城市軌道交通列車網絡安全研究

丁 超，陳 英，鑒紀凱，車聰聰，董 曉

（1. 成都軌道交通集團有限公司，四川成都 610031；2. 中車青島四方機車車輛股份有限公司，山東青島 266111）

1 引言

隨著軌道交通不斷向舒適化、智能化、數字化方向發展，傳統總線的傳輸帶寬已經無法滿足新興功能的需求，近年來以以太網為代表的大帶寬、低時延、高實時的傳輸方式已逐步成為車輛傳輸總線的首選， 同時為提高車輛監控的實時性，無線通信、車地通信等技術的應用也逐漸增多。以太網技術、無線傳輸技術應用的引入使得列車網絡對外開放的程度越來越高，接入通道、接入方式也隨之增加，由此引出的網絡安全問題成為近年來行業比較關心的話題之一。與此同時，軌道交通領域也發生多起網絡攻擊事件，2008年波蘭某城市的軌道交通遭遇攻擊，通過遙控器操作軌道扳道器，造成列車脫軌事故。2012年3月上海申通軌道交通的運行調度系統和車站信息發布系統遭受攻擊。2012年10月北京市軌道交通站內乘客信息系統遭遇攻擊。2016年2月，“BlackEnergy”攻擊烏克蘭鐵路系統。為應對日益增多的軌道交通網絡安全事件，行業內針對城市軌道交通列車網絡安全進行更深入的研究，以期提高城市軌道交通的運營安全。

2 列車網絡結構組成及其資產劃分

2.1 列車網絡結構組成

列車網絡系統集列車的控制、監視、診斷、通信功能于一體，主要由中央控制單元、輸入輸出模塊、人機接口單元、牽引系統、制動系統、車載無線系統、旅客信息系統等組成。列車網絡一般通過實時以太網或多功能車輛總線（MVB）將列車各系統進行連接，并通過車地無線傳輸系統以4G/5G/LTE/Wi-Fi等通信方式將列車運行數據和故障數據傳輸至地面。常見列車網絡組成如圖1所示。

根據列車網絡功能、結構組成及內外部接口，在國內外網絡安全相關標準技術要求的基礎上，通過對列車網絡資產、威脅、脆弱性的識別來對列車的網絡安全風險進行分析。

2.2 列車網絡資產劃分

列車網絡資產是列車網絡中具有價值的信息或資源，是信息安全維護的主要對象，列車網絡資產主要包括硬件資產和軟件資產等，列車網絡的主要資產如表1所示。

表1 列車網絡資產

3 列車網絡威脅和脆弱性分析

3.1 列車網絡威脅分析

關于列車網絡威脅以及安全等級劃分均有其對應標準。GB/T 25069-2022 《信息安全技術術語》中對“威脅”的定義是可能對系統或組織造成危害的不期望時間的潛在因素。

IEC 62443-3-3 : 2013《工業通信網絡 網絡和系統安全第3-3部分：系統安全要求和等級劃分》將安全等級劃分為4級。GB/T 22240-2020 《信息安全技術 信息系統安全等級保護定級指南》中將等級保護對象的安全保護等級分為以下5級 ：

（1）第一級，等級保護對象受到破壞后，會對相關公民、法人和其他組織的合法權益造成一般損害 ，但不危害國家安全、社會秩序和公共利益；

（2）第二級，等級保護對象受到破壞后，會對相關公民、法人和其他組織的合法權益造成嚴重損害或特別嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全 ；

（3）第三級，等級保護對象受到破壞后，會對社會秩序和公共利益造成嚴重危害，或者對國家安全造成危害 ；

（4）第四級，等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害；

（5）第五級，等級保護對象受到破壞后，會對國家安全造成特別嚴重危害 。

按照GB/T 25069-2022對“威脅”的定義以及安全等級的劃分進行分析，列車網絡的威脅主要是由環境因素和人為因素引起的可能造成列車事故的潛在起因。列車上可能造成事故的潛在因素包括自然因素與非自然因素，非自然因素主要指對車輛物理設備的破壞、使列車受到電磁輻射干擾、信息干擾、技術故障、越權控制以及功能破壞，造成列車設備無法正常工作，控制及狀態顯示等功能受到干擾的各類原因。列車網絡的主要威脅如表2所示。

