近年来，我国轨道交通的发展取得了举世瞩目的成就，在国家创新型建设中取得重大突破。我国轨道交通在线路规模、列车数量、运行里程等方面均排名世界第一。

长期以来，基于列车轨旁/车载相关系统的安全性研究大多围绕系统的安全可靠（safety）进行，大多数人认为轨旁/车载系统作为专有网络，不存在外界入侵和网络病毒传播的问题。

然而，随着新型病毒（如专门针对工业控制系统的“震网病毒”）和新攻击手段（如ATP攻击）的出现以及与其他系统的接口（PIS、PA等），再加上自身系统的发展对数据共享和大容量数据通信的迫切需求，使系统对外界具有了前所未有的开放性，任何灾害的发生都可能引起较大的人员和经济损失，甚至带来长期、深远的影响。

如何有效地提高实时信息获取率，在实现信息共享的同时全局、全方位保障轨道交通的正常安全运营，已成为轨道交通发展过程中迫切需要解决的难题。

本文主要对轨道交通车载网络的网络安全防护体系设计进行论述，以GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》为基础，结合轨道交通车载网络的特点，量身打造以“白名单”为技术理念、以“一个中心，三重防护”为基础的“分区分域，对外隔离，对内认证，内外审计，监管感知”的纵深车载网络安全防护体系。

1 轨道交通网络信息安全防护系统

在车载通信网络研制的早期阶段，车载通信网络与列车控制系统是相互独立的，而随着车载通信网络技术的发展，对其可靠性的要求越来越高，其功能也在不断地加强。目前的列车网络控制系统是以计算机网络为核心，将计算机技术、控制技术、设备故障诊断技术、网络通信技术紧密结合在一起。通过网络将命令传送到各个车厢，从而实现对整个列车的控制。

图1 TCMS系统网络结构图

轨道交通车载网络由控制网络、信号系统网络、旅客信息网络及其他专有网络等组成。这些网络连接着车载的各类控制设备、信号设备及其他设备（如广播、显示器、空调、灯光等），负责向这些设备传输各类指令，相当于列车的“神经系统”，其能否正常工作关系到列车能否正常运行。

其中，列车控制和管理系统（train control and management system, TCMS）是列车车载系统中关键的系统之一，对其安全性有极高的要求，其设备主要包含ECNN、EGWM、IOM、EVCM-R、HMI设备及配套电缆，陪试设备包含模拟用EGWM、EVCM-R、IOM模块和PIS、OCS设备。

基于以太网的列车网络控制系统无疑给我国城市轨道交通的发展带来了巨大的好处，但以太网形式的使用，给车载通信网络带来了更多的基于计算机技术的安全风险。而轨道交通控制网络属于工业控制网络，与一般的工业控制网络有着较大的区别。

• 1）网络协议不同。在底层的总线网络协议和标准不同：列车网络具有一定的行业特点，如列车实时以太网协议TRDP；而一般的工业控制系统大多采用标准的工业协议，如ModBus TCP、OPC、IEC等。
• 2）网络架构不同。一般工控网络和列车网络拓扑和接入设备不同，列车网络集成度更高。鉴于此，一般性工控网络的安全保障系统并不能直接适用于列车控制网络的网络安全保障。
• 3）设备运行环境不同。在一般工控系统内的设备采用一体式，设备自身具备机壳和电源，而在列车网络中，大多采用插板式的形态，没有独立的机壳和电源。

因此，基于以太网的列车TCMS系统的安全防护体系需具备自身网络环境、应用环境、物理环境的特点，进行具有针对性的安全策略论证、安全模型设计和安全产品研发，建立并健全基于以太网的列车TCMS系统安全防护体系，通过实施统一的安全策略，确保重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，并能在系统遭到损害后迅速恢复主要功能，确保列车控制系统中各功能模块功能的有效性和列车稳定的运行。

1.1 分区分域

分区分域即结合业务需求对列车网络进行区域划分。由于列车网络具有惟一对外接口，采用无线方式与地面进行数据交互，所以在划分安全域时划分2个安全域+1个蜜网安全域。2个安全域为列车内部网络和外部网络区域：内部网络为全部车载网络，由受保护的车载设备组成；外部网络为不受信任区域，可以是部分车载网络或地面公共网络。

