近年來，我國軌道交通的發(fā)展取得了舉世矚目的成就，在國家創(chuàng)新型建設(shè)中取得重大突破。我國軌道交通在線路規(guī)模、列車數(shù)量、運行里程等方面均排名世界第一。

長期以來，基于列車軌旁/車載相關(guān)系統(tǒng)的安全性研究大多圍繞系統(tǒng)的安全可靠（safety）進行，大多數(shù)人認為軌旁/車載系統(tǒng)作為專有網(wǎng)絡(luò)，不存在外界入侵和網(wǎng)絡(luò)病毒傳播的問題。

然而，隨著新型病毒（如專門針對工業(yè)控制系統(tǒng)的“震網(wǎng)病毒”）和新攻擊手段（如ATP攻擊）的出現(xiàn)以及與其他系統(tǒng)的接口（PIS、PA等），再加上自身系統(tǒng)的發(fā)展對數(shù)據(jù)共享和大容量數(shù)據(jù)通信的迫切需求，使系統(tǒng)對外界具有了前所未有的開放性，任何災(zāi)害的發(fā)生都可能引起較大的人員和經(jīng)濟損失，甚至帶來長期、深遠的影響。

如何有效地提高實時信息獲取率，在實現(xiàn)信息共享的同時全局、全方位保障軌道交通的正常安全運營，已成為軌道交通發(fā)展過程中迫切需要解決的難題。

本文主要對軌道交通車載網(wǎng)絡(luò)的網(wǎng)絡(luò)安全防護體系設(shè)計進行論述，以GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》為基礎(chǔ)，結(jié)合軌道交通車載網(wǎng)絡(luò)的特點，量身打造以“白名單”為技術(shù)理念、以“一個中心，三重防護”為基礎(chǔ)的“分區(qū)分域，對外隔離，對內(nèi)認證，內(nèi)外審計，監(jiān)管感知”的縱深車載網(wǎng)絡(luò)安全防護體系。

1 軌道交通網(wǎng)絡(luò)信息安全防護系統(tǒng)

在車載通信網(wǎng)絡(luò)研制的早期階段，車載通信網(wǎng)絡(luò)與列車控制系統(tǒng)是相互獨立的，而隨著車載通信網(wǎng)絡(luò)技術(shù)的發(fā)展，對其可靠性的要求越來越高，其功能也在不斷地加強。目前的列車網(wǎng)絡(luò)控制系統(tǒng)是以計算機網(wǎng)絡(luò)為核心，將計算機技術(shù)、控制技術(shù)、設(shè)備故障診斷技術(shù)、網(wǎng)絡(luò)通信技術(shù)緊密結(jié)合在一起。通過網(wǎng)絡(luò)將命令傳送到各個車廂，從而實現(xiàn)對整個列車的控制。

圖1 TCMS系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

軌道交通車載網(wǎng)絡(luò)由控制網(wǎng)絡(luò)、信號系統(tǒng)網(wǎng)絡(luò)、旅客信息網(wǎng)絡(luò)及其他專有網(wǎng)絡(luò)等組成。這些網(wǎng)絡(luò)連接著車載的各類控制設(shè)備、信號設(shè)備及其他設(shè)備（如廣播、顯示器、空調(diào)、燈光等），負責(zé)向這些設(shè)備傳輸各類指令，相當(dāng)于列車的“神經(jīng)系統(tǒng)”，其能否正常工作關(guān)系到列車能否正常運行。

其中，列車控制和管理系統(tǒng)（train control and management system, TCMS）是列車車載系統(tǒng)中關(guān)鍵的系統(tǒng)之一，對其安全性有極高的要求，其設(shè)備主要包含ECNN、EGWM、IOM、EVCM-R、HMI設(shè)備及配套電纜，陪試設(shè)備包含模擬用EGWM、EVCM-R、IOM模塊和PIS、OCS設(shè)備。

基于以太網(wǎng)的列車網(wǎng)絡(luò)控制系統(tǒng)無疑給我國城市軌道交通的發(fā)展帶來了巨大的好處，但以太網(wǎng)形式的使用，給車載通信網(wǎng)絡(luò)帶來了更多的基于計算機技術(shù)的安全風(fēng)險。而軌道交通控制網(wǎng)絡(luò)屬于工業(yè)控制網(wǎng)絡(luò)，與一般的工業(yè)控制網(wǎng)絡(luò)有著較大的區(qū)別。

