1 引言

近年來，隨著數(shù)字化技術(shù)的發(fā)展，軌道車輛技術(shù)不斷進(jìn)步，各車輛系統(tǒng)的網(wǎng)絡(luò)化日趨加強(qiáng)。這在實現(xiàn)具有高附加值的運(yùn)營和維修新功能的同時，也使?jié)撛诠粽吒菀浊秩胲囕v系統(tǒng)，從而對車輛系統(tǒng)的功能安全產(chǎn)生嚴(yán)重影響。因此，保障軌道車輛信息（IT）安全的重要性日益凸顯，這對軌道車輛的運(yùn)營商和制造商提出了更高的要求。

在此背景下，適用于自動化技術(shù)領(lǐng)域的IEC 62443《工業(yè)自動化與控制系統(tǒng)安全》標(biāo)準(zhǔn)系列越來越多地用于軌道車輛領(lǐng)域。其范圍涉及具有聯(lián)網(wǎng)系統(tǒng)的軌道車輛及其接口、通信設(shè)備，以及將上述設(shè)備、系統(tǒng)集成到整個鐵路系統(tǒng)中的外部接口。

本文在梳理德國鐵路IT安全相關(guān)法規(guī)和標(biāo)準(zhǔn)的基礎(chǔ)上，以軌道車輛（本文指動車組）作為IT安全研究對象，為其開發(fā)IT安全通用架構(gòu)模型。該模型作為IT安全指南和程序模型，可促進(jìn)IEC 62443標(biāo)準(zhǔn)系列在軌道車輛中的應(yīng)用和實施，保證軌道車輛的IT安全。

2 鐵路 IT 安全相關(guān)法規(guī)和標(biāo)準(zhǔn)

2.1 法規(guī)

德國鐵路IT安全相關(guān)的法規(guī)一方面依據(jù)歐盟法律，另一方面源于其國內(nèi)鐵路專用法規(guī)中的安全要求。

在歐盟法律方面，《歐盟網(wǎng)絡(luò)和信息系統(tǒng)安全（NIS）指令》呼吁采取措施確保網(wǎng)絡(luò)和信息系統(tǒng)的整體高安全水平，要求各國制定網(wǎng)絡(luò)和信息系統(tǒng)安全國家戰(zhàn)略，并對網(wǎng)絡(luò)和信息服務(wù)運(yùn)營商和提供商提出安全要求，規(guī)定報告義務(wù)。

在德國國內(nèi)，德國聯(lián)邦信息安全辦公室（BSI）是德國IT安全領(lǐng)域的核心管理機(jī)構(gòu)。在其制定的《關(guān)鍵基礎(chǔ)設(shè)施確定條例》中明確了需要特別保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施。該條例規(guī)定，在鐵路領(lǐng)域，鐵路客運(yùn)站、鐵路貨運(yùn)站、列車編組站、線路網(wǎng)絡(luò)、集中裝置、控制中心等，若超過一定的規(guī)模和運(yùn)力，則屬于關(guān)鍵基礎(chǔ)設(shè)施?！惰F路總法》 （AEG）也明確了鐵路基礎(chǔ)設(shè)施和車輛必須滿足的公共安全要求，包括IT安全要求。

2.2 標(biāo)準(zhǔn)

IEC 62443標(biāo)準(zhǔn)系列作為運(yùn)營技術(shù)（OT）系統(tǒng)IT安全方面的基本標(biāo)準(zhǔn)，涵蓋所有工業(yè)領(lǐng)域的自動化和控制系統(tǒng)（IACS），包括鐵路領(lǐng)域。該標(biāo)準(zhǔn)系列包括4部分：第一部分總結(jié)了該標(biāo)準(zhǔn)系列涉及的基本定義、概念和模型；第二部分涉及針對用戶的IT安全程序，包括對IT安全系統(tǒng)管理、人員和程序設(shè)計等方面的要求；第三部分涉及對系統(tǒng)集成商組裝系統(tǒng)的技術(shù)性IT安全要求；第四部分涉及對制造商所提供單個部件的技術(shù)性IT安全要求。

2021年發(fā)布的TS 50701-2021《歐洲鐵路網(wǎng)絡(luò)安全規(guī)范》以IEC 62443標(biāo)準(zhǔn)系列為參考，并將該標(biāo)準(zhǔn)具體應(yīng)用到鐵路行業(yè)，成為歐洲鐵路行業(yè)IT安全管理的實施指南。

