基于以太网的列车控制网络信息安全技术研究.pdf

1、PLANT ENGINEERING CONSULTANTS 2023.0529检验与技术I n s p e c t i o n a n d T e c h n o l o g y 基于以太网的列车控制网络信息安全技术研究谭康柏1,2,3（1.北京城市轨道交通咨询有限公司 北京 100068）（2.城市轨道交通系统安全保障技术国家工程实验室 北京 100068）（3.城市轨道交通全自动运行系统与安全监控北京市重点实验室 北京 100068）摘 要：基于以太网的列车控制网络存在非法外联、网络攻击等信息安全隐患。本文结合轨道交通信息安全技术、相关技术标准的要求，总结了以太网列车控制网络的相关特点，阐

2、述了信息安全相关防护技术及相关要求；针对以太网列车控制网络的主要信息安全风险因素，提出了边界防护、访问控制、入侵及恶意代码防范、安全审计等信息安全防护措施，并提出一套车载信息安全防护系统技术方案，解决以太网列车控制网络的信息安全问题。关键词：以太网列车控制网 访问控制 入侵及恶意代码防范 安全审计Research on Information Security Technology of Train Control Network Based on EthernetTan Kangbai1,2,3(1.Beijing Urban Rail Transit Consulting Co.,Ltd

3、Beijing 100068)(2.Beijing National Engineering Laboratory of Safety Assurance Technology for Urban Rail Transit Systems Beijing 100068)(3.Beijing Key Laboratory of Fully Automatic Operation and Safety Monitoring for Urban Rail Transit Beijing 100068)Abstract The train control network based on Ethern

4、et has information security risks such as illegal external connections and network attacks.This article combines the requirements of information security technology and related technical standards in rail transit,summarizes the relevant characteristics of Ethernet train control network,and elaborate

5、s on information security related protection technology and related requirements.In response to the main information security risk factors of Ethernet train control network,information security protection measures such as boundary protection,access control,intrusion and malicious code prevention,sec

6、urity audit,etc.have been proposed,and a set of onboard information security protection system technical solutions have been proposed to solve the information security issues of Ethernet train control network.Keywords Ethernet train control network Access control Intrusion and malicious code prevent

7、ion Security audit中图分类号：TB497 文献标志码：B文章编号：2095-2465(2023)10-0029-05 DOI:10.19919/j.issn.2095-2465.2023.10.008作者简介：谭康柏（1968 )，男，硕士，高级工程师，从事地铁车辆技术咨询和监造工作。通讯作者：谭康柏，E-mail:。（收稿日期：2023-09-01）1 基于以太网的列车控制网络及安全技术现状1.1 智慧城市轨道交通信息技术架构及安全要求随着信息化技术的发展，其应用已经和城市轨道2023.05 设备监理30检验与技术I n s p e c t i o n a n d T e

8、c h n o l o g y交通的建设、运营、管理、安全、服务等各个领域密切融合，信息化成为促进城市轨道交通向智慧化发展的重要手段。为保障安全稳定运行、提高企业运营效益，构架尽量采用标准化的接口形式及协议。为满足轨道交通高质量发展和智慧轨道交通的总体要求，技术架构需确保不同时期、不同类型信息系统之间的高效连接，实现相关信息系统的互联互通。为保障各系统安全稳定运行，网络信息安全在轨道交通建设中变得越来越重要。按照 T/CAMET 110012019智慧城市轨道交通 信息技术架构及网络安全规范的要求，城市轨道交通信息化的“13531”总体架构规划设计见图 1。智慧城市轨道交通信息系统根据轨道交通

9、业务应用种类、应用系统重要性及安全防护等级等将网络分为安全生产网、内部管理网和外部服务网。安全生产网应按照等级保护三级建设，内部管理网应按照等级保护二级建设，外部服务网按各应用所需的级别建设，并确保达到相应等级的实际安全保护效果1。列车控制网络和列车控制、运行紧密相关，属于安全生产网的一个部分。图 1 城市轨道交通信息技术系统总体架构?1.2 列车以太网控制网络安全现状随着计算机技术、以太网络技术在列车上的广泛应用，使得网络攻击门槛越来越低。近年频发的针对国家关键基础设施的重大安全事件给我们敲响了警钟，一旦恐怖分子侵入地铁控制网络系统，其后果将无法想象。因此，提升轨道交通网络安全防护能力变得越

