供應(yīng)正常的基礎(chǔ)上，因此如果電力供應(yīng)不穩(wěn)定或是因某一電纜線路損壞而導(dǎo)致不能正常運營，可能會引發(fā)站內(nèi)乘客滯留，甚至導(dǎo)致車廂內(nèi)的乘客恐慌而引發(fā)更嚴(yán)重的事故。

3.1.2 網(wǎng)絡(luò)安全

1）網(wǎng)絡(luò)結(jié)構(gòu)配置不完善。由于很多網(wǎng)絡(luò)設(shè)計之初更多的考慮實用性，對于安全性考慮較少，從而導(dǎo)致沒有給網(wǎng)絡(luò)預(yù)留冗余結(jié)構(gòu)空間，在業(yè)務(wù)高峰期或是發(fā)生特殊險情之時沒有足夠的帶寬或空間來進(jìn)行協(xié)調(diào)和調(diào)度。同時，還要根據(jù)部門的不同職能和信息的重要程度來劃分不同的網(wǎng)段和子網(wǎng)，并對它們各自的地址段進(jìn)行完全的管控[10]。

2）網(wǎng)絡(luò)的訪問控制管理不完善。由于城軌交通系統(tǒng)網(wǎng)絡(luò)的特殊性，對于其管控應(yīng)該更加嚴(yán)格。網(wǎng)絡(luò)邊界缺乏訪問控制也是信號系統(tǒng)的一個重大隱患。由于通信信號應(yīng)用的無線網(wǎng)絡(luò)頻段與乘客的無線設(shè)備的頻段相似，因此，列車接收的信號很容易被乘客或一些其他的信號信息所干擾，城軌交通曾發(fā)生過類似事故，由此反映了現(xiàn)如今對于進(jìn)出網(wǎng)絡(luò)的信息還沒有進(jìn)行有效的過濾措施。

3）缺乏安全審計。對于信號系統(tǒng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備運行情況、網(wǎng)絡(luò)流量、管理者行為應(yīng)進(jìn)行日志記錄，但是對于這些重要數(shù)據(jù)和文件的審計并不完善，導(dǎo)致核心數(shù)據(jù)未及時記錄，影響設(shè)備的監(jiān)察和維護(hù)，同時攻擊者可能對審計記錄進(jìn)行破壞或者篡改，因此對審計記錄的保存也應(yīng)予以高度重視，以避免未預(yù)期的刪除、修改或覆蓋等。

4）惡意代碼攻擊或入侵。攻擊者可能針對網(wǎng)絡(luò)邊界處進(jìn)行惡意代碼攻擊，由于目前城軌系統(tǒng)中對于惡意代碼的防范以及惡意代碼庫的建立并不完善，因此如果攻擊者選取其中一個薄弱點進(jìn)行攻擊的話，有可能造成列車運營中的各種事故，甚至威脅乘客或站內(nèi)工作人員的生命財產(chǎn)安全。

對于攻擊者惡意入侵這一危險源，目前暫不能進(jìn)行預(yù)計，因此只能加強網(wǎng)絡(luò)邊界處的惡意入侵防范，并且在受到攻擊時，及時針對攻擊手段和攻擊目標(biāo)進(jìn)行緊急處理，將損失降到最低。

5）網(wǎng)絡(luò)設(shè)備防護(hù)不完善。信號系統(tǒng)的網(wǎng)絡(luò)設(shè)備對實現(xiàn)信號系統(tǒng)的功能有重要作用，因此網(wǎng)絡(luò)設(shè)備的登錄管理要更加完善，要對登錄請求的用戶進(jìn)行身份鑒別和登錄地址限制，同時身份鑒別的口令要有一定的復(fù)雜度并且不定時更換，否則就會導(dǎo)致攻擊者登錄網(wǎng)絡(luò)設(shè)備，進(jìn)而進(jìn)行數(shù)據(jù)篡改、損壞更改控制命令等不法操作。

同樣不可忽略的是，目前對于網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理還不夠完善。攻擊者可能繞過網(wǎng)絡(luò)邊界的訪問，直接對數(shù)據(jù)傳輸通道進(jìn)行竊聽或是監(jiān)聽。

3.1.3 主機安全

1）控制系統(tǒng)和數(shù)據(jù)庫訪問控制機制不完善。中心和車站的控制系統(tǒng)都是由專職的工作人員負(fù)責(zé)的，因此對于這些系統(tǒng)的訪問控制是不容忽視的。攻擊者可能直接對沒有訪問控制的系統(tǒng)執(zhí)行不法操作，或是冒用非法掌握的身份信息進(jìn)行訪問。

2）剩余信息保護(hù)措施不完善。中心和車站最重要的區(qū)域就是控制中心、調(diào)度站等進(jìn)行控制行為和存儲大量數(shù)據(jù)的地點。因此，工作人員之間對于訪問權(quán)限的設(shè)定是很重要的環(huán)節(jié)。不容忽略的是，在進(jìn)行工作人員之間的存儲空間轉(zhuǎn)換時，要對存儲空間中的剩余信息進(jìn)行清除和保護(hù)，否則可能造成權(quán)限外的關(guān)鍵數(shù)據(jù)和信息的泄露，為攻擊者所用。

