_____________________________Безопасность, надежность и техническая диагностика
УДК 004.056.5+625.1
П. А. Плеханов
Обеспечение безопасной передачи данных в системах железнодорожной автоматики, телемеханики и связи
Все системы передачи данных, используемые сегодня в контуре безопасного управления движением поездов (в системах железнодорожной автоматики, телемеханики и связи - ЖАТС) как на отечественных, так и на зарубежных железных дорогах, можно разделить на два больших класса -«закрытые» и «открытые» системы [1].
Закрытой системой передачи данных (closed transmission system) является система, объединяющая установленное количество (или установленное максимальное количество) участников и обладающая фиксированными и хорошо известными возможностями, в которой риск несанкционированного доступа считается пренебрежимо малым. Открытая система передачи данных (open transmission system) представляет собой систему, объединяющую неизвестное количество участников и имеющую неизвестные, непостоянные и неподтвержденные возможности по предоставлению услуг связи, при использовании которой следует оценить риск несанкционированного доступа.
Таким образом, в случае организации передачи данных в системах ЖАТС с помощью собственной железнодорожной телекоммуникационной сети (например, при помощи сетей радиосвязи стандартов GSM-R и TETRA, сетей проводной и радиосвязи собственных уникальных стандартов) мы имеем дело с закрытой системой передачи данных. В случае же использования каналов связи сетей коммерческих операторов (например, сетей сотовой связи стандарта GSM) имеет место открытая система передачи данных.
Рассмотрим основные угрозы и способы их устранения при использовании открытых систем связи как наиболее уязвимых с точки зрения возникновения опасных событий [2], [3].
Каждая угроза может быть рассмотрена как набор опасных событий, ее создающих. Идентифицировав опасные события, необходимо построить зависимость между ними и возможными угрозами. Это делается для подтверждения отсутствия дополнительных угроз и проверки корректности применения принятого подхода. Зависимость (матрица) «Опасные собы-тия/Угрозы» может быть представлена в виде табл. 1.
15
Безопасность, надежность и техническая диагностика
Таблица 1
Матрица «Опасные события/Угрозы»
Опасные события Угрозы
Повторение сообщения Удаление сообщения Вставка сообщения Переупорядо- чение сообщения Искажение сообщения Задержка сообщения Подмена сообщения
Систематические отказы аппаратных средств X X X X X X Х^
Систематические отказы программных средств X X X X X X X1)
Помехи по соседнему каналу X X X X1)
Обрыв проводов X X X
Расстройка антенн X X
Ошибки коммутации кабельной сети X X X X X1)
Случайные отказы аппаратных средств X X X X X X X1)
Старение аппаратных средств X X X X X X X1)
Использование некалиброванных (неповеренных) инструментов X X X X X X X1)
Использование инструментов не по назначению X X X X X X X1)
Неправильная замена аппаратных средств X X X X X X X1)
Эффекты замирания сигнала X X X X
Электромагнитные помехи X X
Ошибки человека X X X X X X X1)
Тепловой шум X X
Магнитные бури X X X
Пожары X X X
Землетрясения X X X
Грозовые разряды X X X
Перегрузка системы связи X X
Подслушивание телефонных разговоров с помощью специальных устройств X X X X X X X1)
Повреждение или разрушение аппаратных средств X X X
Недопустимые модификации программного обеспечения X X X X X X X2)
Передача неразрешенных сообщений X X X2)
Мониторинг каналов ’
Примечания.
1. В этом случае правильное сообщение передается по неверному адресу; возможным противодействием является задание адреса отправителя.
2. В этом случае сообщение является мошенническим с самого начала; необходима серьезная защита, например, использование ключа.
3. Опасное событие «мониторинг каналов» само по себе угрозы не представляет; угрозой могут быть последствия раскрытия полученной при мониторинге информации, а это - предмет требований по секретности конкретного применения открытой системы связи.
16
Безопасность, надежность и техническая диагностика
Для снижения риска [4], связанного с выявленными угрозами, должны быть рассмотрены и применены в той степени, которая диктуется спецификой конкретного приложения, следующие функции обеспечения безопасности:
• проверка достоверности сообщения - состояния информации, в котором она может быть использована по назначению и известен источник ее происхождения;
• проверка целостности сообщения - состояния полноты и неизменности информации;
• проверка своевременности сообщения - состояния информации, определяющего ее доступность в срок и в соответствии с требованиями;
• проверка упорядоченности потока сообщений.
При доказательстве безопасности должно быть показано, что в соответствии с матрицей «Угрозы/Меры защиты» (табл. 2) для каждой возможной угрозы предусмотрено противодействие в виде одного или нескольких средств защиты.
Таблица 2
Матрица «Угрозы/Меры защиты»
Угрозы Меры защиты
Порядковый номер Метка времени Интервал между сообщениями Идентификаторы передающего и приемного устройств Квитирование принятого сообщения Процедура идентификации сообщения ихооношоеэд йоя Методы криптографической защиты
Повторение сообщения Х Х
Удаление сообщения Х
Вставка сообщения Х Х2) Х1) Х1)
Переупорядочение сообщений Х Х
Искажение сообщения Х3) Х
Задержка сообщения Х Х
Подмена сообщения Х1) Х1) Х3)
Примечания.
1. Зависит от специфики приложения.