• 1）網(wǎng)絡(luò)協(xié)議不同。在底層的總線網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)不同：列車網(wǎng)絡(luò)具有一定的行業(yè)特點，如列車實時以太網(wǎng)協(xié)議TRDP；而一般的工業(yè)控制系統(tǒng)大多采用標(biāo)準(zhǔn)的工業(yè)協(xié)議，如ModBus TCP、OPC、IEC等。
• 2）網(wǎng)絡(luò)架構(gòu)不同。一般工控網(wǎng)絡(luò)和列車網(wǎng)絡(luò)拓撲和接入設(shè)備不同，列車網(wǎng)絡(luò)集成度更高。鑒于此，一般性工控網(wǎng)絡(luò)的安全保障系統(tǒng)并不能直接適用于列車控制網(wǎng)絡(luò)的網(wǎng)絡(luò)安全保障。
• 3）設(shè)備運行環(huán)境不同。在一般工控系統(tǒng)內(nèi)的設(shè)備采用一體式，設(shè)備自身具備機殼和電源，而在列車網(wǎng)絡(luò)中，大多采用插板式的形態(tài)，沒有獨立的機殼和電源。

因此，基于以太網(wǎng)的列車TCMS系統(tǒng)的安全防護體系需具備自身網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、物理環(huán)境的特點，進行具有針對性的安全策略論證、安全模型設(shè)計和安全產(chǎn)品研發(fā)，建立并健全基于以太網(wǎng)的列車TCMS系統(tǒng)安全防護體系，通過實施統(tǒng)一的安全策略，確保重要系統(tǒng)免受黑客、病毒、惡意代碼等的侵害，特別是能夠抵御來自外部有組織的團體、擁有豐富資源的威脅源發(fā)起的惡意攻擊，并能在系統(tǒng)遭到損害后迅速恢復(fù)主要功能，確保列車控制系統(tǒng)中各功能模塊功能的有效性和列車穩(wěn)定的運行。

1.1 分區(qū)分域

分區(qū)分域即結(jié)合業(yè)務(wù)需求對列車網(wǎng)絡(luò)進行區(qū)域劃分。由于列車網(wǎng)絡(luò)具有惟一對外接口，采用無線方式與地面進行數(shù)據(jù)交互，所以在劃分安全域時劃分2個安全域+1個蜜網(wǎng)安全域。2個安全域為列車內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)區(qū)域：內(nèi)部網(wǎng)絡(luò)為全部車載網(wǎng)絡(luò)，由受保護的車載設(shè)備組成；外部網(wǎng)絡(luò)為不受信任區(qū)域，可以是部分車載網(wǎng)絡(luò)或地面公共網(wǎng)絡(luò)。

1個蜜網(wǎng)安全域為車載控制系統(tǒng)蜜罐主機群組，介于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的緩沖地帶，提供收集入侵者信息的功能，根據(jù)大量算法，對惡意構(gòu)造的代碼（如shellcode、xss、跨站腳本、SQL語句、一句話、加密密碼等）進行解密（如暴力破解、常用算法、跑碼等），還原原始攻擊代碼并記錄算法，進行惡意代碼分類。再根據(jù)收集、分析、整理后的信息，利用多種技術(shù)（如爬蟲、社工、搜索引擎等）追蹤入侵者，借助機器學(xué)習(xí)、爬蟲、人工分析等方法，對攻擊相關(guān)內(nèi)容進行溯源，查找犯罪人員，有效打擊黑客活動。

1.2 對外隔離

對外隔離是將列車網(wǎng)絡(luò)與外部其他網(wǎng)絡(luò)進行隔離防護，確保列車網(wǎng)絡(luò)不受到外界網(wǎng)絡(luò)數(shù)據(jù)的干擾，具有防范已知、未知攻擊的能力。在此，設(shè)計了一套基于以太網(wǎng)的車載控制網(wǎng)絡(luò)安全網(wǎng)關(guān)防護設(shè)備，安全網(wǎng)關(guān)防護設(shè)備形態(tài)結(jié)合車載設(shè)備運行環(huán)境而設(shè)計，采用板卡的形式，以適應(yīng)車載物理運行環(huán)境。車載控制網(wǎng)絡(luò)安全網(wǎng)關(guān)防護設(shè)備外形示意圖如圖2所示。

