智能铁路时代网络安全问题探讨

2019-04-03张彦

铁路计算机应用 2019年3期

张彦

（中国铁道科学研究院集团有限公司电子计算技术研究所，北京 100081）

随着“八纵八横”高速铁路网的逐步建成落地，我国铁路已经进入到智能发展阶段，智能京张、智能京雄铁路的试点建设拉开了智能高铁建设的序幕。高新技术为铁路建设和运营带来日新月异的应用前景的同时，也暴露出新应用在网络安全方面面临的巨大挑战。本文在分析智能铁路面临的网络安全风险的基础上，论述了开展智能铁路网络安全研究的必要性，提出了基于理念、体系、架构、平台4个维度的网络安全建设思路。

1 中国铁路发展总体情况

近年来，中国铁路的发展举世瞩目，旅客发送量和运营里程快速提升。2008～2017年，我国铁路旅客发送人数从2008年的13亿人次，稳步提升到2017年的30亿人次，其中，高铁发送人数从2008年的1.3亿人次上升到2017年底的17.2亿人次，如图1所示。铁路总运营里程达到13万km，高铁运营里程达到2.5万km，高铁运营里程占世界高铁总量的66.3%[1]；规划中的铁路中长期发展愿景显示，到2025年，铁路总里程将达到17.5万 km，高铁运营里程将达到3.8万 km[1]，如图2所示。我国铁路发展的高速和高效，将进一步提高社会效益、经济效益以及世界影响力。

图1 铁路旅客发送人数

图2 铁路运营里程

在铁路快速发展过程中，铁路的现代化、信息化进程得到全面提升，信息化技术应用已深入铁路各个专业领域，上到战略研究、建设管理、运力资源管理、企业经营管理，下到铁路旅客运输、货物运输、市场营销、多元业务。目前，我国铁路的信息系统已覆盖绝大多数业务范围，涉及基础设施、控制系统、信息系统等，信息化技术在铁路的高速发展过程中起到极大的推动作用。

2 高新技术引领智能铁路

2.1 智能铁路的内涵

智能铁路内涵很广，涵盖铁路应用技术的方方面面。目前，普遍把智能建造、智能装备和智能运营3个方向作为智能铁路的核心应用。围绕核心应用，通过新一代信息技术与铁路技术的融合，综合高效利用铁路资源，实现移动装备、固定设施以及外部环境之间信息的全面感知、泛在互联、融合处理、主动学习和科学决策[2]。

（1）智能建造：通过BIM数据建模、计算机集成制造（CIM）等多项技术融合运用，在路桥建造、隧涵施工等方面实现智能化、信息化管理，全面提升铁路建造和管理效率。

（2）智能装备：通过采用列车自动驾驶技术、北斗卫星导航技术等，使列车在运行过程中工作状态自动感知，运行故障自动诊断，运行位置自动定位，出现安全问题时自主决策安全导向。

（3）智能运营：通过高铁网和互联网的双网融合，采用云计算、大数据、物联网、人工智能和移动互联技术，使旅客能够在候车和乘坐时享受到舒适的服务，获得更加便利的行程规划，实时共享综合交通信息。

2.2 智能铁路面临的网络安全挑战

智能建造、智能装备、智能运营3个核心应用，使得铁路运营管理的智能化、现代化程度不断提高，形成以运行线路、供电网络、通信网络、数据中心为主要对象的新型铁路基础设施，以行车指挥、客运服务、货运服务、电子支付为主营业务的新型业务模式，由此构建了通信网络系统、桥隧涵路物联网监测系统、电力远动调度系统、云计算数据中心、列车调度指挥及控制系统、12306互联网售票系统、95306互联网货运系统、铁路电子支付平台等一系列重要系统，这些系统的构建使得云计算、大数据、物联网、移动互联、生物识别等新一代信息技术与铁路BIM技术、列车自动驾驶技术、运行故障自动诊断技术等高度融合，将给智能铁路带来更大的安全挑战，如图3所示。

