肖立志，汤紫霖，阳亦斌

（湖南中车时代通信信号有限公司，湖南 长沙 410005）

0 引言

我国的公众移动通信网络具有覆盖区域广、兼容性强等优点，随着铁路信息化的快速发展，铁路众多车载远程监测系统大多数基于4G网络实现车-地间数据远程传输。如LKJ设备运行监测管理系统（LKJ monitoring and management device，LMD）主要依托4G/5G网络，辅以铁路专用GSM-R（global system for mobile communication-railway）、无 线 局 域 网 络（wireless local area networks，WLAN）等无线通信网络实现列车运行状态、LKJ设备质量等信息的车-地双向传输，通过对车载数据的深入挖掘，实现对机车和电务车载设备的实时监测、健康管理、机车周期检测作业监测和其他生产作业管理等功能［1-3］，可以提高铁路劳动作业效率，降低劳动强度，保障列车运营安全。

随着互联网的普及，移动通信技术从2G向3G、4G及5G发展，网络的开放性和互联性日益增强，世界已经进入了移动互联的大数据时代。基于移动通信的铁路产品及其相配套的地面系统必将面临外部安全威胁，这些系统大多采用通用网络协议、通用硬件和通用软件，并以各种方式与铁路内部网络连接，病毒、木马等威胁有可能向铁路内网扩散［4］。铁路信息系统普遍存在车载设备智能化漏洞多、公有网络应用造成网络安全问题蔓延、应用平台系统安全保护机制欠缺导致信息泄露和系统被破坏、系统因数据体量大且结构复杂而易被恶意攻击等典型问题［5］。LMD同样也面临这些安全风险，由于LMD车-地之间的TCP/IP通路含有移动公网区段，存在数据被篡改、泄露及丢失的可能，入侵者可能从公网向铁路内网发起攻击和渗透。此外，LMD与LKJ列车控制系统（包括LKJ2000型和LKJ-15型）具有很强的关联性，入侵者甚至可能以LMD为跳板，侵入或破坏LKJ列车控制系统，影响列车运营安全。为此，本文对LMD系统的信息安全风险进行分析和研究，并提出相应的安全防护策略以保障系统安全平稳运行。

1 系统网络信息安全风险分析

为进一步阐述LMD系统采取信息安全防护的必要性，以下分别从LMD车载设备和地面设备2个方面阐述系统存在的网络安全风险和危害。

1.1 LMD车载设备安全风险分析

LMD车载设备是TSC无线数据传输装置，该装置通过以太网总线与LKJ-15型列车运行监控系统、通过CAN总线与LKJ2000型列车运行监控装置（简称“LKJ2000”）进行数据双向数据通信。如图1所示，由于TSC装置含有4G、GSM-R及WLAN等无线通信单元，其主要隐患是无线网络边界存在被攻击或渗透的可能，并且装置缺乏相应的安全防御措施。除此之外，LMD车载设备与LKJ的网络边界缺乏防护。TSC与LKJ-15采用的以太网总线是一种通用的网络总线，其拥有最齐全的网络协议栈，共享的开发资源丰富，但同样也为网络攻击提供了便利，黑客很容易入侵。CAN总线则是专用现场工业总线，黑客很难进入。即便黑客通过抓取原始数据帧反推出协议，伪造TSC向LKJ2000发送数据帧，也不会影响LKJ2000的正常工作。因此，针对LMD车载设备，除了考虑自身防护外，还需要重点考虑对LKJ通信总线的边界防护，防止外部的非法入侵对LKJ造成的损害，避免极端情况下可能引发的行车安全事故。

图1 LMD车载部分的安全风险分析Fig.1 Safety risk analysis of onboard part of LMD

1.2 LMD地面设备安全风险分析

来自LMD车载设备的数据经Internet网络发送给铁路安全综合传输平台。其中，数据证书通道采用数据透传方式，铁路移动数据传输统一平台（mobile data transmission unified platform，MTUP）通道采用数据转发方式。LMD和LKJ系统的核心数据从地面系统到机车的TCP/IP通路存在4G公网区段、Internet区段以及物理介质开放的WLAN网络，数据有可能被侦听、泄露、丢失设置或被篡改，有可能导致铁路内网被攻击或渗透，影响铁路的正常运营。

目前，网络采取的安全措施仅限于安装防火墙、保密设备和杀毒软件等初级保护措施，无法有效防止危及铁路信息安全的事件发生。LMD地面部分的安全风险分析如图2所示。根据标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》的相关内容，LMD地面系统存在的主要安全隐患如下：

