丁 超，陳 英，鑒紀(jì)凱，車聰聰，董 曉

（1. 成都軌道交通集團有限公司，四川成都 610031；2. 中車青島四方機車車輛股份有限公司，山東青島 266111）

1 引言

隨著軌道交通不斷向舒適化、智能化、數(shù)字化方向發(fā)展，傳統(tǒng)總線的傳輸帶寬已經(jīng)無法滿足新興功能的需求，近年來以以太網(wǎng)為代表的大帶寬、低時延、高實時的傳輸方式已逐步成為車輛傳輸總線的首選， 同時為提高車輛監(jiān)控的實時性，無線通信、車地通信等技術(shù)的應(yīng)用也逐漸增多。以太網(wǎng)技術(shù)、無線傳輸技術(shù)應(yīng)用的引入使得列車網(wǎng)絡(luò)對外開放的程度越來越高，接入通道、接入方式也隨之增加，由此引出的網(wǎng)絡(luò)安全問題成為近年來行業(yè)比較關(guān)心的話題之一。與此同時，軌道交通領(lǐng)域也發(fā)生多起網(wǎng)絡(luò)攻擊事件，2008年波蘭某城市的軌道交通遭遇攻擊，通過遙控器操作軌道扳道器，造成列車脫軌事故。2012年3月上海申通軌道交通的運行調(diào)度系統(tǒng)和車站信息發(fā)布系統(tǒng)遭受攻擊。2012年10月北京市軌道交通站內(nèi)乘客信息系統(tǒng)遭遇攻擊。2016年2月，“BlackEnergy”攻擊烏克蘭鐵路系統(tǒng)。為應(yīng)對日益增多的軌道交通網(wǎng)絡(luò)安全事件，行業(yè)內(nèi)針對城市軌道交通列車網(wǎng)絡(luò)安全進行更深入的研究，以期提高城市軌道交通的運營安全。

2 列車網(wǎng)絡(luò)結(jié)構(gòu)組成及其資產(chǎn)劃分

2.1 列車網(wǎng)絡(luò)結(jié)構(gòu)組成

列車網(wǎng)絡(luò)系統(tǒng)集列車的控制、監(jiān)視、診斷、通信功能于一體，主要由中央控制單元、輸入輸出模塊、人機接口單元、牽引系統(tǒng)、制動系統(tǒng)、車載無線系統(tǒng)、旅客信息系統(tǒng)等組成。列車網(wǎng)絡(luò)一般通過實時以太網(wǎng)或多功能車輛總線（MVB）將列車各系統(tǒng)進行連接，并通過車地?zé)o線傳輸系統(tǒng)以4G/5G/LTE/Wi-Fi等通信方式將列車運行數(shù)據(jù)和故障數(shù)據(jù)傳輸至地面。常見列車網(wǎng)絡(luò)組成如圖1所示。

根據(jù)列車網(wǎng)絡(luò)功能、結(jié)構(gòu)組成及內(nèi)外部接口，在國內(nèi)外網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)技術(shù)要求的基礎(chǔ)上，通過對列車網(wǎng)絡(luò)資產(chǎn)、威脅、脆弱性的識別來對列車的網(wǎng)絡(luò)安全風(fēng)險進行分析。

2.2 列車網(wǎng)絡(luò)資產(chǎn)劃分

列車網(wǎng)絡(luò)資產(chǎn)是列車網(wǎng)絡(luò)中具有價值的信息或資源，是信息安全維護的主要對象，列車網(wǎng)絡(luò)資產(chǎn)主要包括硬件資產(chǎn)和軟件資產(chǎn)等，列車網(wǎng)絡(luò)的主要資產(chǎn)如表1所示。

表1 列車網(wǎng)絡(luò)資產(chǎn)

3 列車網(wǎng)絡(luò)威脅和脆弱性分析

3.1 列車網(wǎng)絡(luò)威脅分析

關(guān)于列車網(wǎng)絡(luò)威脅以及安全等級劃分均有其對應(yīng)標(biāo)準(zhǔn)。GB/T 25069-2022 《信息安全技術(shù)術(shù)語》中對“威脅”的定義是可能對系統(tǒng)或組織造成危害的不期望時間的潛在因素。

IEC 62443-3-3 : 2013《工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全第3-3部分：系統(tǒng)安全要求和等級劃分》將安全等級劃分為4級。GB/T 22240-2020 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》中將等級保護對象的安全保護等級分為以下5級 ：

（1）第一級，等級保護對象受到破壞后，會對相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害 ，但不危害國家安全、社會秩序和公共利益；

（2）第二級，等級保護對象受到破壞后，會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成危害，但不危害國家安全 ；