2.2.1 通信网络系统

铁路通信网作为铁路重要信息基础设施之一，承担着铁路各业务系统的数据通信任务，根据承载网、业务网、支撑网结构和特点的不同，存在网络架构是否合理的安全风险、通信设备故障风险、数据是否加密传输风险等[3]，一旦受到攻击，将导致网络瘫痪，影响各业务系统的正常工作。

2.2.2 桥隧涵路物联网监测系统

该类系统采用传感器等物联网技术对铁路线路上大量的桥梁、隧道、涵洞以及路面沉降等线路质量进行远程监测，面临伪造身份标识、伪造终端节点接入、网关节点被恶意控制、监测数据被恶意劫持等安全风险[4]，一旦受到攻击，将导致监测节点失效或监测数据被篡改，影响铁路线路的正常运维工作。

2.2.3 电力远动调度系统

动车组采用电力驱动，铁路接触网电力供应靠电力远动调度（PSCADA）系统支撑，PSCADA系统的安全风险又与人机界面（HMI）和数据存储有关，HMI会受到SQL注入攻击、跨站脚本漏洞、服务器端漏洞的威胁，在某些环境下，若攻击者入侵了数据存储空间，就可以篡改编程逻辑控制(PLC)设备的运行指令[5]，一旦攻击成功，将导致系统瘫痪，影响动车组的正常行驶。

图3 智能铁路面临的网络安全风险

2.2.4 云计算数据中心

采用云架构和虚拟化技术构建的铁路数据中心，承载着铁路各类业务系统数据收集、存储和管理任务。由于虚拟化技术的引入，会带来一些新的安全风险，如不安全的应用程序接口（API）风险、虚拟化共享技术风险、云计算滥用风险、隔离故障带来的存储和路由机制失效风险等[6]，一旦被攻击，将导致大量相关数据泄露和平台瘫痪，数据中心不能正常工作。

2.2.5 列车调度指挥及控制系统

列车调度指挥及控制类系统是铁路行车指挥的中枢神经系统，系统采用GSM-R无线通信技术，提供了从公共信道渗透铁路控制系统的通道，使得铁路列控系统具有了更高的开放性，同时也提升了系统的脆弱性[7]。一旦受到攻击，可能导致系统瘫痪、列车脱轨、翻车等灾难性事故，严重威胁社会秩序及人身安全。

2.2.6 12306互联网售票系统

铁路12306互联网售票系统向全社会开放，积累的常客户旅客信息多达上亿人，系统一旦被攻击，将导致大量用户信息泄露，严重威胁个人信息安全。

2.2.7 95306互联网货运系统

铁路95306互联网货运系统向全社会开放，积累的常客户货主信息多达几十万，系统一旦被攻击，将导致大量货主信息泄露，严重威胁货主信息安全。

2.2.8 铁路电子支付系统

铁路电子支付平台承担着铁路客运、货运、财产保护等运输和非运输业务的第三方电子支付统一出口业务，一旦遭受攻击，将可能导致资金流信息被篡改，严重影响铁路资金账务安全。

3 智能铁路时代的网络安全展望

3.1 开展智能铁路网络安全研究的必要性

3.1.1 国家政策的要求

国家层面对网络安全高度重视，把网络安全提升到国家安全的高度，近几年相继出台了《网络安全法》、《关键信息基础设施保护条例》（暂行）等法律法规，并以等级保护制度为抓手促进全民网络安全工作的开展。铁路作为我国关键信息基础设施之一，需要有针对性的开展网络安全相关问题的研究。

3.1.2 智能铁路网络安全合规性管理的需要

国家网络安全法的实施，网络安全等级保护制度的贯彻，铁路网络安全管理办法的发布，都对信息化系统的网络安全建设提出了强制性要求，使得网络安全合规性管理成为信息化系统建设的必要前提。

