鐵路物聯網系統的安全挑戰與對策研究

孫 鵬，張惟皎

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

隨著“萬物互聯”趨勢的逐步明朗和應用深入，傳統的信息安全防護手段[1]越來越難以應對層出不窮的物聯網攻擊。物聯網作為互聯網的進一步延伸，在現場大量部署監測控制設備或邊緣計算節點[2]，使網絡信息安全邊界越發模糊，攻擊面也在不斷擴大，未來的網絡信息安全將向物聯網設備側或網絡邊緣側全方面滲透，這對物聯網應用系統[3]的安全防護策略提出了新的更高要求，亟需有針對性地研究鐵路物聯網安全態勢，研究與現有信息系統安全融合的技術，建設適合鐵路的物聯網安全防御體系，有效控制、消除當前和未來可能面臨的物聯網安全風險和漏洞隱患。基于此，本文分析鐵路物聯網的安全特點及挑戰，提出構建鐵路物聯網安全參考框架和全生命周期管理模式的安全對策。

1 鐵路物聯網的安全特點及挑戰

1.1 鐵路物聯網的安全特點

鐵路物聯網安全具有海量性、異構性、資源受限性、分布式及實時性的特點[4-5]。現場監測控制設備數量大、類型多，設備接入協議和應用模式豐富，還涉及復雜的網絡拓撲連接和邊緣計算節點的靈活運用，大多數現場設備終端在計算、存儲、網絡資源等方面具有受限性的特征。這就對鐵路物聯網系統及其安全策略的輕量級安全協議運用、安全服務低延遲和現場業務連續性、無線網絡防御和抵近攻擊防范、移動無縫切換和動態高效認證、統一設備身份標識管理、感知數據備份恢復及隱私保護、設備安全策略的遠程群組化配置、物聯網接入設備規模動態擴展、基于云邊協同的設備安全加固和本地安全自治管理、大規模物聯網分布式拒絕服務攻擊（DDoS，Distributed Denial of Service attack）防御、智能入侵監測和安全態勢分析等提出了更高要求。

1.2 鐵路物聯網的安全問題

結合實際應用現狀，當前鐵路物聯網應用常見的安全問題是：既有生產管理信息系統在實現監測控制設備接入時，已有的安全防護措施不完善，安全防護水平參差不齊，容易導致安全防護的木桶短板效應；現場監測控制設備數量多、類型雜，大量生產設備在自身網絡信息安全方面的考慮不足；尚不具備完善的網絡防護能力，通信網絡接入協議豐富，無線通信技術大量使用，無線滲透、抵近攻擊、擺渡攻擊等行為可能對系統構成重大威脅；部分物聯網感知設備設計簡單，計算、存儲資源受限，相比信息系統更容易受到攻擊，而且正在進行的攻擊行為也很難被發現。

1.3 鐵路物聯網的安全挑戰

1.3.1 設備安全挑戰

（1）缺乏物理安全控制

鐵路現場的監測控制設備往往分散部署在偏遠暴露的地理位置，一部分還具有移動作業功能，必須假設設備存在被破壞、盜竊、篡改等物理攻擊威脅或至少是被惡意訪問的可能性。

（2）設備安全能力不足

受限于計算資源及能量供給，終端設備更傾向于采用輕量級的設計實現，云計算安全加密技術很難在現場設備的復雜信任場景中實現，物理/邏輯隔離成為一種更高性價比的方案[6]。

