浅析地铁信号系统信息安全现状及防护建议林江丽

2024年4月26日发(作者：)

浅析地铁信号系统信息安全现状及防护建议 林江丽

发布时间：2021-09-16T08:53:54.660Z 来源：《现代电信科技》2021年第9期 作者： 林江丽

[导读] 在信息时代，信息安全越来越受到重视。国家颁布了网络安全法，并制定了《信息安全技术网络安全等级保护安全设计技术要求》

和《信息安全技术信息系统安全等级保护定级指南》等标准。网络安全法中明确国家实行网络安全等级保护制度。

（深圳地铁运营集团有限公司 广东深圳 518000）

摘要：本文说明了在信息时代下加强信息安全的必要性和急迫性，分析了地铁信号系统信息安全现状和安全隐患，结合信号系统业务

应用流程、网络结构、等级保护要求及实际的安全需求，提出信息安全防护建议。

关键词：信息安全；防范策略；信号系统

引言

在信息时代，信息安全越来越受到重视。国家颁布了网络安全法，并制定了《信息安全技术网络安全等级保护安全设计技术要求》和

《信息安全技术信息系统安全等级保护定级指南》等标准。网络安全法中明确国家实行网络安全等级保护制度。网络运营者应当按照网络

安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

城市轨道交通作为交通设施，其安全性尤为重要。而信号系统设备是涉及行车安全的重要设备，必须保证其安全性和可靠性，信息安

全也同样需要重视。一旦信号系统出现大面积故障或受到破坏，则会严重影响行车安全。信息安全建设越来越重要，已提升至前所未有的

新高度，信号系统拟定为三级等保。为提高全网安全防护能力，新建线路的地铁信号系统需参照等保标准进行建设，已建线路需参照等保

要求进行评估，对于不符合项需在保障运营安全的前提下，制定切实可行的整改方案，提升信息安全。

1 信号系统构成

地铁信号系统是基于无线通信技术的CBTC移动闭塞系统，列车定位精度高，车地数据通信数据量大，可实现地面-车载的信号自动化

控制。完整的列车自动控制（ATC）系统包括：ATS列车自动监控子系统、ATP列车自动防护子系统、ATO列车自动运行子系统、联锁子系

统、DCS数据传输子系统和车地通信等子系统，以实现完整的CBTC功能。

2 信号系统信息安全现状

信号系统为专用的数据通信网络，不连接互联网，在相对封闭的各子专业系统中进行数据交互实现信号控制功能，曾被认为是安全

岛。但是随着信息技术不断发展，信号系统面临日益严峻的威胁，计算机病毒可利用高危漏洞入侵计算机系统，并在局域网内攻击其他主

机设备，造成系统故障。近两年已在地铁运营线路中发生了多起因信息安全问题导致某些设备功能无法正常工作的案例，严重影响系统正

常使用，对安全运营产生不利影响。

案例一：调度大厅某线路大屏显示系统反复出现蓝屏，无法正常显示线路运营情况。经调查发现，生产网络内某些主机被感染了挖矿

病毒，不断消耗感染主机的资源，同时不断探测其他主机系统漏洞，存在恶意扫描攻击的行为，最终导致大屏系统无法承受攻击出现蓝

屏。

案例二：某线路信号系统工作站间断性出现蓝屏、自动重启现象，影响车站工作人员的正常工作，对行车状态监测造成影响。经过调

查发现，线路信号系统部分工作点的工作站感染了“永恒之蓝”的病毒，该病毒在网络内部不断扫描、尝试感染其他存在风险的主机，造成

蓝屏和重启的故障。

信号系统设备存在信息安全隐患，应开展风险评估和整改工作，针对发现的问题，通过技术手段及管理措施对系统进行优化，不断迭

代更新，提升信息安全。以下内容是以运营10年的某线路信号系统为例，分析信息安全存在的风险，提出对应的防护建议。

3 信号系统信息安全风险分析

该系统在设计之初没有三级等保的要求。在信息安全防护方面配置了硬件防火墙及微软操作系统的杀毒软件，但远不能满足现在的信

息安全要求，通过分析信号系统的安全通信网络、安全区域边界、安全计算环境这几方面的要求，主要存在以下风险。

3.1 通信网络架构缺少安全设备

由于DCS数据传输系统对信号信息进行可靠性传输，共分为3个联锁区域，每个区域设置2个站点组建DTS核心网络，与控制中心的DTS

核心交换机采用星型连接；联锁区内其它各站的DTS交换机采用跳站环线连接。目前只在控制中心部署了防火墙设备，无其它安全设备，

没有部署访问控制设备，缺少安全区域之间的访问控制，缺少信息传输内容的过滤功能。

3.2 区域边界安全防护薄弱

信号系统与外系统通过防火墙与外部系统进行数据传输，区域间未采用单向的技术隔离手段。网络设备的安全性直接关系到信号系统

的正常运行，但信号系统没有部署入侵检测设备，缺少非法接入和安全威胁的检查、定位和阻断的能力，不能及时发现风险攻击。如果网

络设备被攻击或者被获取控制权，那么系统中的关键设备如服务器等有可能会被攻击，将会造成严重的后果。

3.3 终端设备操作系统安全性不佳

信号ATS服务器和工作站的使用的硬件设备为2008年的产品，操作系统分别为Windows Server 2008 SP2、Windows Vista SP1，操作系统

