轨道交通列控系统网络安全风险和防护对策研究

刘 贞，何跃鹰，丁 欢

(1．北京全路通信信号研究设计院集团有限公司，北京 100070；2．北京市高速铁路运行控制系统工程技术研究中心，北京 100070；3．国家计算机网络应急技术处理协调中心，北京 100029)

1 概述

中国拥有全球规模最大的高铁和地铁线路网，截至2020 年7 月底，中国高铁运营里程达到3.6 万km，预计到2035 年高铁运营里程将突破7 万km，地铁运营里程达到6 700 多km。轨道交通已成为承载广大人民群众中远途出行和物资运输的主要陆上交通工具。

列车运行控制系统（简称列控系统）是保障列车安全和高效运行的大脑和神经中枢，时刻保障着旅客的生命安全。列控系统是一个庞大而又复杂的安全控制系统，主要由中心设备、车站设备、轨旁设备和车载设备组成，上述设备通过列控安全数据网络进行数据信息交换，提供安全控车服务。

无论是高铁还是地铁，在早期的列控系统网络设计过程中，更多的关注功能安全（safety）而非网络信息安全（security），主要通过网络物理隔离和边界防火墙实现最基本的防护以应对网络攻击威胁。以高铁为例，如图1 所示，列控系统网络随着高铁线路平行部署，全国是一张物理连通的平面网络，接入数十万的列控设备，沿线的数千个机房都部署物理网络端口，物理隔离保障安全的风险在不断加大。

随着中美经贸摩擦加剧，以美国为代表的西方国家除了在核心技术方面对华进行封锁之外，通过网络进行攻击和渗透的风险也在不断加剧，特别是应用于工业安全控制的工业互联网面临的风险尤为突出。为此，国家多个部门联合发布了《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》[1-3]，将工业网络特别是轨道交通中的列控系统网络纳入关键信息基础设施保护范围，并要求运营者按照网络安全等级保护制度的要求，履行相应安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改[4]。

在新形势下，为积极响应国家网络安全等级保护及关键信息基础设施保护工作，切实做好轨道交通列控系统的网络安全防护，实现列控系统功能安全与信息安全相融合，本文结合列控系统网络安全现状，深度分析列控系统网络安全风险，挖掘安全防护风险点，制定列控系统网络安全防护技术对策，形成针对列控系统的网络安全综合防护解决方案，满足等级保护2.0 四级防护要求，全面提升列控系统的网络安全综合防护能力和应急响应能力，保障高铁、地铁等列车的安全稳定有序运行。

2 列控系统网络现状和面临的风险

列控系统网络是列控系统的重要组成部分，承担着列控系统信号数据交互、指令传输等重要使命，对网络的可靠性、实时性有较高的要求，是极其重要的工业控制网络。为保障系统各设备间通信的可靠性，列控系统网络采用双环网的物理冗余链路搭建网络，增强了列控系统网络的健壮性和抗风险能力。然而，随着列控系统网络接入设备的增多，网络规模不断扩大，造成列控系统网络接口、接入节点数量剧增，网络结构变得越来越复杂，维护难度大大增加，面临的网络安全风险也愈加突出。

列控系统网络在建设初期，各系统形成自己的私有网络，系统间相互独立，形成了所谓的“物理隔离”[5]，对网络信息安全防护考虑较少。随着计算机技术、网络技术和通信技术的广泛深入应用，大量的信息化和数字化组件被引入到网络中，极大地提升了系统整体的运行效率和自动化程度。但是，这些技术和设备的引进，也使得列控系统面临着网络嗅探、网络攻击、病毒入侵、数据篡改等越来越多的安全威胁，加之攻击技术手段革新，列控系统网络面临的信息安全威胁形势日益严峻，安全风险日益突出。尤其是信息化的快速发展，一直以来被认为相对封闭、专业和安全的轨道交通控制系统已不再是一座安全的“孤岛”，致使列控系统设备、主机、网络、数据极易遭受来自外部及内部的网络安全攻击。

近年来世界各地发生的轨道交通网络安全事件如下。

图1 中国高铁列控系统网络拓扑图Fig.1 The Network topology diagram of Chinese train control system for high-speed railways

1）2008 年1 月，一少年攻击了波兰lodz 市的城铁系统，并用遥控装置改变了多辆列车的运行方向，最终导致4 节车厢出轨，12 名乘客受伤。

2）2011 年1 月，日本新干线列车运行控制系统疑似受到不明黑客攻击而导致大瘫痪，全线列车停运约75 min。

3）2011 年11 月，深圳地铁蛇口线因乘客随身携带的无线网络信号意外侵入列控系统网络，导致列车紧急制动，多躺列车暂停运行。

4）2014 年12 月，漏洞报告平台乌云发布“高”危害等级漏洞，爆出中国铁路12306 售票网存在漏洞，疑似有大量用户密码明文信息泄露。

综合列控系统网络当前现状，存在的薄弱环节和面临的安全风险主要来自以下几个方面。

1）列控设备

列控系统接入安全控制设备，多为嵌入式系统。目前设备的芯片大部分采用国外通用芯片，底层操作系统也多为国外通用操作系统，存在较多的软硬件漏洞，容易受到攻击；同时，这些嵌入式系统的处理能力有限，功能设计时并没有考虑过强的网络安全防护功能，暴露后直接抗攻击能力较差。