10、来越重要。采用以太网进行列车控制数据通信，以太网属于开放式网络，在非法外联、攻击风险等方面均存在一定的安全隐患，需加强对网络安全的总体规划和顶层设计。信息化与列车控制系统深度融合，列车控制系统的控制网和维护网采用以太网技术，采用列车实时数据协议（TRDP），提高实时性、确保可靠性，协议标准将通过行业团体以开源的形式公开。其优点是有利于以太网的普及和推广，降低采购构件的成本，同时由于采用开源代码，加大了系统受到攻击的可能性。列车控制及监视系统（TCMS）是列车车载系统中关键系统之一，一旦其安全性受到威胁，会对列车行车安全造成巨大影响。列车控制系统与信号、乘客信息系统（PIS）等外部设备均有接口，

11、同时自身维护系统也有和外界相通的维护接口，攻击者如果通过这些接口对列车以太网控制网络攻击，系统中所有的安全漏洞将会成为安全隐患，各种恶意攻击可能对城市轨道交通的生产运行和公共安全造成重大损失，车辆系统信息安全问题日益突出。2 以太网列车控制网络信息安全技术要求2.1 基于轨道交通数据平台的要求在轨道交通系统大数据平台数据传输中，为保证平台数据的交互、存储、分析，建立大数据平台。对于实时性要求不高，需要进行数据间汇总、分析、挖掘的数据，可通过大数据平台进行存储、处理；对于实时性要求较高的数据，直接在云平台内部各虚拟机间进行数据的直接交互。图 2 为一个典型的轨道交通数据平台结构。按照相关技术规范

12、和标准的要求，安全生产网按照等保三级标准进行建设，列车控制网络属于安全生产网的一个组成部分。依据 GB/T 222402020信息安全技术 网络安全等级保护定级指南中对等保三级进行级别系统的描述：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害2。轨道交通数据平台结构由众多的网络相连接而成，不同网络之间连接产生了各自的网络边界。组建数据交换平台时，应遵循“统一规划、合理布局、互联互通、资源共享”的原则，需考虑来自网络外界的入侵，需在网络边界上建立可靠的安全防御措施。列车控制网络是和生产紧密相关的网络，是列车车载系统中关键系统，需满足城市轨道交通所有运营场景及维护工

13、作的要求，其网络安全工作，应与线路规划、设计、建设同步进行，并在移交运营前，完成安全等级保护测评工作3。PLANT ENGINEERING CONSULTANTS 2023.0531检验与技术I n s p e c t i o n a n d T e c h n o l o g y2.2 基于以太网的列车控制网络以太网以其通信速率高、灵活性强等特点在各领域得到迅猛发展，逐渐取代了传统地铁列车网络采用的多功能数据总线（MVB）型架构，目前成为列车网络应用的主要方向。2014 年至今，国际电子委员会（IEC）逐次发布了一系列基于实时以太网的列车通信网络技术标准。基于以太网的 TCMS 构图见图 3

14、。图 3 基于以太网的 TCMS ETB/ECN 架构?ECNNECNNETBN?ETB)?ECN?ECNNECNN?ETBN-以太网列车骨干网节点；ECNN-以太网编组网节点这是基于标准组建的以太网的列车控制网络基本模式，列车级网络为 ETB，由骨干网节点依次相连；车辆级网络为 ECN，由车辆级节点组成环形拓扑。列车编组整体拓扑更为复杂，实际应用中还需考虑冗余设计，很多项目采用双环网拓扑结构。ECN 支持虚拟局域网（VLAN）技术，根据功能和安全需求，将不同设备划分为不同的虚拟局域网，不同虚拟局域网设备间无法直接通信，可将物理交换机划分成多个逻辑交换机，从而实现不同网络之间的隔离，提高网络安

15、全性和管理性。采用列车实时数据协议，以提高系统通信的实时性和可靠性。列车控制网络属于工业控制网，印刷电路板所选用的芯片等级为工业级标准，所有的硬件在装车前均通过老化测试，消除电子元件各种不稳定因素，系统采用工业控制环境防火墙。工业控制环境的防火墙与通用防火墙的主要差别如下：1)通用防火墙除了需具备基本的五元组过滤外，还需要具备一定的应用层过滤防护能力。用于工业控制环境的防火墙除了具有通用防火墙的部分通用协议应用层过滤能力外，还具有对工业控制协议应用层的过滤能力4。2)用于工业控制环境的防火墙比通用防火墙具有更高的环境适应能力4。3)工业控制环境中，通常流量相对较小，但对控制命令的执行要求具有实