2. Применимо только к идентификатору источника. Детектирование вставки сообщения только от неверного источника. Если уникальный идентификатор не может быть определен из-за того, что пользователь неизвестен, то следует пользоваться методами криптографической защиты.
3. Выбор и применение кодов безопасности и методов криптографической защиты должны осуществляться в соответствии:
- с наличием или отсутствием возможности управления несанкционированным доступом;
- типом используемого криптографического кодирования;
- наличием или отсутствием изолированности безопасного процесса защиты доступа к системе связи от безопасного прикладного процесса.
17
Безопасность, надежность и техническая диагностика
Существует много возможных факторов, которые необходимо учитывать при рассмотрении реальных систем связи, поскольку ими определяются решения по противодействию идентифицированным угрозам. Возможно, например, что система железнодорожной сигнализации использует канал передачи данных корпоративного или коммерческого оператора в соответствии с договором, условиями которого ограничивается ответственность этого оператора. Важна также степень защиты информации, уже реализованная в используемой сети. От этого в значительной степени может зависеть значимость угроз для пользовательских данных, а следовательно, и требования к мерам защиты.
В табл. 3 приведена возможная классификация реальных систем связи, а в табл. 4 - предварительная оценка угроз, возможных для каждого класса.
Таблица 3
Классы систем связи
Класс Основные характеристики Примеры
1 2 3
Класс 1 Все свойства известны и остаются постоянными в течение всего срока службы. Одна пользовательская группа. Частные местные сети, сети PROFIBUS (Process Fieldbus -спецификация открытой высокоскоростной шины для цифрового технологического оборудования) и MVB (Multipurpose Vehicle Bus - многоцелевая транспортная шина), не меняющие своих характеристик в течение всего срока службы.
Класс 2 Некоторые свойства известны и остаются постоянными в течение всего срока службы. Ограниченная зона связевого покрытия. Ограничения на хранение данных по объему и сроку. Одна пользовательская группа. Такие же, как и в классе 1, но существует возможность замены одной системы связи на другую в течение срока службы.
Класс 3 Некоторые свойства известны и остаются постоянными в течение всего срока службы. Ограниченная зона связевого покрытия. Практически отсутствуют ограничения на хранение данных по объему и сроку. Известны многочисленные пользовательские группы. Сети LAN (Local Area Network -локальная (вычислительная) сеть).
18
Безопасность, надежность и техническая диагностика
Окончание табл. 3
1 2 3
Класс 4 Свойства неизвестны и/или меняются в течение срока службы. Использование только сетей с известными возможностями по защите данных. Известны многочисленные пользовательские группы. Сети WAN (Wide Area Network -глобальная или региональная (вычислительная) сеть), принадлежащие железным дорогам.
Класс 5 Свойства неизвестны и/или меняются в течение срока службы. Использование сетей с не всегда известными возможностями по защите данных. Многочисленные пользовательские группы. Сети PTN (Public Telephone Network -телефонная сеть общего пользования), используемые в непредсказуемые моменты времени.
Класс 6 Свойства неизвестны и/или меняются в течение срока службы. Использование общественной сети связи. Редкие ошибки. Многочисленные пользовательские группы. Сети PTN.
Класс 7 Свойства неизвестны и/или меняются в течение срока службы. Использование сети связи общего пользования. Частые ошибки. Сеть Интернет.
Таблица 4
Матрица «Класс системы/Угрозы»
Класс системы Угрозы
Повторение сообщения Удаление сообщения Вставка сообщения Переупоря- дочение сообщения Искажение сообщения Задержка сообщения Подмена сообщения
Класс 1 + + + + + + + + + + -
Класс 2 + + + + + + + + + + + -
Класс 3 + + + + + + + + + + + + -
Класс 4 + + + + + + + + + + + + -
Класс 5 + + + + + + + + + + + + -
Класс 6 + + + + + + + + + + + + +
Класс 7 + + + + + + + + + + + + + +
Обозначения.
- Угрозой можно пренебречь.
+ Угроза существует, но появляется редко; эффективны простые меры по защите данных.
+ + Угроза существует; для эффективного противодействия требуются комплексные меры защиты данных.
19
Безопасность, надежность и техническая диагностика
Представленная выше степень обобщения не позволяет сопоставить класс системы связи с тем или иным уровнем полноты безопасности и мерами защиты, необходимыми для противодействия угрозам в этом классе систем. Для этого необходимо детально рассматривать специфику конкретного приложения.
Библиографический список
1. Плеханов П.А. Вопросы обеспечения безопасности железнодорожных телекоммуникационных систем международных транспортных коридоров / П. А. Плеханов // Бюллетень результатов научных исследований. - 2012. - № 3 (2). - С. 85-97.
2. BS EN 50159:2010 Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems. - М. : ФГУП «Стандартинформ», 2010. - 68 с.
3. Ефанов Д. В. Обеспечение безопасности движения за счет технического диагностирования и мониторинга устройств железнодорожной автоматики и телемеханики / Д. В. Ефанов, П. А. Плеханов // Транспорт Урала. - 2011. - № 3 (30). -С. 44-48.
4. Ефанов Д. В. Непрерывное диагностирование устройств СЦБ / Д. В. Ефанов, П. А. Плеханов // Автоматика, связь, информатика. - 2012. - № 6. - С. 18-20.
20