劉 貞，何躍鷹，丁 歡

(1．北京全路通信信號研究設計院集團有限公司，北京 100070；2．北京市高速鐵路運行控制系統(tǒng)工程技術研究中心，北京 100070；3．國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心，北京 100029)

1 概述

中國擁有全球規(guī)模最大的高鐵和地鐵線路網(wǎng)，截至2020 年7 月底，中國高鐵運營里程達到3.6 萬km，預計到2035 年高鐵運營里程將突破7 萬km，地鐵運營里程達到6 700 多km。軌道交通已成為承載廣大人民群眾中遠途出行和物資運輸?shù)闹饕懮辖煌üぞ摺?/p>

列車運行控制系統(tǒng)（簡稱列控系統(tǒng)）是保障列車安全和高效運行的大腦和神經(jīng)中樞，時刻保障著旅客的生命安全。列控系統(tǒng)是一個龐大而又復雜的安全控制系統(tǒng)，主要由中心設備、車站設備、軌旁設備和車載設備組成，上述設備通過列控安全數(shù)據(jù)網(wǎng)絡進行數(shù)據(jù)信息交換，提供安全控車服務。

無論是高鐵還是地鐵，在早期的列控系統(tǒng)網(wǎng)絡設計過程中，更多的關注功能安全（safety）而非網(wǎng)絡信息安全（security），主要通過網(wǎng)絡物理隔離和邊界防火墻實現(xiàn)最基本的防護以應對網(wǎng)絡攻擊威脅。以高鐵為例，如圖1 所示，列控系統(tǒng)網(wǎng)絡隨著高鐵線路平行部署，全國是一張物理連通的平面網(wǎng)絡，接入數(shù)十萬的列控設備，沿線的數(shù)千個機房都部署物理網(wǎng)絡端口，物理隔離保障安全的風險在不斷加大。

隨著中美經(jīng)貿(mào)摩擦加劇，以美國為代表的西方國家除了在核心技術方面對華進行封鎖之外，通過網(wǎng)絡進行攻擊和滲透的風險也在不斷加劇，特別是應用于工業(yè)安全控制的工業(yè)互聯(lián)網(wǎng)面臨的風險尤為突出。為此，國家多個部門聯(lián)合發(fā)布了《中華人民共和國網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例》[1-3]，將工業(yè)網(wǎng)絡特別是軌道交通中的列控系統(tǒng)網(wǎng)絡納入關鍵信息基礎設施保護范圍，并要求運營者按照網(wǎng)絡安全等級保護制度的要求，履行相應安全保護義務，保障關鍵信息基礎設施免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄漏或者被竊取、篡改[4]。

在新形勢下，為積極響應國家網(wǎng)絡安全等級保護及關鍵信息基礎設施保護工作，切實做好軌道交通列控系統(tǒng)的網(wǎng)絡安全防護，實現(xiàn)列控系統(tǒng)功能安全與信息安全相融合，本文結合列控系統(tǒng)網(wǎng)絡安全現(xiàn)狀，深度分析列控系統(tǒng)網(wǎng)絡安全風險，挖掘安全防護風險點，制定列控系統(tǒng)網(wǎng)絡安全防護技術對策，形成針對列控系統(tǒng)的網(wǎng)絡安全綜合防護解決方案，滿足等級保護2.0 四級防護要求，全面提升列控系統(tǒng)的網(wǎng)絡安全綜合防護能力和應急響應能力，保障高鐵、地鐵等列車的安全穩(wěn)定有序運行。

2 列控系統(tǒng)網(wǎng)絡現(xiàn)狀和面臨的風險

列控系統(tǒng)網(wǎng)絡是列控系統(tǒng)的重要組成部分，承擔著列控系統(tǒng)信號數(shù)據(jù)交互、指令傳輸?shù)戎匾姑?，對網(wǎng)絡的可靠性、實時性有較高的要求，是極其重要的工業(yè)控制網(wǎng)絡。為保障系統(tǒng)各設備間通信的可靠性，列控系統(tǒng)網(wǎng)絡采用雙環(huán)網(wǎng)的物理冗余鏈路搭建網(wǎng)絡，增強了列控系統(tǒng)網(wǎng)絡的健壯性和抗風險能力。然而，隨著列控系統(tǒng)網(wǎng)絡接入設備的增多，網(wǎng)絡規(guī)模不斷擴大，造成列控系統(tǒng)網(wǎng)絡接口、接入節(jié)點數(shù)量劇增，網(wǎng)絡結構變得越來越復雜，維護難度大大增加，面臨的網(wǎng)絡安全風險也愈加突出。

