针对基于工业以太网的列车网络系统的安全问题，分析了列车网络系统面临的威胁，在此基础上，给出了列车网络系统终端设备、网络设备、维护设备、远程数据传输设备的安全防护措施，可为列车网络安全设计提供参考。

　　关键词：轨道车辆;列车网络系统;安全分析;安全防护

　　列车网络系统是“大脑”和“神经系统”，负责整车的控制、监视、故障诊断和数据传输，其将车辆的牵引、制动、辅助供电、空调、门、旅客信息服务等各个子系统连接组成为一个有机整体，保证列车安全可靠运营。近年来，随着物联网、人工智能、数据分析技术的发展，轨道车辆的智能化水平不断提高，车辆级及列车级的传输数据量不断增多，使得基于工业以太网的列车网络系统的应用越来越广泛。但是，由于工业以太网采用的是通用的系统与协议标准，而且列车在运营过程中列车网络系统会以各种方式与互联网连接与交互，因此，必须开展网络安全分析与安全防护工作，以确保列车网络系统的安全性。

　　1列车网络系统拓扑结构

　　目前，基于工业以太网的列车网络系统普遍采用两级总线:列车级总线(ETB)和车辆总线(ECN)。列车网络系统拓扑结构如图1所示。列车网络系统主要的网络设备包括列车级交换机(ETBN)、车辆级交换机(ECNN)、中继器(ＲEP)、输入输出模块(IOM)、中央控制单元(CCU)、人机界面(HMI)、远程数据传输装置(WTD)等，接入网络的子系统主要有牵引、制动、空调、门、充电机、安全监控、能量管理、旅客信息、热轴监测、火警等系统。

　　2列车网络系统安全性分析

　　2．1列车网络系统资产识别

　　列车网络系统的资产主要包括:网络系统硬件及软件、子系统硬件及软件，以及它们之间的连接;车地数据传输设备及车辆与外部环境的接口。如果从资产的表现形式进行分类，列车网络系统的资产类型可分为硬件、软件、数据及服务等;如果从需要保护的业务过程和活动、所关注信息的角度进行分类，列车网络系统资产类型可分为基于CCU的控制功能、车辆状态信息、软件、数据及硬件接口等，如表1所示。

　　2．2列车网络控制系统面临威胁分析

　　列车网络控制系统面临攻击者故意发起的攻击行为和用户偶然引发的失误，比如非法设置系统数据、信息泄漏、窃听、DoS(拒绝服务)攻击、虚假消息、记录丢失、病毒感染。就访问方式而言，列车网络控制系统面临的威胁主要有仿冒、篡改、信息泄露、拒绝服务、特权提升等，如表2所示。

　　2．3列车网络系统脆弱性分析

　　列车网络系统的脆弱性主要表现在技术和管理两个方面。技术方面的脆弱性主要有操作系统漏洞、非法外联、内部脆弱、攻击风险等;管理方面的脆弱性主要有管理制度不健全、现场管理不完善等方面。1)操作系统漏洞。目前，列车网络系统采用的比较多的操作系统主要有Windows、Vxworks及专用操作系统等，这些系统都不同程度的存在一些漏洞。IntelCPU架构潜在的网络安全漏洞如表3所示。2)非法外联。在列车网络系统维护过程中(如软件上传和故障下载时)，会使用笔记本电脑、U盘等移动介质接入到被维护设备，如果没有使用专用的设备，可能将病毒引入被维护设备;如果接入被维护设备的以太网口没有设置保护，存在非法接入隐患。3)内部脆弱。列车网络系统设备及其子系统设备存在弱口令、设备之间通信协议未加密等问题。4)攻击风险。列车网络系统与车地之间通过无线方式进行通信，连接在网络上的旅客信息系统与地面之间也采用无线方式进行通信，给攻击者提供了可利用的攻击路径，存在被攻击的风险。在软件上传及故障信息下载时，没有使用专用设备及专人操作，存在病毒感染隐患。5)管理制度不健全。近年来，基于工业以太网的列车网络系统的网络安全研究刚刚起步，还没有为此设立信息安全岗位及信息安全管理机构，相关的信息安全培训与考核也刚刚开始，口令管理、移动介质管理、维护人员设备接入管理等现场管理制度还不完善。