图2 LMD地面部分的安全风险分析Fig.2 Safety risk analysis of ground part of LMD

（1）未在外部和内部网络边界部署访问控制设备，缺乏可靠的技术隔离手段和有效的区域隔离措施；

（2）业务系统在传输过程中采用超文本传输协议（hyper text transfer protocol，HTTP）明文传输，存在数据被窃取的风险；

（3）关键网络节点缺乏热备冗余措施；

（4）缺乏对移动接入设备的安全控制措施；

（5）缺乏网络安全审计和监管功能；

（6）未采取措施在网络边界对恶意代码进行防范。

2 LMD系统网络安全等级保护目标

标准GB/T 22239-2019规定，根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，将系统保护等级分为5级。LMD及其相关联的LKJ系统属于重要行业关系公共利益的关键基础设施，其安全状态会影响铁路的行车安全；系统受到破坏后，可能会对社会秩序和公共利益造成特别严重的损害。目前中国国家铁路集团有限公司会同公安部已对LMD系统网络进行安全定级，其中，LMD的业务信息安全等级为第3级，LMD的系统服务安全等级为第2级；由于系统网络安全保护等级由两者等级较高者决定，因此最终确定LMD网络安全保护等级为第3级（S3A2G3）。标准GB/T 22239-2019对安全等级保护第3级的定义为：应能在统一安全策略下防护，免受来自外部有组织的团体及拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害以及其他相当危险程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

3 系统网络信息安全防护策略

信息安全的构成因素包括信息安全技术要素和信息安全管理要素。技术要素是保护信息安全目标实现的技术措施，而管理要素是指确保信息安全技术要素在实施和运行过程中能够发挥其作用的管理措施，通过制定安全自查措施，建立完善的信息安全保障体系，弥补信息安全技术方面的不足［6-9］。由于铁路部门针对不同信息化系统采取的具体管理措施不尽相同，本文仅针对系统的信息安全技术要素进行重点阐述。根据标准GB/T 22239-2019对安全等级保护3级的要求，结合LMD车载和地面系统的安全风险分析，系统性地针对LMD系统的信息安全防护提出优化改进策略。改进后的系统拓扑结构如图3所示。

图3 LMD系统优化网络架构Fig.3 System optimized network architecture of LMD

3.1 安全物理环境

安全物理环境是信息安全的基础保障，体现了系统设施所在环境的安全性，主要是指电子信息机房能够承受灾害的能力和区域防护的能力。

根据系统的应用需求和管理需求，LMD系统包含的数据中心、外网通信服务器、GSM-R接口服务器、外网防火墙、内网防火墙、GSM-R网络防火墙、安全管理中心及其相关网络设备应被部署在铁路局机房内。WLAN转储服务器、WLAN防火墙及其相关网络设备应被部署在站段机房内。在设计和部署时，需要在机房的访问控制、防盗和防破坏、防雷击、防火、防潮、防静电、温湿度控制、防鼠害、电力供应和电磁防护等方面进行周密的考虑，并做好值班人员管理和设备管理。

3.2 安全通信网络

安全通信网络针对系统的通信网络架构、通信传输和可信验证提出安全要求。结合LMD系统实际架构，采取如下安全防护策略：

（1）LMD系统核心设备如通信设备、网络设备和计算设备，应采用硬件热备冗余架构，避免因关键节点发生单点故障而导致业务中断，以保障系统的可用性。

（2）车载设备和地面设备之间的远程通信采用IPSecVPN（基于IPSec协议族构建的在IP层实现的安全虚拟专用网）方式。由车载设备发起VPN请求到地面VPN网关，通过身份认证后，在互联网环境下建立安全的网络通道（VPN隧道）。车载设备安装数字证书，通过安装证书，实现地面防火墙和车载设备之间设备公钥密码的交换，加密算法采用国家商用密码SM2和SM3。通过VPN通道传输数据时，采用一次一密方式，也就是每次传输都采用不同的密钥，加密算法为SM4，每个密钥只对当前传输的数据有效，以防止非法第三方破解密钥。

3.3 安全区域边界

安全区域边界是针对系统边界和区域边界提出的安全要求，防护对象包括广域网、城域网和局域网。LMD系统可采取如下防护措施：

（1）优先采用铁路局计算机网络安全平台的CA（certification authority）数字证书通道实现车-地数据传输，用于保障LMD数据在Internet网络和铁路综合信息网之间的安全交互。

（2）在LMD地面系统的网络边界处部署防火墙，包括数据中心与铁路综合信息网的网络边界、外网通信服务器与Internet网的边界、WLAN转储服务器与WLAN网络的边界、GSM-R接口服务器与GSM-R网络（M-GRIS服务器）的边界、GSM-R接口服务器与铁路综合信息网的网络边界，如图3所示。防火墙用于实现内部网和外部网之间、专用网和公共网之间的安全隔离，阻断来自区域边界的非法攻击，只允许正常的业务数据通过。