版本较低。通过专业远程安全评估系统rsas-vulsys对ATS主机进行安全扫描，结果发现高危漏洞25个，中危漏洞23个，低危漏洞24个。原系

统中安装的杀毒软件F-Secure也已停止支持旧版的微软操作系统，不提供病毒库更新。并且由于业务需要，信号系统中开放了445、135、

139等多个端口，操作系统本身的安全性给整个系统带来巨大的安全风险，一旦染毒极易在信号系统内网中进行快速传播，受感染的计算机

设备将无法正常使用，如果重要设备（ATS服务器、行调工作站）被病毒感染将会对运营产生严重影响。

4 信息安全问题整改存在的困难及建议

信息安全对计算机设备软硬件、网络设备、组网架构等方面有严格的要求。而对于持续运行了10年的信号系统而言，存在计算机硬件

设备老化、备件停产、操作系统老旧等问题。在整改中涉及信号系统架构、安装其他设备或软件等，需考虑设备运行现状对整改的适用

性。因此在研究制定方案中，需地铁运营方联合信号系统厂家共同制定有效且可行的整改方案，确保整改工作不会影响运营安全。在信息

安全风险管控方面，需对每一台计算机设备进行风险分析，划分风险等级并制定相应的管控措施，以降低感染计算机病毒的风险。如何在

确保安全运营和信息安全之间寻求平衡点，是整改工作的难点所在，需根据整改的不同阶段不断进行调整和优化。

4.1 安装高危漏洞补丁

前文已提到，在ATS系统中存在高危漏洞25个。整改工作存在的困难，一是没有功能完备的测试环境，二是没有适用的补丁软件。以

修补MS17-010漏洞为例，信号系统厂家因无测试环境无法直接对补丁安装的影响情况进行评估，需在地铁运营模拟培训室设备中进行测

试，但与现场设备不完全一致，不能完全确认是否会对信号系统的整体业务造成影响。二安装“永恒之蓝”漏洞补丁，必须先对操作系统版

本进行升级后才可安装“永恒之蓝”补丁。在地铁运营模拟培训室的测试结果显示，ATS服务器升级操作系统版本并安装补丁后，重启服务器

至进程完全开启较之前变慢了约35秒；ATS工作站升级操作系统版本并安装补丁后，重启工作站至完全加载ATS软件较之前变慢了约20秒。

如果在现场运营设备中安装操作系统补丁，对于接近满负荷运行的ATS服务器以及频繁操作使用的行调工作站等，可能会出现内存超限、

系统卡滞等情况，有可能对日常运营造成影响。

鉴于升级微软操作系统版本存在影响运营的风险，应制定相应的控制措施保障安全运营。建议从设备重要程度这个维度进行分类，制

定升级方案和应急预案。对于非关键设备（例如维护工作站），可先选取单一站点进行系统升级和补丁安装测试，依据测试结果再确定是

否对全线非关键设备进行升级；对于关键设备（如服务器、行调工作站等）应先从影响范围小的设备开始测试，并联系信号厂商共同确认

系统运行情况，综合评估后再确定其它关键设备的整改方案。

4.2 安装系统杀毒软件

安装杀毒软件存在的困难是当前市场上专业的杀毒软件对计算机操作系统有最低版本的要求，并且对计算机、服务器硬件处理能力也

有要求。若安装或更换杀毒软件，需进行系统性测试和验证。鉴于目前该线路的计算机、服务器设备已使用超10年，信号系统厂商无法找