表2 列車網絡資產威脅

3.2 列車網絡脆弱性分析

列車網絡的脆弱性可以通過技術脆弱性和管理脆弱性來分析，技術脆弱性主要包括物理環境、網絡架構及傳輸、設備本身。

3.2.1 物理環境風險

物理環境風險主要有以下幾個方面：網絡設備的安裝位置可能存在雷擊、靜電、電磁干擾、火災等風險；網絡設備可能遭受盜竊或破壞；網絡設備可能會遭遇電力供應的異常。

3.2.2 網絡架構及傳輸風險

網絡架構方面的潛在風險主要包括：網絡系統的架構可能不符合網絡安全要求，網絡帶寬、設備冗余配置可能不滿足業務要求；網絡系統的架構設計未劃分不同的網絡區域，或者把重要的設備放置在邊界處，沒有采取必要、可靠的技術隔離手段；網絡系統的通信不能保證數據傳輸的完整性和機密性，導致數據被竊取或者篡改。

網絡數據加密方面的潛在風險主要體現在：網絡系統的重要數據未采取加密的方式進行身份認證、訪問控制；網絡系統不具備外界防護能力，未能限制非授權設備接入列車網絡，可能導致無權限者入侵網絡，獲得網絡中的用戶憑證，提高對系統設備的訪問權限，達到惡意攻擊的目的。

網絡攻擊方面的潛在風險主要存在以下幾種可能：對于車地數據通信，可能未設置訪問控制規則，無法限制外部攻擊，缺失安全審計過程。攻擊者可能偽造節點與車地通信設備連接，實現流量劫持，造成數據的非法披露與分析，甚至打通內外網通道，發送控制數據到網絡中。

3.2.3 設備自身風險

車載設備可能不具備身份識別、訪問控制、安全審計、入侵防范等功能；未關閉非必要的系統服務及高危端口；可能存在操作系統、應用軟件的漏洞且沒有安裝安全補?。豢赡芪磳Υ凇SB口等接口進行嚴格的監控管理。以上情況會造成終端設備被惡意代碼植入，造成設備被修改、破壞、非法分析，甚至被進行物理攻擊，導致設備物理性破壞，功能永久喪失。

4 列車網絡安全防護

GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》中要求，需要在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境等方面進行安全保護。行業內目前將列車網絡安全等級定為三級，結合目前行業的現狀和上文分析出的網絡安全風險，通過采取物理措施、網絡防護等措施，盡可能保證列車網絡的安全。

4.1 物理安全

通過對車載設備的安裝位置進行安全設計，保證車載設備的物理安全。主要采取的措施包括：

（1）列車網絡設備均安裝在有門禁鑰匙系統的電氣柜、控制柜、箱體中，無權限人員無法進入；

（2）對線纜和設備進行隱蔽安裝，并配有視頻監控，防止被破壞和盜竊；

（3）對設備進行可靠的接地，防止雷擊等災害；

（4）在柜體設置空調通風系統，控制溫度和濕度、防水防潮；

（5）不同種類電纜隔離鋪設，避免相互干擾，防止電磁干擾；

（6）設置煙火報警系統，設備均使用防火阻燃材料，且設備所在柜體可以隔離火源，有效防火；

（7）列車網絡設備均采用蓄電池直流供電，能為設備提供穩定的電力供應。

4.2 網絡安全防護

網絡安全防護主要從安全域劃分、邊界防護、內網安全防護等方面開展。

4.2.1 安全域劃分

系統安全域劃分是指根據系統中業務的重要性、實時性、關聯性，以及對具體設備的影響程度、功能范圍、資產屬性等劃分出不同安全域。在地理位置上，列車系統與地面系統在物理上分為2個獨立系統，具備一定的物理隔離。業務屬性方面，列車系統主要實現行車及乘客服務等功能，地面系統主要用于傳輸信號及開展地面大數據分析等業務，由于這兩者業務的實時性要求不統一，資產屬性不一致。因此根據標準要求劃分出車載網絡及地面網絡2個安全域，從系統角度出發分別對應“內網區域”與“外網區域”。

