作為目前國(guó)內(nèi)軌道交通運(yùn)營(yíng)里程第一的上海申通地鐵集團(tuán)，近年提出建設(shè)符合自身運(yùn)營(yíng)特點(diǎn)的自主化軌交工控云平臺(tái)。該計(jì)劃旨在采用基于高可信的工控安全技術(shù)，統(tǒng)一設(shè)備設(shè)施數(shù)據(jù)接口，標(biāo)準(zhǔn)化數(shù)據(jù)格式，為軌道交通智慧應(yīng)用建設(shè)提供良好平臺(tái)基礎(chǔ)。可預(yù)見到軌交工控云的廣泛運(yùn)營(yíng)，整個(gè)軌道交通系統(tǒng)將面臨防不勝防的安全威脅。一般而言，已部署的工控系統(tǒng)是建立在獨(dú)立的專網(wǎng)之上，通過(guò)網(wǎng)閘與公網(wǎng)完全隔離，各個(gè)子系統(tǒng)之間相對(duì)獨(dú)立，數(shù)據(jù)接口非標(biāo)準(zhǔn)化，系統(tǒng)從外部攻破的難度大，影響面也相對(duì)較小。

隨著工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的引入，工控云網(wǎng)絡(luò)的互聯(lián)互通程度越來(lái)越高，數(shù)據(jù)接口需要逐漸標(biāo)準(zhǔn)化，開放接口組件也越來(lái)越多，既有基于物理位置的應(yīng)用、數(shù)據(jù)和設(shè)備的信任體系不再適用于新的軌道交通智慧應(yīng)用場(chǎng)景，基于數(shù)據(jù)的攻擊方式將不斷涌現(xiàn)。例如，遠(yuǎn)程違規(guī)操作機(jī)電設(shè)備、竊取或篡改音視頻系統(tǒng)內(nèi)容、攻擊電力供應(yīng)系統(tǒng)等具體案例。由于入侵的是“物”或者“數(shù)據(jù)”，入侵過(guò)程極難察覺，而事后造成的短效損害（設(shè)備無(wú)法運(yùn)轉(zhuǎn)）和長(zhǎng)效損害（持續(xù)的信息泄露與信息被篡改），都是軌道交通運(yùn)營(yíng)所無(wú)法承受的。

軌交云平臺(tái)的系統(tǒng)架構(gòu)

結(jié)合軌道交通行業(yè)云邊端的系統(tǒng)結(jié)構(gòu)如圖1所示，分成終端設(shè)備、邊緣計(jì)算服務(wù)器和云平臺(tái)三個(gè)層級(jí)（以下簡(jiǎn)稱“云邊端”）。終端設(shè)備往往位于車站或區(qū)間現(xiàn)場(chǎng)，如水泵、風(fēng)機(jī)、冷凍機(jī)組、照明等設(shè)備設(shè)施。一般而言，每個(gè)車站或區(qū)間會(huì)放置一套或多套邊緣計(jì)算服務(wù)器，實(shí)現(xiàn)終端設(shè)備的運(yùn)行數(shù)據(jù)采集，設(shè)備控制，系統(tǒng)聯(lián)動(dòng)等功能，并將處理后的數(shù)據(jù)上傳到云平臺(tái)。系統(tǒng)所有的數(shù)據(jù)和應(yīng)用均存儲(chǔ)和部署在云平臺(tái)，用戶可以通過(guò)瀏覽器或各種客戶端訪問(wèn)云平臺(tái)獲取數(shù)據(jù)和應(yīng)用服務(wù)。由此可知，軌道交通工控云安全風(fēng)險(xiǎn)集中在三個(gè)方面：（1）終端設(shè)備的安全風(fēng)險(xiǎn)；（2）數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)；（3）云端應(yīng)用系統(tǒng)和操作風(fēng)險(xiǎn)。

解決軌道交通的工控云安全風(fēng)險(xiǎn)問(wèn)題，就必須從終端設(shè)備安全加固、邊緣計(jì)算服務(wù)器安全管理，端邊云協(xié)同防護(hù)這三個(gè)層面分別展開，并結(jié)合人工智能和機(jī)器學(xué)習(xí)建立完整的安全運(yùn)營(yíng)體系。同時(shí)，需要確保完成安全體系加固后的系統(tǒng)對(duì)于原系統(tǒng)的時(shí)延、響應(yīng)速度、運(yùn)行效率等影響，仍符合軌道交通的技術(shù)要求與等級(jí)保護(hù)要求。