列控系統(tǒng)網(wǎng)絡在建設初期，各系統(tǒng)形成自己的私有網(wǎng)絡，系統(tǒng)間相互獨立，形成了所謂的“物理隔離”[5]，對網(wǎng)絡信息安全防護考慮較少。隨著計算機技術、網(wǎng)絡技術和通信技術的廣泛深入應用，大量的信息化和數(shù)字化組件被引入到網(wǎng)絡中，極大地提升了系統(tǒng)整體的運行效率和自動化程度。但是，這些技術和設備的引進，也使得列控系統(tǒng)面臨著網(wǎng)絡嗅探、網(wǎng)絡攻擊、病毒入侵、數(shù)據(jù)篡改等越來越多的安全威脅，加之攻擊技術手段革新，列控系統(tǒng)網(wǎng)絡面臨的信息安全威脅形勢日益嚴峻，安全風險日益突出。尤其是信息化的快速發(fā)展，一直以來被認為相對封閉、專業(yè)和安全的軌道交通控制系統(tǒng)已不再是一座安全的“孤島”，致使列控系統(tǒng)設備、主機、網(wǎng)絡、數(shù)據(jù)極易遭受來自外部及內(nèi)部的網(wǎng)絡安全攻擊。

近年來世界各地發(fā)生的軌道交通網(wǎng)絡安全事件如下。

圖1 中國高鐵列控系統(tǒng)網(wǎng)絡拓撲圖Fig.1 The Network topology diagram of Chinese train control system for high-speed railways

1）2008 年1 月，一少年攻擊了波蘭lodz 市的城鐵系統(tǒng)，并用遙控裝置改變了多輛列車的運行方向，最終導致4 節(jié)車廂出軌，12 名乘客受傷。

2）2011 年1 月，日本新干線列車運行控制系統(tǒng)疑似受到不明黑客攻擊而導致大癱瘓，全線列車停運約75 min。

3）2011 年11 月，深圳地鐵蛇口線因乘客隨身攜帶的無線網(wǎng)絡信號意外侵入列控系統(tǒng)網(wǎng)絡，導致列車緊急制動，多躺列車暫停運行。

4）2014 年12 月，漏洞報告平臺烏云發(fā)布“高”危害等級漏洞，爆出中國鐵路12306 售票網(wǎng)存在漏洞，疑似有大量用戶密碼明文信息泄露。

綜合列控系統(tǒng)網(wǎng)絡當前現(xiàn)狀，存在的薄弱環(huán)節(jié)和面臨的安全風險主要來自以下幾個方面。

1）列控設備

列控系統(tǒng)接入安全控制設備，多為嵌入式系統(tǒng)。目前設備的芯片大部分采用國外通用芯片，底層操作系統(tǒng)也多為國外通用操作系統(tǒng)，存在較多的軟硬件漏洞，容易受到攻擊；同時，這些嵌入式系統(tǒng)的處理能力有限，功能設計時并沒有考慮過強的網(wǎng)絡安全防護功能，暴露后直接抗攻擊能力較差。

2）列控PC 主機

列控系統(tǒng)PC 主機連接對應列控設備，為運營維護提供支撐。列控PC 主機使用通用工控機和服務器，操作系統(tǒng)多為windows 系統(tǒng)，同樣存在較多的軟硬件漏洞；主機上的殺毒軟件、病毒庫和操作系統(tǒng)漏洞補丁無法及時升級，防病毒能力差，通過移動介質(zhì)引入的惡意代碼和病毒，易造成大量主機運行緩慢、系統(tǒng)崩潰和死機；此外，當前的列控PC 主機僅進行了簡單的賬號控制，無權限管理，容易被攻擊越權造成更大損失。