（3）在网络边界启用访问控制功能。采用基于应用协议和应用内容的白名单访问控制策略［10］，跨越车-地无线网络边界的数据流，通过对其数据报文的字段和端口进行深度识别，只有符合业务数据协议的数据流被允许通过，其他数据则予以阻断。

（4）在LMD车载设备与互联网的边界、车载设备与LKJ-15的以太网边界处启用访问控制功能及运维监管审计功能，防止非授权设备对LMD车载设备和LKJ设备的非法访问，并对任何试图入侵行为进行实时监视或历史追溯。车载设备与LKJ2000之间的CAN总线交互则采用加密鉴权策略。

（5）在LMD数据中心边界的核心网交换机处和外网防火墙前端交换机处（图3）旁路部署入侵检测系统（intrusion detection system，IDS），通过对网络数据传输过程中出现的可疑行为进行监视，阻断或限制来自内网或外网的攻击。

（6）在LMD数据中心边界的核心网交换机处旁路部署堡垒机和安全审计监管平台，对系统进行安全监管审计。堡垒机实现对运维人员的操作权限进行控制和操作行为审计，记录访问日志并提报给安全审计平台。安全审计监管平台通过采集通信数据，实时检测网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫和病毒等恶意软件的传播并实时报警；翔实记录网络通信行为，并对过去发生的网络通信行为进行追溯；及时发现各种违规行为以及病毒和黑客的攻击行为，并自动生成安全评测报告，实现动态网络资源管理和历史追溯。

（7）在所有主机服务器部署防病毒软件和安全卫士软件，实现主机的安全管理、检测与安全防御，以及对恶意软件的防护，实现主机文件的完整性保护和外设网络端口的保护。

3.4 安全计算环境

安全计算环境是针对网络边界内部提出的安全控制要求，防护对象包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备。LMD系统可采取下述安全策略实现安全计算环境：

（1）用户登录需进行身份标识和鉴别，应采取双因子认证策略（如口令、密码技术、生物技术等2种或2种以上方法的组合机制），身份鉴别信息具有复杂度要求并定期更换。

（2）应关闭不需要的系统服务，关闭默认共享和高危端口；重新命名或删除默认账户，修改默认账户的默认口令。

（3）可通过互联网远程登录的设备（如手持终端、外网通信服务器等）应提供对任何登录失败的处理措施；远程登录过程的鉴别信息应采取密文传输。

（4）支持对LMD系统的基础数据配置管理；支持部门、人员、角色自定义管理；对登录应用系统的用户分配账户和权限。由授权主体配置访问控制策略，并规定主体对客体的访问规则，不得越权访问系统功能模块或查看、操作其他用户数据。

（5）提供LMD系统重要数据的本地数据备份与恢复功能；敏感数据不应被泄露，在转移或删除后，应确保被完全清除。

（6）LMD应用终端与应用服务器之间的通信交互应采用超文本传输安全协议（hyper text transfer protocol over secure socket layer，HTTPS）实现身份认证和通信加密，采用安全型的安全套接字协议（secure sockets layer，SSL）加密协议实现密文传输。

3.5 安全管理中心

安全管理中心通过技术手段实现对系统设施的集中管理，是针对整个系统安全管理方面的技术控制要求。LMD地面设备可采取下述措施：

（1）在机房内规划特定的管理区域，对安全设备（如防火墙、堡垒机、IDS及安全审计监管平台等）进行集中管控。

（2）采用安全监管审计平台对系统安全审计的所有数据进行收集、汇总和集中分析，并通过安全监管平台对安全策略进行集中配置、管理和变更。

（3）通过防病毒服务器，实现对各主机服务器防病毒软件的集中管理、病毒库的推送更新并发布病毒扫描任务等；通过安全卫士服务器，实现对各主机服务器运行的安全卫士软件的集中管理和监控。

4 结语

本文通过对LMD系统车载设备和地面设备的网络安全隐患进行研究分析，以满足信息安全3级等级保护要求为目标，从信息技术要素层面有针对性地提出系统优化拓扑结构，详细阐述了系统安全防护策略；采用各种先进技术手段构建了LMD网络系统的纵深防御体系，以有效防止或抵御来自外部网络的攻击，补全了现有系统存在的安全隐患的防控措施。通过本文的研究，有效地控制了LMD系统的网络安全风险，保障LMD系统业务信息安全和系统服务安全，同时也保障了LKJ列控系统安全，避免铁路行车安全事故的发生。后续将对车载侧的信息安全防护单元进行优化，降低对硬件运行环境的要求，同时向轻量化和模块化的方向发展，使其可平移至其他信息系统复用。