2）列控PC 主机

列控系统PC 主机连接对应列控设备，为运营维护提供支撑。列控PC 主机使用通用工控机和服务器，操作系统多为windows 系统，同样存在较多的软硬件漏洞；主机上的杀毒软件、病毒库和操作系统漏洞补丁无法及时升级，防病毒能力差，通过移动介质引入的恶意代码和病毒，易造成大量主机运行缓慢、系统崩溃和死机；此外，当前的列控PC 主机仅进行了简单的账号控制，无权限管理，容易被攻击越权造成更大损失。

3）列控系统网络

列控系统网络内部防护主要依靠管理手段和少量安全设备，区域防护不完善，局部的网络安全问题很容易造成全国性的扩散；缺乏设备接入控制，信号安全数据网地域跨度大，设备分布广，接入点多，非法设备极易接入；列控系统网络子网边界虽然设置了防火墙，但为减少对列控业务数据实时性影响，许多防护策略未设置，整体边界防护功能受限。

4）列控数据

列控系统数据保存于列控设备及列控PC 主机中，在列控系统网络上传输，列控数据与列车控车息息相关，目前列控数据的安全防护能力不完善，防窃密手段欠缺，受攻击后容易造成重要数据被纂改和外泄。

3 列控系统网络安全防护技术对策

鉴于轨道交通网络的重要性和脆弱性，如何有效防护列控系统网络设施，加强网络安全综合防护能力成为必须要解决的首要问题。列控系统网络作为工业自动控制网络，对网络的可靠性、实时性有较高要求，尤其是与现有设备功能安全的结合成为必须要考虑的重要问题。目前尚无针对列控系统网络安全综合防护的方案，行业尚未建立起成熟的网络安全综合防护体系，网络安全保障能力相对薄弱，安全事件应急处置能力相对较差。

针对列控系统面临的网络安全风险，以《网络安全法》、《等级保护2.0》、《关键信息基础设施安全防护》为依据，综合分析列控系统网络的脆弱性与安全风险，梳理列控系统网络的安全需求，开展列控系统网络安全防护机制研究以及影响分析，形成针对列控系统网络的安全综合防护解决方案。如图2 所示，围绕列控系统设备安全、主机安全、网络安全和数据安全，实行“分区分域、专网专用、纵深防御、综合预警”的总体防护策略，构建集资产与设备管理、漏洞检测、配置核查、边界防护、入侵检测、安全监测审计与病毒防护、主机管控、数据安全防护、态势感知等技术为一体的动态综合防御体系。

图2 列控系统网络安全综合防护技术架构Fig.2 The technical architecture of network security protection of train control system

该体系以列控设备本体安全为核心，加强信号系统与其他辅助系统自身控制安全、网络接入控制以及设备间保密通信，强化区域边界的防护；建设高等级网络安全防护体系，实现多层次、多区域的纵深防御；建设“态势感知+集中管理”的一体化平台，增强统一管理、应急响应及处置能力。旨在形成事前安全检测预防、事中安全事件监测、重要数据安全防护和事后快速应急处置于一体的全生命周期网络安全综合防护平台，全天候全方位监控关键业务系统及网络安全状况，及时发现、处置、阻断各类网络安全隐患及风险，并支持溯源取证[6]，整体提升列控系统综合安全保障水平和应急响应水平。

此外列控系统网络承担着控制列车运行的重要任务，因此在进行信息安全防护时必须要保证系统的功能安全，方案设计必须注重功能安全与信息安全的深度融合，应当坚持以下原则。

1）网络安全防护对功能安全的影响

列控系统安全设备在设计之初为保障控车的安全性和可靠性，充分考虑设备功能安全需求，大多采用二乘二取二的软硬件架构体系，保障了轨道交通列车的安全有序运行，因此在进行轨道交通网络安全防护时，应深入评估安全防护设备及相关技术对现有列控设备功能安全可能造成的影响，应在保障现有系统功能安全前提下进行防护方案、防护产品的设计及应用。

2）网络安全防护不应破坏原有系统的封闭性

列控系统作为相对封闭的独立系统，各系统间采用专有网络进行通信，确保了列控系统免遭外部系统、外部网络的影响，保障了列控系统的独立性和封闭性。在进行安全防护方案设计时，不应打破列控系统原有的这种封闭性，保障列控系统在原有的封闭体系下进行安全防护，保证列控系统的相对独立。

