軌道交通列控系統網絡安全風險和防護對策研究

劉 貞，何躍鷹，丁 歡

(1．北京全路通信信號研究設計院集團有限公司，北京 100070；2．北京市高速鐵路運行控制系統工程技術研究中心，北京 100070；3．國家計算機網絡應急技術處理協調中心，北京 100029)

1 概述

中國擁有全球規模最大的高鐵和地鐵線路網，截至2020 年7 月底，中國高鐵運營里程達到3.6 萬km，預計到2035 年高鐵運營里程將突破7 萬km，地鐵運營里程達到6 700 多km。軌道交通已成為承載廣大人民群眾中遠途出行和物資運輸的主要陸上交通工具。

列車運行控制系統（簡稱列控系統）是保障列車安全和高效運行的大腦和神經中樞，時刻保障著旅客的生命安全。列控系統是一個龐大而又復雜的安全控制系統，主要由中心設備、車站設備、軌旁設備和車載設備組成，上述設備通過列控安全數據網絡進行數據信息交換，提供安全控車服務。

無論是高鐵還是地鐵，在早期的列控系統網絡設計過程中，更多的關注功能安全（safety）而非網絡信息安全（security），主要通過網絡物理隔離和邊界防火墻實現最基本的防護以應對網絡攻擊威脅。以高鐵為例，如圖1 所示，列控系統網絡隨著高鐵線路平行部署，全國是一張物理連通的平面網絡，接入數十萬的列控設備，沿線的數千個機房都部署物理網絡端口，物理隔離保障安全的風險在不斷加大。

隨著中美經貿摩擦加劇，以美國為代表的西方國家除了在核心技術方面對華進行封鎖之外，通過網絡進行攻擊和滲透的風險也在不斷加劇，特別是應用于工業安全控制的工業互聯網面臨的風險尤為突出。為此，國家多個部門聯合發布了《中華人民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》[1-3]，將工業網絡特別是軌道交通中的列控系統網絡納入關鍵信息基礎設施保護范圍，并要求運營者按照網絡安全等級保護制度的要求，履行相應安全保護義務，保障關鍵信息基礎設施免受干擾、破壞或者未經授權的訪問，防止網絡數據泄漏或者被竊取、篡改[4]。

在新形勢下，為積極響應國家網絡安全等級保護及關鍵信息基礎設施保護工作，切實做好軌道交通列控系統的網絡安全防護，實現列控系統功能安全與信息安全相融合，本文結合列控系統網絡安全現狀，深度分析列控系統網絡安全風險，挖掘安全防護風險點，制定列控系統網絡安全防護技術對策，形成針對列控系統的網絡安全綜合防護解決方案，滿足等級保護2.0 四級防護要求，全面提升列控系統的網絡安全綜合防護能力和應急響應能力，保障高鐵、地鐵等列車的安全穩定有序運行。

2 列控系統網絡現狀和面臨的風險

列控系統網絡是列控系統的重要組成部分，承擔著列控系統信號數據交互、指令傳輸等重要使命，對網絡的可靠性、實時性有較高的要求，是極其重要的工業控制網絡。為保障系統各設備間通信的可靠性，列控系統網絡采用雙環網的物理冗余鏈路搭建網絡，增強了列控系統網絡的健壯性和抗風險能力。然而，隨著列控系統網絡接入設備的增多，網絡規模不斷擴大，造成列控系統網絡接口、接入節點數量劇增，網絡結構變得越來越復雜，維護難度大大增加，面臨的網絡安全風險也愈加突出。

