肖立志，湯紫霖，陽亦斌

（湖南中車時代通信信號有限公司，湖南 長沙 410005）

0 引言

我國的公眾移動通信網(wǎng)絡(luò)具有覆蓋區(qū)域廣、兼容性強(qiáng)等優(yōu)點(diǎn)，隨著鐵路信息化的快速發(fā)展，鐵路眾多車載遠(yuǎn)程監(jiān)測系統(tǒng)大多數(shù)基于4G網(wǎng)絡(luò)實(shí)現(xiàn)車-地間數(shù)據(jù)遠(yuǎn)程傳輸。如LKJ設(shè)備運(yùn)行監(jiān)測管理系統(tǒng)（LKJ monitoring and management device，LMD）主要依托4G/5G網(wǎng)絡(luò)，輔以鐵路專用GSM-R（global system for mobile communication-railway）、無 線 局 域 網(wǎng) 絡(luò)（wireless local area networks，WLAN）等無線通信網(wǎng)絡(luò)實(shí)現(xiàn)列車運(yùn)行狀態(tài)、LKJ設(shè)備質(zhì)量等信息的車-地雙向傳輸，通過對車載數(shù)據(jù)的深入挖掘，實(shí)現(xiàn)對機(jī)車和電務(wù)車載設(shè)備的實(shí)時監(jiān)測、健康管理、機(jī)車周期檢測作業(yè)監(jiān)測和其他生產(chǎn)作業(yè)管理等功能［1-3］，可以提高鐵路勞動作業(yè)效率，降低勞動強(qiáng)度，保障列車運(yùn)營安全。

隨著互聯(lián)網(wǎng)的普及，移動通信技術(shù)從2G向3G、4G及5G發(fā)展，網(wǎng)絡(luò)的開放性和互聯(lián)性日益增強(qiáng)，世界已經(jīng)進(jìn)入了移動互聯(lián)的大數(shù)據(jù)時代?；谝苿油ㄐ诺蔫F路產(chǎn)品及其相配套的地面系統(tǒng)必將面臨外部安全威脅，這些系統(tǒng)大多采用通用網(wǎng)絡(luò)協(xié)議、通用硬件和通用軟件，并以各種方式與鐵路內(nèi)部網(wǎng)絡(luò)連接，病毒、木馬等威脅有可能向鐵路內(nèi)網(wǎng)擴(kuò)散［4］。鐵路信息系統(tǒng)普遍存在車載設(shè)備智能化漏洞多、公有網(wǎng)絡(luò)應(yīng)用造成網(wǎng)絡(luò)安全問題蔓延、應(yīng)用平臺系統(tǒng)安全保護(hù)機(jī)制欠缺導(dǎo)致信息泄露和系統(tǒng)被破壞、系統(tǒng)因數(shù)據(jù)體量大且結(jié)構(gòu)復(fù)雜而易被惡意攻擊等典型問題［5］。LMD同樣也面臨這些安全風(fēng)險，由于LMD車-地之間的TCP/IP通路含有移動公網(wǎng)區(qū)段，存在數(shù)據(jù)被篡改、泄露及丟失的可能，入侵者可能從公網(wǎng)向鐵路內(nèi)網(wǎng)發(fā)起攻擊和滲透。此外，LMD與LKJ列車控制系統(tǒng)（包括LKJ2000型和LKJ-15型）具有很強(qiáng)的關(guān)聯(lián)性，入侵者甚至可能以LMD為跳板，侵入或破壞LKJ列車控制系統(tǒng)，影響列車運(yùn)營安全。為此，本文對LMD系統(tǒng)的信息安全風(fēng)險進(jìn)行分析和研究，并提出相應(yīng)的安全防護(hù)策略以保障系統(tǒng)安全平穩(wěn)運(yùn)行。

1 系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險分析

為進(jìn)一步闡述LMD系統(tǒng)采取信息安全防護(hù)的必要性，以下分別從LMD車載設(shè)備和地面設(shè)備2個方面闡述系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險和危害。