（3）設備后門與設計漏洞

設備后門能夠繞過安全控制獲得訪問權，而硬件系統設計漏洞一般是因研制階段對安全威脅考慮不周引起。

（4）惡意節點及終端賬號劫持

攻擊者可能以不誠實的方式獲取終端設備或邊緣節點的身份標識，物聯網環境下的節點、用戶偽裝攻擊極易實施，誘使連接并隱秘地收集數據，或對數據流量進行非法監聽。

1.3.2 網絡安全挑戰

（1） 無線網絡滲透與抵近攻擊

必須考慮無線信道易受監聽干擾、物理攻擊者易接近、部分設備移動性等帶來的安全問題，重視利用移動存儲設備的擺渡攻擊。

（2） 不安全的非傳統通信協議

鐵路基層接入網長期應用短距離無線通信、低功耗廣域網等多種無線通信協議，由于終端資源受限，難以通過復雜的安全計算進行安全加固。

（3） 網絡認證與訪問控制不足

物聯網環境往往缺少統一的身份認證和密鑰分配機制，以及相關云安全服務，必須采取輕量級安全加密協議和適當的網絡隔離策略，并把部分終端安全計算外包給邊緣計算節點執行。

（4） DDoS

DDoS通過募集遍及整個物聯網的大量終端設備及邊緣節點，構造僵尸網絡，在同一時間以協同方式對目標發起攻擊，消耗其資源使其不能提供服務[7]。

1.3.3 數據安全挑戰

（1） 節點設備數據易損毀

鐵路線路邊界長，跨越復雜的人文、地理、氣候環境，物聯網設備往往缺少有效的數據備份和恢復措施等，攻擊者可能修改或刪除設備緩存數據。

（2） 數據源可信性難以驗證

鐵路應用可能對數據源的真實性或不可抵賴性提出需求。資源受限設備使得內容偵聽、流量分析，以及假冒、重放、偽造等主動攻擊更易實施。

（3） 隱私數據保護不足

移動終端等內置了大量傳感器來獲取第一手數據，包括大量的隱私數據。有效的加密或脫敏措施往往缺失，使得這些數據易被攻擊者收集或窺探。

（4） 不安全的移動數據

必須假設移動端被攜帶到不信任環境下也能保障基本安全。移動端有可能訪問PC不會遇到的內容，如惡意的二維碼、被重定向的惡意站點或未知來源應用程序等，因此，數據在移動端難以監管。

1.3.4 應用安全挑戰

（1） 不安全的系統與組件

鐵路物聯網環境計算任務由云中心、邊緣節點、終端設備分布式地承擔，不完善的信任機制可能導致通過偽造節點，劫持現場設備或者應用系統。

（2） 不安全的開放接口

鐵路物聯網環境的網絡節點必須通過開放一系列設備接口和應用接口支持協同工作。物聯網二次實施可能會產生新的復雜應用程序接口（API，Application Programming Interface），風險也會相應增加。

（3） 難監管的惡意用戶

鐵路物聯網信任環境復雜，管理如此大規模的監測控制設備及邊緣計算設備，這對用戶管理來說是一項巨大挑戰。

（4） 易蔓延的高持續性威脅

高持續性威脅（APT，Advanced Persistent Threat）通常包括定向情報收集、單點攻擊突破、控制通道構建、內部橫向滲透和數據收集上傳等過程。若物聯網應用系統對APT攻擊的檢測能力不足，則很容易導致攻擊感染面不斷擴大并進一步蔓延。

2 鐵路物聯網的安全對策

2.1 鐵路物聯網安全參考框架

鐵路物聯網安全包括物理安全[8]和信息安全，從鐵路物聯網面臨的安全特點、問題及挑戰出發，基于問題導向和目標導向，從設備安全、網絡安全、數據安全、應用安全的維度，分類整理鐵路物聯網參考安全分區中的安全策略，并貫穿涵蓋第三方采購、安全設計開發、安全部署運行維護（簡稱：運維）的鐵路物聯網安全全生命周期管理，構建覆蓋鐵路物聯網“云—邊—端”的安全參考框架[9-11]，如圖1所示。

圖1 鐵路物聯網安全參考框架

2.2 鐵路物聯網的安全策略

參考鐵路物聯網設備、網絡、數據、應用所面臨的主要安全風險和威脅，提煉物理安全或信息安全防護需求，并有針對性地提出對應的安全策略；同時，通過全生命周期管理將安全要素融入物聯網第三方采購、設計開發、部署運維的各階段，通過固化管理流程，確保安全風險及漏洞不會被帶到物聯網系統實施的后續階段。

2.2.1 設備安全策略

（1） 設備物理防護

在設備選型和地理選址時[12]，應在物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水、防潮、溫/濕度控制、電力供應、電磁兼容、部署環境等方面滿足相關標準和規范要求，在受控環境下部署。

（2） 設備身份認證

設備應具備可識別、防篡改和防擦除的唯一身份標識（ID，Identity Document）[13]，支持通過設備ID或媒體存取控制（MAC，Media Access Control）地址綁定等方式實現接入認證與管理，并充分考慮輕量級的設備認證策略和協議。

（3） 設備訪問控制

使用統一的用戶授權管理和基于屬性或角色的訪問控制模型，為授權用戶訪問設備資源提供細粒度的訪問控制，并考慮到支持設備群組和批量化的設備安全策略配置。

（4） 設備完整性校驗

建議采用輕量級的安全校驗方法，對設備進行完整性檢查驗證，保障設備運行在預期的狀態上。不僅要保證設備操作系統的完整性和可信性，還要保證應用程序與數據的機密性和完整性。

（5） 設備入侵檢測防護

對安全級別高和資源充裕的物聯網節點，安裝經過安全認證的惡意代碼掃描、入侵檢測和安全日志工具。

2.2.2 網絡安全策略

（1） 安全通信協議

針對物聯網設備數量大、類型多、網絡拓撲復雜，現有的通信協議的安全性參差不齊等問題，對現有協議進行漏洞挖掘和安全評估[14]，并綜合性能因素，在原有協議的基礎上進行安全封裝。