3）資源控制措施不完善。由于城市軌道交通信號系統(tǒng)的實行范圍很大，工作環(huán)境人員較為密集，并且對于重點工作區(qū)域的安保工作不夠強，因此，對于操作系統(tǒng)或重要服務(wù)器的終端登錄方式設(shè)定如果太過簡單就會給攻擊者可乘之機，并且不能忽視攻擊者中可能存在內(nèi)部工作人員和外部人員。對于操作系統(tǒng)的登錄超時要設(shè)定適當(dāng)?shù)臅r間，否則如果攻擊者直接接觸或直接在操作臺上操作或篡改重要數(shù)據(jù)，導(dǎo)致的后果不堪設(shè)想。

3.1.4 應(yīng)用安全

1）通信保護(hù)措施不完善。由于信號系統(tǒng)的主要功能是建立設(shè)備、系統(tǒng)之間的通信聯(lián)系，因此通信的完整性和保密性尤為重要。如果在通信路徑上沒有建立足夠完善的保護(hù)措施，那么攻擊者可能會竊聽到重要的控制命令和通信內(nèi)容，這就破壞了通信的保密性，甚至在竊聽的基礎(chǔ)上篡改數(shù)據(jù)指令，破壞數(shù)據(jù)的完整性。

2）抗抵賴措施不完善。攻擊者可能冒充控制中心傳遞錯誤信息，這時如果沒有提供原發(fā)證據(jù)的要求，那么數(shù)據(jù)接受設(shè)備或執(zhí)行者很難識別錯誤信息，使得列車的運行狀態(tài)被擾亂或列車調(diào)度出現(xiàn)問題，從而導(dǎo)致重大事故的發(fā)生。

3）軟件容錯功能不完善。即使系統(tǒng)在設(shè)計之初保障了系統(tǒng)的可用性，但是由于信號系統(tǒng)一定程度上的故障率，在運行過程中由于各種原因發(fā)生故障也是無法避免的，這就需要設(shè)置軟件容錯功能。在一定程度上其功能要保證人機接口的輸入輸出數(shù)據(jù)格式是系統(tǒng)可識別的，同時在系統(tǒng)發(fā)生故障時，應(yīng)啟動自動保護(hù)功能，保護(hù)當(dāng)時的運行狀態(tài)，以確保系統(tǒng)能夠進(jìn)行恢復(fù)。

3.1.5 數(shù)據(jù)安全與備份恢復(fù)

在現(xiàn)如今的安全保障措施中，對于數(shù)據(jù)的完整性和保密性措施是很匱乏的，對于管理數(shù)據(jù)和普通數(shù)據(jù)也還沒有進(jìn)行完善的分類保護(hù)，影響了安全審計的效果，也無法正常實施系統(tǒng)的維護(hù)和監(jiān)控。

同時，對數(shù)據(jù)進(jìn)行備份也是保障信息安全、降低攻擊受影響程度的一個重要措施。對于本地數(shù)據(jù)的備份恢復(fù)功能是基礎(chǔ)，并且要以天為單位，同時還要建立重要數(shù)據(jù)異地備份功能。這樣即使攻擊者針對數(shù)據(jù)進(jìn)行破壞或篡改之后，系統(tǒng)依然能夠?qū)崿F(xiàn)容錯功能。

3.2 管理層面上的風(fēng)險辨識

目前城軌交通系統(tǒng)信息安全的形勢是員工的安全意識不強，沒有完善的信息安全管理也是導(dǎo)致這一形勢的重要原因。雖然管理層面上的風(fēng)險可能不會直接導(dǎo)致事故的產(chǎn)生，但是它卻是一切安全措施正常實施的根本保障[11]。

1）對于員工的安全意識和安全專業(yè)知識的定期培訓(xùn)是容易忽視的一點。

2）系統(tǒng)文檔不全面也是管理上的漏洞。例如一份系統(tǒng)操作指南對于規(guī)范工作人員的行為是很重要的，操作指南是系統(tǒng)發(fā)生故障之時安全恢復(fù)的重要組成部分，在運維時，操作指南的缺失會大大降低工作人員的工作效率，增加再次故障的風(fēng)險。

3）業(yè)務(wù)連續(xù)性計劃或災(zāi)難恢復(fù)計劃也不明確。由于城軌交通系統(tǒng)的穩(wěn)定性是直接和乘客的人身安全息息相關(guān)的，因此在發(fā)生故障或事故的同時，如果在管理層面上沒有正確的應(yīng)急響應(yīng)機制，那么無疑會無限擴大事故波及的范圍，也會對乘客造成更加嚴(yán)重的傷害。

在重要的軟硬件設(shè)備發(fā)生故障時，如果業(yè)務(wù)連續(xù)性計劃或災(zāi)難恢復(fù)計劃缺失，可能會造成業(yè)務(wù)中斷及生產(chǎn)數(shù)據(jù)丟失。

4 結(jié)語

對于城市軌道交通信號系統(tǒng)信息安全風(fēng)險辨識的工作是不容忽視的，由于交通行業(yè)也是工業(yè)控制系統(tǒng)的一個典型系統(tǒng)，因此可以借鑒工業(yè)控制系統(tǒng)的一些已有理論加以拓展。但是由于其系統(tǒng)還存在特殊性，所以一切分析不能一概而論，要結(jié)合行業(yè)特點和實踐經(jīng)驗加以分析。

[1] 趙玉巖. 城市軌道交通信號系統(tǒng)的研究[J]. 城市建設(shè)理論研究(電子版), 2015, 5(26): 1536-1537.

