城轨车辆网络控制系统安全解决方案研究

1 引言

城轨行业的信息化水平日益提高，车辆网络控制系统已成为现代城轨车辆的重要组成部分，负责控制列车运行控制、状态监测、故障诊断等重要任务。然而，车辆网络控制系统存在安全风险，如网络攻击、恶意软件、系统漏洞等，可能导致列车事故和故障，给城轨运营带来重大影响。因此，保障车辆网络控制系统的安全性和稳定性，已成为城轨行业信息化建设的重要任务。

2 车辆网络控制系统的结构与功能

车辆网络控制系统的主要结构包括控制器、通信网络和通信模块等组成部分。

车辆网络控制系统具有以下主要功能：

1）实时监测列车的运行状态，为车辆异常状态报警和控制管理提供数据依据。

2）对列车进行实时控制和管理，以保证列车的稳定和高效运行。

3）提供故障诊断和维护功能，以保证车辆网络控制系统的稳定和可靠运行。

4）与其他设备和系统进行数据交换和通信，以实现全面的信息管理和监控。

3 车辆网络控制系统的安全风险

车辆网络控制系统的安全风险主要包括以下几个方面。

3.1 网络攻击

车辆网络控制系统面临来自网络攻击的威胁。攻击者可能通过网络攻击方式获取车辆网络控制系统的敏感信息、修改系统配置或控制系统行为，造成严重后果。比如拒绝服务攻击，作为恶意攻击者首选的攻击方式[1]，如果作用到列控系统的关键设备，很容易发生行车安全事故。

3.2 恶意软件

恶意软件是指在未经用户同意或知晓的情况下，安装在系统中的破坏性程序。恶意软件可能会损坏车辆网络控制系统的功能、获取敏感信息。

3.3 系统漏洞

车辆网络控制系统中可能存在安全漏洞，攻击者可以敏感信息或控制车载系统。一旦攻击成功，可能会造成不可预知的后果。

3.4 人为操作失误

车辆网络控制系统的运维需要人员参与，人员的操作失误可能影响列车的运行安全和稳定性。

3.5 通信篡改

通信篡改意味着通过非授权方式对合法信息进行了修改、延迟或者重组的操作[2]。目前用于通信的TRDP、RSSP 等协议均是公开的标准协议[3] [4]，存在被篡改的可能性。

4 车辆网络安全解决方案

为解决车辆网络控制系统的安全风险，本文提出了一种全面的车辆网络控制系统安全解决方案，包括车载监测审计、车载防火墙、地面安全管理平台等多个组件。该方案的主要目标是通过对车辆网络控制系统网络资产和网络流量的持续监控和控制，及时发现和识别潜在的网络威胁和系统漏洞，并采取相应措施来保护车辆网络控制系统的安全性和稳定性。

图1 车辆网络安全方案

通过在列车三层交换机与外部系统设备之间部署车载防火墙，对车地通信的流量进行策略控制，有效地降低地面业务系统的网络风暴、攻击行为、病毒等扩散到列车，保障车地系统之间安全通信，实现车载业务系统的边界防护。

在三层交换机旁路部署车载监测审计设备，对车辆网络控制系统中的资产、风险、访问关系等进行梳理展示，提供车载通信网络监测、协议分析和安全审计功能，实现快速识别网络中的异常、攻击行为，并实时告警。同时记录所有网络通信行为，对入侵的高危告警行为进行分类，推送给地面安全管理中心，及时有效地掌控列车通信系统的安全状态，为车载系统的安全事件溯源提供数据基础。

地面云平台部署安全管理平台统一进行集中的工控安全管理，全面记录车辆网络中的主机安全日志、网络异常攻击监测日志、网络攻击防护日志、车辆网络会话信息，同时保留原始报文信息，便于安全事件的追溯和调查取证；包括实现对控制网内运维过程管控，进行统一的策略管理，对流量监测进行整体的分析及展示，对接入工业控制网络的设备进行识别和控制，通过安全管理平台进行关联、管理、展现，实现整体的安全管理和纵深的安全防护。

4.1 车载防火墙

车载防火墙是车载工控安全解决方案的核心组件之一，负责限制车辆网络中的流量和连接，保护车辆网络控制系统不受未经授权的访问。车载防火墙可以实现以下功能：

（1）限制入站和出站流量。

（2）检测和拦截恶意流量和攻击。

（3）提供访问控制和身份验证。

车载防火墙划分不同的安全域，对边界出口进行边界防护，实现安全隔离。基于工控协议配置合理的主机访问规则，并通过ACL 等安全访问策略的配置细粒度的访问控制规则，实现访问控制策略白名单管理。

车载防火墙通过 TRDP 协议将自身存活状态发送给特定车载主机，并进行时钟同步。车载防火墙仅允许通过专用运维终端在列车上接入专用运维管理网络接口，运维终端与车载防火墙之间建立基于 HTTPS 及 SSH 采用加密的方式进行访问，实现车载安全产品的安全运维管理。