圖2 車載控制網(wǎng)絡(luò)安全網(wǎng)關(guān)防護設(shè)備外形示意圖

車載控制網(wǎng)絡(luò)安全網(wǎng)關(guān)防護設(shè)備通過基于狀態(tài)檢測的訪問控制功能對網(wǎng)絡(luò)層級的非法訪問等行為進行控制，在一定程度上解決了非法訪問的問題。但僅僅控制網(wǎng)絡(luò)級的訪問是不夠的，所以在此設(shè)備上開啟建立應(yīng)用層協(xié)議“白名單”的功能，通過機器學(xué)習(xí)的方式自動完成車載控制網(wǎng)絡(luò)內(nèi)通信協(xié)議（如TRDP等）的深度解析，同時根據(jù)功能碼和時間戳形成邊界的訪問控制“白環(huán)境”，符合規(guī)約中的功能碼特征和數(shù)據(jù)發(fā)送接收時間周期的數(shù)據(jù)包才可以通過，保證了在區(qū)域之間網(wǎng)絡(luò)邊界處只有可信任的設(shè)備方可進入網(wǎng)絡(luò)。

車載控制網(wǎng)絡(luò)安全網(wǎng)關(guān)防護設(shè)備的軟件功能和硬件設(shè)計均需達到以下車載設(shè)備運行標(biāo)準(zhǔn)。

• 1）GB/T 24338.4—2009 軌道交通電磁兼容 第3-2部分：機車車輛設(shè)備。
• 2）GB/T 25119—2010 軌道交通機車車輛電子裝置。
• 3）GB/T 21563—2008 軌道交通機車車輛設(shè)備沖擊和振動試驗。
• 4）GB/T 4798.2—2008 電子電工產(chǎn)品應(yīng)用環(huán)境條件 第2部分：運輸。
• 5）GB/T 17626.5—2008 電磁兼容試驗和測量技術(shù)浪涌（沖擊）抗擾度試驗。
• 6）GB/T 17626.4—2008 電磁兼容試驗和測量技術(shù)電快速瞬變脈沖群抗擾度試驗。

城市軌道交通網(wǎng)絡(luò)對網(wǎng)絡(luò)通信延遲和抖動的要求非常高，要求網(wǎng)絡(luò)設(shè)備尤其是串聯(lián)的網(wǎng)絡(luò)設(shè)備在完成數(shù)據(jù)包深度解析的前提下，依然保持較低的網(wǎng)絡(luò)延遲。該網(wǎng)關(guān)設(shè)備的設(shè)計指標(biāo)常規(guī)延遲為60◆s，滿配策略下低于100◆s。

1.3 對內(nèi)認證

對接入列車網(wǎng)絡(luò)內(nèi)部的設(shè)備，要求設(shè)備接入網(wǎng)絡(luò)時進行基于802.1x協(xié)議的身份認證，通過身份認證的設(shè)備才被允許接入網(wǎng)絡(luò)，對不同的設(shè)備給出其網(wǎng)絡(luò)行為的權(quán)限表，避免設(shè)備異常時對網(wǎng)絡(luò)造成干擾。在此，設(shè)計了基于IEEE 802.1x協(xié)議的安全接入認證機制，其系統(tǒng)總體邏輯結(jié)構(gòu)如圖3所示。

