1 引言

近年来，随着数字化技术的发展，轨道车辆技术不断进步，各车辆系统的网络化日趋加强。这在实现具有高附加值的运营和维修新功能的同时，也使潜在攻击者更容易侵入车辆系统，从而对车辆系统的功能安全产生严重影响。因此，保障轨道车辆信息（IT）安全的重要性日益凸显，这对轨道车辆的运营商和制造商提出了更高的要求。

在此背景下，适用于自动化技术领域的IEC 62443《工业自动化与控制系统安全》标准系列越来越多地用于轨道车辆领域。其范围涉及具有联网系统的轨道车辆及其接口、通信设备，以及将上述设备、系统集成到整个铁路系统中的外部接口。

本文在梳理德国铁路IT安全相关法规和标准的基础上，以轨道车辆（本文指动车组）作为IT安全研究对象，为其开发IT安全通用架构模型。该模型作为IT安全指南和程序模型，可促进IEC 62443标准系列在轨道车辆中的应用和实施，保证轨道车辆的IT安全。

2 铁路 IT 安全相关法规和标准

2.1 法规

德国铁路IT安全相关的法规一方面依据欧盟法律，另一方面源于其国内铁路专用法规中的安全要求。

在欧盟法律方面，《欧盟网络和信息系统安全（NIS）指令》呼吁采取措施确保网络和信息系统的整体高安全水平，要求各国制定网络和信息系统安全国家战略，并对网络和信息服务运营商和提供商提出安全要求，规定报告义务。

在德国国内，德国联邦信息安全办公室（BSI）是德国IT安全领域的核心管理机构。在其制定的《关键基础设施确定条例》中明确了需要特别保护的关键基础设施。该条例规定，在铁路领域，铁路客运站、铁路货运站、列车编组站、线路网络、集中装置、控制中心等，若超过一定的规模和运力，则属于关键基础设施。《铁路总法》 （AEG）也明确了铁路基础设施和车辆必须满足的公共安全要求，包括IT安全要求。

2.2 标准

IEC 62443标准系列作为运营技术（OT）系统IT安全方面的基本标准，涵盖所有工业领域的自动化和控制系统（IACS），包括铁路领域。该标准系列包括4部分：第一部分总结了该标准系列涉及的基本定义、概念和模型；第二部分涉及针对用户的IT安全程序，包括对IT安全系统管理、人员和程序设计等方面的要求；第三部分涉及对系统集成商组装系统的技术性IT安全要求；第四部分涉及对制造商所提供单个部件的技术性IT安全要求。

2021年发布的TS 50701-2021《欧洲铁路网络安全规范》以IEC 62443标准系列为参考，并将该标准具体应用到铁路行业，成为欧洲铁路行业IT安全管理的实施指南。

此外，ISO/IEC 27000标准系列也包含IT安全相关的通用和行业特定标准，是铁路IT安全管理需遵循的通用标准。

3 IT 安全通用架构模型及其构建步骤

3.1 IT 安全通用架构模型

在每个涉及有价值资产保护的领域中，几乎都可抽象出相似的安全保护程序模型。该模型可简化为：首先确定保护需求，然后根据保护需求的高低，采取合适的措施，以确保提供这种保护。

根据IEC 62443标准系列的规定，构建IT安全通用架构模型的基础是以区域（即安全区域，下文统称“安全区域”）和通道的形式对研究对象进行全面描述，即根据保护需求为研究对象定义和构建不同的安全级别，以便从物理安全、网络安全、系统和软件完整性3个方面为其提供充分的保护。

为此，应尽可能准确地捕捉研究对象的相关信息，包括研究对象与其所处环境关系如何，预期运行环境如何，以及上述因素将对其造成何种风险等，以便为后续的风险评估奠定良好的基础。