3）列控系統(tǒng)網(wǎng)絡

列控系統(tǒng)網(wǎng)絡內(nèi)部防護主要依靠管理手段和少量安全設備，區(qū)域防護不完善，局部的網(wǎng)絡安全問題很容易造成全國性的擴散；缺乏設備接入控制，信號安全數(shù)據(jù)網(wǎng)地域跨度大，設備分布廣，接入點多，非法設備極易接入；列控系統(tǒng)網(wǎng)絡子網(wǎng)邊界雖然設置了防火墻，但為減少對列控業(yè)務數(shù)據(jù)實時性影響，許多防護策略未設置，整體邊界防護功能受限。

4）列控數(shù)據(jù)

列控系統(tǒng)數(shù)據(jù)保存于列控設備及列控PC 主機中，在列控系統(tǒng)網(wǎng)絡上傳輸，列控數(shù)據(jù)與列車控車息息相關，目前列控數(shù)據(jù)的安全防護能力不完善，防竊密手段欠缺，受攻擊后容易造成重要數(shù)據(jù)被纂改和外泄。

3 列控系統(tǒng)網(wǎng)絡安全防護技術對策

鑒于軌道交通網(wǎng)絡的重要性和脆弱性，如何有效防護列控系統(tǒng)網(wǎng)絡設施，加強網(wǎng)絡安全綜合防護能力成為必須要解決的首要問題。列控系統(tǒng)網(wǎng)絡作為工業(yè)自動控制網(wǎng)絡，對網(wǎng)絡的可靠性、實時性有較高要求，尤其是與現(xiàn)有設備功能安全的結合成為必須要考慮的重要問題。目前尚無針對列控系統(tǒng)網(wǎng)絡安全綜合防護的方案，行業(yè)尚未建立起成熟的網(wǎng)絡安全綜合防護體系，網(wǎng)絡安全保障能力相對薄弱，安全事件應急處置能力相對較差。

針對列控系統(tǒng)面臨的網(wǎng)絡安全風險，以《網(wǎng)絡安全法》、《等級保護2.0》、《關鍵信息基礎設施安全防護》為依據(jù)，綜合分析列控系統(tǒng)網(wǎng)絡的脆弱性與安全風險，梳理列控系統(tǒng)網(wǎng)絡的安全需求，開展列控系統(tǒng)網(wǎng)絡安全防護機制研究以及影響分析，形成針對列控系統(tǒng)網(wǎng)絡的安全綜合防護解決方案。如圖2 所示，圍繞列控系統(tǒng)設備安全、主機安全、網(wǎng)絡安全和數(shù)據(jù)安全，實行“分區(qū)分域、專網(wǎng)專用、縱深防御、綜合預警”的總體防護策略，構建集資產(chǎn)與設備管理、漏洞檢測、配置核查、邊界防護、入侵檢測、安全監(jiān)測審計與病毒防護、主機管控、數(shù)據(jù)安全防護、態(tài)勢感知等技術為一體的動態(tài)綜合防御體系。

圖2 列控系統(tǒng)網(wǎng)絡安全綜合防護技術架構Fig.2 The technical architecture of network security protection of train control system

該體系以列控設備本體安全為核心，加強信號系統(tǒng)與其他輔助系統(tǒng)自身控制安全、網(wǎng)絡接入控制以及設備間保密通信，強化區(qū)域邊界的防護；建設高等級網(wǎng)絡安全防護體系，實現(xiàn)多層次、多區(qū)域的縱深防御；建設“態(tài)勢感知+集中管理”的一體化平臺，增強統(tǒng)一管理、應急響應及處置能力。旨在形成事前安全檢測預防、事中安全事件監(jiān)測、重要數(shù)據(jù)安全防護和事后快速應急處置于一體的全生命周期網(wǎng)絡安全綜合防護平臺，全天候全方位監(jiān)控關鍵業(yè)務系統(tǒng)及網(wǎng)絡安全狀況，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡安全隱患及風險，并支持溯源取證[6]，整體提升列控系統(tǒng)綜合安全保障水平和應急響應水平。

此外列控系統(tǒng)網(wǎng)絡承擔著控制列車運行的重要任務，因此在進行信息安全防護時必須要保證系統(tǒng)的功能安全，方案設計必須注重功能安全與信息安全的深度融合，應當堅持以下原則。