（3）第三級，等級保護對象受到破壞后，會對社會秩序和公共利益造成嚴(yán)重危害，或者對國家安全造成危害 ；

（4）第四級，等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重危害，或者對國家安全造成嚴(yán)重危害；

（5）第五級，等級保護對象受到破壞后，會對國家安全造成特別嚴(yán)重危害 。

按照GB/T 25069-2022對“威脅”的定義以及安全等級的劃分進行分析，列車網(wǎng)絡(luò)的威脅主要是由環(huán)境因素和人為因素引起的可能造成列車事故的潛在起因。列車上可能造成事故的潛在因素包括自然因素與非自然因素，非自然因素主要指對車輛物理設(shè)備的破壞、使列車受到電磁輻射干擾、信息干擾、技術(shù)故障、越權(quán)控制以及功能破壞，造成列車設(shè)備無法正常工作，控制及狀態(tài)顯示等功能受到干擾的各類原因。列車網(wǎng)絡(luò)的主要威脅如表2所示。

表2 列車網(wǎng)絡(luò)資產(chǎn)威脅

3.2 列車網(wǎng)絡(luò)脆弱性分析

列車網(wǎng)絡(luò)的脆弱性可以通過技術(shù)脆弱性和管理脆弱性來分析，技術(shù)脆弱性主要包括物理環(huán)境、網(wǎng)絡(luò)架構(gòu)及傳輸、設(shè)備本身。

3.2.1 物理環(huán)境風(fēng)險

物理環(huán)境風(fēng)險主要有以下幾個方面：網(wǎng)絡(luò)設(shè)備的安裝位置可能存在雷擊、靜電、電磁干擾、火災(zāi)等風(fēng)險；網(wǎng)絡(luò)設(shè)備可能遭受盜竊或破壞；網(wǎng)絡(luò)設(shè)備可能會遭遇電力供應(yīng)的異常。

3.2.2 網(wǎng)絡(luò)架構(gòu)及傳輸風(fēng)險

網(wǎng)絡(luò)架構(gòu)方面的潛在風(fēng)險主要包括：網(wǎng)絡(luò)系統(tǒng)的架構(gòu)可能不符合網(wǎng)絡(luò)安全要求，網(wǎng)絡(luò)帶寬、設(shè)備冗余配置可能不滿足業(yè)務(wù)要求；網(wǎng)絡(luò)系統(tǒng)的架構(gòu)設(shè)計未劃分不同的網(wǎng)絡(luò)區(qū)域，或者把重要的設(shè)備放置在邊界處，沒有采取必要、可靠的技術(shù)隔離手段；網(wǎng)絡(luò)系統(tǒng)的通信不能保證數(shù)據(jù)傳輸?shù)耐暾院蜋C密性，導(dǎo)致數(shù)據(jù)被竊取或者篡改。

網(wǎng)絡(luò)數(shù)據(jù)加密方面的潛在風(fēng)險主要體現(xiàn)在：網(wǎng)絡(luò)系統(tǒng)的重要數(shù)據(jù)未采取加密的方式進行身份認(rèn)證、訪問控制；網(wǎng)絡(luò)系統(tǒng)不具備外界防護能力，未能限制非授權(quán)設(shè)備接入列車網(wǎng)絡(luò)，可能導(dǎo)致無權(quán)限者入侵網(wǎng)絡(luò)，獲得網(wǎng)絡(luò)中的用戶憑證，提高對系統(tǒng)設(shè)備的訪問權(quán)限，達到惡意攻擊的目的。

網(wǎng)絡(luò)攻擊方面的潛在風(fēng)險主要存在以下幾種可能：對于車地數(shù)據(jù)通信，可能未設(shè)置訪問控制規(guī)則，無法限制外部攻擊，缺失安全審計過程。攻擊者可能偽造節(jié)點與車地通信設(shè)備連接，實現(xiàn)流量劫持，造成數(shù)據(jù)的非法披露與分析，甚至打通內(nèi)外網(wǎng)通道，發(fā)送控制數(shù)據(jù)到網(wǎng)絡(luò)中。

3.2.3 設(shè)備自身風(fēng)險

車載設(shè)備可能不具備身份識別、訪問控制、安全審計、入侵防范等功能；未關(guān)閉非必要的系統(tǒng)服務(wù)及高危端口；可能存在操作系統(tǒng)、應(yīng)用軟件的漏洞且沒有安裝安全補??；可能未對串口、USB口等接口進行嚴(yán)格的監(jiān)控管理。以上情況會造成終端設(shè)備被惡意代碼植入，造成設(shè)備被修改、破壞、非法分析，甚至被進行物理攻擊，導(dǎo)致設(shè)備物理性破壞，功能永久喪失。