3.1.3 智能铁路网络安全运营的需要

铁路的调度指挥、客货运输、经营管理等越来越依赖于新技术；12306、95306电子商务平台涉及大众利益，社会影响力极大；为配合国家“一带一路”战略开行的中欧班列，使得跨境铁路联运信息传输日益频繁；青藏铁路、川藏铁路等战略线路的安全平稳运营，这些重大项目都面临着系统性、工程化和数据安全等问题。

3.1.4 新兴技术带来的网络安全挑战

网络安全是伴随着新技术的产生而形成的一种伴生技术，可以说，有新技术应用的地方就有新的网络安全问题需要去解决。智能铁路提出的智能建造、智能装备、智能运营3个方向，采用的自动驾驶、北斗导航、BIM建模，以及云大物智移等新技术，带来新的安全挑战，需要加大新的安全技术和解决方案的研究。

3.1.5 铁路网络安全工作实践基础

铁路从2001年开始着手铁路客票等重要系统的网络安全建设工作，后期陆续开展了“铁路网络安全管理体系规范”、“铁路信息系统安全等级保护”、“互联网网站群区域安全防护平台”等与网络安全相关的工作，经过十多年的实践，在技术、装备、管理制度、人才等方面有了一定的经验积累，为开展智能铁路网络安全防护工作奠定了较好基础。

3.2 智能铁路网络安全展望

3.2.1 理念

网络安全理念考虑的是智能铁路安全构建思路问题。做好智能铁路的网络安全工作需要有顶层设计，层次化的设计理念是解决智能铁路面临的网络安全问题的一种可行思路。将安全问题分为终端层、云端层、感知层3个层面，终端层面向系统末梢，解决固定终端、移动终端、传感器、PLC、网络边界层面的安全接入问题，从源头抓安全风险；云端层面向系统中枢，解决云架构环境、主机、数据的安全管控问题，从核心抓安全风险；感知层面向系统未知，解决的是潜在安全问题，通过数据分析预判安全风险。

3.2.2 体系

网络安全体系解决的是智能铁路安全的运作模式问题。《铁路信息化总体规划》提出了铁路网络安全保障三体系，分别是管理保障体系、技术保障体系和运维保障体系[8]。管理保障体系从各级管理层建立起安全组织架构、安全制度和规范，制定安全工作流程，做好人员的安全管理、教育、培训和考核工作；技术保障体系提出网络安全技术结构，从基础设施安全，到通信网络安全、主机终端防护、应用数据保护等，建立安全可控、感知预警的整套技术措施；运维保障体系构建合规管理、集中管控的运维模式，并建立上下贯通、内外联动的信息通报机制，按照国家法律法规和合规管理要求定期开展安全测评，做好应急预案和应急演练预防措施。

3.2.3 架构

网络安全技术架构解决的是智能铁路安全的技术路线问题。铁路跨域系统一般按总公司、集团公司、站段3级架构构建，并按不同的服务对象将系统部署在外部服务网、内部服务网、安全生产网中。因此，在构建铁路网络安全架构时，需要体现“横向隔离、纵向认证、分区分域、等级保护”的原则，在三网边界部署安全隔离设备，在3级管理边界采取安全认证措施，划分不同的安全域，在安全域内部，将系统按等级分区管理，每个安全区之间根据等级不同，采取相应的安全措施，如图4所示。

3.2.4 平台

网络安全平台解决的是智能铁路安全技术架构如何落地的问题。根据前述网络安全层次化思路，需要在终端层构建终端安全防护平台、移动应用安全接入平台、物联网应用安全接入平台、控制类终端安全防护平台、区域边界安全防护平台，在云端层构建数据中心安全防护平台、电子认证平台、集中管控平台，在感知层构建安全态势感知平台，如图5所示。

（1）终端安全防护平台

终端安全防护平台为通用固定终端设备接入系统提供安全防护措施。根据各铁路集团公司等单位对终端安全管理的迫切需求，终端安全防护平台主要提供介质管控、一机两网、非法外联、非法接入、病毒防护、补丁管理、行为审计等铁路常见终端安全管理问题的解决措施。