終端側(cè)設(shè)備的安全加固

終端設(shè)備指的是運(yùn)行在車站/ 區(qū)間現(xiàn)場(chǎng)的設(shè)備設(shè)施，如EMCS 系統(tǒng)中的水泵、風(fēng)機(jī)、冷凍機(jī)組，PIS 系統(tǒng)中的廣播設(shè)備，AFC 系統(tǒng)中的售票機(jī)、閘機(jī)等。這些設(shè)備原本都是獨(dú)立運(yùn)行在各自的專網(wǎng)或者車站級(jí)的生產(chǎn)專網(wǎng)中，與外界相對(duì)隔離，但是在新的云邊端架構(gòu)中其網(wǎng)絡(luò)安全邊界的認(rèn)識(shí)開始模糊，增加新的暴露面，安全風(fēng)險(xiǎn)越來(lái)越不容忽視。尤其在類似軌道交通這類涉及民生的領(lǐng)域，終端設(shè)備的安全問(wèn)題尤為突出。因此，終端設(shè)備有針對(duì)性地對(duì)安全加固技術(shù)提出要求，利用輕量化的安全協(xié)議和機(jī)器學(xué)習(xí)算法等技術(shù)來(lái)作為身份的安全認(rèn)證基礎(chǔ)設(shè)施，并重點(diǎn)對(duì)邊緣計(jì)算網(wǎng)關(guān)的安全，終端設(shè)備的身份安全認(rèn)證方案進(jìn)行設(shè)計(jì)和優(yōu)化，最后通過(guò)實(shí)驗(yàn)和分析，來(lái)驗(yàn)證方案的實(shí)際效果。

結(jié)合軌道交通的應(yīng)用場(chǎng)景，典型的終端設(shè)備安全問(wèn)題有如下幾類：（1）沒(méi)有安全保護(hù)機(jī)制的工控協(xié)議；（2）不可信的終端設(shè)備；（3）終端設(shè)備自身的應(yīng)用安全風(fēng)險(xiǎn)；（4）邊緣計(jì)算所帶來(lái)的安全挑戰(zhàn)。

軌道交通智慧應(yīng)用場(chǎng)景中終端設(shè)備的產(chǎn)地、品牌、型號(hào)眾多，其各自裝載的操作系統(tǒng)也各不相同，安全加固軟件無(wú)法一一適配兼容，因此終端設(shè)備的安全加固考慮采用外掛安全網(wǎng)關(guān)的方式實(shí)現(xiàn)，安全網(wǎng)關(guān)的身份認(rèn)證和安全加固應(yīng)具備設(shè)備身份認(rèn)證，設(shè)備密鑰，設(shè)備行為分析和設(shè)備信用評(píng)分等相關(guān)功能。隨著軌道交通末端設(shè)備數(shù)量大幅增加，工控云正在將數(shù)據(jù)的處理轉(zhuǎn)移到軌道交通物聯(lián)網(wǎng)設(shè)備的邊緣，以減少流向云的流量。因此邊緣計(jì)算服務(wù)器處于連接云和端之間的重要位置，物理世界的終端設(shè)備如傳感器、執(zhí)行器和設(shè)備設(shè)施通過(guò)邊緣計(jì)算服務(wù)器與云端應(yīng)用的操作者、管理者進(jìn)行交互。

對(duì)于終端設(shè)備的攻擊主要限于單體設(shè)備或系統(tǒng)的停止工作、數(shù)據(jù)丟失、信息篡改，但通過(guò)對(duì)于邊緣計(jì)算服務(wù)器的攻擊，攻擊者比以往更容易侵入整個(gè)邊緣側(cè)的物理世界。現(xiàn)有的攻擊有可能造成在軌道交通工控系統(tǒng)中的車輛、車站、軌道區(qū)間等設(shè)備執(zhí)行錯(cuò)誤的控制指令。比如可以通過(guò)邊緣網(wǎng)關(guān)控制入站口的閘機(jī)造成票款的流失。通過(guò)邊緣計(jì)算服務(wù)器控制站臺(tái)照明和新風(fēng)系統(tǒng)造成人員的恐慌。通過(guò)邊緣計(jì)算服務(wù)器向工控云上報(bào)錯(cuò)誤的數(shù)據(jù)信息引起云端錯(cuò)誤的指令下發(fā)。這些故障輕則造成設(shè)備或系統(tǒng)癱瘓導(dǎo)致財(cái)產(chǎn)損失，重則會(huì)外泄系統(tǒng)中的關(guān)鍵數(shù)據(jù)，甚至造成人民群眾生命安全事故。所以邊緣計(jì)算服務(wù)器的安全管理在整個(gè)體系中是尤為重要的。

