轨道交通网络信息安全综述

轨道交通网络信息安全综述

张思雨 1，张立斌 1，杜振环 1

中车大连电力牵引研发中心有限公司 辽宁 大连 116052

摘 要：轨道交通基础设施正朝着更智能化、互联化和以用户为中心的方向发展，这将提高服务质量，提供更快、更安全的出行解决方案。但这其中的安全漏洞也给攻击者提供了更多的可乘之机，而在轨道交通控制系统中，这些攻击可能是灾难性的。针对工业网络制定的IEC-62443标准，提供了一套系统而使实用的方法，可作为保障轨道交通系统网络信息安全的权威指南。本文对轨道交通系统可能存在的网络漏洞进行分析，并介绍了IEC-62443对工控网络安全的基本要求及相关技术、工具。提出保证整个生命周期的信息安全是轨道交通系统信息安全的研究方向和发展趋势。

关键词：轨道交通；信息安全；IEC-62443

中图分类号：U270.3 文献标识码：A
0 引言
当前，物联网技术飞速发展，万物互联是未来的发展方向。交通运输部关于推动交通运输新型基础设施建设的指导意见中提出，以技术创新为驱动，以数字化、网络化、智能化为主线，打造融合高效的智慧交通基础设施。

轨道交通系统作为智慧交通中重要的部分，将借助诸如5G、云服务、和基于消息队列遥测传输（MQTT）连接协议的参考架构等技术，实现更好地维护和实时通信。这无疑给轨道交通系统网络信息安全也带来了更大的挑战。

就目前而言，列车运行控制系统一般采用基于通信的列车控制系统，依据IEC-61375系列标准，使用工业以太网组成列车控制网络。由于标准是开放的，攻击者很容易对其进行攻击，存在信息安全隐患。

1基于IEC-62443标准的轨道交通系统信息安全

1.1轨道交通系统网络漏洞分析

首先要对轨道交通系统可能存在的网络漏洞进行分析。轨道交通系统具有一般IACS系统的漏洞，如无线通信技术，很难在公共设施等开放的区域对其进行限制，与有线网络相比，受到攻击的风险更大。同时，自动化技术的引入消除了人为错误造成的危险，但增加了攻击风险。除此之外，轨道交通系统由于其规模巨大、复杂性高，确保大范围内设备之间的安全通信是一项艰难的任务。而且随着技术的不断发展，原有系统与新系统共存，共用基础设施，这会带来新的漏洞。轨道交通系统还包括各种传感器、计算机以及支付系统、应急系统等多个独立系统，这些独立系统之间的接口和通信也造成了漏洞的增加。系统的可靠运行还需要不间断的实时数据交换，需要重点维护。在线乘客服务，如时刻表、乘客信息、车票订购也容易受到网络攻击。

1.2轨道交通系统信息安全与IEC-62443标准

传统的信息系统安全通常以CIA原则为基础，按优先级代表机密性、完整性和可用性。然而，对于诸如TCMS之类的工业自动化控制系统（IACS），优先级通常根据所考虑系统的特殊性而颠倒。对于轨道交通系统来说，最重要的方面是列车运行，因此，安全问题首先是完整性，其次是可用性，最后是机密性。事实上，失去完整性可能导致事故或碰撞，而失去可用性则会使铁路系统陷入停顿。失去机密性并不是一个直接的威胁，但可能会导致敏感的操作信息泄露。

针对工业网络制定的IEC-62443标准，作为权威指南，提供了一套系统而实用的方法，来保障工业网络的安全。IEC-62443是一套专门针对IACS的标准，涉及产品和系统生命周期，涵盖了安全风险评估流程，并根据功能安全需求定义安全级别，已被其他关键基础设施使用。

轨道交通列车网络同样可以使用标准中描述的技术来应对网络安全风险。德国标准DIN VDE V 0831-104；VDE V 0831-104:2015-10：铁路电气信号系统-第104部分：基于IEC-62443的IT安全指南（62443-3-3-2013）说明了IEC-62443被广泛采用的事实。

IEC-62443标准提出的一个重要概念是，尽管有多种方法可以保护网络，并且每种方法都有其优点，但任何一种方法都可能有防护空白。由于攻击者有各种各样的目标，因此需要采取一系列协调措施，将安全性应用于多个层，为每个层提供不同类型的保护，这些层也可以防止不同的问题，全方位覆盖多个不同问题，这种方法通常称为纵深防御。

