零信任自適應安全技術引入軌道交通行業

作為目前國內軌道交通運營里程第一的上海申通地鐵集團，近年提出建設符合自身運營特點的自主化軌交工控云平臺。該計劃旨在采用基于高可信的工控安全技術，統一設備設施數據接口，標準化數據格式，為軌道交通智慧應用建設提供良好平臺基礎。可預見到軌交工控云的廣泛運營，整個軌道交通系統將面臨防不勝防的安全威脅。一般而言，已部署的工控系統是建立在獨立的專網之上，通過網閘與公網完全隔離，各個子系統之間相對獨立，數據接口非標準化，系統從外部攻破的難度大，影響面也相對較小。

隨著工業互聯網、物聯網和大數據技術的引入，工控云網絡的互聯互通程度越來越高，數據接口需要逐漸標準化，開放接口組件也越來越多，既有基于物理位置的應用、數據和設備的信任體系不再適用于新的軌道交通智慧應用場景，基于數據的攻擊方式將不斷涌現。例如，遠程違規操作機電設備、竊取或篡改音視頻系統內容、攻擊電力供應系統等具體案例。由于入侵的是“物”或者“數據”，入侵過程極難察覺，而事后造成的短效損害（設備無法運轉）和長效損害（持續的信息泄露與信息被篡改），都是軌道交通運營所無法承受的。

軌交云平臺的系統架構

結合軌道交通行業云邊端的系統結構如圖1所示，分成終端設備、邊緣計算服務器和云平臺三個層級（以下簡稱“云邊端”）。終端設備往往位于車站或區間現場，如水泵、風機、冷凍機組、照明等設備設施。一般而言，每個車站或區間會放置一套或多套邊緣計算服務器，實現終端設備的運行數據采集，設備控制，系統聯動等功能，并將處理后的數據上傳到云平臺。系統所有的數據和應用均存儲和部署在云平臺，用戶可以通過瀏覽器或各種客戶端訪問云平臺獲取數據和應用服務。由此可知，軌道交通工控云安全風險集中在三個方面：（1）終端設備的安全風險；（2）數據和網絡環境風險；（3）云端應用系統和操作風險。

解決軌道交通的工控云安全風險問題，就必須從終端設備安全加固、邊緣計算服務器安全管理，端邊云協同防護這三個層面分別展開，并結合人工智能和機器學習建立完整的安全運營體系。同時，需要確保完成安全體系加固后的系統對于原系統的時延、響應速度、運行效率等影響，仍符合軌道交通的技術要求與等級保護要求。

終端側設備的安全加固

終端設備指的是運行在車站/ 區間現場的設備設施，如EMCS 系統中的水泵、風機、冷凍機組，PIS 系統中的廣播設備，AFC 系統中的售票機、閘機等。這些設備原本都是獨立運行在各自的專網或者車站級的生產專網中，與外界相對隔離，但是在新的云邊端架構中其網絡安全邊界的認識開始模糊，增加新的暴露面，安全風險越來越不容忽視。尤其在類似軌道交通這類涉及民生的領域，終端設備的安全問題尤為突出。因此，終端設備有針對性地對安全加固技術提出要求，利用輕量化的安全協議和機器學習算法等技術來作為身份的安全認證基礎設施，并重點對邊緣計算網關的安全，終端設備的身份安全認證方案進行設計和優化，最后通過實驗和分析，來驗證方案的實際效果。

結合軌道交通的應用場景，典型的終端設備安全問題有如下幾類：（1）沒有安全保護機制的工控協議；（2）不可信的終端設備；（3）終端設備自身的應用安全風險；（4）邊緣計算所帶來的安全挑戰。

軌道交通智慧應用場景中終端設備的產地、品牌、型號眾多，其各自裝載的操作系統也各不相同，安全加固軟件無法一一適配兼容，因此終端設備的安全加固考慮采用外掛安全網關的方式實現，安全網關的身份認證和安全加固應具備設備身份認證，設備密鑰，設備行為分析和設備信用評分等相關功能。隨著軌道交通末端設備數量大幅增加，工控云正在將數據的處理轉移到軌道交通物聯網設備的邊緣，以減少流向云的流量。因此邊緣計算服務器處于連接云和端之間的重要位置，物理世界的終端設備如傳感器、執行器和設備設施通過邊緣計算服務器與云端應用的操作者、管理者進行交互。

對于終端設備的攻擊主要限于單體設備或系統的停止工作、數據丟失、信息篡改，但通過對于邊緣計算服務器的攻擊，攻擊者比以往更容易侵入整個邊緣側的物理世界。現有的攻擊有可能造成在軌道交通工控系統中的車輛、車站、軌道區間等設備執行錯誤的控制指令。比如可以通過邊緣網關控制入站口的閘機造成票款的流失。通過邊緣計算服務器控制站臺照明和新風系統造成人員的恐慌。通過邊緣計算服務器向工控云上報錯誤的數據信息引起云端錯誤的指令下發。這些故障輕則造成設備或系統癱瘓導致財產損失，重則會外泄系統中的關鍵數據，甚至造成人民群眾生命安全事故。所以邊緣計算服務器的安全管理在整個體系中是尤為重要的。