列控系統網絡在建設初期，各系統形成自己的私有網絡，系統間相互獨立，形成了所謂的“物理隔離”[5]，對網絡信息安全防護考慮較少。隨著計算機技術、網絡技術和通信技術的廣泛深入應用，大量的信息化和數字化組件被引入到網絡中，極大地提升了系統整體的運行效率和自動化程度。但是，這些技術和設備的引進，也使得列控系統面臨著網絡嗅探、網絡攻擊、病毒入侵、數據篡改等越來越多的安全威脅，加之攻擊技術手段革新，列控系統網絡面臨的信息安全威脅形勢日益嚴峻，安全風險日益突出。尤其是信息化的快速發展，一直以來被認為相對封閉、專業和安全的軌道交通控制系統已不再是一座安全的“孤島”，致使列控系統設備、主機、網絡、數據極易遭受來自外部及內部的網絡安全攻擊。

近年來世界各地發生的軌道交通網絡安全事件如下。

圖1 中國高鐵列控系統網絡拓撲圖Fig.1 The Network topology diagram of Chinese train control system for high-speed railways

1）2008 年1 月，一少年攻擊了波蘭lodz 市的城鐵系統，并用遙控裝置改變了多輛列車的運行方向，最終導致4 節車廂出軌，12 名乘客受傷。

2）2011 年1 月，日本新干線列車運行控制系統疑似受到不明黑客攻擊而導致大癱瘓，全線列車停運約75 min。

3）2011 年11 月，深圳地鐵蛇口線因乘客隨身攜帶的無線網絡信號意外侵入列控系統網絡，導致列車緊急制動，多躺列車暫停運行。

4）2014 年12 月，漏洞報告平臺烏云發布“高”危害等級漏洞，爆出中國鐵路12306 售票網存在漏洞，疑似有大量用戶密碼明文信息泄露。

綜合列控系統網絡當前現狀，存在的薄弱環節和面臨的安全風險主要來自以下幾個方面。

1）列控設備

列控系統接入安全控制設備，多為嵌入式系統。目前設備的芯片大部分采用國外通用芯片，底層操作系統也多為國外通用操作系統，存在較多的軟硬件漏洞，容易受到攻擊；同時，這些嵌入式系統的處理能力有限，功能設計時并沒有考慮過強的網絡安全防護功能，暴露后直接抗攻擊能力較差。

2）列控PC 主機

列控系統PC 主機連接對應列控設備，為運營維護提供支撐。列控PC 主機使用通用工控機和服務器，操作系統多為windows 系統，同樣存在較多的軟硬件漏洞；主機上的殺毒軟件、病毒庫和操作系統漏洞補丁無法及時升級，防病毒能力差，通過移動介質引入的惡意代碼和病毒，易造成大量主機運行緩慢、系統崩潰和死機；此外，當前的列控PC 主機僅進行了簡單的賬號控制，無權限管理，容易被攻擊越權造成更大損失。

3）列控系統網絡

列控系統網絡內部防護主要依靠管理手段和少量安全設備，區域防護不完善，局部的網絡安全問題很容易造成全國性的擴散；缺乏設備接入控制，信號安全數據網地域跨度大，設備分布廣，接入點多，非法設備極易接入；列控系統網絡子網邊界雖然設置了防火墻，但為減少對列控業務數據實時性影響，許多防護策略未設置，整體邊界防護功能受限。

4）列控數據

列控系統數據保存于列控設備及列控PC 主機中，在列控系統網絡上傳輸，列控數據與列車控車息息相關，目前列控數據的安全防護能力不完善，防竊密手段欠缺，受攻擊后容易造成重要數據被纂改和外泄。

3 列控系統網絡安全防護技術對策

鑒于軌道交通網絡的重要性和脆弱性，如何有效防護列控系統網絡設施，加強網絡安全綜合防護能力成為必須要解決的首要問題。列控系統網絡作為工業自動控制網絡，對網絡的可靠性、實時性有較高要求，尤其是與現有設備功能安全的結合成為必須要考慮的重要問題。目前尚無針對列控系統網絡安全綜合防護的方案，行業尚未建立起成熟的網絡安全綜合防護體系，網絡安全保障能力相對薄弱，安全事件應急處置能力相對較差。