3）网络安全防护不能导致原系统RAMS 指标下降

列控系统作为工业控制系统，对系统网络的可用性、实时性、可维护性有着较高要求，保证了控车的及时有效，因此在进行防护方案设计时，应充分考虑列控系统作为工业控制系统的特殊性，在保障原有系统高可用性、高实时性、高安全性的框架下进行方案设计。

4）防护设备部署不影响原有列控系统的正常工作

列控系统现有系统可靠稳定，设备功能完备，保障了列车的安全稳定有序运行，是相对稳定可靠的工业控制系统，在此基础上进行的安全防护方案设计时，应保证不影响原有系统设备、主机的正常工作，考虑在安全设备出现故障时不会引起现有设备间的通信异常，影响现有系统的可靠性。

5）安全防护设备部署要简单易于工程实施

列控系统承担着控制列车运行的特殊任务，设备7× 24 h 全天候运行，设备升级维护仅在划分的固定天窗点进行，设备部署时间短任务重，因此在进行防护方案设计和防护产品部署时，应充分考虑现场情况，便于列控系统现网环境的工程实施，做到安全设备部署简单，安全产品配置简便，尽量减少对现网环境的修改。

4 列控系统网络安全综合防护方案

列控系统网络安全综合防护方案通过构筑高等级防御体系，使得列控系统网络具备高级别的防护能力，有效隔绝攻击者对列控系统网络的攻击行为，特别是抵御有组织团体，甚至是国家级的攻击行为，保证高铁、地铁等列车安全、可靠、高效、稳定的运行，防护系统功能划分如图3 所示。

图3 列控系统网络安全综合防护系统功能划分Fig.3 The functionality partitioning for network security protection of train control system

列控系统网络安全综合防护平台应坚持“分区分域、专网专用、纵深防御、综合预警”的安全防护策略。首先，结合列控系统网络现场特点，强化网络区域管理，依据列控系统网络各自功能及业务的重要程度进行区域划分，加强区域间的安全管控，实现核心安全区域及边界的安全隔离，强化各区域的封闭性和独立性。其次，做到列控系统网络专网专用，严格保证网络的封闭性，隔绝通过外部网络的入侵行为。此外，加强对网络的安全管控，对接入到网络中的外部设备、移动介质等进行严格的安全把关，加强对网络管理人员的安全培训，完善列控系统网络的安全管理制度，做到管理人员有意识、设备运行有保障、规章制度有规范。最后，针对网络设备及系统的高等级防护要求，构筑多层次、多区域的纵深防御体系，完善列控系统网络的安全保障体系，加强应急响应和故障处理能力。

方案强调事前、事中、事后的纵深防御理念，在事前，加强对列控系统网络的安全检测，做到对网络的自评、检测、加固和预警。通过基线核查系统、漏洞扫描挖掘系统等，实现对网络全线设备、主机的配置核查，漏洞扫描及挖掘，及时发现高危配置及漏洞、木马等潜在安全威胁，并对潜在威胁进行定点清除，提升列控系统网络的安全性。

在事中，通过安全监测审计系统、入侵检测系统、防病毒系统、主机安全管控系统、数据安全防护系统等，做到对网络流量的监测、告警、阻断和防护，严格把控列控系统网络中存在的异常流量，审计列控系统网络流量、设备日志、安全事件、操作行为，识别列控系统可能遭受到的网络攻击与安全威胁，分析攻击者的攻击行为与意图，做到对进入网络的流量、主机的安全访问控制；同时通过数据加密技术的应用，做到对列控系统数据的安全防护，防止数据被窃取或篡改，全面实现列控系统网络、设备、主机、数据的安全防护。

在事后，通过态势感知系统、安全管理平台等安全管理系统对已经发生的安全事件进行应急处置、攻击分析和溯源分析等，对全网攻击、异常流量、资产、威胁等态势进行展现；强化中心与车站间的联动处理能力，减少人力成本；同时，采用大数据挖掘与分析技术，综合分析列控系统全网数据，挖掘列控系统网络潜在的威胁，完成全网流量建模分析，进行大数据机器学习，提升列控系统网络安全综合防护平台的自动防护能力。

通过事前、事中、事后多层次立体防御体系的建立，实现对列控系统网络的事前有预防、事中有监测、事后有分析，全面提升列控系统的网络安全防护能力，满足等级保护标准要求。

5 总结

轨道交通列车运行控制系统承担着重要的使命，同时也面临着被恶意攻击的巨大风险，国内针对列控系统网络安全的防护工作还处于起步阶段，各种管理体系和防护技术手段不健全，既有网络防护能力有限、人员安全防范意识薄弱等问题亟待解决。在国家和行业层面，应根据不同安全层级的安全风险，健全列控系统网络安全管理体系，尽快启动既有列控系统网络安全防护增强工作，全面提升列控系统的网络安全防护能力，变列控系统网络被动防护为主动防护、静态防护为动态防护、单点防护为整体防护、粗放防护为精准防护，全面提升列控系统安全性，保障高铁、地铁列车安全稳定有序运行。