此外，ISO/IEC 27000標(biāo)準(zhǔn)系列也包含IT安全相關(guān)的通用和行業(yè)特定標(biāo)準(zhǔn)，是鐵路IT安全管理需遵循的通用標(biāo)準(zhǔn)。

3 IT 安全通用架構(gòu)模型及其構(gòu)建步驟

3.1 IT 安全通用架構(gòu)模型

在每個涉及有價值資產(chǎn)保護(hù)的領(lǐng)域中，幾乎都可抽象出相似的安全保護(hù)程序模型。該模型可簡化為：首先確定保護(hù)需求，然后根據(jù)保護(hù)需求的高低，采取合適的措施，以確保提供這種保護(hù)。

根據(jù)IEC 62443標(biāo)準(zhǔn)系列的規(guī)定，構(gòu)建IT安全通用架構(gòu)模型的基礎(chǔ)是以區(qū)域（即安全區(qū)域，下文統(tǒng)稱“安全區(qū)域”）和通道的形式對研究對象進(jìn)行全面描述，即根據(jù)保護(hù)需求為研究對象定義和構(gòu)建不同的安全級別，以便從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)和軟件完整性3個方面為其提供充分的保護(hù)。

為此，應(yīng)盡可能準(zhǔn)確地捕捉研究對象的相關(guān)信息，包括研究對象與其所處環(huán)境關(guān)系如何，預(yù)期運(yùn)行環(huán)境如何，以及上述因素將對其造成何種風(fēng)險等，以便為后續(xù)的風(fēng)險評估奠定良好的基礎(chǔ)。

3.2 構(gòu)建步驟

IEC 62443-3-2-2020《工業(yè)自動化與控制系統(tǒng)安全第3-2部分：系統(tǒng)設(shè)計的安全風(fēng)險評估》中描述了IT安全通用架構(gòu)模型的設(shè)計程序，其具體步驟如下：

（1）根據(jù)安全區(qū)域和通道要求（ZCR）1描述研究對象；

（2）根據(jù)ZCR2，從保護(hù)需求出發(fā)對研究對象進(jìn)行功能組分組；

（3）根據(jù)ZCR3，將功能組分配到各安全區(qū)域；

（4）根據(jù)ZCR3，定義和描述通道。

本文將根據(jù)上述4個構(gòu)建步驟，為軌道車輛開發(fā)IT安全通用架構(gòu)模型。

4 模型構(gòu)建

4.1 安全區(qū)域劃分

為對軌道車輛IT安全情況進(jìn)行分析，必須將軌道車輛表示為包含安全區(qū)域和這些區(qū)域之間通道的抽象模型。為此，需要在對軌道車輛及其相關(guān)信息進(jìn)行結(jié)構(gòu)化描述后，開展初始安全風(fēng)險分析，以確定具有相同保護(hù)需求的系統(tǒng)和功能組，然后將其歸入相應(yīng)的安全區(qū)域。

為對軌道車輛的功能組進(jìn)行系統(tǒng)性安全風(fēng)險評估，需要全面了解與軌道車輛運(yùn)行相關(guān)的所有功能組。根據(jù)DIN EN 15380-4-2013《鐵路應(yīng)用-鐵路車輛系統(tǒng)分類-第4部分：功能組》標(biāo)準(zhǔn)（其中包含軌道車輛所有功能組的目錄），軌道車輛（動車組）由18個主功能組和106個子功能組構(gòu)成，其中有近60個功能組與IT相關(guān)。

根據(jù)IEC 62443-3-2-2020標(biāo)準(zhǔn)，可從保護(hù)需求的角度將這些功能組分為5個安全區(qū)域，即列車自動控制（ATC）區(qū)域、列車控制網(wǎng)絡(luò)（TCN）區(qū)域、列車運(yùn)營網(wǎng)絡(luò)（TON）區(qū)域、面向乘客網(wǎng)絡(luò)（CON）區(qū)域、維修區(qū)域，如圖1所示。這些安全區(qū)域是根據(jù)軌道車輛領(lǐng)域?qū)＜业慕?jīng)驗以及相關(guān)國際機(jī)構(gòu)（如歐洲電工標(biāo)準(zhǔn)化委員會下屬鐵路電氣電子應(yīng)用技術(shù)委員會（CENELEC TC 9X））的定義確定的。

這些安全區(qū)域根據(jù)重要性排序如下。

（1）ATC區(qū)域。ATC區(qū)域包括車載列車控制系統(tǒng)（如歐洲列車控制系統(tǒng)（ETCS）、連續(xù)式列車自動控制系統(tǒng)（LZB）），以及列車自動駕駛（ATO）系統(tǒng)。這些系統(tǒng)可確保列車安全運(yùn)行，若其不可用，則列車無法運(yùn)行或只能在受限條件下運(yùn)行。