圖3 802.lx系統(tǒng)總體邏輯結(jié)構(gòu)圖

• 1）客戶端設(shè)備向認證系統(tǒng)發(fā)送報文，主動發(fā)起認證。
• 2）認證系統(tǒng)在收到客戶端設(shè)備發(fā)送的報文后，會發(fā)送報文響應(yīng)用戶的請求，請求客戶端設(shè)備發(fā)送身份標(biāo)識信息。
• 3）客戶端設(shè)備向認證系統(tǒng)發(fā)送含有身份標(biāo)識信息的報文。
• 4）認證系統(tǒng)將帶有身份標(biāo)識信息的報文經(jīng)過封裝發(fā)送給認證服務(wù)器。
• 5）認證服務(wù)器產(chǎn)生一個Challenge，將RADIUS Access-Challenge報文發(fā)送給認證系統(tǒng)，其中包含EAP-Request/MD5-Challenge。
• 6）認證系統(tǒng)通過EAP-Request/MD5-Challenge，并發(fā)送給客戶端設(shè)備，要求客戶端設(shè)備進行認證。
• 7）客戶端設(shè)備收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge進行MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備。
• 8）認證系統(tǒng)將Challenge、Challenged Password和用戶名一起送給服務(wù)器，由服務(wù)器進行認證。
• 9）服務(wù)器根據(jù)用戶信息進行MD5算法，判斷用戶是否合法，然后回應(yīng)認證成功或失敗報文到認證系統(tǒng)。若成功，則攜帶協(xié)商參數(shù)以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)；若認證失敗，則流程到此 結(jié)束。
• 10）客戶端設(shè)備收到EAP-Success，通過認證。
• 11）客戶端設(shè)備發(fā)出EAPOL-Logoff報文，可主動終止已認證狀態(tài)。

1.4 內(nèi)外審計

審計是非常關(guān)鍵的安全環(huán)節(jié)，它可以有效地記錄安全事件。內(nèi)外審計主要包括兩部分內(nèi)容，第1部分是靜態(tài)的日志審計分析，第2部分是動態(tài)的流量審計分析。最終將這兩個部分相結(jié)合，通過多源數(shù)據(jù)融合處理技術(shù)對整體日志進行分析。此環(huán)節(jié)能夠有效地分析和判斷列車網(wǎng)絡(luò)的安全狀態(tài)。

圖4 多源數(shù)據(jù)融合處理分析技術(shù)邏輯結(jié)構(gòu)圖

1）靜態(tài)的日志審計分析

靜態(tài)的日志審計分析以安全設(shè)備、網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志、配置信息、流量信息、運行信息等為數(shù)據(jù)基礎(chǔ)，通過梳理各應(yīng)用系統(tǒng)的數(shù)據(jù)流及其內(nèi)在數(shù)據(jù)傳導(dǎo)機制，以統(tǒng)一安全日志的格式，將這些數(shù)據(jù)進行集中的分析匯總，提取關(guān)鍵信息，去除冗余信息，提供一個統(tǒng)一的數(shù)據(jù)展示平臺接口。通過該數(shù)據(jù)接口，構(gòu)建多源數(shù)據(jù)融合模型。靜態(tài)日志審計界面如圖5所示。

2）動態(tài)的流量審計分析

對TCMS系統(tǒng)協(xié)議的通信報文進行深度解析（deep packet inspection, DPI），根據(jù)列車網(wǎng)絡(luò)中流量的協(xié)議、行為、周期等要素形成安全通信網(wǎng)絡(luò)基線模型，依據(jù)該基線模型，實時檢測針對TCMS系統(tǒng)的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播，并實時報警，能夠有效檢測已知、未知的安全威脅，詳實記錄一切網(wǎng)絡(luò)通信行為，包括指令級的TCMS系統(tǒng)通信記錄，為TCMS系統(tǒng)的安全事件調(diào)查提供堅實的基礎(chǔ)。動態(tài)流量審計界面如圖6所示。

圖5 靜態(tài)日志審計界面圖

圖6 動態(tài)流量審計界面圖

1.5 監(jiān)管感知

在2019年5月13日正式發(fā)布的GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，著重將安全管理中心形成獨立章節(jié)，可見安全管理中心的重要性。在打造列車網(wǎng)絡(luò)安全體系中，在地面建立安全管理中心系統(tǒng)，其邏輯結(jié)構(gòu)如圖7所示。

該系統(tǒng)是對車載控制系統(tǒng)安全防護體系的有效支撐，是整個安全防護體系的神經(jīng)中樞。管理員通過安全管理平臺制定安全策略，對車載安全網(wǎng)關(guān)防護設(shè)備、車載網(wǎng)絡(luò)安全審計系統(tǒng)進行執(zhí)行策略，從而確保整個車載控制系統(tǒng)及時有效地執(zhí)行統(tǒng)一的安全策略，實現(xiàn)所有安全機制的統(tǒng)一集中管理。

安全管理系統(tǒng)包括3個子系統(tǒng)。這3個子系統(tǒng)分別是系統(tǒng)管理子系統(tǒng)、安全管理子系統(tǒng)和審計管理子系統(tǒng)。這3個子系統(tǒng)內(nèi)的劃分嚴格參考等級保護的“三權(quán)分立”模式設(shè)計的3個管理員角色。