3.2 构建步骤

IEC 62443-3-2-2020《工业自动化与控制系统安全第3-2部分：系统设计的安全风险评估》中描述了IT安全通用架构模型的设计程序，其具体步骤如下：

（1）根据安全区域和通道要求（ZCR）1描述研究对象；

（2）根据ZCR2，从保护需求出发对研究对象进行功能组分组；

（3）根据ZCR3，将功能组分配到各安全区域；

（4）根据ZCR3，定义和描述通道。

本文将根据上述4个构建步骤，为轨道车辆开发IT安全通用架构模型。

4 模型构建

4.1 安全区域划分

为对轨道车辆IT安全情况进行分析，必须将轨道车辆表示为包含安全区域和这些区域之间通道的抽象模型。为此，需要在对轨道车辆及其相关信息进行结构化描述后，开展初始安全风险分析，以确定具有相同保护需求的系统和功能组，然后将其归入相应的安全区域。

为对轨道车辆的功能组进行系统性安全风险评估，需要全面了解与轨道车辆运行相关的所有功能组。根据DIN EN 15380-4-2013《铁路应用-铁路车辆系统分类-第4部分：功能组》标准（其中包含轨道车辆所有功能组的目录），轨道车辆（动车组）由18个主功能组和106个子功能组构成，其中有近60个功能组与IT相关。

根据IEC 62443-3-2-2020标准，可从保护需求的角度将这些功能组分为5个安全区域，即列车自动控制（ATC）区域、列车控制网络（TCN）区域、列车运营网络（TON）区域、面向乘客网络（CON）区域、维修区域，如图1所示。这些安全区域是根据轨道车辆领域专家的经验以及相关国际机构（如欧洲电工标准化委员会下属铁路电气电子应用技术委员会（CENELEC TC 9X））的定义确定的。

这些安全区域根据重要性排序如下。

（1）ATC区域。ATC区域包括车载列车控制系统（如欧洲列车控制系统（ETCS）、连续式列车自动控制系统（LZB）），以及列车自动驾驶（ATO）系统。这些系统可确保列车安全运行，若其不可用，则列车无法运行或只能在受限条件下运行。

（2）TCN区域。该区域包括列车牵引和制动所需的所有功能组，以及能源供应、车门、消防、空调（包括其压力保护系统）系统等。这些系统对于功能完整性的要求非常高，是列车正常、安全运行的重要保障。除上述功能组外，该区域还包括照明、音响、通信系统，以及卫生间。若上述系统出现故障，列车只能在受限条件下运行。

（3）TON区域。该区域包括乘客服务相关的所有功能组，如PIS、CCTV、PCS等系统。这些系统故障将导致运营受限。

（4）CON区域。该区域包括乘客私人设备接入互联网和充电所需的所有功能组，如无线中继器、通过无线局域网（WLAN）访问互联网的接口、座位上的230 V电源插座等。上述系统的故障会对乘客的个人通信和娱乐产生影响，但不会直接阻碍其出行。

（5）维修区域。该区域包括列车中所有系统组件的维护通道。由于几乎每个组件的控制单元都有维护通道，因此其分布在列车的所有安全区域中。虽然其故障不会直接影响列车运行（原因是其在列车行驶过程中处于关闭状态），但攻击者可能通过其攻击关键系统，因此对其进行保护尤为重要。

从上述分组中可得出轨道车辆的初级安全区域模型（包括与地面的连接），如图2所示。该模型可以显著简化对可能安全攻击路径的风险分析。

由图可知，中部各区域从左至右对系统和软件完整性的保护需求逐步递减。ATC系统在轨道车辆的安全运行中起着极为重要的作用，若其遭到攻击破坏，则可能对运营产生严重影响，因此其被划分到独立的ATC区域中。TCMS及其子系统（如牵引、制动、车门等系统）也由于其安全相关性被单独分配到TCN区域中，并具有与ATC系统类似的高保护需求。而在TON和CON区域中没有与安全直接相关的功能组，这些区域从保护需求看不及ATC和TCN区域重要，但由于其暴露性（面向乘客，为其提供WLAN等服务），其具有被攻击的风险。此外，维修区域尤为重要，因为其涉及车辆中的几乎所有组件，如果不能采取有效的保护措施，攻击者将通过其攻击车辆关键系统。因此，必须根据攻击者类型，对维修区域采取与其他区域不同的保护标准和措施。目前，对于该区域通常在本地进行物理保护，从而实现高水平保护。