1.3 轨道交通系统信息安全系统架构

轨道交通系统信息安全系统架构，分为网络安全、信号安全和部署安全三个部分。

网络安全包括保护底层网络设施不受未经授权的访问、误用、故障、修改、破坏。根据IEC-62443，网络安全由技术、流程和人三部分组成。技术即用于于维护可用性、完整性和机密性。流程包括采用的一系列准则和标准，即必须要遵守的程序。人，即人员的管理，对相关人员的要求、培训以及职责和权限分配。

信号安全分成两部分：功能分析和系统的连续性。功能分析是将接收到的命令与与网络正常性能相关联的一组路由映射进行比较，联锁检查每个接收到的命令是否符合预定义的行为。系统的连续性，涉及在不利条件下保证系统正常运行的技术，如入侵测试等。

部署安全一方面涵盖了增加新设备或更换旧设备的方法还包括对产品生命周期内的支持相关的协议。在使用软件更新设备系统之前，对软件进行病毒分析和测试。对于硬件元件也要在隔离空间测试其故障。如果设备的规范和源代码是公开的，则不能在系统中使用。

2 轨道交通系统信息安全国内外研究进展

网络攻击包括网络信息被窃听、重传、篡改以及拒绝服务攻击、行为否认、电子欺骗、非授权访问、病毒等。接下来的部分，介绍了轨道交通系统针对这些网络攻击正在使用的技术和解决方案。

自动化控制系统按照既有的建设安全体系进行防护的同时，与列车运行控制直接相关的系统（如信号系统和SCADA系统）级别应定为非常重要，对应安全等级保护体系的第三级；为列车运行提供辅助、支撑的系统级别应定为重要，对应安全等级保护体系的第二级；仅供轨交行业内部使用的管理、决策、办公类系统级别应定为一般，对应安全等级保护体系的第一级。

对于轨道交通信息安全，不仅仅是加密这些信息流，更重要的是要正确地划分重要网络，也就是说要限制网络区域之间的信息流。

防火墙能够实现数据包的过滤，网络入侵的检测，网页过滤、蠕虫病毒防护和DOS/DDOS防护等。基于单向网关技术是硬件和软件的结合。单向网关在物理上只能向一个方向发送信息——从关键网络到非关键网络，简言之，单向网关为外部网络提供对重要网络数据的访问，而不向外部攻击者提供对重要系统的访问。国外已有公司提供单向网关符合IEC-62443标准和TS-50701标准，其在客运交通系统的一种应用实例如图所示。在关键网络的内部和外部都可使用防火墙，但在关键网络和非关键网络之间要使用单向网关。

为了保证在列车运行过程中为乘客提供可靠的互联网接入，克服车载振动、冲击和电气噪声的挑战。国内已有公司提出一种解决方案，将一个全千兆列车主干网与无线网和4G LTE连接，以支持乘客在工作或放松时的车载互联网接入。全千兆列车主干网符合IEC-62443网络安全标准，该系统在保证信息安全的前提下，支持更快的通信和更高的乘客服务。

3 结论

虽然网络安全在轨道交通系统中的重要性已经得到越来越多的认可，各国也都在致力于设计一种通用的解决方案，但确保网络安全的确切方案仍是一个悬而未决的问题。

保证轨道交通系统的信息安全，要关注网络安全在各个层面的关键作用，如何保证从开发文件的机密性到保护乘客的个人数据，贯穿整个生命周期，开发、制造、集成、调试、商业运行和维护的纵深防御是未来重点研究方向。

建立从“风险评估—风险监测—风险响应”展开的轨道交通信息安全体系。从被动防御逐渐转变为主动防御，借助人工智能等技术自动识别风险、攻击溯源。保护系统免受网络攻击的利益相关者都应充分学习以IEC-62443为代表的网络安全标准，并借鉴其在其他领域中的实施方案，制定相关措施，使轨道交通系统网络降低风险。

参考文献

1. ISA, “ISA-62443-1-1 - Models and Concepts,” in ISA-62443 - Security for Industrial Automation and Control Systems, vol. D6E2, no. September, 2016, pp. 3–115.

2. Environmental Protection Agency,“Information Security - Identification and Authentication Procedure,” 2016.

3. U.S. General Accounting Office, “Cybersecurity for Critical Infrastructure Protection,” Washington, D.C, 2004.