16、时性。因此，工业控制防火ISCS-综合监控系统；MSS/ATS-最大安全速度/列车自动监控；ETL-数据抽取、转换和加载；FTP/HTTP-文件传输协议/超文传输协议；Nosql-非关系型的数据库图 2 典型的轨道交通数据平台结构?Nosql?MSS?ATSISCSTCMS?ETLFTP?HTTP?App?2023.05 设备监理32检验与技术I n s p e c t i o n a n d T e c h n o l o g y墙的吞吐量性能要求可相对低一些，而对实时性要求 较高4。4)工业控制环境下的防火墙比通用防火墙具有更高的可靠性、稳定性等要求4。2.3 列车控制网络防护技术及相关要

17、求列车控制系统与信号、PIS 等外部设备均有网络接口，同时列车控制系统自身维护系统也有和外界相通的维护接口。系统存在外网入侵、非法使用、操作无记录、接入人员不可控和接入设备自身安全不可控等风险。为防止来自其他网络的攻击，信息安全系统主要采取的防护措施有边界防护访问控制、入侵及恶意代码防范、安全审计。安全区域边界测评应按照等保测评指南实施，主要包括测评准备活动、方案编制活动、现场测评活动及报告编制活动等。测评主要结论是单项测评是否满足安全区域边界中以下各项点的要求。1)边界防护及访问控制：(1)根据第三级安全区域边界的要求，需在车地无线通信车载终端与列车内部网络交换机之间通过部署专用防火墙实现边

18、界防护及访问控制，保证车地无线通信通过防火墙接入车辆网络内部。(2)防火墙应配置访问控制规则，应实现默认禁止。(3)根据列车网络通信的需求配置相应的白名单，并能实现对列车网络通信的协议解析，同时应支持私有协议自定义解析。(4)防火墙产品有关性能、外观、电气接口、人机交互、管理及环境等应满足车辆用户的相关技术要求。(5)防火墙应满足有关的技术要求和测试评价国家标准。2)入侵及恶意代码防范：(1)车辆网络应在网络关键节点实现入侵检测及防范。(2)关键节点包括防火墙(内外网边界)及内部网络。(3)应在关键节点上采取有效措施防止网络攻击行为。(4)应支持车辆网络内各种通信协议的解析，同时应支持私有协议

19、自定义解析，应支持学习模式建立车辆通信模型基线，对车辆通信行为与基线进行对比分析，对不符合通信基线的异常行为进行告警。(5)对所有网络攻击行为进行 分析。(6)当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警，应实现恶意代码防范5。(7)入侵检测产品有关性能、外观、电气接口、人机交互、管理及环境等应满足车辆用户的相关技术要求。(8)应满足网络入侵检测系统技术要求及测评评价方法相关标准要求。3)安全审计：(1)车辆网络应在网络关键节点实现安全审计。(2)关键节点包括防火墙（内外网边界）及内部网络。(3)审计覆盖每个用户，对重要的用户行为和重要安全

20、事件进行审计5。(4)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息5。(5)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等5。(6)应对特殊用户单独进行行为审计和数据分析。(7)相关要求应满足技术要求和测试评价方法相关标准要求。(8)安全审计产品有关性能、外观、电气接口、人机交互、管理及环境等应满足车辆用户的相关技术要求。3 车载信息安全防护系统组成和功能3.1 车载信息安全防护系统组成车载信息安全防护系统组成主要包含车载防火墙及车载监测审计 2 部分，相关设备布置在列车的头、尾车。信号系统、车载 WIFI（无线局域网络）和维护终端作为

21、外部信息，在进入列车控制及监视系统之前，需通过车载信息安全防护系统防火墙的监测。车载 PIS 内部网络、车载控制网络、以太网维护网交换机旁路部署车载监测审计，开启入侵检测功能。具体情况见图 4，图中虚线椭圆内部分为车载信息安全防护系统。图 4 车载信息安全防护系统TCMS?TCMS?WIFI?PIS?PIS?WIFI?车载信息安全防护系统安装在列车上，需具备车载设备特点的运行性能，满足城市轨道交通对车载设备运行性能的要求（包括绝缘、耐压、高低温、湿度、振动、冲击、浪涌和抗干扰等一系列运行性能 要求）。支持车载网络环境的部署，采用标准机框/板卡式硬件设计，以太网端口采用以太网连接器，背板采用标准