（2）TCN區(qū)域。該區(qū)域包括列車牽引和制動所需的所有功能組，以及能源供應(yīng)、車門、消防、空調(diào)（包括其壓力保護(hù)系統(tǒng)）系統(tǒng)等。這些系統(tǒng)對于功能完整性的要求非常高，是列車正常、安全運(yùn)行的重要保障。除上述功能組外，該區(qū)域還包括照明、音響、通信系統(tǒng)，以及衛(wèi)生間。若上述系統(tǒng)出現(xiàn)故障，列車只能在受限條件下運(yùn)行。

（3）TON區(qū)域。該區(qū)域包括乘客服務(wù)相關(guān)的所有功能組，如PIS、CCTV、PCS等系統(tǒng)。這些系統(tǒng)故障將導(dǎo)致運(yùn)營受限。

（4）CON區(qū)域。該區(qū)域包括乘客私人設(shè)備接入互聯(lián)網(wǎng)和充電所需的所有功能組，如無線中繼器、通過無線局域網(wǎng)（WLAN）訪問互聯(lián)網(wǎng)的接口、座位上的230 V電源插座等。上述系統(tǒng)的故障會對乘客的個人通信和娛樂產(chǎn)生影響，但不會直接阻礙其出行。

（5）維修區(qū)域。該區(qū)域包括列車中所有系統(tǒng)組件的維護(hù)通道。由于幾乎每個組件的控制單元都有維護(hù)通道，因此其分布在列車的所有安全區(qū)域中。雖然其故障不會直接影響列車運(yùn)行（原因是其在列車行駛過程中處于關(guān)閉狀態(tài)），但攻擊者可能通過其攻擊關(guān)鍵系統(tǒng)，因此對其進(jìn)行保護(hù)尤為重要。

從上述分組中可得出軌道車輛的初級安全區(qū)域模型（包括與地面的連接），如圖2所示。該模型可以顯著簡化對可能安全攻擊路徑的風(fēng)險分析。

由圖可知，中部各區(qū)域從左至右對系統(tǒng)和軟件完整性的保護(hù)需求逐步遞減。ATC系統(tǒng)在軌道車輛的安全運(yùn)行中起著極為重要的作用，若其遭到攻擊破壞，則可能對運(yùn)營產(chǎn)生嚴(yán)重影響，因此其被劃分到獨(dú)立的ATC區(qū)域中。TCMS及其子系統(tǒng)（如牽引、制動、車門等系統(tǒng)）也由于其安全相關(guān)性被單獨(dú)分配到TCN區(qū)域中，并具有與ATC系統(tǒng)類似的高保護(hù)需求。而在TON和CON區(qū)域中沒有與安全直接相關(guān)的功能組，這些區(qū)域從保護(hù)需求看不及ATC和TCN區(qū)域重要，但由于其暴露性（面向乘客，為其提供WLAN等服務(wù)），其具有被攻擊的風(fēng)險。此外，維修區(qū)域尤為重要，因為其涉及車輛中的幾乎所有組件，如果不能采取有效的保護(hù)措施，攻擊者將通過其攻擊車輛關(guān)鍵系統(tǒng)。因此，必須根據(jù)攻擊者類型，對維修區(qū)域采取與其他區(qū)域不同的保護(hù)標(biāo)準(zhǔn)和措施。目前，對于該區(qū)域通常在本地進(jìn)行物理保護(hù)，從而實現(xiàn)高水平保護(hù)。

4.2 通道的定義和描述

通道顧名思義是指連接2個安全區(qū)域的部分。在對軌道車輛進(jìn)行初始安全風(fēng)險評估時，應(yīng)對通道進(jìn)行定義，以降低分析的復(fù)雜性。這里的通道是指邏輯通道，是將所有物理通道合為一體的簡單模型。由于其通常包含網(wǎng)絡(luò)設(shè)備，因此應(yīng)為這些設(shè)備（至少是其中1個）安裝數(shù)據(jù)流控制裝置，如路由器、網(wǎng)關(guān)、數(shù)據(jù)二極管等，以進(jìn)一步降低分析的復(fù)雜性，并實現(xiàn)對安全區(qū)域之間通道的限定。通道的限定是指信息在安全區(qū)域之間傳遞時必須在通道處進(jìn)行安全驗證，只有通過驗證的信息才能跨越邊界，進(jìn)入下一個安全區(qū)域。驗證內(nèi)容是用于加密信息內(nèi)容、具有高可靠性的證書。此類證書包含能夠防止偽造的加密簽名（即數(shù)字簽名），可用于密碼加密，以及設(shè)備的防偽識別等。

