針對(duì)基于工業(yè)以太網(wǎng)的列車(chē)網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題，分析了列車(chē)網(wǎng)絡(luò)系統(tǒng)面臨的威脅，在此基礎(chǔ)上，給出了列車(chē)網(wǎng)絡(luò)系統(tǒng)終端設(shè)備、網(wǎng)絡(luò)設(shè)備、維護(hù)設(shè)備、遠(yuǎn)程數(shù)據(jù)傳輸設(shè)備的安全防護(hù)措施，可為列車(chē)網(wǎng)絡(luò)安全設(shè)計(jì)提供參考。

　　關(guān)鍵詞：軌道車(chē)輛;列車(chē)網(wǎng)絡(luò)系統(tǒng);安全分析;安全防護(hù)

　　列車(chē)網(wǎng)絡(luò)系統(tǒng)是“大腦”和“神經(jīng)系統(tǒng)”，負(fù)責(zé)整車(chē)的控制、監(jiān)視、故障診斷和數(shù)據(jù)傳輸，其將車(chē)輛的牽引、制動(dòng)、輔助供電、空調(diào)、門(mén)、旅客信息服務(wù)等各個(gè)子系統(tǒng)連接組成為一個(gè)有機(jī)整體，保證列車(chē)安全可靠運(yùn)營(yíng)。近年來(lái)，隨著物聯(lián)網(wǎng)、人工智能、數(shù)據(jù)分析技術(shù)的發(fā)展，軌道車(chē)輛的智能化水平不斷提高，車(chē)輛級(jí)及列車(chē)級(jí)的傳輸數(shù)據(jù)量不斷增多，使得基于工業(yè)以太網(wǎng)的列車(chē)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用越來(lái)越廣泛。但是，由于工業(yè)以太網(wǎng)采用的是通用的系統(tǒng)與協(xié)議標(biāo)準(zhǔn)，而且列車(chē)在運(yùn)營(yíng)過(guò)程中列車(chē)網(wǎng)絡(luò)系統(tǒng)會(huì)以各種方式與互聯(lián)網(wǎng)連接與交互，因此，必須開(kāi)展網(wǎng)絡(luò)安全分析與安全防護(hù)工作，以確保列車(chē)網(wǎng)絡(luò)系統(tǒng)的安全性。

　　1列車(chē)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)

　　目前，基于工業(yè)以太網(wǎng)的列車(chē)網(wǎng)絡(luò)系統(tǒng)普遍采用兩級(jí)總線:列車(chē)級(jí)總線(ETB)和車(chē)輛總線(ECN)。列車(chē)網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖1所示。列車(chē)網(wǎng)絡(luò)系統(tǒng)主要的網(wǎng)絡(luò)設(shè)備包括列車(chē)級(jí)交換機(jī)(ETBN)、車(chē)輛級(jí)交換機(jī)(ECNN)、中繼器(ＲEP)、輸入輸出模塊(IOM)、中央控制單元(CCU)、人機(jī)界面(HMI)、遠(yuǎn)程數(shù)據(jù)傳輸裝置(WTD)等，接入網(wǎng)絡(luò)的子系統(tǒng)主要有牽引、制動(dòng)、空調(diào)、門(mén)、充電機(jī)、安全監(jiān)控、能量管理、旅客信息、熱軸監(jiān)測(cè)、火警等系統(tǒng)。

　　2列車(chē)網(wǎng)絡(luò)系統(tǒng)安全性分析

　　2．1列車(chē)網(wǎng)絡(luò)系統(tǒng)資產(chǎn)識(shí)別

　　列車(chē)網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)主要包括:網(wǎng)絡(luò)系統(tǒng)硬件及軟件、子系統(tǒng)硬件及軟件，以及它們之間的連接;車(chē)地?cái)?shù)據(jù)傳輸設(shè)備及車(chē)輛與外部環(huán)境的接口。如果從資產(chǎn)的表現(xiàn)形式進(jìn)行分類(lèi)，列車(chē)網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)類(lèi)型可分為硬件、軟件、數(shù)據(jù)及服務(wù)等;如果從需要保護(hù)的業(yè)務(wù)過(guò)程和活動(dòng)、所關(guān)注信息的角度進(jìn)行分類(lèi)，列車(chē)網(wǎng)絡(luò)系統(tǒng)資產(chǎn)類(lèi)型可分為基于CCU的控制功能、車(chē)輛狀態(tài)信息、軟件、數(shù)據(jù)及硬件接口等，如表1所示。