邊緣計(jì)算服務(wù)器安全管理

保護(hù)邊緣計(jì)算服務(wù)器的最佳方式是阻止其連接到外部網(wǎng)絡(luò)，將其限制在封閉專用網(wǎng)絡(luò)中。但是在云邊端的體系架構(gòu)中這種方式是不可能實(shí)現(xiàn)的，許多的邊云協(xié)同和邊云數(shù)據(jù)傳輸因?yàn)榻ㄔO(shè)和成本的要求要依靠公有網(wǎng)絡(luò)實(shí)現(xiàn)連接。除此以外很多情況下，本來(lái)安全的網(wǎng)絡(luò)和節(jié)點(diǎn)還必須與已有舊網(wǎng)絡(luò)進(jìn)行互操作，而這種老式網(wǎng)絡(luò)本身的安全性可能要差很多。這就帶來(lái)一個(gè)新問(wèn)題，那就是最弱的安全風(fēng)險(xiǎn)可能超出了軌道交通物聯(lián)網(wǎng)系統(tǒng)的影響范圍。

必須要有一種云邊端相互實(shí)時(shí)驗(yàn)證的方法，確保通信的握手、數(shù)據(jù)的傳輸在這種驗(yàn)證的方法監(jiān)控之下進(jìn)行。針對(duì)邊緣計(jì)算節(jié)點(diǎn)海量、跨域接入、計(jì)算資源有限等特點(diǎn)，面向終端設(shè)備偽造、劫持等安全問(wèn)題，突破邊緣節(jié)點(diǎn)接入身份信任機(jī)制、多信任域間交叉認(rèn)證、設(shè)備多物性特征提取等技術(shù)難點(diǎn)，實(shí)現(xiàn)海量邊緣計(jì)算節(jié)點(diǎn)的基于邊云、邊邊交互的接入與跨域認(rèn)證。

面向邊緣設(shè)備與數(shù)據(jù)可信性不確定、數(shù)據(jù)容易失效、出錯(cuò)等安全問(wèn)題，突破基于軟/ 硬結(jié)合的高實(shí)時(shí)可信計(jì)算、設(shè)備安全啟動(dòng)與運(yùn)行、可信度量等技術(shù)難點(diǎn)，實(shí)現(xiàn)對(duì)設(shè)備固件、操作系統(tǒng)、虛擬機(jī)操作系統(tǒng)等啟動(dòng)過(guò)程、運(yùn)行過(guò)程的完整性證實(shí)、數(shù)據(jù)傳輸、存儲(chǔ)與處理的可信驗(yàn)證等。除此之外邊緣計(jì)算服務(wù)器向工控云發(fā)送數(shù)據(jù)的數(shù)量越多越頻繁，數(shù)據(jù)暴露的節(jié)點(diǎn)和機(jī)會(huì)就越多，其數(shù)據(jù)保密就越困難。在邊緣側(cè)網(wǎng)關(guān)處理清洗過(guò)的數(shù)據(jù)可以減少直接發(fā)送和暴露給云的數(shù)據(jù)數(shù)量。讓邊緣計(jì)算服務(wù)器更多地參與數(shù)據(jù)清洗，邏輯運(yùn)算，智能控制等功能可以減少專門針對(duì)關(guān)鍵數(shù)據(jù)的攻擊面。

實(shí)現(xiàn)終端設(shè)備和邊緣計(jì)算服務(wù)器分別的安全管理是前提，其次是建立端邊云的協(xié)同防護(hù)，實(shí)現(xiàn)對(duì)軌道交通終端設(shè)備和邊緣計(jì)算服務(wù)器接入授權(quán)動(dòng)態(tài)調(diào)整、全鏈路加密傳輸控制，實(shí)現(xiàn)軌交工控設(shè)備接入和數(shù)據(jù)傳輸?shù)陌踩庸?，結(jié)合機(jī)器學(xué)習(xí)和人工智能算法實(shí)現(xiàn)對(duì)終端設(shè)備、邊緣計(jì)算服務(wù)器等安全風(fēng)險(xiǎn)自動(dòng)識(shí)別，智能預(yù)警及安全策略的統(tǒng)一部署、動(dòng)態(tài)更新和優(yōu)化。

零信任自適應(yīng)安全技術(shù)的端邊云協(xié)同防護(hù)