邊緣計算服務器安全管理

保護邊緣計算服務器的最佳方式是阻止其連接到外部網絡，將其限制在封閉專用網絡中。但是在云邊端的體系架構中這種方式是不可能實現的，許多的邊云協同和邊云數據傳輸因為建設和成本的要求要依靠公有網絡實現連接。除此以外很多情況下，本來安全的網絡和節點還必須與已有舊網絡進行互操作，而這種老式網絡本身的安全性可能要差很多。這就帶來一個新問題，那就是最弱的安全風險可能超出了軌道交通物聯網系統的影響范圍。

必須要有一種云邊端相互實時驗證的方法，確保通信的握手、數據的傳輸在這種驗證的方法監控之下進行。針對邊緣計算節點海量、跨域接入、計算資源有限等特點，面向終端設備偽造、劫持等安全問題，突破邊緣節點接入身份信任機制、多信任域間交叉認證、設備多物性特征提取等技術難點，實現海量邊緣計算節點的基于邊云、邊邊交互的接入與跨域認證。

面向邊緣設備與數據可信性不確定、數據容易失效、出錯等安全問題，突破基于軟/ 硬結合的高實時可信計算、設備安全啟動與運行、可信度量等技術難點，實現對設備固件、操作系統、虛擬機操作系統等啟動過程、運行過程的完整性證實、數據傳輸、存儲與處理的可信驗證等。除此之外邊緣計算服務器向工控云發送數據的數量越多越頻繁，數據暴露的節點和機會就越多，其數據保密就越困難。在邊緣側網關處理清洗過的數據可以減少直接發送和暴露給云的數據數量。讓邊緣計算服務器更多地參與數據清洗，邏輯運算，智能控制等功能可以減少專門針對關鍵數據的攻擊面。

實現終端設備和邊緣計算服務器分別的安全管理是前提，其次是建立端邊云的協同防護，實現對軌道交通終端設備和邊緣計算服務器接入授權動態調整、全鏈路加密傳輸控制，實現軌交工控設備接入和數據傳輸的安全加固，結合機器學習和人工智能算法實現對終端設備、邊緣計算服務器等安全風險自動識別，智能預警及安全策略的統一部署、動態更新和優化。

零信任自適應安全技術的端邊云協同防護

自適應安全框架（ASA）是Gartner 于2014年提出的面向下一代的安全體系框架，以應對云大物移智時代所面臨的安全形勢。自適應安全框架（ASA）從預測、防御、檢測、響應四個維度，強調安全防護是一個持續處理、循環的過程，細粒度、多角度、持續化地對安全威脅進行實時動態分析，自動適應不斷變化的網絡和威脅環境，并不斷優化自身的安全防御機制。端邊云協同防護技術具有更主動的學習分析能力，具有更強的自適應能力，應對不斷變化的信息安全態勢。

零信任自適應安全框架基本理念在于“網絡中自始至終存在外部或內部威脅”的這一假設，這一底層思維與錯綜復雜的軌道交通工控場景非常契合。云邊端的協同防護也需要結合終端設備和邊緣計算服務器的安全管理需求，做相對應的應用探索，涉及：（1）身份與強認證；（2）最小特權；（3）可變信任；（4）設備信任評分；（5）基于機器學習自適應設備行為分析。

采用機器學習、人工智能等技術，基于JDL(Joint Directors of Laboratories) 和Endsley 兩種模型，實時收集和分析設備的通信流量、資源使用情況、所處位置、環境信息等綜合數據，結合設備操作指令，為設備威脅感知概念模型（圖2），以區別正常使用模式和攻擊模式，并對攻擊行為進行標記和阻止，能實時檢測并對抗正在進行中的威脅。

通過對網絡活動數據特征提取、模型訓練等過程，構建信任評估模型，利用模型輸出和人工定義風險評分，實現模型的驗證和評估，并正向反饋至評估模型，提升模型分析的準確性，增強信任評估的智能化水平和準確性，應對日益復雜的未知網絡威脅，能夠有效解決突出云計算中面臨的全新攻擊方式，通過自適應的學習機制主動有效地鑒別惡意應用和操作。

結語

針對行業應用與技術發展的國產自主瓶頸，圍繞軌道交通工控云安全的核心痛點，以自適應安全架構技術為技術依托，探索零信任的自適應安全體系的研究，綜合解決軌道交通工控系統云化過程中的安全加固難、繁、慢和無法保證軌交工控系統遷移上云后功能和網絡信息雙安全的核心技術難題，并希望從三方面解決安全加固的問題：解決因終端設備計算資源受限無法直接應用安全防護產品導致的加固難問題；解決因設備種類多樣、安全策略配置要求各不相同并且通過傳統的操作方式極其繁瑣的加固繁問題；解決因終端設備部署物理空間廣泛，操作環境受限，所需時間極其漫長導致的加固慢問題。期待以技術創新為驅動，以數字化、網絡化、智能化為主線，以促進交通運輸提效能、擴功能、增動能為導向，推動交通基礎設施數字轉型、智能升級，建設便捷順暢、經濟高效、綠色集約、智能先進、安全可靠的交通運輸領域新型基礎設施。