4 列車網(wǎng)絡(luò)安全防護

GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》中要求，需要在安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境等方面進行安全保護。行業(yè)內(nèi)目前將列車網(wǎng)絡(luò)安全等級定為三級，結(jié)合目前行業(yè)的現(xiàn)狀和上文分析出的網(wǎng)絡(luò)安全風(fēng)險，通過采取物理措施、網(wǎng)絡(luò)防護等措施，盡可能保證列車網(wǎng)絡(luò)的安全。

4.1 物理安全

通過對車載設(shè)備的安裝位置進行安全設(shè)計，保證車載設(shè)備的物理安全。主要采取的措施包括：

（1）列車網(wǎng)絡(luò)設(shè)備均安裝在有門禁鑰匙系統(tǒng)的電氣柜、控制柜、箱體中，無權(quán)限人員無法進入；

（2）對線纜和設(shè)備進行隱蔽安裝，并配有視頻監(jiān)控，防止被破壞和盜竊；

（3）對設(shè)備進行可靠的接地，防止雷擊等災(zāi)害；

（4）在柜體設(shè)置空調(diào)通風(fēng)系統(tǒng)，控制溫度和濕度、防水防潮；

（5）不同種類電纜隔離鋪設(shè)，避免相互干擾，防止電磁干擾；

（6）設(shè)置煙火報警系統(tǒng)，設(shè)備均使用防火阻燃材料，且設(shè)備所在柜體可以隔離火源，有效防火；

（7）列車網(wǎng)絡(luò)設(shè)備均采用蓄電池直流供電，能為設(shè)備提供穩(wěn)定的電力供應(yīng)。

4.2 網(wǎng)絡(luò)安全防護

網(wǎng)絡(luò)安全防護主要從安全域劃分、邊界防護、內(nèi)網(wǎng)安全防護等方面開展。

4.2.1 安全域劃分

系統(tǒng)安全域劃分是指根據(jù)系統(tǒng)中業(yè)務(wù)的重要性、實時性、關(guān)聯(lián)性，以及對具體設(shè)備的影響程度、功能范圍、資產(chǎn)屬性等劃分出不同安全域。在地理位置上，列車系統(tǒng)與地面系統(tǒng)在物理上分為2個獨立系統(tǒng)，具備一定的物理隔離。業(yè)務(wù)屬性方面，列車系統(tǒng)主要實現(xiàn)行車及乘客服務(wù)等功能，地面系統(tǒng)主要用于傳輸信號及開展地面大數(shù)據(jù)分析等業(yè)務(wù)，由于這兩者業(yè)務(wù)的實時性要求不統(tǒng)一，資產(chǎn)屬性不一致。因此根據(jù)標(biāo)準(zhǔn)要求劃分出車載網(wǎng)絡(luò)及地面網(wǎng)絡(luò)2個安全域，從系統(tǒng)角度出發(fā)分別對應(yīng)“內(nèi)網(wǎng)區(qū)域”與“外網(wǎng)區(qū)域”。

車輛安全域劃分主要是針對列車車載網(wǎng)絡(luò)的劃分。列車車載網(wǎng)絡(luò)根據(jù)業(yè)務(wù)的差異可以做進一步的細分。列車車載網(wǎng)絡(luò)主要包括列車信號網(wǎng)、列車控制網(wǎng)、列車媒體網(wǎng)以及子系統(tǒng)控制網(wǎng)4大類型，其中列車信號網(wǎng)、列車控制網(wǎng)以及子系統(tǒng)控制網(wǎng)從功能邏輯上屬于控車功能，隸屬控制安全域，對于以旅客服務(wù)為目的的列車媒體網(wǎng)則隸屬于服務(wù)安全域。列車安全域劃分示意如圖2所示。

4.2.2 邊界防護

由于不同安全區(qū)域內(nèi)業(yè)務(wù)屬性及安全級別不一致，需要對流經(jīng)區(qū)域邊界的流量開展訪問控制、入侵防范、安全審計等安全檢查。對車地?zé)o線傳輸邊界、列車網(wǎng)絡(luò)系統(tǒng)與車載信號系統(tǒng)邊界、網(wǎng)絡(luò)系統(tǒng)與乘客信息系統(tǒng)邊界、網(wǎng)絡(luò)系統(tǒng)與便攜式測試單元（PTU）維護終端的邊界進行信息安全防護，目前車輛的接入邊界口如圖3所示。

邊界防護主要采用訪問控制、入侵防護、安全審計、身份鑒別（防火墻）等方式進行防護。防護的主要措施如下。

（1）訪問控制。對于車地通信數(shù)據(jù)，從地面到車輛的數(shù)據(jù)全部拒絕，僅允許車輛數(shù)據(jù)傳輸至指定地面服務(wù)器。對于PTU設(shè)備，僅允許指定維護設(shè)備，指定維護端口。