车载防火墙按照列车网络通信的需求配置相应的协议白名单访问控制，实现对列车网络通信TRDP协议的解析，并开启入侵检测、病毒防护策略，有效防止地面业务系统的网络风暴、攻击行为、病毒等扩散到列车，入侵到车辆网络控制系统。

4.2车载监测审计

车载监测审计是车辆网络控制系统安全解决方案的另一个核心组件，它负责监控车辆网络中的通信和数据传输，及时发现异常流量和行为。监测审计系统可以实现以下功能：

（1）检测和记录网络流量，包括网络连接、数据传输等。（2）识别异常流量和行为，并发送警报。（3）实时监控车辆网络，包括车辆网络控制系统和其他网络设备。（4）提供完整的安全事件记录和日志，便于后续分析和管理。

车载监测审计设备，通过镜像接口分析网络中的网络流量，及时发现网络流量或设备的异常情况并告警，产品不向现场控制系统发送任何命令和数据包，即使自身故障也不会直接影响车辆网络控制系统的正常运行。

车载监测审计通过TRDP协议将自身存活状态发送给特定车载主机，并进行时钟同步。车载监测审计仅允许通过专用运维终端在列车上接入专用运维管理网络接口，运维终端与车载监测审计之间建立基于HTTPS及SSH采用加密的方式进行访问，实现车载安全产品的安全运维管理。

车载监测审计设备对车辆网络中的网络流量进行采集、监测和分析，对流经各系统网络交换机的数据流量进行实时解析并与车载监测审计设备下发的黑、白名单、关键事件等策略智能匹配，确定每条报文归属类型。结合入侵检测规格库，有效识别车辆网络中的安全隐患、恶意攻击以及违规操作等安全风险，对入侵的高危告警行为进行分类，推送给地面安全管理中心，及时有效的掌控列车通信系统的安全状态，为车载系统的安全事故调查提供坚实的基础。

4.3地面安全管理平台

地面安全管理平台是车载工控安全解决方案的另一个重要组件，它负责管理和控制车载监测审计、车载防火墙等多个组件。地面安管平台可以实现以下功能：

（1）管理和配置车载监测审计、车载防火墙等多个组件。（2）实时监控车辆网络的安全状况，包括攻击事件、漏洞等。（3）提供可视化的安全分析和报告，便于安全团队快速识别和处理问题。

通过地面安全管理平台，安全团队可以实现对车辆网络控制系统的全面管理和控制，提高车辆网络的安全性和稳定性。车载防火墙、车载监测审计通过安全通信接口将告警信息、审计信息、日志信息单向推送到地面安全管理平台，考虑到车辆到库后才可以网络连通传输数据，所以车载设备数据传输至地面安全管理平台具备断点续传能力。

地面安全管理平台接收各类车载安全设备的数据后，可正确进行查看、检索和统计分析，实现事前预警、事中告警、事后审计的安全运维管理功能，提升车辆网络安全的应急处理能力和管控能力。

5 实验与评估

为了验证车辆网络控制系统安全解决方案的有效性，我们进行了一系列实验和评估。我们选择了一辆运行中的高速列车作为实验对象，并在车辆网络控制系统中部署了我们提出的安全解决方案。实验过程中，我们模拟了不同类型的攻击事件和漏洞，包括恶意流量攻击、DDoS 攻击和系统漏洞等。实验结果表明，我们提出的车辆网络控制系统安全解决方案能够及时检测和处理这些威胁和漏洞，保障车辆网络的安全和稳定。

6 结论

本文提出了一种全面的车辆网络控制系统安全解决方案，包括车载监测审计、车载防火墙和地面安管平台等多个组件。通过对车辆网络的持续监控和控制，及时发现和识别潜在的威胁和漏洞，并采取相应的措施。

参考文献

[1]. S.Xin， X.Chen， H.Tang， and N.Zhu， Research on dosatomic attack oriented to attack resistance test [C]， in ICNSC’ 08.2008：1747–1752.

[2] A.A.Cardenas， T.Roosta， and S.Sastry， Rethinking security properties， threat models， and the design space in sensor networks： Acase study in SCADA systems [J]，Ad Hoc Networks， vol. 7， no. 8， pp. 1434 –1447， 2009.

[3] IEC 61375-2-3 Electronic railway equipment – Train communication network（TCN） – Part 2-3： TCN communication profile.

[4] 中华人民共和国铁道部.RSSP-I 铁路信号安全通信协议（V1.0）[S].铁道部科学技术司，铁道部运输局 ，2010：1-22.

孙继鲁（通讯作者） ，男，1999 年生， 本科，主要研究领域为城轨车辆电气系统及车辆网络安全