4.3 通用架構(gòu)模型建成

在充分了解每個系統(tǒng)、安全區(qū)域和通道的情況后，則可構(gòu)建軌道車輛IT安全通用架構(gòu)模型，如圖3所示。

圖3中用不同的色帶對安全區(qū)域進(jìn)行了描述，每一種顏色對應(yīng)一個安全區(qū)域。

在圖片頂部，根據(jù)DIN EN 15380-4-2013標(biāo)準(zhǔn)的規(guī)定，列出了軌道車輛與IT相關(guān)的各個功能組及其包含的系統(tǒng)（為簡化描述，本圖中只列出了2個功能組）。如果某個系統(tǒng)屬于某個安全區(qū)域，則會在其下部相應(yīng)的色帶中用×標(biāo)記。同一安全區(qū)域內(nèi)各系統(tǒng)之間的通信被認(rèn)為是信息在該區(qū)域內(nèi)的水平流動。

安全區(qū)域之間的通道用垂直紅線表示，每條通道只連接2個區(qū)域，由于此處所指的通道是集中了所有物理通道的邏輯通道，因此2個區(qū)域之間只有1條通道，以C+n（n為1～12的數(shù)字）表示，如C1是連接TON和TCN區(qū)域的通道，C2是連接ATC和TCN區(qū)域的通道。2個區(qū)域之間的通信被認(rèn)為是信息在通道中的垂直流動。

由于維修區(qū)域涉及所有系統(tǒng)，每個系統(tǒng)在色帶中均對應(yīng)一個“*”號。這表明，在所有設(shè)備制造商提供統(tǒng)一的維修界面之前，每個系統(tǒng)的維修界面都分屬單獨(dú)的區(qū)域，并獲得單獨(dú)的保護(hù)。

在實際架構(gòu)中，某些系統(tǒng)會處于與同一功能組中其他系統(tǒng)不同的安全區(qū)域中，如圖3能源功能組中的照明系統(tǒng)。在這種情況下，應(yīng)對架構(gòu)模型進(jìn)行更改，將此類系統(tǒng)分配給不同的功能組，以簡化區(qū)域結(jié)構(gòu)及明晰相關(guān)的保護(hù)措施。

5 安全風(fēng)險評估

上文構(gòu)建的軌道車輛IT安全通用架構(gòu)模型可為下一步根據(jù)IEC 62443標(biāo)準(zhǔn)系列進(jìn)行安全風(fēng)險評估提供堅實的基礎(chǔ)，因為其顯示了攻擊者所有可能的進(jìn)入/攻擊路線，從而能夠確保安全風(fēng)險評估的完整性和可靠性。

借助該模型中定義的安全區(qū)域和通道，可以根據(jù)保護(hù)對象可能受攻擊的每條路徑，確定與IT安全相關(guān)的風(fēng)險。

必須考慮到，攻擊者通常不會尋找直接攻擊關(guān)鍵系統(tǒng)的路徑，而是首先定位防護(hù)最薄弱的環(huán)節(jié)，因為這是其最容易滲透的地方；然后侵入相關(guān)系統(tǒng)，通過水平穿越該系統(tǒng)所在安全區(qū)域、垂直穿過相關(guān)通道，到達(dá)關(guān)鍵系統(tǒng)，并對其進(jìn)行破壞。因此，那種認(rèn)為網(wǎng)絡(luò)中保護(hù)需求低的系統(tǒng)在 IT 安全方面無關(guān)緊要的看法，是一種致命的謬論。

6 結(jié)論

本文根據(jù)IEC 62443標(biāo)準(zhǔn)系列關(guān)于安全區(qū)域、通道及安全風(fēng)險評估的規(guī)定，通過對軌道車輛IT相關(guān)功能組中的典型系統(tǒng)進(jìn)行安全區(qū)域劃分，以及對相關(guān)通道進(jìn)行定義和描述，構(gòu)建軌道車輛IT安全通用架構(gòu)模型，用于對軌道車輛的IT安全狀況進(jìn)行實際分析和評估，以期促進(jìn)IEC 62443標(biāo)準(zhǔn)系列在軌道車輛中的應(yīng)用和實施，保障車輛的IT安全。