ZHAO Yuyan. Research on urban rail transit signal system[J].Urban construction theory research, 2015, 5(26): 1536-1537.

[2] 信息安全技術(shù)信息安全風(fēng)險評估規(guī)范: GB/T 20984—2007[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2007.

Information security technology-Risk assessment specifi-ca-tion for information security: GB/T 20984—2007[S]. Beijing: Standards Press of China, 2007.

[3] 盧慧康, 陳冬青, 彭勇, 等. 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估量化研究[J]. 自動化儀表, 2014, 35(10): 21-25.

LU Huikang, CHEN Dongqing, PENG Yong, et al. Quan-titative research on risk assessment for information security of industrial control system[J]. Automatic instrument2014, 35(10): 21-25.

[4] Security for industrial auto-mation and control systems part 1: Terminology, Concepts, and Models: ANSI/ISA– 99.00.01–2007[S]. American National Standard, 2007.

[5] STOUFFER K, FALCO J, SCARFON KE. Guide to industrial control systems (ICS) security[M]. NIST Special Publication, 2008.

[6] Industrial control network & system security standar-dization: IEC 62443 [S]. Information technology & stan-dardi-zation, 2011

[7] 陶凌漢, 李璐. 工業(yè)控制系統(tǒng)脆弱性分析及安全管控研[J]. 保密科學(xué)技術(shù), 2016 (1): 30-35.

TAO Linghan, LI Lu. Vulnerability analysis of industrial control systems and safety management research [J]. Sec-recy science and technology, 2016 (1): 30-35

[8] 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求: GB/T 22239—2008[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2008.

Ionformation secuiryt technology: Baseline for classified protection of information system security: GB/T 22239—2008 [S]. Beijing: Standards Press of China, 2008

[9] 陶志堅, 姚日煌. 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估研究[J]. 電子產(chǎn)品可靠性與環(huán)境試驗, 2016, 34 (6): 15-21.

TAO Zhijian, YAO Rihuang, Study on information security risk assessment of industrial control systems. Electronic product reliability and environmental testing, 2016, 34(6): 15-21.

[10] 張帥. 工業(yè)控制系統(tǒng)安全風(fēng)險分析[J]. 信息安全與通信保密, 2012(3): 15-19.

ZHANG Shuai. Industrial control system security risk analysis. China information security, 2016, 34(6): 15-21.

[11] 束昱, 田坤, 路姍, 等. 我國城市地鐵運營系統(tǒng)的風(fēng)險與安全評價研究[C]//地下交通工程與工程安全?第五屆中國國際隧道工程研討會文集. 上海, 2011.

BU Yu, TIAN Kun, LU Shan, et al. Study on risk and safety evaluation of metro operation system in China [C] // Proceedings of the 5th China International Tunnel Engi-neering Symposium on Underground Traffic Engineering and Engineering. Shanghai, 2011.

（編輯：王艷菊）

Identification of Information Security Risk in Urban Rail Transit Signal Systems

CHEN Jiayi, YAN Fei

(School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044)

Based on the critical situation of information security in urban rail transportation systems, a signal system is introduced for the latter, and the functions of each subsystem of the signal system are elaborated. The signal system comprises the core technology and equipment that ensure the safety, punctuality, and high-density operation of trains, and primarily consists of an automatic control system, automatic protection system, automatically operated subsystem, and interlocking subsystem. The risk sources and core assets of information security in the signal system are identified using an information security risk analysis model. As the urban rail transportation system is a typical industrial control system, its signal system is characterized by the general traits and vulnerabilities of the latter. Our studies in the field of transportation information security of domestic urban rail systems and the vulnerabilities at different levels of the industrial control system have been performed keeping the two aspects of information security risk identification, viz., technology and management, in mind. We have identified the risks existing in the current level of physical, network, host, and application securities through proper analysis.Our results highlight the weaknesses of urban rail transportation information security, and pave the way for future research and protection work.

urban rail transit; signal system; information security; risk identification; vulnerability analysis

U231

A

1672-6073(2018)02-0119-05

10.3969/j.issn.1672-6073.2018.02.020

2017-06-27

2017-07-23

陳嘉怡，女，碩士研究生，從事城市軌道交通信息安全研究，chenjiayi1610@163.com

燕飛，男，副教授，碩士生導(dǎo)師，從事城市軌道交通信息安全研究，fyan@bjtu.edu.cn

國家自然科學(xué)基金重點項目（U1434209）；中國信息安全測評中心項目（CNITSEC-KY-2016-01）