近年來，我國軌道交通的發展取得了舉世矚目的成就，在國家創新型建設中取得重大突破。我國軌道交通在線路規模、列車數量、運行里程等方面均排名世界第一。

長期以來，基于列車軌旁/車載相關系統的安全性研究大多圍繞系統的安全可靠（safety）進行，大多數人認為軌旁/車載系統作為專有網絡，不存在外界入侵和網絡病毒傳播的問題。

然而，隨著新型病毒（如專門針對工業控制系統的“震網病毒”）和新攻擊手段（如ATP攻擊）的出現以及與其他系統的接口（PIS、PA等），再加上自身系統的發展對數據共享和大容量數據通信的迫切需求，使系統對外界具有了前所未有的開放性，任何災害的發生都可能引起較大的人員和經濟損失，甚至帶來長期、深遠的影響。

如何有效地提高實時信息獲取率，在實現信息共享的同時全局、全方位保障軌道交通的正常安全運營，已成為軌道交通發展過程中迫切需要解決的難題。

本文主要對軌道交通車載網絡的網絡安全防護體系設計進行論述，以GB/T 22239—2019《信息安全技術網絡安全等級保護基本要求》為基礎，結合軌道交通車載網絡的特點，量身打造以“白名單”為技術理念、以“一個中心，三重防護”為基礎的“分區分域，對外隔離，對內認證，內外審計，監管感知”的縱深車載網絡安全防護體系。

1 軌道交通網絡信息安全防護系統

在車載通信網絡研制的早期階段，車載通信網絡與列車控制系統是相互獨立的，而隨著車載通信網絡技術的發展，對其可靠性的要求越來越高，其功能也在不斷地加強。目前的列車網絡控制系統是以計算機網絡為核心，將計算機技術、控制技術、設備故障診斷技術、網絡通信技術緊密結合在一起。通過網絡將命令傳送到各個車廂，從而實現對整個列車的控制。

圖1 TCMS系統網絡結構圖

軌道交通車載網絡由控制網絡、信號系統網絡、旅客信息網絡及其他專有網絡等組成。這些網絡連接著車載的各類控制設備、信號設備及其他設備（如廣播、顯示器、空調、燈光等），負責向這些設備傳輸各類指令，相當于列車的“神經系統”，其能否正常工作關系到列車能否正常運行。

其中，列車控制和管理系統（train control and management system, TCMS）是列車車載系統中關鍵的系統之一，對其安全性有極高的要求，其設備主要包含ECNN、EGWM、IOM、EVCM-R、HMI設備及配套電纜，陪試設備包含模擬用EGWM、EVCM-R、IOM模塊和PIS、OCS設備。

基于以太網的列車網絡控制系統無疑給我國城市軌道交通的發展帶來了巨大的好處，但以太網形式的使用，給車載通信網絡帶來了更多的基于計算機技術的安全風險。而軌道交通控制網絡屬于工業控制網絡，與一般的工業控制網絡有著較大的區別。

• 1）網絡協議不同。在底層的總線網絡協議和標準不同：列車網絡具有一定的行業特點，如列車實時以太網協議TRDP；而一般的工業控制系統大多采用標準的工業協議，如ModBus TCP、OPC、IEC等。
• 2）網絡架構不同。一般工控網絡和列車網絡拓撲和接入設備不同，列車網絡集成度更高。鑒于此，一般性工控網絡的安全保障系統并不能直接適用于列車控制網絡的網絡安全保障。
• 3）設備運行環境不同。在一般工控系統內的設備采用一體式，設備自身具備機殼和電源，而在列車網絡中，大多采用插板式的形態，沒有獨立的機殼和電源。

因此，基于以太網的列車TCMS系統的安全防護體系需具備自身網絡環境、應用環境、物理環境的特點，進行具有針對性的安全策略論證、安全模型設計和安全產品研發，建立并健全基于以太網的列車TCMS系統安全防護體系，通過實施統一的安全策略，確保重要系統免受黑客、病毒、惡意代碼等的侵害，特別是能夠抵御來自外部有組織的團體、擁有豐富資源的威脅源發起的惡意攻擊，并能在系統遭到損害后迅速恢復主要功能，確保列車控制系統中各功能模塊功能的有效性和列車穩定的運行。

1.1 分區分域

分區分域即結合業務需求對列車網絡進行區域劃分。由于列車網絡具有惟一對外接口，采用無線方式與地面進行數據交互，所以在劃分安全域時劃分2個安全域+1個蜜網安全域。2個安全域為列車內部網絡和外部網絡區域：內部網絡為全部車載網絡，由受保護的車載設備組成；外部網絡為不受信任區域，可以是部分車載網絡或地面公共網絡。