1.1 LMD車載設(shè)備安全風(fēng)險分析

LMD車載設(shè)備是TSC無線數(shù)據(jù)傳輸裝置，該裝置通過以太網(wǎng)總線與LKJ-15型列車運(yùn)行監(jiān)控系統(tǒng)、通過CAN總線與LKJ2000型列車運(yùn)行監(jiān)控裝置（簡稱“LKJ2000”）進(jìn)行數(shù)據(jù)雙向數(shù)據(jù)通信。如圖1所示，由于TSC裝置含有4G、GSM-R及WLAN等無線通信單元，其主要隱患是無線網(wǎng)絡(luò)邊界存在被攻擊或滲透的可能，并且裝置缺乏相應(yīng)的安全防御措施。除此之外，LMD車載設(shè)備與LKJ的網(wǎng)絡(luò)邊界缺乏防護(hù)。TSC與LKJ-15采用的以太網(wǎng)總線是一種通用的網(wǎng)絡(luò)總線，其擁有最齊全的網(wǎng)絡(luò)協(xié)議棧，共享的開發(fā)資源豐富，但同樣也為網(wǎng)絡(luò)攻擊提供了便利，黑客很容易入侵。CAN總線則是專用現(xiàn)場工業(yè)總線，黑客很難進(jìn)入。即便黑客通過抓取原始數(shù)據(jù)幀反推出協(xié)議，偽造TSC向LKJ2000發(fā)送數(shù)據(jù)幀，也不會影響LKJ2000的正常工作。因此，針對LMD車載設(shè)備，除了考慮自身防護(hù)外，還需要重點(diǎn)考慮對LKJ通信總線的邊界防護(hù)，防止外部的非法入侵對LKJ造成的損害，避免極端情況下可能引發(fā)的行車安全事故。

圖1 LMD車載部分的安全風(fēng)險分析Fig.1 Safety risk analysis of onboard part of LMD

1.2 LMD地面設(shè)備安全風(fēng)險分析

來自LMD車載設(shè)備的數(shù)據(jù)經(jīng)Internet網(wǎng)絡(luò)發(fā)送給鐵路安全綜合傳輸平臺。其中，數(shù)據(jù)證書通道采用數(shù)據(jù)透傳方式，鐵路移動數(shù)據(jù)傳輸統(tǒng)一平臺（mobile data transmission unified platform，MTUP）通道采用數(shù)據(jù)轉(zhuǎn)發(fā)方式。LMD和LKJ系統(tǒng)的核心數(shù)據(jù)從地面系統(tǒng)到機(jī)車的TCP/IP通路存在4G公網(wǎng)區(qū)段、Internet區(qū)段以及物理介質(zhì)開放的WLAN網(wǎng)絡(luò)，數(shù)據(jù)有可能被偵聽、泄露、丟失設(shè)置或被篡改，有可能導(dǎo)致鐵路內(nèi)網(wǎng)被攻擊或滲透，影響鐵路的正常運(yùn)營。

目前，網(wǎng)絡(luò)采取的安全措施僅限于安裝防火墻、保密設(shè)備和殺毒軟件等初級保護(hù)措施，無法有效防止危及鐵路信息安全的事件發(fā)生。LMD地面部分的安全風(fēng)險分析如圖2所示。根據(jù)標(biāo)準(zhǔn)GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》的相關(guān)內(nèi)容，LMD地面系統(tǒng)存在的主要安全隱患如下：

圖2 LMD地面部分的安全風(fēng)險分析Fig.2 Safety risk analysis of ground part of LMD

（1）未在外部和內(nèi)部網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，缺乏可靠的技術(shù)隔離手段和有效的區(qū)域隔離措施；

（2）業(yè)務(wù)系統(tǒng)在傳輸過程中采用超文本傳輸協(xié)議（hyper text transfer protocol，HTTP）明文傳輸，存在數(shù)據(jù)被竊取的風(fēng)險；

（3）關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)缺乏熱備冗余措施；

（4）缺乏對移動接入設(shè)備的安全控制措施；

（5）缺乏網(wǎng)絡(luò)安全審計和監(jiān)管功能；

（6）未采取措施在網(wǎng)絡(luò)邊界對惡意代碼進(jìn)行防范。

2 LMD系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)目標(biāo)

標(biāo)準(zhǔn)GB/T 22239-2019規(guī)定，根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，將系統(tǒng)保護(hù)等級分為5級。LMD及其相關(guān)聯(lián)的LKJ系統(tǒng)屬于重要行業(yè)關(guān)系公共利益的關(guān)鍵基礎(chǔ)設(shè)施，其安全狀態(tài)會影響鐵路的行車安全；系統(tǒng)受到破壞后，可能會對社會秩序和公共利益造成特別嚴(yán)重的損害。目前中國國家鐵路集團(tuán)有限公司會同公安部已對LMD系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全定級，其中，LMD的業(yè)務(wù)信息安全等級為第3級，LMD的系統(tǒng)服務(wù)安全等級為第2級；由于系統(tǒng)網(wǎng)絡(luò)安全保護(hù)等級由兩者等級較高者決定，因此最終確定LMD網(wǎng)絡(luò)安全保護(hù)等級為第3級（S3A2G3）。標(biāo)準(zhǔn)GB/T 22239-2019對安全等級保護(hù)第3級的定義為：應(yīng)能在統(tǒng)一安全策略下防護(hù)，免受來自外部有組織的團(tuán)體及擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)害以及其他相當(dāng)危險程度的威脅所造成的主要資源損害，能夠及時發(fā)現(xiàn)、監(jiān)測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。