（2） 網絡隔離分區

規劃物聯網云中心、邊緣域、終端設備等不同區域間的安全隔離策略，采用虛擬化邏輯隔離，甚至物理隔離，實現數據采集網絡彼此不連通，僅在需要時進行安全數據交換，保障在單點設備失效時迅速隔離有害攻擊、不會向整個網絡蔓延。

（3）網絡接入驗證

對接入網絡的物聯網節點進行鑒權，根據安全等級實現設備單向認證，或者基于預共享密鑰、公鑰基礎設施的雙向認證。

（4）入侵安全檢測

對物聯網網絡實施持續性的網絡流量監測和自動報警預警，建立終端接入日志審計機制，實時檢測偽節點或中間人攻擊。嚴格盯控DDoS攻擊，重點防范復雜網絡和大規模設備連接環境下的網絡風暴，對網絡異常事件或有害網絡流量采取阻斷、緩解和分流等措施。

2.2.3 數據安全策略

（1）輕量級數據加密

在鐵路物聯網節點執行傳統加密算法具有極大的挑戰性，需通過對加密方案進行定制和剪裁，并依托硬件加密或者邊緣節點分包等方式增強計算能力，形成輕量級密碼服務。

（2）數據安全傳輸

對重要信息、敏感信息選擇必要的加密傳輸策略[15]，支持數據保密傳輸、完整性校驗、時效性驗證、數據脫敏保護、基于設備身份的數據源信任機制。提供數據溯源技術對關鍵數據進行跟蹤紀錄，對數據流轉及訪問過程中的異常行為及時告警。

（3）數據安全存儲

保證物聯網節點上靜態數據或動態緩存數據的安全性，兼顧安全和效率，構建分布式數據存儲架構，采用適用的存儲空間加密和數據訪問控制保證數據的保密性和完整性，并提供分布式數據冗余備份機制保證數據的可用性。

（4）敏感數據處理

建立識別、使用和保護敏感數據的有效機制，鑒別物聯網采集數據中的敏感信息，在不嚴重影響性能的前提下提供脫敏混淆計算，保證有效性和及時性，并提供一定審計能力。

2.2.4 應用安全策略

（1）應用系統加固

對資源受限的物聯網節點，需要滿足統一身份管理、補丁升級更新等基本要求。對可能存在安全漏洞的現場應用程序，實施軟件安全加固。同時考慮終端應用輕量化的要求，結合云邊協同計算對關鍵程序邏輯進行安全強化，盡量采用自動化的程序安全檢查工具。

（2）應用安全控制

盡量支持基于群組自定義的用戶訪問權限管理，以明確的準許限制策略，控制用戶訪問應用系統資源的權利與范圍。提供輕量級的安全授權模型，以及去中心化、分布式訪問控制策略，支持快速認證和動態授權的機制。實現高等級安全域的安全管控、權限分離和行為回放。

（3）應用安全監控

補強對現場物聯網設備的安全監控能力，對應用資源占用、網絡流量、設備連接、終端用戶身份及其操作行為等進行實時檢測分析和報警處置，按預置的安全策略發現程序漏洞和入侵行為。通過安全審計和日志分析對應用違規、越權和異常行為進行報警判識，并實施事后追溯。

（4）應用安全管理

制定安全管理策略規程，明確物聯網接入設備責任方安全職責及行為準則，制定應急響應計劃和配置管理策略，定期開展安全評估工作；明確不同責任方物聯網業務應用系統運維的職責，加強物聯網相關采購、研發、運維人員的安全管理意識。

2.3 鐵路物聯網安全的全生命周期管理

2.3.1 第三方安全采購

鐵路物聯網系統建設依賴于研發生態環境中不同廠家的支持，各供應商安全角色和安全策略相互關聯，必須建立安全責任制度進行有效的安全治理；鐵路物聯網設備、網絡、平臺、應用供應商有責任遵循安全架構確保產品安全可信，針對鐵路環境提供硬件安全漏洞修補、固件軟件升級更新等配套服務，在安全合規性準入上采取零容忍的策略；盡量減少安全維護帶來的額外運營負擔，保證不產生難以承受的生產停機時間，靈活規劃向后兼容和新能力整合；對資源受限設備，建議綜合考慮專用密碼加速器、邊緣計算策略，或在網絡安全隔離策略方面提出安全加固方案；設備選型時，建議消除關鍵硬件功能以外無用的附加特性，以減少攻擊面。