22、的连接器，和车载网络环境兼容。装车产品实PLANT ENGINEERING CONSULTANTS 2023.0533检验与技术I n s p e c t i o n a n d T e c h n o l o g y物见图 5。硬件板卡有电源模块、车载防火墙、车载审计和接口板卡。图 5 车载信息安全防护系统实物图3.2 车载信息安全防护系统功能1）VLAN 技术。接入列车的子系统较多，车辆内网应与外部网络相互独立，而车辆内网各网段之间有访问的需求。根据功能和安全需求，在设计时将各系统从结构上划分为不同的安全域，ECN 支持 VLAN 技术，对不同安全域进行边界隔离，将不同设备划分为不同的虚拟

23、局域网，不同虚拟局域网设备间无法直接通信，因此，提高网络安全性和管理性。2）边界防护及访问控制。在信号系统、车载WIFI 和维护终端与列车内部网络交换机之间部署车载防火墙，实现访问控制、边界完整性检查、恶意代码防范等基本功能，实现隔离与访问控制。车载防火墙能够根据数据传输的相关协议进行访问控制，车辆和其他系统之间正常业务数据允许通过，拒绝其他应用数据的连接请求，确保车辆的信息安全。3）入侵及恶意代码防范。通过在车载 PIS 网络、车载 TCMS 网络交换机旁路部署车载监测审计，实现入侵检测功能，通过接收镜像的网络流量，并分析网络内是否存在针对车辆的恶意攻击、入侵行为，同时基于恶意攻击、入侵事件

24、的不同级别给出不同告警。4）异常流量行为监测审计。通过车载监测审计，根据车载系统对内对外的网络数据流量进行审计。车载监测审计通过接收车载系统镜像的网络流量，分析车辆网络内是否存在异常流量、违规操作等行为，完整保存相关审计记录信息，确保安全事故后的可追溯性。3.3 关键技术路线的确定轨道交通车辆的以太网控制网络环境特殊，需要采取一些特殊的安全措施来保护其网络安全。首先，“白环境”指的是将网络系统内外隔离，网络锁死，只允许特定的网络流量和数据信息流进入。对于轨道交通车辆而言，其以太网控制网络是一个封闭的环境，无须接入外部网络，因此采用“白环境”技术可以实现全面封堵网络风险来源。其次，轨道交通车辆以

25、太网控制网络的稳定性要求非常高，网络结构也比较简单，一般只包括固定的网络节点和设备。在这种情况下，采用“白环境”的安全策略可以实现网络安全的统一管理和控制，降低网络维护成本。最后，对于轨道交通车辆而言，其以太网控制网络是负责列车运行和调度的核心系统，一旦出现故障或被攻击，可能会导致列车行驶问题和调度混乱等严重后果。采用“白环境”的安全策略，可以最大限度地保护以太网控制网络的稳定运行和安全性。综上所述，“白环境”技术理念更加适用于轨道交通车辆以太网控制网络的安全监测和审计。通过建立封闭的“白环境”,实现网络系统内外隔离、网络锁死等安全策略，可以有效提高以太网控制网络的稳定性和安全性，保障轨道交通

26、车辆和人员的安全。4 结论综上所述，作为安全生产网的一部分，基于以太网的列车控制网络是列车运行控制关键系统，目前相关的信息安全技术还在起步阶段，相关技术要求和方案正在探索和完善中。本文综合考虑了以太网列车控制网络、列车应用环境、相关标准规范等因素，系统完整地阐述了以太网列车控制网络信息安全技术要求和技术方案；在关键技术路线中，根据轨道交通车辆的以太网控制网络环境，秉承“白环境”技术理念，以提高以太网控制网络的稳定性和安全性。参考文献1 T/CAMET 11001.32019 智慧城市轨道交通 信息技术架构及网络安全规范 第3 部分:网络安全 S.2 GB/T 222402020 信息安全技术 网络安全等级保护定级指南 S.3 T/CAMET 11001.12019 智慧城市轨道交通 信息技术架构及网络安全规范 第1部分:总体需求 S.4 GB/T 379332019 信息安全技术 工业控制系统专用防火墙技术要求 S.5 GB/T 222392019 信息安全技术 网络安全等级保护基本要求 S.