（2）移动应用接入平台

移动应用接入平台为使用移动互联技术的应用系统移动设备端接入安全防护措施。涉及的安全问题主要有移动终端安全、APP应用安全和无线网络安全。移动终端安全主要解决硬件认证、操作系统隔离、安全协议、用户访问控制、页面防拷贝等安全问题；APP应用安全主要解决铁路移动应用APP的统一管理和发布、授权管理、下载权限控制，无线网络安全主要解决有线网络与无线网络边界之间的访问和数据流传输通道的安全。

（3）物联网应用安全接入平台

物联网在铁路的应用场景有铁路桥隧涵监测系统、集装箱运输监控系统、综合视频监控系统等,一般使用传感器、RFID、视频摄像头等智能感知设备。接入平台主要解决感知层的安全问题，对涉及感知节点及网关节点设备和连接这些设备的短距离无线网络提供安全接入处理措施，保证只有授权的感知节点设备及可信的网络地址可以接入，避免陌生地址的攻击行为。

图4 铁路网络安全技术架构图[9]

图5 铁路网络安全层次结构图

（4）控制类终端安全防护平台

铁路控制类终端分为3类：a.与行车相关的控制终端；b.与供电相关的控制类终端；c.与灾害监测风险防控相关的控制类终端。控制类终端安全防护平台可以借鉴通用终端的安全防护措施，主要区别在核心处理器芯片上。由于控制类系统大多属铁路关键信息基础设施，因此，控制类终端的核心处理芯片需要采用符合国家商用密码管理要求的加密芯片，防范芯片存在恶意指令或模块，采取真随机数发生器、存储加密、总线传输加密等措施进行安全防护[10]，并具备“开盖毁钥”措施。

（5）区域边界安全防护平台

铁路安全区域边界分为两类：a.铁路外部服务网与互联网边界、内部服务网与外部服务网边界、安全生产网与内部服务网边界；b.铁路总公司、集团公司、站段三级系统间的安全区域边界。区域边界安全防护平台为这两类边界提供安全防护措施，采用可信验证技术实现网络边界设备的身份鉴别、访问控制、协议过滤、流量控制、数据摆渡、安全审计、非法外联和非法接入阻断等功能。

（6）数据中心安全防护平台

数据中心在日常运行过程中面临物理风险、网络风险、系统风险和数据风险，因此，在构建数据中心安全防护平台时，主要解决的也是物理安全、网络安全、系统安全和数据安全问题。物理安全主要考虑机房断电、空调故障、防火防盗等问题；网络安全主要考虑在各安全区域边界部署防火墙、入侵检测、防病毒、堡垒机等安全设备；系统安全主要通过对系统和服务器等设备的系统程序和重要配置参数等进行安全验证、全病毒查杀、日志分析和行为审计，提升日常安全运维管理；数据安全主要通过数据库安全防范、数据备份等措施规避安全风险。

（7）电子认证平台

电子认证平台用于构建铁路统一的人员及设备身份认证系统。提供铁路唯一的CA认证中心根证书，并与国家CA认证中心进行根证书互认。为各类应用系统提供用户证书、网站证书、服务器证书、移动设备证书的签发等业务管理、USBKEY介质管理、证书客户端管理、证书应用服务管理、证书吊销和在线查询等功能。

（8）集中管控平台

集中管控平台是构建铁路网络安全管理中心的核心系统，是铁路各级业务系统的安全管控大脑。实现业务运行监控、安全策略管理、安全事件管理、安全告警管理、安全审计管理、应急响应管理等功能。

（9）安全态势感知平台

安全态势感知平台是基于大数据分析技术的网络安全预警系统。通过大数据搜索和全流量分析技术，感知铁路全网的安全状态及变化趋势，洞悉网络及应用系统运行健康状态，当发现安全问题时能给出有针对性地响应处置措施。平台建立覆盖全网的威胁情报搜集渠道，提供高效的威胁情报研判和决策反应功能[11]。