1个蜜网安全域为车载控制系统蜜罐主机群组，介于内部网络与外部网络之间的缓冲地带，提供收集入侵者信息的功能，根据大量算法，对恶意构造的代码（如shellcode、xss、跨站脚本、SQL语句、一句话、加密密码等）进行解密（如暴力破解、常用算法、跑码等），还原原始攻击代码并记录算法，进行恶意代码分类。再根据收集、分析、整理后的信息，利用多种技术（如爬虫、社工、搜索引擎等）追踪入侵者，借助机器学习、爬虫、人工分析等方法，对攻击相关内容进行溯源，查找犯罪人员，有效打击黑客活动。

1.2 对外隔离

对外隔离是将列车网络与外部其他网络进行隔离防护，确保列车网络不受到外界网络数据的干扰，具有防范已知、未知攻击的能力。在此，设计了一套基于以太网的车载控制网络安全网关防护设备，安全网关防护设备形态结合车载设备运行环境而设计，采用板卡的形式，以适应车载物理运行环境。车载控制网络安全网关防护设备外形示意图如图2所示。

图2 车载控制网络安全网关防护设备外形示意图

车载控制网络安全网关防护设备通过基于状态检测的访问控制功能对网络层级的非法访问等行为进行控制，在一定程度上解决了非法访问的问题。但仅仅控制网络级的访问是不够的，所以在此设备上开启建立应用层协议“白名单”的功能，通过机器学习的方式自动完成车载控制网络内通信协议（如TRDP等）的深度解析，同时根据功能码和时间戳形成边界的访问控制“白环境”，符合规约中的功能码特征和数据发送接收时间周期的数据包才可以通过，保证了在区域之间网络边界处只有可信任的设备方可进入网络。

车载控制网络安全网关防护设备的软件功能和硬件设计均需达到以下车载设备运行标准。

• 1）GB/T 24338.4—2009 轨道交通电磁兼容 第3-2部分：机车车辆设备。
• 2）GB/T 25119—2010 轨道交通机车车辆电子装置。
• 3）GB/T 21563—2008 轨道交通机车车辆设备冲击和振动试验。
• 4）GB/T 4798.2—2008 电子电工产品应用环境条件 第2部分：运输。
• 5）GB/T 17626.5—2008 电磁兼容试验和测量技术浪涌（冲击）抗扰度试验。
• 6）GB/T 17626.4—2008 电磁兼容试验和测量技术电快速瞬变脉冲群抗扰度试验。

城市轨道交通网络对网络通信延迟和抖动的要求非常高，要求网络设备尤其是串联的网络设备在完成数据包深度解析的前提下，依然保持较低的网络延迟。该网关设备的设计指标常规延迟为60◆s，满配策略下低于100◆s。

1.3 对内认证

对接入列车网络内部的设备，要求设备接入网络时进行基于802.1x协议的身份认证，通过身份认证的设备才被允许接入网络，对不同的设备给出其网络行为的权限表，避免设备异常时对网络造成干扰。在此，设计了基于IEEE 802.1x协议的安全接入认证机制，其系统总体逻辑结构如图3所示。

图3 802.lx系统总体逻辑结构图

• 1）客户端设备向认证系统发送报文，主动发起认证。
• 2）认证系统在收到客户端设备发送的报文后，会发送报文响应用户的请求，请求客户端设备发送身份标识信息。
• 3）客户端设备向认证系统发送含有身份标识信息的报文。
• 4）认证系统将带有身份标识信息的报文经过封装发送给认证服务器。
• 5）认证服务器产生一个Challenge，将RADIUS Access-Challenge报文发送给认证系统，其中包含EAP-Request/MD5-Challenge。
• 6）认证系统通过EAP-Request/MD5-Challenge，并发送给客户端设备，要求客户端设备进行认证。
• 7）客户端设备收到EAP-Request/MD5-Challenge报文后，将密码和Challenge进行MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回应给接入设备。
• 8）认证系统将Challenge、Challenged Password和用户名一起送给服务器，由服务器进行认证。
• 9）服务器根据用户信息进行MD5算法，判断用户是否合法，然后回应认证成功或失败报文到认证系统。若成功，则携带协商参数以及用户的相关业务属性给用户授权；若认证失败，则流程到此 结束。
• 10）客户端设备收到EAP-Success，通过认证。
• 11）客户端设备发出EAPOL-Logoff报文，可主动终止已认证状态。

1.4 内外审计

审计是非常关键的安全环节，它可以有效地记录安全事件。内外审计主要包括两部分内容，第1部分是静态的日志审计分析，第2部分是动态的流量审计分析。最终将这两个部分相结合，通过多源数据融合处理技术对整体日志进行分析。此环节能够有效地分析和判断列车网络的安全状态。