3 系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)策略

信息安全的構(gòu)成因素包括信息安全技術(shù)要素和信息安全管理要素。技術(shù)要素是保護(hù)信息安全目標(biāo)實(shí)現(xiàn)的技術(shù)措施，而管理要素是指確保信息安全技術(shù)要素在實(shí)施和運(yùn)行過程中能夠發(fā)揮其作用的管理措施，通過制定安全自查措施，建立完善的信息安全保障體系，彌補(bǔ)信息安全技術(shù)方面的不足［6-9］。由于鐵路部門針對不同信息化系統(tǒng)采取的具體管理措施不盡相同，本文僅針對系統(tǒng)的信息安全技術(shù)要素進(jìn)行重點(diǎn)闡述。根據(jù)標(biāo)準(zhǔn)GB/T 22239-2019對安全等級保護(hù)3級的要求，結(jié)合LMD車載和地面系統(tǒng)的安全風(fēng)險分析，系統(tǒng)性地針對LMD系統(tǒng)的信息安全防護(hù)提出優(yōu)化改進(jìn)策略。改進(jìn)后的系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3 LMD系統(tǒng)優(yōu)化網(wǎng)絡(luò)架構(gòu)Fig.3 System optimized network architecture of LMD

3.1 安全物理環(huán)境

安全物理環(huán)境是信息安全的基礎(chǔ)保障，體現(xiàn)了系統(tǒng)設(shè)施所在環(huán)境的安全性，主要是指電子信息機(jī)房能夠承受災(zāi)害的能力和區(qū)域防護(hù)的能力。

根據(jù)系統(tǒng)的應(yīng)用需求和管理需求，LMD系統(tǒng)包含的數(shù)據(jù)中心、外網(wǎng)通信服務(wù)器、GSM-R接口服務(wù)器、外網(wǎng)防火墻、內(nèi)網(wǎng)防火墻、GSM-R網(wǎng)絡(luò)防火墻、安全管理中心及其相關(guān)網(wǎng)絡(luò)設(shè)備應(yīng)被部署在鐵路局機(jī)房內(nèi)。WLAN轉(zhuǎn)儲服務(wù)器、WLAN防火墻及其相關(guān)網(wǎng)絡(luò)設(shè)備應(yīng)被部署在站段機(jī)房內(nèi)。在設(shè)計和部署時，需要在機(jī)房的訪問控制、防盜和防破壞、防雷擊、防火、防潮、防靜電、溫濕度控制、防鼠害、電力供應(yīng)和電磁防護(hù)等方面進(jìn)行周密的考慮，并做好值班人員管理和設(shè)備管理。

3.2 安全通信網(wǎng)絡(luò)

安全通信網(wǎng)絡(luò)針對系統(tǒng)的通信網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗(yàn)證提出安全要求。結(jié)合LMD系統(tǒng)實(shí)際架構(gòu)，采取如下安全防護(hù)策略：

（1）LMD系統(tǒng)核心設(shè)備如通信設(shè)備、網(wǎng)絡(luò)設(shè)備和計算設(shè)備，應(yīng)采用硬件熱備冗余架構(gòu)，避免因關(guān)鍵節(jié)點(diǎn)發(fā)生單點(diǎn)故障而導(dǎo)致業(yè)務(wù)中斷，以保障系統(tǒng)的可用性。

（2）車載設(shè)備和地面設(shè)備之間的遠(yuǎn)程通信采用IPSecVPN（基于IPSec協(xié)議族構(gòu)建的在IP層實(shí)現(xiàn)的安全虛擬專用網(wǎng)）方式。由車載設(shè)備發(fā)起VPN請求到地面VPN網(wǎng)關(guān)，通過身份認(rèn)證后，在互聯(lián)網(wǎng)環(huán)境下建立安全的網(wǎng)絡(luò)通道（VPN隧道）。車載設(shè)備安裝數(shù)字證書，通過安裝證書，實(shí)現(xiàn)地面防火墻和車載設(shè)備之間設(shè)備公鑰密碼的交換，加密算法采用國家商用密碼SM2和SM3。通過VPN通道傳輸數(shù)據(jù)時，采用一次一密方式，也就是每次傳輸都采用不同的密鑰，加密算法為SM4，每個密鑰只對當(dāng)前傳輸?shù)臄?shù)據(jù)有效，以防止非法第三方破解密鑰。