1個蜜網安全域為車載控制系統蜜罐主機群組，介于內部網絡與外部網絡之間的緩沖地帶，提供收集入侵者信息的功能，根據大量算法，對惡意構造的代碼（如shellcode、xss、跨站腳本、SQL語句、一句話、加密密碼等）進行解密（如暴力破解、常用算法、跑碼等），還原原始攻擊代碼并記錄算法，進行惡意代碼分類。再根據收集、分析、整理后的信息，利用多種技術（如爬蟲、社工、搜索引擎等）追蹤入侵者，借助機器學習、爬蟲、人工分析等方法，對攻擊相關內容進行溯源，查找犯罪人員，有效打擊黑客活動。

1.2 對外隔離

對外隔離是將列車網絡與外部其他網絡進行隔離防護，確保列車網絡不受到外界網絡數據的干擾，具有防范已知、未知攻擊的能力。在此，設計了一套基于以太網的車載控制網絡安全網關防護設備，安全網關防護設備形態結合車載設備運行環境而設計，采用板卡的形式，以適應車載物理運行環境。車載控制網絡安全網關防護設備外形示意圖如圖2所示。

圖2 車載控制網絡安全網關防護設備外形示意圖

車載控制網絡安全網關防護設備通過基于狀態檢測的訪問控制功能對網絡層級的非法訪問等行為進行控制，在一定程度上解決了非法訪問的問題。但僅僅控制網絡級的訪問是不夠的，所以在此設備上開啟建立應用層協議“白名單”的功能，通過機器學習的方式自動完成車載控制網絡內通信協議（如TRDP等）的深度解析，同時根據功能碼和時間戳形成邊界的訪問控制“白環境”，符合規約中的功能碼特征和數據發送接收時間周期的數據包才可以通過，保證了在區域之間網絡邊界處只有可信任的設備方可進入網絡。

車載控制網絡安全網關防護設備的軟件功能和硬件設計均需達到以下車載設備運行標準。

• 1）GB/T 24338.4—2009 軌道交通電磁兼容 第3-2部分：機車車輛設備。
• 2）GB/T 25119—2010 軌道交通機車車輛電子裝置。
• 3）GB/T 21563—2008 軌道交通機車車輛設備沖擊和振動試驗。
• 4）GB/T 4798.2—2008 電子電工產品應用環境條件 第2部分：運輸。
• 5）GB/T 17626.5—2008 電磁兼容試驗和測量技術浪涌（沖擊）抗擾度試驗。
• 6）GB/T 17626.4—2008 電磁兼容試驗和測量技術電快速瞬變脈沖群抗擾度試驗。

城市軌道交通網絡對網絡通信延遲和抖動的要求非常高，要求網絡設備尤其是串聯的網絡設備在完成數據包深度解析的前提下，依然保持較低的網絡延遲。該網關設備的設計指標常規延遲為60◆s，滿配策略下低于100◆s。

1.3 對內認證

對接入列車網絡內部的設備，要求設備接入網絡時進行基于802.1x協議的身份認證，通過身份認證的設備才被允許接入網絡，對不同的設備給出其網絡行為的權限表，避免設備異常時對網絡造成干擾。在此，設計了基于IEEE 802.1x協議的安全接入認證機制，其系統總體邏輯結構如圖3所示。

圖3 802.lx系統總體邏輯結構圖

• 1）客戶端設備向認證系統發送報文，主動發起認證。
• 2）認證系統在收到客戶端設備發送的報文后，會發送報文響應用戶的請求，請求客戶端設備發送身份標識信息。
• 3）客戶端設備向認證系統發送含有身份標識信息的報文。
• 4）認證系統將帶有身份標識信息的報文經過封裝發送給認證服務器。
• 5）認證服務器產生一個Challenge，將RADIUS Access-Challenge報文發送給認證系統，其中包含EAP-Request/MD5-Challenge。
• 6）認證系統通過EAP-Request/MD5-Challenge，并發送給客戶端設備，要求客戶端設備進行認證。
• 7）客戶端設備收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge進行MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回應給接入設備。
• 8）認證系統將Challenge、Challenged Password和用戶名一起送給服務器，由服務器進行認證。
• 9）服務器根據用戶信息進行MD5算法，判斷用戶是否合法，然后回應認證成功或失敗報文到認證系統。若成功，則攜帶協商參數以及用戶的相關業務屬性給用戶授權；若認證失敗，則流程到此 結束。
• 10）客戶端設備收到EAP-Success，通過認證。
• 11）客戶端設備發出EAPOL-Logoff報文，可主動終止已認證狀態。