图4 多源数据融合处理分析技术逻辑结构图

1）静态的日志审计分析

静态的日志审计分析以安全设备、网络设备的系统日志、配置信息、流量信息、运行信息等为数据基础，通过梳理各应用系统的数据流及其内在数据传导机制，以统一安全日志的格式，将这些数据进行集中的分析汇总，提取关键信息，去除冗余信息，提供一个统一的数据展示平台接口。通过该数据接口，构建多源数据融合模型。静态日志审计界面如图5所示。

2）动态的流量审计分析

对TCMS系统协议的通信报文进行深度解析（deep packet inspection, DPI），根据列车网络中流量的协议、行为、周期等要素形成安全通信网络基线模型，依据该基线模型，实时检测针对TCMS系统的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播，并实时报警，能够有效检测已知、未知的安全威胁，详实记录一切网络通信行为，包括指令级的TCMS系统通信记录，为TCMS系统的安全事件调查提供坚实的基础。动态流量审计界面如图6所示。

图5 静态日志审计界面图

图6 动态流量审计界面图

1.5 监管感知

在2019年5月13日正式发布的GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》，着重将安全管理中心形成独立章节，可见安全管理中心的重要性。在打造列车网络安全体系中，在地面建立安全管理中心系统，其逻辑结构如图7所示。

该系统是对车载控制系统安全防护体系的有效支撑，是整个安全防护体系的神经中枢。管理员通过安全管理平台制定安全策略，对车载安全网关防护设备、车载网络安全审计系统进行执行策略，从而确保整个车载控制系统及时有效地执行统一的安全策略，实现所有安全机制的统一集中管理。

安全管理系统包括3个子系统。这3个子系统分别是系统管理子系统、安全管理子系统和审计管理子系统。这3个子系统内的划分严格参考等级保护的“三权分立”模式设计的3个管理员角色。

• 系统管理子系统负责对TCMS系统的资源和运行进行监测、配置、控制和管理，对系统IP地址、软件及硬件等资源进行集中管理。系统管理由如下模块组成：资产管理、监测管理、白名单管理、配置管理以及应急处理管理。
• 安全管理子系统负责对安全设备进行下发安全策略，包括访问控制策略、白名单策略等。
• 审计管理子系统负责对范围内审计策略的统一制定以及审计信息的统一接收、分析和查询，能够为用户提供图形化的展示界面。审计管理子系统用于保存和处理系统中的所有审计信息，同时联动安全管理态势感知模块对数据进行多数据融合分析。

图7 地面安全管理中心系统逻辑结构图

在车载控制网络安全防护体系建设中，车载安全网关防护和车载网络监测审计等设备，针对不同的网络安全问题从多个侧面对车载网络运行情况进行描述，产生的告警数据、监测数据等信息能够基本囊括网络全方位信息。

但这些来自于不同车载网络的告警数据，是相对孤立和片面的，无法有效地对轨道交通控制网络安全宏观态势进行分析及风险评估，所以在设计时将针对基于车载控制系统基础安全建设采集的配置信息和运行信息进行研究，同时将多源信息放到统一的平台上进行分析处理，将分析结果作为短期评估的数据基础。

在进行中长期评估时，首先将全部引入短期评估数据，在此基础上加入更多的静态指标和全局指标，对城市轨道从地面网络到车载网络形成整体的、纵深的网络安全态势全方位评分。

其中，配置信息是指车载控制网络架构、车载控制网络的设备配置、车载设备、网络漏洞情况等；运行信息是指车载控制网络系统所受动态攻击的情况，主要来自于车载网络中的流量信息、相关车载设备和安全设备的日志信息等。通过计算攻击者攻击成果所需付出的代价，以定量的方式计算系统的安全情况，并根据计算结果形成“车载控制网络安全模型”，最终给出车载控制网络系统安全的演化图。

2 结论

轨道交通网络系统是一个复杂的系统，包含众多的子系统，各子系统之间通过不同的接口规范进行信息交互，从而相互配合完成整个系统的运行过程。由于系统的庞大与复杂性，系统外部、子系统内部以及各子系统之间都可能存在安全薄弱环节而导致威胁的产生。通过建立完善的安全防护系统，可最大化地发现问题并防御网络攻击，从而保障轨道交通的安全运行。