　　2．2列車(chē)網(wǎng)絡(luò)控制系統(tǒng)面臨威脅分析

　　列車(chē)網(wǎng)絡(luò)控制系統(tǒng)面臨攻擊者故意發(fā)起的攻擊行為和用戶(hù)偶然引發(fā)的失誤，比如非法設(shè)置系統(tǒng)數(shù)據(jù)、信息泄漏、竊聽(tīng)、DoS(拒絕服務(wù))攻擊、虛假消息、記錄丟失、病毒感染。就訪問(wèn)方式而言，列車(chē)網(wǎng)絡(luò)控制系統(tǒng)面臨的威脅主要有仿冒、篡改、信息泄露、拒絕服務(wù)、特權(quán)提升等，如表2所示。

　　2．3列車(chē)網(wǎng)絡(luò)系統(tǒng)脆弱性分析

　　列車(chē)網(wǎng)絡(luò)系統(tǒng)的脆弱性主要表現(xiàn)在技術(shù)和管理兩個(gè)方面。技術(shù)方面的脆弱性主要有操作系統(tǒng)漏洞、非法外聯(lián)、內(nèi)部脆弱、攻擊風(fēng)險(xiǎn)等;管理方面的脆弱性主要有管理制度不健全、現(xiàn)場(chǎng)管理不完善等方面。1)操作系統(tǒng)漏洞。目前，列車(chē)網(wǎng)絡(luò)系統(tǒng)采用的比較多的操作系統(tǒng)主要有Windows、Vxworks及專(zhuān)用操作系統(tǒng)等，這些系統(tǒng)都不同程度的存在一些漏洞。IntelCPU架構(gòu)潛在的網(wǎng)絡(luò)安全漏洞如表3所示。2)非法外聯(lián)。在列車(chē)網(wǎng)絡(luò)系統(tǒng)維護(hù)過(guò)程中(如軟件上傳和故障下載時(shí))，會(huì)使用筆記本電腦、U盤(pán)等移動(dòng)介質(zhì)接入到被維護(hù)設(shè)備，如果沒(méi)有使用專(zhuān)用的設(shè)備，可能將病毒引入被維護(hù)設(shè)備;如果接入被維護(hù)設(shè)備的以太網(wǎng)口沒(méi)有設(shè)置保護(hù)，存在非法接入隱患。3)內(nèi)部脆弱。列車(chē)網(wǎng)絡(luò)系統(tǒng)設(shè)備及其子系統(tǒng)設(shè)備存在弱口令、設(shè)備之間通信協(xié)議未加密等問(wèn)題。4)攻擊風(fēng)險(xiǎn)。列車(chē)網(wǎng)絡(luò)系統(tǒng)與車(chē)地之間通過(guò)無(wú)線方式進(jìn)行通信，連接在網(wǎng)絡(luò)上的旅客信息系統(tǒng)與地面之間也采用無(wú)線方式進(jìn)行通信，給攻擊者提供了可利用的攻擊路徑，存在被攻擊的風(fēng)險(xiǎn)。在軟件上傳及故障信息下載時(shí)，沒(méi)有使用專(zhuān)用設(shè)備及專(zhuān)人操作，存在病毒感染隱患。5)管理制度不健全。近年來(lái)，基于工業(yè)以太網(wǎng)的列車(chē)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全研究剛剛起步，還沒(méi)有為此設(shè)立信息安全崗位及信息安全管理機(jī)構(gòu)，相關(guān)的信息安全培訓(xùn)與考核也剛剛開(kāi)始，口令管理、移動(dòng)介質(zhì)管理、維護(hù)人員設(shè)備接入管理等現(xiàn)場(chǎng)管理制度還不完善。

　　3列車(chē)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)

　　為便于構(gòu)建分層次的網(wǎng)絡(luò)安全縱深防御體系，按照功能區(qū)域?qū)⒘熊?chē)網(wǎng)絡(luò)系統(tǒng)分為終端設(shè)備、列車(chē)網(wǎng)絡(luò)系統(tǒng)、車(chē)地?cái)?shù)據(jù)傳輸系統(tǒng)和地面數(shù)據(jù)中心4個(gè)不同的安全區(qū)域，如圖2所示。

　　3．1終端設(shè)備安全防護(hù)