• 系統(tǒng)管理子系統(tǒng)負責(zé)對TCMS系統(tǒng)的資源和運行進行監(jiān)測、配置、控制和管理，對系統(tǒng)IP地址、軟件及硬件等資源進行集中管理。系統(tǒng)管理由如下模塊組成：資產(chǎn)管理、監(jiān)測管理、白名單管理、配置管理以及應(yīng)急處理管理。
• 安全管理子系統(tǒng)負責(zé)對安全設(shè)備進行下發(fā)安全策略，包括訪問控制策略、白名單策略等。
• 審計管理子系統(tǒng)負責(zé)對范圍內(nèi)審計策略的統(tǒng)一制定以及審計信息的統(tǒng)一接收、分析和查詢，能夠為用戶提供圖形化的展示界面。審計管理子系統(tǒng)用于保存和處理系統(tǒng)中的所有審計信息，同時聯(lián)動安全管理態(tài)勢感知模塊對數(shù)據(jù)進行多數(shù)據(jù)融合分析。

圖7 地面安全管理中心系統(tǒng)邏輯結(jié)構(gòu)圖

在車載控制網(wǎng)絡(luò)安全防護體系建設(shè)中，車載安全網(wǎng)關(guān)防護和車載網(wǎng)絡(luò)監(jiān)測審計等設(shè)備，針對不同的網(wǎng)絡(luò)安全問題從多個側(cè)面對車載網(wǎng)絡(luò)運行情況進行描述，產(chǎn)生的告警數(shù)據(jù)、監(jiān)測數(shù)據(jù)等信息能夠基本囊括網(wǎng)絡(luò)全方位信息。

但這些來自于不同車載網(wǎng)絡(luò)的告警數(shù)據(jù)，是相對孤立和片面的，無法有效地對軌道交通控制網(wǎng)絡(luò)安全宏觀態(tài)勢進行分析及風(fēng)險評估，所以在設(shè)計時將針對基于車載控制系統(tǒng)基礎(chǔ)安全建設(shè)采集的配置信息和運行信息進行研究，同時將多源信息放到統(tǒng)一的平臺上進行分析處理，將分析結(jié)果作為短期評估的數(shù)據(jù)基礎(chǔ)。

在進行中長期評估時，首先將全部引入短期評估數(shù)據(jù)，在此基礎(chǔ)上加入更多的靜態(tài)指標(biāo)和全局指標(biāo)，對城市軌道從地面網(wǎng)絡(luò)到車載網(wǎng)絡(luò)形成整體的、縱深的網(wǎng)絡(luò)安全態(tài)勢全方位評分。

其中，配置信息是指車載控制網(wǎng)絡(luò)架構(gòu)、車載控制網(wǎng)絡(luò)的設(shè)備配置、車載設(shè)備、網(wǎng)絡(luò)漏洞情況等；運行信息是指車載控制網(wǎng)絡(luò)系統(tǒng)所受動態(tài)攻擊的情況，主要來自于車載網(wǎng)絡(luò)中的流量信息、相關(guān)車載設(shè)備和安全設(shè)備的日志信息等。通過計算攻擊者攻擊成果所需付出的代價，以定量的方式計算系統(tǒng)的安全情況，并根據(jù)計算結(jié)果形成“車載控制網(wǎng)絡(luò)安全模型”，最終給出車載控制網(wǎng)絡(luò)系統(tǒng)安全的演化圖。

2 結(jié)論

軌道交通網(wǎng)絡(luò)系統(tǒng)是一個復(fù)雜的系統(tǒng)，包含眾多的子系統(tǒng)，各子系統(tǒng)之間通過不同的接口規(guī)范進行信息交互，從而相互配合完成整個系統(tǒng)的運行過程。由于系統(tǒng)的龐大與復(fù)雜性，系統(tǒng)外部、子系統(tǒng)內(nèi)部以及各子系統(tǒng)之間都可能存在安全薄弱環(huán)節(jié)而導(dǎo)致威脅的產(chǎn)生。通過建立完善的安全防護系統(tǒng)，可最大化地發(fā)現(xiàn)問題并防御網(wǎng)絡(luò)攻擊，從而保障軌道交通的安全運行。