1）網(wǎng)絡安全防護對功能安全的影響

列控系統(tǒng)安全設備在設計之初為保障控車的安全性和可靠性，充分考慮設備功能安全需求，大多采用二乘二取二的軟硬件架構體系，保障了軌道交通列車的安全有序運行，因此在進行軌道交通網(wǎng)絡安全防護時，應深入評估安全防護設備及相關技術對現(xiàn)有列控設備功能安全可能造成的影響，應在保障現(xiàn)有系統(tǒng)功能安全前提下進行防護方案、防護產(chǎn)品的設計及應用。

2）網(wǎng)絡安全防護不應破壞原有系統(tǒng)的封閉性

列控系統(tǒng)作為相對封閉的獨立系統(tǒng)，各系統(tǒng)間采用專有網(wǎng)絡進行通信，確保了列控系統(tǒng)免遭外部系統(tǒng)、外部網(wǎng)絡的影響，保障了列控系統(tǒng)的獨立性和封閉性。在進行安全防護方案設計時，不應打破列控系統(tǒng)原有的這種封閉性，保障列控系統(tǒng)在原有的封閉體系下進行安全防護，保證列控系統(tǒng)的相對獨立。

3）網(wǎng)絡安全防護不能導致原系統(tǒng)RAMS 指標下降

列控系統(tǒng)作為工業(yè)控制系統(tǒng)，對系統(tǒng)網(wǎng)絡的可用性、實時性、可維護性有著較高要求，保證了控車的及時有效，因此在進行防護方案設計時，應充分考慮列控系統(tǒng)作為工業(yè)控制系統(tǒng)的特殊性，在保障原有系統(tǒng)高可用性、高實時性、高安全性的框架下進行方案設計。

4）防護設備部署不影響原有列控系統(tǒng)的正常工作

列控系統(tǒng)現(xiàn)有系統(tǒng)可靠穩(wěn)定，設備功能完備，保障了列車的安全穩(wěn)定有序運行，是相對穩(wěn)定可靠的工業(yè)控制系統(tǒng)，在此基礎上進行的安全防護方案設計時，應保證不影響原有系統(tǒng)設備、主機的正常工作，考慮在安全設備出現(xiàn)故障時不會引起現(xiàn)有設備間的通信異常，影響現(xiàn)有系統(tǒng)的可靠性。

5）安全防護設備部署要簡單易于工程實施

列控系統(tǒng)承擔著控制列車運行的特殊任務，設備7× 24 h 全天候運行，設備升級維護僅在劃分的固定天窗點進行，設備部署時間短任務重，因此在進行防護方案設計和防護產(chǎn)品部署時，應充分考慮現(xiàn)場情況，便于列控系統(tǒng)現(xiàn)網(wǎng)環(huán)境的工程實施，做到安全設備部署簡單，安全產(chǎn)品配置簡便，盡量減少對現(xiàn)網(wǎng)環(huán)境的修改。

4 列控系統(tǒng)網(wǎng)絡安全綜合防護方案

列控系統(tǒng)網(wǎng)絡安全綜合防護方案通過構筑高等級防御體系，使得列控系統(tǒng)網(wǎng)絡具備高級別的防護能力，有效隔絕攻擊者對列控系統(tǒng)網(wǎng)絡的攻擊行為，特別是抵御有組織團體，甚至是國家級的攻擊行為，保證高鐵、地鐵等列車安全、可靠、高效、穩(wěn)定的運行，防護系統(tǒng)功能劃分如圖3 所示。

圖3 列控系統(tǒng)網(wǎng)絡安全綜合防護系統(tǒng)功能劃分Fig.3 The functionality partitioning for network security protection of train control system

列控系統(tǒng)網(wǎng)絡安全綜合防護平臺應堅持“分區(qū)分域、專網(wǎng)專用、縱深防御、綜合預警”的安全防護策略。首先，結合列控系統(tǒng)網(wǎng)絡現(xiàn)場特點，強化網(wǎng)絡區(qū)域管理，依據(jù)列控系統(tǒng)網(wǎng)絡各自功能及業(yè)務的重要程度進行區(qū)域劃分，加強區(qū)域間的安全管控，實現(xiàn)核心安全區(qū)域及邊界的安全隔離，強化各區(qū)域的封閉性和獨立性。其次，做到列控系統(tǒng)網(wǎng)絡專網(wǎng)專用，嚴格保證網(wǎng)絡的封閉性，隔絕通過外部網(wǎng)絡的入侵行為。此外，加強對網(wǎng)絡的安全管控，對接入到網(wǎng)絡中的外部設備、移動介質(zhì)等進行嚴格的安全把關，加強對網(wǎng)絡管理人員的安全培訓，完善列控系統(tǒng)網(wǎng)絡的安全管理制度，做到管理人員有意識、設備運行有保障、規(guī)章制度有規(guī)范。最后，針對網(wǎng)絡設備及系統(tǒng)的高等級防護要求，構筑多層次、多區(qū)域的縱深防御體系，完善列控系統(tǒng)網(wǎng)絡的安全保障體系，加強應急響應和故障處理能力。