自適應(yīng)安全框架（ASA）是Gartner 于2014年提出的面向下一代的安全體系框架，以應(yīng)對(duì)云大物移智時(shí)代所面臨的安全形勢(shì)。自適應(yīng)安全框架（ASA）從預(yù)測(cè)、防御、檢測(cè)、響應(yīng)四個(gè)維度，強(qiáng)調(diào)安全防護(hù)是一個(gè)持續(xù)處理、循環(huán)的過(guò)程，細(xì)粒度、多角度、持續(xù)化地對(duì)安全威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，自動(dòng)適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機(jī)制。端邊云協(xié)同防護(hù)技術(shù)具有更主動(dòng)的學(xué)習(xí)分析能力，具有更強(qiáng)的自適應(yīng)能力，應(yīng)對(duì)不斷變化的信息安全態(tài)勢(shì)。

零信任自適應(yīng)安全框架基本理念在于“網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅”的這一假設(shè)，這一底層思維與錯(cuò)綜復(fù)雜的軌道交通工控場(chǎng)景非常契合。云邊端的協(xié)同防護(hù)也需要結(jié)合終端設(shè)備和邊緣計(jì)算服務(wù)器的安全管理需求，做相對(duì)應(yīng)的應(yīng)用探索，涉及：（1）身份與強(qiáng)認(rèn)證；（2）最小特權(quán)；（3）可變信任；（4）設(shè)備信任評(píng)分；（5）基于機(jī)器學(xué)習(xí)自適應(yīng)設(shè)備行為分析。

采用機(jī)器學(xué)習(xí)、人工智能等技術(shù)，基于JDL(Joint Directors of Laboratories) 和Endsley 兩種模型，實(shí)時(shí)收集和分析設(shè)備的通信流量、資源使用情況、所處位置、環(huán)境信息等綜合數(shù)據(jù)，結(jié)合設(shè)備操作指令，為設(shè)備威脅感知概念模型（圖2），以區(qū)別正常使用模式和攻擊模式，并對(duì)攻擊行為進(jìn)行標(biāo)記和阻止，能實(shí)時(shí)檢測(cè)并對(duì)抗正在進(jìn)行中的威脅。

通過(guò)對(duì)網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)特征提取、模型訓(xùn)練等過(guò)程，構(gòu)建信任評(píng)估模型，利用模型輸出和人工定義風(fēng)險(xiǎn)評(píng)分，實(shí)現(xiàn)模型的驗(yàn)證和評(píng)估，并正向反饋至評(píng)估模型，提升模型分析的準(zhǔn)確性，增強(qiáng)信任評(píng)估的智能化水平和準(zhǔn)確性，應(yīng)對(duì)日益復(fù)雜的未知網(wǎng)絡(luò)威脅，能夠有效解決突出云計(jì)算中面臨的全新攻擊方式，通過(guò)自適應(yīng)的學(xué)習(xí)機(jī)制主動(dòng)有效地鑒別惡意應(yīng)用和操作。

結(jié)語(yǔ)

針對(duì)行業(yè)應(yīng)用與技術(shù)發(fā)展的國(guó)產(chǎn)自主瓶頸，圍繞軌道交通工控云安全的核心痛點(diǎn)，以自適應(yīng)安全架構(gòu)技術(shù)為技術(shù)依托，探索零信任的自適應(yīng)安全體系的研究，綜合解決軌道交通工控系統(tǒng)云化過(guò)程中的安全加固難、繁、慢和無(wú)法保證軌交工控系統(tǒng)遷移上云后功能和網(wǎng)絡(luò)信息雙安全的核心技術(shù)難題，并希望從三方面解決安全加固的問(wèn)題：解決因終端設(shè)備計(jì)算資源受限無(wú)法直接應(yīng)用安全防護(hù)產(chǎn)品導(dǎo)致的加固難問(wèn)題；解決因設(shè)備種類多樣、安全策略配置要求各不相同并且通過(guò)傳統(tǒng)的操作方式極其繁瑣的加固繁問(wèn)題；解決因終端設(shè)備部署物理空間廣泛，操作環(huán)境受限，所需時(shí)間極其漫長(zhǎng)導(dǎo)致的加固慢問(wèn)題。期待以技術(shù)創(chuàng)新為驅(qū)動(dòng)，以數(shù)字化、網(wǎng)絡(luò)化、智能化為主線，以促進(jìn)交通運(yùn)輸提效能、擴(kuò)功能、增動(dòng)能為導(dǎo)向，推動(dòng)交通基礎(chǔ)設(shè)施數(shù)字轉(zhuǎn)型、智能升級(jí)，建設(shè)便捷順暢、經(jīng)濟(jì)高效、綠色集約、智能先進(jìn)、安全可靠的交通運(yùn)輸領(lǐng)域新型基礎(chǔ)設(shè)施。