針對列控系統面臨的網絡安全風險，以《網絡安全法》、《等級保護2.0》、《關鍵信息基礎設施安全防護》為依據，綜合分析列控系統網絡的脆弱性與安全風險，梳理列控系統網絡的安全需求，開展列控系統網絡安全防護機制研究以及影響分析，形成針對列控系統網絡的安全綜合防護解決方案。如圖2 所示，圍繞列控系統設備安全、主機安全、網絡安全和數據安全，實行“分區分域、專網專用、縱深防御、綜合預警”的總體防護策略，構建集資產與設備管理、漏洞檢測、配置核查、邊界防護、入侵檢測、安全監測審計與病毒防護、主機管控、數據安全防護、態勢感知等技術為一體的動態綜合防御體系。

圖2 列控系統網絡安全綜合防護技術架構Fig.2 The technical architecture of network security protection of train control system

該體系以列控設備本體安全為核心，加強信號系統與其他輔助系統自身控制安全、網絡接入控制以及設備間保密通信，強化區域邊界的防護；建設高等級網絡安全防護體系，實現多層次、多區域的縱深防御；建設“態勢感知+集中管理”的一體化平臺，增強統一管理、應急響應及處置能力。旨在形成事前安全檢測預防、事中安全事件監測、重要數據安全防護和事后快速應急處置于一體的全生命周期網絡安全綜合防護平臺，全天候全方位監控關鍵業務系統及網絡安全狀況，及時發現、處置、阻斷各類網絡安全隱患及風險，并支持溯源取證[6]，整體提升列控系統綜合安全保障水平和應急響應水平。

此外列控系統網絡承擔著控制列車運行的重要任務，因此在進行信息安全防護時必須要保證系統的功能安全，方案設計必須注重功能安全與信息安全的深度融合，應當堅持以下原則。

1）網絡安全防護對功能安全的影響

列控系統安全設備在設計之初為保障控車的安全性和可靠性，充分考慮設備功能安全需求，大多采用二乘二取二的軟硬件架構體系，保障了軌道交通列車的安全有序運行，因此在進行軌道交通網絡安全防護時，應深入評估安全防護設備及相關技術對現有列控設備功能安全可能造成的影響，應在保障現有系統功能安全前提下進行防護方案、防護產品的設計及應用。

2）網絡安全防護不應破壞原有系統的封閉性

列控系統作為相對封閉的獨立系統，各系統間采用專有網絡進行通信，確保了列控系統免遭外部系統、外部網絡的影響，保障了列控系統的獨立性和封閉性。在進行安全防護方案設計時，不應打破列控系統原有的這種封閉性，保障列控系統在原有的封閉體系下進行安全防護，保證列控系統的相對獨立。

3）網絡安全防護不能導致原系統RAMS 指標下降

列控系統作為工業控制系統，對系統網絡的可用性、實時性、可維護性有著較高要求，保證了控車的及時有效，因此在進行防護方案設計時，應充分考慮列控系統作為工業控制系統的特殊性，在保障原有系統高可用性、高實時性、高安全性的框架下進行方案設計。

4）防護設備部署不影響原有列控系統的正常工作

列控系統現有系統可靠穩定，設備功能完備，保障了列車的安全穩定有序運行，是相對穩定可靠的工業控制系統，在此基礎上進行的安全防護方案設計時，應保證不影響原有系統設備、主機的正常工作，考慮在安全設備出現故障時不會引起現有設備間的通信異常，影響現有系統的可靠性。

5）安全防護設備部署要簡單易于工程實施

列控系統承擔著控制列車運行的特殊任務，設備7× 24 h 全天候運行，設備升級維護僅在劃分的固定天窗點進行，設備部署時間短任務重，因此在進行防護方案設計和防護產品部署時，應充分考慮現場情況，便于列控系統現網環境的工程實施，做到安全設備部署簡單，安全產品配置簡便，盡量減少對現網環境的修改。