2.3.2 安全設計開發

設計開發是鐵路物聯網系統全生命周期管理的關鍵階段，重視設計開發階段有利于預防早期安全問題，為安全加固方案的實施預留充足時間，避免后期高昂的安全修復代價[16]。考慮到大多數鐵路現場設備安全功能設計簡單和資源受限等特點，必須遵循通用安全框架著重提升設備系統的穩定性；必須將物理安全需求和信息安全需求同時納入考慮，制定完善的安全事件異常處理預案，通過平穩斷開正在運行的現場設備以阻止安全事件進一步蔓延。

準確把握物聯網系統安全需求，規劃整個設計開發階段的安全測試計劃，而不應僅滿足于對系統功能的覆蓋性測試。利用靜/動態代碼分析和軟件測試工具，形成安全測試及代碼審計策略，并盡量采用自動化測試工具；對第三方軟件庫和開源代碼進行安全評估，盡量混合使用第三方通用組件；必須對系統的潛在安全威脅和可能攻擊手段有一定預期，詳細定義安全邊界、安全API和數據流規范；嚴格控制編碼質量，尤其是要杜絕程序異常，避免過度暴露權限，保證并發訪問安全性。

2.3.3 安全部署運維

需要合理規劃部署運維方案以保障鐵路物聯網系統總體安全。由于安全防護必然帶來管理成本提升，因此，必須明確關鍵的安全防護對象，利用風險分析評估系統安全邊界；項目驗收測試應該從功能性、可靠性、物理安全性、信息安全性、管理合規性全方位綜合評估物聯網應用系統，并在預生產環境下開展安全滲透測試；為保證系統長期穩定運行和現場設備基本不停機，必須加強大規模現場設備安裝配置管理，以及可持續的安全監控和事件管理能力；優先采用基于群組的自動化配置管理、安全應急處置預案和基于人工智能的安全檢測分析技術，并開展有針對性的運維培訓。

3 保障鐵路物聯網安全的新技術

3.1 云安全控制

基于云計算的鐵路物聯網系統可作為一種安全基礎設施，被認為是構建大規模物聯網應用的基礎。面向大量現場設備及海量的物聯網采集數據，該系統能夠提供所需要的計算資源及應用托管基礎服務，同時，通過實施最佳的安全控制策略，大幅提升應用系統整體安全水平。

必須針對實際鐵路物聯網應用場景開展云安全設計，充分利用該系統解決安全復雜性高的問題，構建多安全主體的信任關系和認證機制。物聯網云安全架構應包含“端—邊—云”的多種安全要素，結合物理/虛擬隔離合理規劃安全邊界，實時跟蹤現場設備側或網絡邊緣側的安全態勢，實現統一設備身份驗證、安全補丁管理、安全態勢監控、攻擊事件響應、災難應急恢復、安全漏洞管理、隱私數據保護等功能。

3.2 基于區塊鏈的信息安全

區塊鏈具備去中心化身份管理、信息不可篡改、可追溯和不可抵賴等特性，利用區塊鏈分布式賬本和設備智能合約，為物聯網信息安全防護提供了新的手段，可用來有針對性地克服中央安全控制架構下、與中心化信任源和單點故障失效有關的安全漏洞或隱患。面向鐵路物聯網應用對大規模設備進行分布式自主管理的需求，區塊鏈的分布式計算和群體可信協作機制為有效應對可擴展性、協作能力、信任模式與安全保護等物聯網安全挑戰提供了新思路，也為物聯網設備和用戶的身份認證與訪問控制、全業務鏈條數據的安全可信追溯等提供了一種分布自治、低成本的技術手段。

3.3 人工智能安全檢測

人工智能不僅能夠為鐵路信息安全進行自主安全決策分析，還能夠通過自動保護防范外部威脅或惡意攻擊。通過網絡安全檢測與模式識別算法，以遠超人工分析的速度和規模，發現并阻止正在進行中的網絡攻擊行為；利用人工智能對物聯網海量數據進行安全檢測分析，以持續應對不斷發展演化的安全威脅和攻擊模式，并為人類專家提供數據可視化分析和安全跟蹤審查的功能。利用人工智能安全檢測技術及時檢測惡意軟件或正在發生的攻擊行為，可極大地縮短惡意入侵規避檢測的延遲時間。

4 結束語

文章深入分析了鐵路物聯網的安全特點，結合物理安全和信息安全兩個方面構建了鐵路物聯網安全參考框架。從設備、網絡、數據、應用等方面給出了鐵路物聯網應用面臨的主要安全挑戰與相應對策，提出了全生命周期的物聯網安全管理，并探討了保障鐵路物聯網安全的新技術。本文對鐵路物聯網系統安全開展的研究，可為完善和提升鐵路網絡安全和信息化體系提供參考。