4.2 通道的定义和描述

通道顾名思义是指连接2个安全区域的部分。在对轨道车辆进行初始安全风险评估时，应对通道进行定义，以降低分析的复杂性。这里的通道是指逻辑通道，是将所有物理通道合为一体的简单模型。由于其通常包含网络设备，因此应为这些设备（至少是其中1个）安装数据流控制装置，如路由器、网关、数据二极管等，以进一步降低分析的复杂性，并实现对安全区域之间通道的限定。通道的限定是指信息在安全区域之间传递时必须在通道处进行安全验证，只有通过验证的信息才能跨越边界，进入下一个安全区域。验证内容是用于加密信息内容、具有高可靠性的证书。此类证书包含能够防止伪造的加密签名（即数字签名），可用于密码加密，以及设备的防伪识别等。

4.3 通用架构模型建成

在充分了解每个系统、安全区域和通道的情况后，则可构建轨道车辆IT安全通用架构模型，如图3所示。

图3中用不同的色带对安全区域进行了描述，每一种颜色对应一个安全区域。

在图片顶部，根据DIN EN 15380-4-2013标准的规定，列出了轨道车辆与IT相关的各个功能组及其包含的系统（为简化描述，本图中只列出了2个功能组）。如果某个系统属于某个安全区域，则会在其下部相应的色带中用×标记。同一安全区域内各系统之间的通信被认为是信息在该区域内的水平流动。

安全区域之间的通道用垂直红线表示，每条通道只连接2个区域，由于此处所指的通道是集中了所有物理通道的逻辑通道，因此2个区域之间只有1条通道，以C+n（n为1～12的数字）表示，如C1是连接TON和TCN区域的通道，C2是连接ATC和TCN区域的通道。2个区域之间的通信被认为是信息在通道中的垂直流动。

由于维修区域涉及所有系统，每个系统在色带中均对应一个“*”号。这表明，在所有设备制造商提供统一的维修界面之前，每个系统的维修界面都分属单独的区域，并获得单独的保护。

在实际架构中，某些系统会处于与同一功能组中其他系统不同的安全区域中，如图3能源功能组中的照明系统。在这种情况下，应对架构模型进行更改，将此类系统分配给不同的功能组，以简化区域结构及明晰相关的保护措施。

5 安全风险评估

上文构建的轨道车辆IT安全通用架构模型可为下一步根据IEC 62443标准系列进行安全风险评估提供坚实的基础，因为其显示了攻击者所有可能的进入/攻击路线，从而能够确保安全风险评估的完整性和可靠性。

借助该模型中定义的安全区域和通道，可以根据保护对象可能受攻击的每条路径，确定与IT安全相关的风险。

必须考虑到，攻击者通常不会寻找直接攻击关键系统的路径，而是首先定位防护最薄弱的环节，因为这是其最容易渗透的地方；然后侵入相关系统，通过水平穿越该系统所在安全区域、垂直穿过相关通道，到达关键系统，并对其进行破坏。因此，那种认为网络中保护需求低的系统在 IT 安全方面无关紧要的看法，是一种致命的谬论。

6 结论

本文根据IEC 62443标准系列关于安全区域、通道及安全风险评估的规定，通过对轨道车辆IT相关功能组中的典型系统进行安全区域划分，以及对相关通道进行定义和描述，构建轨道车辆IT安全通用架构模型，用于对轨道车辆的IT安全状况进行实际分析和评估，以期促进IEC 62443标准系列在轨道车辆中的应用和实施，保障车辆的IT安全。