　　終端設(shè)備包括牽引控制單元、制動(dòng)控制單元、輔助控制單元、空調(diào)控制單元、高壓系統(tǒng)控制單元、門(mén)控制單元等。終端設(shè)備的安全防護(hù)措施主要有訪問(wèn)控制、入侵防范。1)訪問(wèn)控制。終端設(shè)備操作系統(tǒng)包括3種用戶(hù):超級(jí)用戶(hù)(操作系統(tǒng)管理賬戶(hù))，負(fù)責(zé)操作系統(tǒng)配置;普通用戶(hù)1(應(yīng)用系統(tǒng)管理賬戶(hù))，負(fù)責(zé)應(yīng)用軟件配置等操作;普通用戶(hù)2(應(yīng)用系統(tǒng)日常運(yùn)維賬戶(hù))，負(fù)責(zé)終端設(shè)備上運(yùn)行的應(yīng)用軟件的日常操作(如升級(jí)、下載日志數(shù)據(jù)等)。終端設(shè)備操作系統(tǒng)的用戶(hù)登錄密碼長(zhǎng)度不小于8位，要求包含大寫(xiě)、小寫(xiě)、特殊字符、數(shù)字，且嚴(yán)禁采用相同的登錄密碼。終端設(shè)備供應(yīng)商應(yīng)對(duì)用戶(hù)名和登錄密碼嚴(yán)格保密。2)入侵防范。終端設(shè)備應(yīng)通過(guò)定制的鏈路層設(shè)備接入列車(chē)以太網(wǎng)，定制的鏈路層設(shè)備對(duì)所傳輸?shù)男畔⑦M(jìn)行加密。終端設(shè)備操作系統(tǒng)通過(guò)列車(chē)以太網(wǎng)通信應(yīng)基于默認(rèn)拒絕、例外允許的原則。默認(rèn)關(guān)閉全部UDP(用戶(hù)數(shù)據(jù)報(bào)協(xié)議)、TCP(傳輸控制協(xié)議)端口，根據(jù)功能需要開(kāi)放用于TＲDP(列車(chē)實(shí)時(shí)數(shù)據(jù)協(xié)議)的部分UDP端口，并開(kāi)放一個(gè)TCP端口用于終端設(shè)備應(yīng)用系統(tǒng)的日常管理和維護(hù)。終端設(shè)備應(yīng)用系統(tǒng)對(duì)接收到的數(shù)據(jù)包進(jìn)行邊界檢查，丟棄接收到的超長(zhǎng)包(包括UDP超長(zhǎng)包、TＲDP超長(zhǎng)包)和超短包，以不影響后續(xù)正確數(shù)據(jù)包的接收，防止緩沖區(qū)溢出對(duì)未授權(quán)信息進(jìn)行訪問(wèn)。終端設(shè)備操作系統(tǒng)僅開(kāi)放必須的應(yīng)用于軟件工作的系統(tǒng)服務(wù)和網(wǎng)絡(luò)端口;關(guān)閉默認(rèn)管理賬戶(hù)，禁止使用開(kāi)放協(xié)議。終端設(shè)備所提供的應(yīng)用服務(wù)，應(yīng)通過(guò)專(zhuān)用PTU(維護(hù)設(shè)備)進(jìn)行軟件訪問(wèn)。終端設(shè)備操作系統(tǒng)限制默認(rèn)普通用戶(hù)的系統(tǒng)操作權(quán)限(如Linux下configure，rm等);全部用戶(hù)的遠(yuǎn)程訪問(wèn)僅用于啟動(dòng)相應(yīng)的系統(tǒng)服務(wù)。

　　3．2以太網(wǎng)設(shè)備安全防護(hù)

　　以太網(wǎng)設(shè)備主要包括列車(chē)級(jí)交換機(jī)、車(chē)輛級(jí)交換機(jī)、中央控制單元、輸入輸出設(shè)備、顯示屏、中繼器等。以太網(wǎng)設(shè)備的安全保護(hù)措施主要有白名單、流量控制、認(rèn)證配置、DDos(拒絕服務(wù)攻擊)防御等。1)白名單。網(wǎng)絡(luò)設(shè)備具有白名單匹配功能，包括綁定源(目的)IP與源(目的)MAC(物理地址)地址，提供基于五元組的安全策略。五元組包括源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類(lèi)型匹配(僅支持TCP、UDP)。通過(guò)ACL(訪問(wèn)控制列表)實(shí)現(xiàn)白名單匹配功能。2)流量控制。網(wǎng)絡(luò)設(shè)備應(yīng)提供流量控制功能，針對(duì)端口分配相應(yīng)的流量。當(dāng)某終端設(shè)備發(fā)送超限流量時(shí)，應(yīng)對(duì)其進(jìn)行流量限制，且不影響其他端口數(shù)據(jù)傳輸。3)認(rèn)證配置。網(wǎng)絡(luò)設(shè)備應(yīng)支持802．1x認(rèn)證功能，可開(kāi)放指定的端口進(jìn)行802．1x認(rèn)證，通過(guò)外接的ＲADIUS服務(wù)器完成對(duì)于接入設(shè)備的802．1x認(rèn)證。4)DDos防御。網(wǎng)絡(luò)設(shè)備具有DDos防御能力，應(yīng)通過(guò)抗大流量攻擊能力測(cè)試、畸形包處理能力測(cè)試、Dos攻擊測(cè)試。應(yīng)通過(guò)PingFlood、SYNFlood、Smurf等攻擊處理能力測(cè)試。

　　3．3車(chē)地?zé)o線傳輸系統(tǒng)安全防護(hù)