3.3 安全區(qū)域邊界

安全區(qū)域邊界是針對系統(tǒng)邊界和區(qū)域邊界提出的安全要求，防護(hù)對象包括廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)。LMD系統(tǒng)可采取如下防護(hù)措施：

（1）優(yōu)先采用鐵路局計算機(jī)網(wǎng)絡(luò)安全平臺的CA（certification authority）數(shù)字證書通道實(shí)現(xiàn)車-地數(shù)據(jù)傳輸，用于保障LMD數(shù)據(jù)在Internet網(wǎng)絡(luò)和鐵路綜合信息網(wǎng)之間的安全交互。

（2）在LMD地面系統(tǒng)的網(wǎng)絡(luò)邊界處部署防火墻，包括數(shù)據(jù)中心與鐵路綜合信息網(wǎng)的網(wǎng)絡(luò)邊界、外網(wǎng)通信服務(wù)器與Internet網(wǎng)的邊界、WLAN轉(zhuǎn)儲服務(wù)器與WLAN網(wǎng)絡(luò)的邊界、GSM-R接口服務(wù)器與GSM-R網(wǎng)絡(luò)（M-GRIS服務(wù)器）的邊界、GSM-R接口服務(wù)器與鐵路綜合信息網(wǎng)的網(wǎng)絡(luò)邊界，如圖3所示。防火墻用于實(shí)現(xiàn)內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的安全隔離，阻斷來自區(qū)域邊界的非法攻擊，只允許正常的業(yè)務(wù)數(shù)據(jù)通過。

（3）在網(wǎng)絡(luò)邊界啟用訪問控制功能。采用基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的白名單訪問控制策略［10］，跨越車-地?zé)o線網(wǎng)絡(luò)邊界的數(shù)據(jù)流，通過對其數(shù)據(jù)報文的字段和端口進(jìn)行深度識別，只有符合業(yè)務(wù)數(shù)據(jù)協(xié)議的數(shù)據(jù)流被允許通過，其他數(shù)據(jù)則予以阻斷。

（4）在LMD車載設(shè)備與互聯(lián)網(wǎng)的邊界、車載設(shè)備與LKJ-15的以太網(wǎng)邊界處啟用訪問控制功能及運(yùn)維監(jiān)管審計功能，防止非授權(quán)設(shè)備對LMD車載設(shè)備和LKJ設(shè)備的非法訪問，并對任何試圖入侵行為進(jìn)行實(shí)時監(jiān)視或歷史追溯。車載設(shè)備與LKJ2000之間的CAN總線交互則采用加密鑒權(quán)策略。

（5）在LMD數(shù)據(jù)中心邊界的核心網(wǎng)交換機(jī)處和外網(wǎng)防火墻前端交換機(jī)處（圖3）旁路部署入侵檢測系統(tǒng)（intrusion detection system，IDS），通過對網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中出現(xiàn)的可疑行為進(jìn)行監(jiān)視，阻斷或限制來自內(nèi)網(wǎng)或外網(wǎng)的攻擊。

（6）在LMD數(shù)據(jù)中心邊界的核心網(wǎng)交換機(jī)處旁路部署堡壘機(jī)和安全審計監(jiān)管平臺，對系統(tǒng)進(jìn)行安全監(jiān)管審計。堡壘機(jī)實(shí)現(xiàn)對運(yùn)維人員的操作權(quán)限進(jìn)行控制和操作行為審計，記錄訪問日志并提報給安全審計平臺。安全審計監(jiān)管平臺通過采集通信數(shù)據(jù)，實(shí)時檢測網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲和病毒等惡意軟件的傳播并實(shí)時報警；翔實(shí)記錄網(wǎng)絡(luò)通信行為，并對過去發(fā)生的網(wǎng)絡(luò)通信行為進(jìn)行追溯；及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為，并自動生成安全評測報告，實(shí)現(xiàn)動態(tài)網(wǎng)絡(luò)資源管理和歷史追溯。

（7）在所有主機(jī)服務(wù)器部署防病毒軟件和安全衛(wèi)士軟件，實(shí)現(xiàn)主機(jī)的安全管理、檢測與安全防御，以及對惡意軟件的防護(hù)，實(shí)現(xiàn)主機(jī)文件的完整性保護(hù)和外設(shè)網(wǎng)絡(luò)端口的保護(hù)。