車輛安全域劃分主要是針對列車車載網絡的劃分。列車車載網絡根據業務的差異可以做進一步的細分。列車車載網絡主要包括列車信號網、列車控制網、列車媒體網以及子系統控制網4大類型，其中列車信號網、列車控制網以及子系統控制網從功能邏輯上屬于控車功能，隸屬控制安全域，對于以旅客服務為目的的列車媒體網則隸屬于服務安全域。列車安全域劃分示意如圖2所示。

4.2.2 邊界防護

由于不同安全區域內業務屬性及安全級別不一致，需要對流經區域邊界的流量開展訪問控制、入侵防范、安全審計等安全檢查。對車地無線傳輸邊界、列車網絡系統與車載信號系統邊界、網絡系統與乘客信息系統邊界、網絡系統與便攜式測試單元（PTU）維護終端的邊界進行信息安全防護，目前車輛的接入邊界口如圖3所示。

邊界防護主要采用訪問控制、入侵防護、安全審計、身份鑒別（防火墻）等方式進行防護。防護的主要措施如下。

（1）訪問控制。對于車地通信數據，從地面到車輛的數據全部拒絕，僅允許車輛數據傳輸至指定地面服務器。對于PTU設備，僅允許指定維護設備，指定維護端口。

（2）入侵防范。開啟抗拒絕服務（DoS）攻擊，檢測并記錄從公共網絡發起的對車輛設備的掃描行為并進行抵御。

（3）安全審計。記錄防火墻的操作信息，記錄經過車輛邊界處的所有數據日志。

（4）身份鑒別。僅允許指定IP地址訪問，設置專門的用戶名密碼并具備密碼強度要求和錯誤次數限制的登錄機制，維護設備需要安裝安全認證證書等。

以網絡系統與PTU維護終端的邊界防護為例，PTU維護設備通過網絡防火墻后接入各車載設備的維護端口，防火墻中集成訪問控制、入侵防范、安全審計、身份鑒別功能，針對各系統的維護需求，對每個系統制定白名單的防護策略，對每個系統的維護接口，針對源IP、通信端口、服務進行過濾，僅允許指定的維護數據通過防火墻。PTU邊界防護如圖4所示。

4.2.3 內網區域安全防護

（1）安全網絡架構。在網絡架構設計中采用安全的網絡架構，以成都新一代市域全自動列車為例，列車采用ETB+ECN架構，中間車設置以太網中繼器EREP，實現列車級信號整形和放大功能。ECN采用環網拓撲，與行車相關的關鍵設備采用雙歸屬方式接入ECN交換機，如圖5所示。

（2）冗余設計。ETB總線采用雙線冗余，ECN采用環網冗余，兩個頭車ETB交換機互為冗余，任何ETB和ECN單點線路故障不影響列車通信。與列車行車相關的關鍵設備CCU、RIOM、HMI、信號系統等關鍵設備采用雙歸屬方式接入網絡，單線故障不影響行車。

（3）網絡異常監控。列車對異常通信、異常邏輯、異常操作等影響網絡安全的行為實施監控。當設備遭受攻擊發生停機或者通信中斷時，通過HMI進行報警。列車控制指令遭到篡改導致實際執行狀態與控制指令不一致時，通過HMI進行報警。當關鍵硬線IO信號遭受篡改，與冗余IO信號不一致時，通過HMI報警。當通信線路斷開或異常時，能夠及時診斷并報警，防止非授權設備接入。

（4）通信防護。對于以太網通信根據源IP、目的IP、ComID進行報文唯一性識別，對于MVB通信根據端口號進行報文唯一性識別，通過CRC校驗對以太網通信或MVB通信的數據進行數據完整性的保護。

（5）交換機防護。對閑置的以太網物理接口進行關閉，防止未授權設備接入以太網交換機。交換機的登錄管理采用用戶名+密碼的方式，不得使用弱口令。交換機端口啟動流量控制功能，降低通過交換機對終端設備發起的拒絕服務攻擊行為。

5 結語

本文從列車網絡的組成與功能出發，根據國內外網絡安全標準對列車網絡安全的風險點及具體威脅進行分析，并針對列車網絡安全風險點，從物理安全和網絡安全2方面提出網絡安全防護的設計方案。目前國內對于城市軌道交通列車網絡安全的研究還處于起步階段，系統集成商以及系統供應商還沒有對部件和系統進行符合標準的認證。對于列車網絡安全還需要行業內做進一步的深入研究。