　　3列车网络系统安全防护

　　为便于构建分层次的网络安全纵深防御体系，按照功能区域将列车网络系统分为终端设备、列车网络系统、车地数据传输系统和地面数据中心4个不同的安全区域，如图2所示。

　　3．1终端设备安全防护

　　终端设备包括牵引控制单元、制动控制单元、辅助控制单元、空调控制单元、高压系统控制单元、门控制单元等。终端设备的安全防护措施主要有访问控制、入侵防范。1)访问控制。终端设备操作系统包括3种用户:超级用户(操作系统管理账户)，负责操作系统配置;普通用户1(应用系统管理账户)，负责应用软件配置等操作;普通用户2(应用系统日常运维账户)，负责终端设备上运行的应用软件的日常操作(如升级、下载日志数据等)。终端设备操作系统的用户登录密码长度不小于8位，要求包含大写、小写、特殊字符、数字，且严禁采用相同的登录密码。终端设备供应商应对用户名和登录密码严格保密。2)入侵防范。终端设备应通过定制的链路层设备接入列车以太网，定制的链路层设备对所传输的信息进行加密。终端设备操作系统通过列车以太网通信应基于默认拒绝、例外允许的原则。默认关闭全部UDP(用户数据报协议)、TCP(传输控制协议)端口，根据功能需要开放用于TＲDP(列车实时数据协议)的部分UDP端口，并开放一个TCP端口用于终端设备应用系统的日常管理和维护。终端设备应用系统对接收到的数据包进行边界检查，丢弃接收到的超长包(包括UDP超长包、TＲDP超长包)和超短包，以不影响后续正确数据包的接收，防止缓冲区溢出对未授权信息进行访问。终端设备操作系统仅开放必须的应用于软件工作的系统服务和网络端口;关闭默认管理账户，禁止使用开放协议。终端设备所提供的应用服务，应通过专用PTU(维护设备)进行软件访问。终端设备操作系统限制默认普通用户的系统操作权限(如Linux下configure，rm等);全部用户的远程访问仅用于启动相应的系统服务。

　　3．2以太网设备安全防护

　　以太网设备主要包括列车级交换机、车辆级交换机、中央控制单元、输入输出设备、显示屏、中继器等。以太网设备的安全保护措施主要有白名单、流量控制、认证配置、DDos(拒绝服务攻击)防御等。1)白名单。网络设备具有白名单匹配功能，包括绑定源(目的)IP与源(目的)MAC(物理地址)地址，提供基于五元组的安全策略。五元组包括源IP地址、目的IP地址、源端口号、目的端口号、协议类型匹配(仅支持TCP、UDP)。通过ACL(访问控制列表)实现白名单匹配功能。2)流量控制。网络设备应提供流量控制功能，针对端口分配相应的流量。当某终端设备发送超限流量时，应对其进行流量限制，且不影响其他端口数据传输。3)认证配置。网络设备应支持802．1x认证功能，可开放指定的端口进行802．1x认证，通过外接的ＲADIUS服务器完成对于接入设备的802．1x认证。4)DDos防御。网络设备具有DDos防御能力，应通过抗大流量攻击能力测试、畸形包处理能力测试、Dos攻击测试。应通过PingFlood、SYNFlood、Smurf等攻击处理能力测试。

　　3．3车地无线传输系统安全防护

　　1)远程无线数据传输装置采用防火墙技术、车地数据传输协议加密、中间件隔离、数据单向传输等安全措施，保证车地数据传输安全。2)旅客信息系统主机采用防火墙技术、车地数据传输协议加密等措施保证车地双向数据安全。

　　3．4PTU安全防护

　　1)安全认证。PTU设备安装有支持802．1x认证的客户端，通过该客户端连接列车以太网网络设备，在车载ＲADIUS服务器上进行安全认证，认证通过后可接入列车车载网络。2)加密与审计。每个PTU软件副本拥有独立加密的UID(用户身份认证)，PTU在与终端设备建立连接时记录该UID的登录时间、离开时间、重要操作(如软件升级记录)等信息。PTU软件发放单位应建立UID与PTU软件使用人对应关系的台账用于审计。需通过PTU软件上传至终端设备的文件，应加密并携带安全验证信息，由终端设备负责解密并进行安全校验后方可上传至终端设备。终端设备用于应用系统管理的服务软件应对自PTU传输的数据包进行合法性验证，对于未通过验证的数据包，应丢弃并在终端设备上删除。3)加强管理。日常运用管理部门(如动车所)对运行PTU软件的终端计算机进行登记备案，记录维护电脑使用的Mac地址，检查终端计算机是否安装防病毒软件，禁止网卡同时设置多个IP进行日常维护，并定期检查。

　　4结语

　　随着轨道车辆智能化水平的提高，基于工业以太网的列车网络系统的应用将越来越多，网络安全问题将更加突出。为此必须按照网络安全相关的标准和规范，加强对网络安全的总体规划部署和顶层设计，制定轨道车辆网络安全设计流程和轨道车辆安全过程框架，从监管和技术等方面构建网络安全保障体系。同时，围绕项目需求，确定网络安全评估目标与评估范围，进行网络安全威胁分析和风险评估;根据风险评估结果，确定风险控制需求，采取相应的风险控制措施，保证列车网络系统安全可靠运行。

　　参考文献

　　［1］孙小红．车联网的关键技术及应用研究［J］．通信技术，2013(4):47．

　　［2］王亚猛．基于OPENSSL———车载网关认证系统的设计与实现［D］．长春:吉林大学，2010．

　　［3］于赫，秦贵和，孙铭会．车载CAN总线网络安全问题及异常检测方法［J］．吉林大学学报(工学版)，2016，46(4):1246．

　　作者：周淑辉 常振臣 张尧 吕默 单位：吉林大学汽车工程学院 中车长春轨道客车股份有限公司科技管理部