3.4 安全計算環(huán)境

安全計算環(huán)境是針對網(wǎng)絡(luò)邊界內(nèi)部提出的安全控制要求，防護(hù)對象包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)對象和其他設(shè)備。LMD系統(tǒng)可采取下述安全策略實(shí)現(xiàn)安全計算環(huán)境：

（1）用戶登錄需進(jìn)行身份標(biāo)識和鑒別，應(yīng)采取雙因子認(rèn)證策略（如口令、密碼技術(shù)、生物技術(shù)等2種或2種以上方法的組合機(jī)制），身份鑒別信息具有復(fù)雜度要求并定期更換。

（2）應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)，關(guān)閉默認(rèn)共享和高危端口；重新命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。

（3）可通過互聯(lián)網(wǎng)遠(yuǎn)程登錄的設(shè)備（如手持終端、外網(wǎng)通信服務(wù)器等）應(yīng)提供對任何登錄失敗的處理措施；遠(yuǎn)程登錄過程的鑒別信息應(yīng)采取密文傳輸。

（4）支持對LMD系統(tǒng)的基礎(chǔ)數(shù)據(jù)配置管理；支持部門、人員、角色自定義管理；對登錄應(yīng)用系統(tǒng)的用戶分配賬戶和權(quán)限。由授權(quán)主體配置訪問控制策略，并規(guī)定主體對客體的訪問規(guī)則，不得越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用戶數(shù)據(jù)。

（5）提供LMD系統(tǒng)重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能；敏感數(shù)據(jù)不應(yīng)被泄露，在轉(zhuǎn)移或刪除后，應(yīng)確保被完全清除。

（6）LMD應(yīng)用終端與應(yīng)用服務(wù)器之間的通信交互應(yīng)采用超文本傳輸安全協(xié)議（hyper text transfer protocol over secure socket layer，HTTPS）實(shí)現(xiàn)身份認(rèn)證和通信加密，采用安全型的安全套接字協(xié)議（secure sockets layer，SSL）加密協(xié)議實(shí)現(xiàn)密文傳輸。

3.5 安全管理中心

安全管理中心通過技術(shù)手段實(shí)現(xiàn)對系統(tǒng)設(shè)施的集中管理，是針對整個系統(tǒng)安全管理方面的技術(shù)控制要求。LMD地面設(shè)備可采取下述措施：

（1）在機(jī)房內(nèi)規(guī)劃特定的管理區(qū)域，對安全設(shè)備（如防火墻、堡壘機(jī)、IDS及安全審計監(jiān)管平臺等）進(jìn)行集中管控。

（2）采用安全監(jiān)管審計平臺對系統(tǒng)安全審計的所有數(shù)據(jù)進(jìn)行收集、匯總和集中分析，并通過安全監(jiān)管平臺對安全策略進(jìn)行集中配置、管理和變更。

（3）通過防病毒服務(wù)器，實(shí)現(xiàn)對各主機(jī)服務(wù)器防病毒軟件的集中管理、病毒庫的推送更新并發(fā)布病毒掃描任務(wù)等；通過安全衛(wèi)士服務(wù)器，實(shí)現(xiàn)對各主機(jī)服務(wù)器運(yùn)行的安全衛(wèi)士軟件的集中管理和監(jiān)控。

4 結(jié)語

本文通過對LMD系統(tǒng)車載設(shè)備和地面設(shè)備的網(wǎng)絡(luò)安全隱患進(jìn)行研究分析，以滿足信息安全3級等級保護(hù)要求為目標(biāo)，從信息技術(shù)要素層面有針對性地提出系統(tǒng)優(yōu)化拓?fù)浣Y(jié)構(gòu)，詳細(xì)闡述了系統(tǒng)安全防護(hù)策略；采用各種先進(jìn)技術(shù)手段構(gòu)建了LMD網(wǎng)絡(luò)系統(tǒng)的縱深防御體系，以有效防止或抵御來自外部網(wǎng)絡(luò)的攻擊，補(bǔ)全了現(xiàn)有系統(tǒng)存在的安全隱患的防控措施。通過本文的研究，有效地控制了LMD系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險，保障LMD系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，同時也保障了LKJ列控系統(tǒng)安全，避免鐵路行車安全事故的發(fā)生。后續(xù)將對車載側(cè)的信息安全防護(hù)單元進(jìn)行優(yōu)化，降低對硬件運(yùn)行環(huán)境的要求，同時向輕量化和模塊化的方向發(fā)展，使其可平移至其他信息系統(tǒng)復(fù)用。