到同型号硬件设备搭建测试环境，无法进行杀毒效果的验证测试，因此无法确定新杀毒软件对系统运行会产生多大的影响，

该问题可先从管理角度出发，禁用空闲USB端口和光驱口，并制定病毒防控相关制度，如操作人员行为管理、密码管理、移动存储介

质管控、机房安防管控等，降低计算机设备感染病毒的风险。从长远角度来看应充分利用信号系统整体升级改造的契机，在升级计算机软

硬件的同时安装专业杀毒软件病及时更新病毒库。

4.3 关闭“高危”端口

由于135、137、138、139、445端口易被利用进行病毒传播，被称为“高危”端口。高危是相对而言的，若计算机操作系统已安装杀毒软

件并定期更新病毒库、已安装漏洞补丁，那么这些端口则不会被病毒利用，若以上措施没有执行到位，则这些端口则是高危端口。上文已

提到该线路大部分的计算机设备安全现状不佳，同时又开启了很多高危端口，存在较大安全隐患。而据该线路地铁模拟培训室设备的测试

结果显示，关闭这些端口后，信号系统软件部分功能无法正常工作。

该问题同样是先从管理角度触发，制定相应的管控措施降低计算机感染病毒的风险。再结合信号系统的整体情况，由地铁运营方联合

信号系统厂商确认端口对业务的影响，修改配置，尽可能使用不常用的端口，关闭“高危”端口。

4.4 其他三级等保要求的整改项

由于该线路的信号系统在设计之初没有三级等保的要求，如果要按等保三要求对信号系统进行改造，需要由地铁运营方联合信号厂家

进行详细技术分析，并针对各个不符合项制定相应的整改措施（包括增加硬件、修改系统软件、系统构架等），这些技术分析和整改措施

需要大量的资源和时间才能完成。而信号系统目前使用的硬件设备为十多年前的产品，目前无法找到与之相同的硬件搭建测试环境，从而

也就无法验证整改措施对系统可能产生的影响。在未完成充分的测试和验证的情况下对运营线路信号系统执行整改措施，对运营造成影响

的风险极高。

鉴于信号厂家的对三级等保整改的风险评估，建议优先对不涉及信号系统核心业务的风险项进行整改，尽可能减少风险。长远来看，

可在后期在线路的延长线项目或系统升级改造中，按三级等保的相关要求进行系统设计和建设，为既有设备的整改提供参考。

5 结束语

信息安全是依据新技术新知识不断完善的、长期的工作，在系统的全生命周期中占据了越来越重要的地位，甚至直接影响着系统的稳

定性和安全性。既要从技术方面提高系统信息安全性，也要从信息安全管理角度出发，建立安全管理体系，提高信号系统的安全防护水

平。

参考文献：

[1]法律与国际编辑部.中华人民共和国网络安全法[M].人民出版社，2016.

[2]韩鹍、杜佳.信息系统安全与防护[M].国防工业出版社，2019.

[3]中国国家表转化管理委员会.信息安全技术 网络安全等级保护测评要求GB/T 28448-2019.[M].中国标准化出版社，2019.

[4]中国国家表转化管理委员会.信息安全技术信息系统安全等级保护定级指南GBT 22240—2008[M].中国标准化出版社，2020.

[5]国家工业信息安全发展研究中心.工业控制系统信息安全防护指引[M].电子工业出版社，2018.