（2）入侵防范。開啟抗拒絕服務(wù)（DoS）攻擊，檢測并記錄從公共網(wǎng)絡(luò)發(fā)起的對車輛設(shè)備的掃描行為并進行抵御。

（3）安全審計。記錄防火墻的操作信息，記錄經(jīng)過車輛邊界處的所有數(shù)據(jù)日志。

（4）身份鑒別。僅允許指定IP地址訪問，設(shè)置專門的用戶名密碼并具備密碼強度要求和錯誤次數(shù)限制的登錄機制，維護設(shè)備需要安裝安全認(rèn)證證書等。

以網(wǎng)絡(luò)系統(tǒng)與PTU維護終端的邊界防護為例，PTU維護設(shè)備通過網(wǎng)絡(luò)防火墻后接入各車載設(shè)備的維護端口，防火墻中集成訪問控制、入侵防范、安全審計、身份鑒別功能，針對各系統(tǒng)的維護需求，對每個系統(tǒng)制定白名單的防護策略，對每個系統(tǒng)的維護接口，針對源IP、通信端口、服務(wù)進行過濾，僅允許指定的維護數(shù)據(jù)通過防火墻。PTU邊界防護如圖4所示。

4.2.3 內(nèi)網(wǎng)區(qū)域安全防護

（1）安全網(wǎng)絡(luò)架構(gòu)。在網(wǎng)絡(luò)架構(gòu)設(shè)計中采用安全的網(wǎng)絡(luò)架構(gòu)，以成都新一代市域全自動列車為例，列車采用ETB+ECN架構(gòu)，中間車設(shè)置以太網(wǎng)中繼器EREP，實現(xiàn)列車級信號整形和放大功能。ECN采用環(huán)網(wǎng)拓?fù)洌c行車相關(guān)的關(guān)鍵設(shè)備采用雙歸屬方式接入ECN交換機，如圖5所示。

（2）冗余設(shè)計。ETB總線采用雙線冗余，ECN采用環(huán)網(wǎng)冗余，兩個頭車ETB交換機互為冗余，任何ETB和ECN單點線路故障不影響列車通信。與列車行車相關(guān)的關(guān)鍵設(shè)備CCU、RIOM、HMI、信號系統(tǒng)等關(guān)鍵設(shè)備采用雙歸屬方式接入網(wǎng)絡(luò)，單線故障不影響行車。

（3）網(wǎng)絡(luò)異常監(jiān)控。列車對異常通信、異常邏輯、異常操作等影響網(wǎng)絡(luò)安全的行為實施監(jiān)控。當(dāng)設(shè)備遭受攻擊發(fā)生停機或者通信中斷時，通過HMI進行報警。列車控制指令遭到篡改導(dǎo)致實際執(zhí)行狀態(tài)與控制指令不一致時，通過HMI進行報警。當(dāng)關(guān)鍵硬線IO信號遭受篡改，與冗余IO信號不一致時，通過HMI報警。當(dāng)通信線路斷開或異常時，能夠及時診斷并報警，防止非授權(quán)設(shè)備接入。

（4）通信防護。對于以太網(wǎng)通信根據(jù)源IP、目的IP、ComID進行報文唯一性識別，對于MVB通信根據(jù)端口號進行報文唯一性識別，通過CRC校驗對以太網(wǎng)通信或MVB通信的數(shù)據(jù)進行數(shù)據(jù)完整性的保護。

（5）交換機防護。對閑置的以太網(wǎng)物理接口進行關(guān)閉，防止未授權(quán)設(shè)備接入以太網(wǎng)交換機。交換機的登錄管理采用用戶名+密碼的方式，不得使用弱口令。交換機端口啟動流量控制功能，降低通過交換機對終端設(shè)備發(fā)起的拒絕服務(wù)攻擊行為。

5 結(jié)語

本文從列車網(wǎng)絡(luò)的組成與功能出發(fā)，根據(jù)國內(nèi)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對列車網(wǎng)絡(luò)安全的風(fēng)險點及具體威脅進行分析，并針對列車網(wǎng)絡(luò)安全風(fēng)險點，從物理安全和網(wǎng)絡(luò)安全2方面提出網(wǎng)絡(luò)安全防護的設(shè)計方案。目前國內(nèi)對于城市軌道交通列車網(wǎng)絡(luò)安全的研究還處于起步階段，系統(tǒng)集成商以及系統(tǒng)供應(yīng)商還沒有對部件和系統(tǒng)進行符合標(biāo)準(zhǔn)的認(rèn)證。對于列車網(wǎng)絡(luò)安全還需要行業(yè)內(nèi)做進一步的深入研究。