方案強調(diào)事前、事中、事后的縱深防御理念，在事前，加強對列控系統(tǒng)網(wǎng)絡的安全檢測，做到對網(wǎng)絡的自評、檢測、加固和預警。通過基線核查系統(tǒng)、漏洞掃描挖掘系統(tǒng)等，實現(xiàn)對網(wǎng)絡全線設備、主機的配置核查，漏洞掃描及挖掘，及時發(fā)現(xiàn)高危配置及漏洞、木馬等潛在安全威脅，并對潛在威脅進行定點清除，提升列控系統(tǒng)網(wǎng)絡的安全性。

在事中，通過安全監(jiān)測審計系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)、主機安全管控系統(tǒng)、數(shù)據(jù)安全防護系統(tǒng)等，做到對網(wǎng)絡流量的監(jiān)測、告警、阻斷和防護，嚴格把控列控系統(tǒng)網(wǎng)絡中存在的異常流量，審計列控系統(tǒng)網(wǎng)絡流量、設備日志、安全事件、操作行為，識別列控系統(tǒng)可能遭受到的網(wǎng)絡攻擊與安全威脅，分析攻擊者的攻擊行為與意圖，做到對進入網(wǎng)絡的流量、主機的安全訪問控制；同時通過數(shù)據(jù)加密技術的應用，做到對列控系統(tǒng)數(shù)據(jù)的安全防護，防止數(shù)據(jù)被竊取或篡改，全面實現(xiàn)列控系統(tǒng)網(wǎng)絡、設備、主機、數(shù)據(jù)的安全防護。

在事后，通過態(tài)勢感知系統(tǒng)、安全管理平臺等安全管理系統(tǒng)對已經(jīng)發(fā)生的安全事件進行應急處置、攻擊分析和溯源分析等，對全網(wǎng)攻擊、異常流量、資產(chǎn)、威脅等態(tài)勢進行展現(xiàn)；強化中心與車站間的聯(lián)動處理能力，減少人力成本；同時，采用大數(shù)據(jù)挖掘與分析技術，綜合分析列控系統(tǒng)全網(wǎng)數(shù)據(jù)，挖掘列控系統(tǒng)網(wǎng)絡潛在的威脅，完成全網(wǎng)流量建模分析，進行大數(shù)據(jù)機器學習，提升列控系統(tǒng)網(wǎng)絡安全綜合防護平臺的自動防護能力。

通過事前、事中、事后多層次立體防御體系的建立，實現(xiàn)對列控系統(tǒng)網(wǎng)絡的事前有預防、事中有監(jiān)測、事后有分析，全面提升列控系統(tǒng)的網(wǎng)絡安全防護能力，滿足等級保護標準要求。

5 總結

軌道交通列車運行控制系統(tǒng)承擔著重要的使命，同時也面臨著被惡意攻擊的巨大風險，國內(nèi)針對列控系統(tǒng)網(wǎng)絡安全的防護工作還處于起步階段，各種管理體系和防護技術手段不健全，既有網(wǎng)絡防護能力有限、人員安全防范意識薄弱等問題亟待解決。在國家和行業(yè)層面，應根據(jù)不同安全層級的安全風險，健全列控系統(tǒng)網(wǎng)絡安全管理體系，盡快啟動既有列控系統(tǒng)網(wǎng)絡安全防護增強工作，全面提升列控系統(tǒng)的網(wǎng)絡安全防護能力，變列控系統(tǒng)網(wǎng)絡被動防護為主動防護、靜態(tài)防護為動態(tài)防護、單點防護為整體防護、粗放防護為精準防護，全面提升列控系統(tǒng)安全性，保障高鐵、地鐵列車安全穩(wěn)定有序運行。