　　1)遠(yuǎn)程無(wú)線數(shù)據(jù)傳輸裝置采用防火墻技術(shù)、車(chē)地?cái)?shù)據(jù)傳輸協(xié)議加密、中間件隔離、數(shù)據(jù)單向傳輸?shù)劝踩�措施，保證車(chē)地?cái)?shù)據(jù)傳輸安全。2)旅客信息系統(tǒng)主機(jī)采用防火墻技術(shù)、車(chē)地?cái)?shù)據(jù)傳輸協(xié)議加密等措施保證車(chē)地雙向數(shù)據(jù)安全。

　　3．4PTU安全防護(hù)

　　1)安全認(rèn)證。PTU設(shè)備安裝有支持802．1x認(rèn)證的客戶(hù)端，通過(guò)該客戶(hù)端連接列車(chē)以太網(wǎng)網(wǎng)絡(luò)設(shè)備，在車(chē)載ＲADIUS服務(wù)器上進(jìn)行安全認(rèn)證，認(rèn)證通過(guò)后可接入列車(chē)車(chē)載網(wǎng)絡(luò)。2)加密與審計(jì)。每個(gè)PTU軟件副本擁有獨(dú)立加密的UID(用戶(hù)身份認(rèn)證)，PTU在與終端設(shè)備建立連接時(shí)記錄該UID的登錄時(shí)間、離開(kāi)時(shí)間、重要操作(如軟件升級(jí)記錄)等信息。PTU軟件發(fā)放單位應(yīng)建立UID與PTU軟件使用人對(duì)應(yīng)關(guān)系的臺(tái)賬用于審計(jì)。需通過(guò)PTU軟件上傳至終端設(shè)備的文件，應(yīng)加密并攜帶安全驗(yàn)證信息，由終端設(shè)備負(fù)責(zé)解密并進(jìn)行安全校驗(yàn)后方可上傳至終端設(shè)備。終端設(shè)備用于應(yīng)用系統(tǒng)管理的服務(wù)軟件應(yīng)對(duì)自PTU傳輸?shù)臄?shù)據(jù)包進(jìn)行合法性驗(yàn)證，對(duì)于未通過(guò)驗(yàn)證的數(shù)據(jù)包，應(yīng)丟棄并在終端設(shè)備上刪除。3)加強(qiáng)管理。日常運(yùn)用管理部門(mén)(如動(dòng)車(chē)所)對(duì)運(yùn)行PTU軟件的終端計(jì)算機(jī)進(jìn)行登記備案，記錄維護(hù)電腦使用的Mac地址，檢查終端計(jì)算機(jī)是否安裝防病毒軟件，禁止網(wǎng)卡同時(shí)設(shè)置多個(gè)IP進(jìn)行日常維護(hù)，并定期檢查。

　　4結(jié)語(yǔ)

　　隨著軌道車(chē)輛智能化水平的提高，基于工業(yè)以太網(wǎng)的列車(chē)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用將越來(lái)越多，網(wǎng)絡(luò)安全問(wèn)題將更加突出。為此必須按照網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)和規(guī)范，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的總體規(guī)劃部署和頂層設(shè)計(jì)，制定軌道車(chē)輛網(wǎng)絡(luò)安全設(shè)計(jì)流程和軌道車(chē)輛安全過(guò)程框架，從監(jiān)管和技術(shù)等方面構(gòu)建網(wǎng)絡(luò)安全保障體系。同時(shí)，圍繞項(xiàng)目需求，確定網(wǎng)絡(luò)安全評(píng)估目標(biāo)與評(píng)估范圍，進(jìn)行網(wǎng)絡(luò)安全威脅分析和風(fēng)險(xiǎn)評(píng)估;根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，確定風(fēng)險(xiǎn)控制需求，采取相應(yīng)的風(fēng)險(xiǎn)控制措施，保證列車(chē)網(wǎng)絡(luò)系統(tǒng)安全可靠運(yùn)行。

　　參考文獻(xiàn)

　　［1］孫小紅．車(chē)聯(lián)網(wǎng)的關(guān)鍵技術(shù)及應(yīng)用研究［J］．通信技術(shù)，2013(4):47．

　　［2］王亞猛．基于OPENSSL———車(chē)載網(wǎng)關(guān)認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］．長(zhǎng)春:吉林大學(xué)，2010．

　　［3］于赫，秦貴和，孫銘會(huì)．車(chē)載CAN總線網(wǎng)絡(luò)安全問(wèn)題及異常檢測(cè)方法［J］．吉林大學(xué)學(xué)報(bào)(工學(xué)版)，2016，46(4):1246．

　　作者：周淑輝 常振臣 張堯 呂默 單位：吉林大學(xué)汽車(chē)工程學(xué)院 中車(chē)長(zhǎng)春軌道客車(chē)股份有限公司科技管理部