1.4 內外審計

審計是非常關鍵的安全環節，它可以有效地記錄安全事件。內外審計主要包括兩部分內容，第1部分是靜態的日志審計分析，第2部分是動態的流量審計分析。最終將這兩個部分相結合，通過多源數據融合處理技術對整體日志進行分析。此環節能夠有效地分析和判斷列車網絡的安全狀態。

圖4 多源數據融合處理分析技術邏輯結構圖

1）靜態的日志審計分析

靜態的日志審計分析以安全設備、網絡設備的系統日志、配置信息、流量信息、運行信息等為數據基礎，通過梳理各應用系統的數據流及其內在數據傳導機制，以統一安全日志的格式，將這些數據進行集中的分析匯總，提取關鍵信息，去除冗余信息，提供一個統一的數據展示平臺接口。通過該數據接口，構建多源數據融合模型。靜態日志審計界面如圖5所示。

2）動態的流量審計分析

對TCMS系統協議的通信報文進行深度解析（deep packet inspection, DPI），根據列車網絡中流量的協議、行為、周期等要素形成安全通信網絡基線模型，依據該基線模型，實時檢測針對TCMS系統的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播，并實時報警，能夠有效檢測已知、未知的安全威脅，詳實記錄一切網絡通信行為，包括指令級的TCMS系統通信記錄，為TCMS系統的安全事件調查提供堅實的基礎。動態流量審計界面如圖6所示。

圖5 靜態日志審計界面圖

圖6 動態流量審計界面圖

1.5 監管感知

在2019年5月13日正式發布的GB/T 22239—2019《信息安全技術網絡安全等級保護基本要求》，著重將安全管理中心形成獨立章節，可見安全管理中心的重要性。在打造列車網絡安全體系中，在地面建立安全管理中心系統，其邏輯結構如圖7所示。

該系統是對車載控制系統安全防護體系的有效支撐，是整個安全防護體系的神經中樞。管理員通過安全管理平臺制定安全策略，對車載安全網關防護設備、車載網絡安全審計系統進行執行策略，從而確保整個車載控制系統及時有效地執行統一的安全策略，實現所有安全機制的統一集中管理。

安全管理系統包括3個子系統。這3個子系統分別是系統管理子系統、安全管理子系統和審計管理子系統。這3個子系統內的劃分嚴格參考等級保護的“三權分立”模式設計的3個管理員角色。

• 系統管理子系統負責對TCMS系統的資源和運行進行監測、配置、控制和管理，對系統IP地址、軟件及硬件等資源進行集中管理。系統管理由如下模塊組成：資產管理、監測管理、白名單管理、配置管理以及應急處理管理。
• 安全管理子系統負責對安全設備進行下發安全策略，包括訪問控制策略、白名單策略等。
• 審計管理子系統負責對范圍內審計策略的統一制定以及審計信息的統一接收、分析和查詢，能夠為用戶提供圖形化的展示界面。審計管理子系統用于保存和處理系統中的所有審計信息，同時聯動安全管理態勢感知模塊對數據進行多數據融合分析。

圖7 地面安全管理中心系統邏輯結構圖

在車載控制網絡安全防護體系建設中，車載安全網關防護和車載網絡監測審計等設備，針對不同的網絡安全問題從多個側面對車載網絡運行情況進行描述，產生的告警數據、監測數據等信息能夠基本囊括網絡全方位信息。

但這些來自于不同車載網絡的告警數據，是相對孤立和片面的，無法有效地對軌道交通控制網絡安全宏觀態勢進行分析及風險評估，所以在設計時將針對基于車載控制系統基礎安全建設采集的配置信息和運行信息進行研究，同時將多源信息放到統一的平臺上進行分析處理，將分析結果作為短期評估的數據基礎。

在進行中長期評估時，首先將全部引入短期評估數據，在此基礎上加入更多的靜態指標和全局指標，對城市軌道從地面網絡到車載網絡形成整體的、縱深的網絡安全態勢全方位評分。

其中，配置信息是指車載控制網絡架構、車載控制網絡的設備配置、車載設備、網絡漏洞情況等；運行信息是指車載控制網絡系統所受動態攻擊的情況，主要來自于車載網絡中的流量信息、相關車載設備和安全設備的日志信息等。通過計算攻擊者攻擊成果所需付出的代價，以定量的方式計算系統的安全情況，并根據計算結果形成“車載控制網絡安全模型”，最終給出車載控制網絡系統安全的演化圖。

2 結論

軌道交通網絡系統是一個復雜的系統，包含眾多的子系統，各子系統之間通過不同的接口規范進行信息交互，從而相互配合完成整個系統的運行過程。由于系統的龐大與復雜性，系統外部、子系統內部以及各子系統之間都可能存在安全薄弱環節而導致威脅的產生。通過建立完善的安全防護系統，可最大化地發現問題并防御網絡攻擊，從而保障軌道交通的安全運行。