4 列控系統網絡安全綜合防護方案

列控系統網絡安全綜合防護方案通過構筑高等級防御體系，使得列控系統網絡具備高級別的防護能力，有效隔絕攻擊者對列控系統網絡的攻擊行為，特別是抵御有組織團體，甚至是國家級的攻擊行為，保證高鐵、地鐵等列車安全、可靠、高效、穩定的運行，防護系統功能劃分如圖3 所示。

圖3 列控系統網絡安全綜合防護系統功能劃分Fig.3 The functionality partitioning for network security protection of train control system

列控系統網絡安全綜合防護平臺應堅持“分區分域、專網專用、縱深防御、綜合預警”的安全防護策略。首先，結合列控系統網絡現場特點，強化網絡區域管理，依據列控系統網絡各自功能及業務的重要程度進行區域劃分，加強區域間的安全管控，實現核心安全區域及邊界的安全隔離，強化各區域的封閉性和獨立性。其次，做到列控系統網絡專網專用，嚴格保證網絡的封閉性，隔絕通過外部網絡的入侵行為。此外，加強對網絡的安全管控，對接入到網絡中的外部設備、移動介質等進行嚴格的安全把關，加強對網絡管理人員的安全培訓，完善列控系統網絡的安全管理制度，做到管理人員有意識、設備運行有保障、規章制度有規范。最后，針對網絡設備及系統的高等級防護要求，構筑多層次、多區域的縱深防御體系，完善列控系統網絡的安全保障體系，加強應急響應和故障處理能力。

方案強調事前、事中、事后的縱深防御理念，在事前，加強對列控系統網絡的安全檢測，做到對網絡的自評、檢測、加固和預警。通過基線核查系統、漏洞掃描挖掘系統等，實現對網絡全線設備、主機的配置核查，漏洞掃描及挖掘，及時發現高危配置及漏洞、木馬等潛在安全威脅，并對潛在威脅進行定點清除，提升列控系統網絡的安全性。

在事中，通過安全監測審計系統、入侵檢測系統、防病毒系統、主機安全管控系統、數據安全防護系統等，做到對網絡流量的監測、告警、阻斷和防護，嚴格把控列控系統網絡中存在的異常流量，審計列控系統網絡流量、設備日志、安全事件、操作行為，識別列控系統可能遭受到的網絡攻擊與安全威脅，分析攻擊者的攻擊行為與意圖，做到對進入網絡的流量、主機的安全訪問控制；同時通過數據加密技術的應用，做到對列控系統數據的安全防護，防止數據被竊取或篡改，全面實現列控系統網絡、設備、主機、數據的安全防護。

在事后，通過態勢感知系統、安全管理平臺等安全管理系統對已經發生的安全事件進行應急處置、攻擊分析和溯源分析等，對全網攻擊、異常流量、資產、威脅等態勢進行展現；強化中心與車站間的聯動處理能力，減少人力成本；同時，采用大數據挖掘與分析技術，綜合分析列控系統全網數據，挖掘列控系統網絡潛在的威脅，完成全網流量建模分析，進行大數據機器學習，提升列控系統網絡安全綜合防護平臺的自動防護能力。

通過事前、事中、事后多層次立體防御體系的建立，實現對列控系統網絡的事前有預防、事中有監測、事后有分析，全面提升列控系統的網絡安全防護能力，滿足等級保護標準要求。

5 總結

軌道交通列車運行控制系統承擔著重要的使命，同時也面臨著被惡意攻擊的巨大風險，國內針對列控系統網絡安全的防護工作還處于起步階段，各種管理體系和防護技術手段不健全，既有網絡防護能力有限、人員安全防范意識薄弱等問題亟待解決。在國家和行業層面，應根據不同安全層級的安全風險，健全列控系統網絡安全管理體系，盡快啟動既有列控系統網絡安全防護增強工作，全面提升列控系統的網絡安全防護能力，變列控系統網絡被動防護為主動防護、靜態防護為動態防護、單點防護為整體防護、粗放防護為精準防護，全面提升列控系統安全性，保障高鐵、地鐵列車安全穩定有序運行。