铁路物联网系统的安全挑战与对策研究

孙 鹏，张惟皎

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

随着“万物互联”趋势的逐步明朗和应用深入，传统的信息安全防护手段[1]越来越难以应对层出不穷的物联网攻击。物联网作为互联网的进一步延伸，在现场大量部署监测控制设备或边缘计算节点[2]，使网络信息安全边界越发模糊，攻击面也在不断扩大，未来的网络信息安全将向物联网设备侧或网络边缘侧全方面渗透，这对物联网应用系统[3]的安全防护策略提出了新的更高要求，亟需有针对性地研究铁路物联网安全态势，研究与现有信息系统安全融合的技术，建设适合铁路的物联网安全防御体系，有效控制、消除当前和未来可能面临的物联网安全风险和漏洞隐患。基于此，本文分析铁路物联网的安全特点及挑战，提出构建铁路物联网安全参考框架和全生命周期管理模式的安全对策。

1 铁路物联网的安全特点及挑战

1.1 铁路物联网的安全特点

铁路物联网安全具有海量性、异构性、资源受限性、分布式及实时性的特点[4-5]。现场监测控制设备数量大、类型多，设备接入协议和应用模式丰富，还涉及复杂的网络拓扑连接和边缘计算节点的灵活运用，大多数现场设备终端在计算、存储、网络资源等方面具有受限性的特征。这就对铁路物联网系统及其安全策略的轻量级安全协议运用、安全服务低延迟和现场业务连续性、无线网络防御和抵近攻击防范、移动无缝切换和动态高效认证、统一设备身份标识管理、感知数据备份恢复及隐私保护、设备安全策略的远程群组化配置、物联网接入设备规模动态扩展、基于云边协同的设备安全加固和本地安全自治管理、大规模物联网分布式拒绝服务攻击（DDoS，Distributed Denial of Service attack）防御、智能入侵监测和安全态势分析等提出了更高要求。

1.2 铁路物联网的安全问题

结合实际应用现状，当前铁路物联网应用常见的安全问题是：既有生产管理信息系统在实现监测控制设备接入时，已有的安全防护措施不完善，安全防护水平参差不齐，容易导致安全防护的木桶短板效应；现场监测控制设备数量多、类型杂，大量生产设备在自身网络信息安全方面的考虑不足；尚不具备完善的网络防护能力，通信网络接入协议丰富，无线通信技术大量使用，无线渗透、抵近攻击、摆渡攻击等行为可能对系统构成重大威胁；部分物联网感知设备设计简单，计算、存储资源受限，相比信息系统更容易受到攻击，而且正在进行的攻击行为也很难被发现。

1.3 铁路物联网的安全挑战

1.3.1 设备安全挑战

（1）缺乏物理安全控制

铁路现场的监测控制设备往往分散部署在偏远暴露的地理位置，一部分还具有移动作业功能，必须假设设备存在被破坏、盗窃、篡改等物理攻击威胁或至少是被恶意访问的可能性。

（2）设备安全能力不足

受限于计算资源及能量供给，终端设备更倾向于采用轻量级的设计实现，云计算安全加密技术很难在现场设备的复杂信任场景中实现，物理/逻辑隔离成为一种更高性价比的方案[6]。

（3）设备后门与设计漏洞

设备后门能够绕过安全控制获得访问权，而硬件系统设计漏洞一般是因研制阶段对安全威胁考虑不周引起。

（4）恶意节点及终端账号劫持

攻击者可能以不诚实的方式获取终端设备或边缘节点的身份标识，物联网环境下的节点、用户伪装攻击极易实施，诱使连接并隐秘地收集数据，或对数据流量进行非法监听。

1.3.2 网络安全挑战

（1） 无线网络渗透与抵近攻击

必须考虑无线信道易受监听干扰、物理攻击者易接近、部分设备移动性等带来的安全问题，重视利用移动存储设备的摆渡攻击。

（2） 不安全的非传统通信协议

铁路基层接入网长期应用短距离无线通信、低功耗广域网等多种无线通信协议，由于终端资源受限，难以通过复杂的安全计算进行安全加固。

（3） 网络认证与访问控制不足

物联网环境往往缺少统一的身份认证和密钥分配机制，以及相关云安全服务，必须采取轻量级安全加密协议和适当的网络隔离策略，并把部分终端安全计算外包给边缘计算节点执行。

（4） DDoS

DDoS通过募集遍及整个物联网的大量终端设备及边缘节点，构造僵尸网络，在同一时间以协同方式对目标发起攻击，消耗其资源使其不能提供服务[7]。

1.3.3 数据安全挑战

（1） 节点设备数据易损毁

铁路线路边界长，跨越复杂的人文、地理、气候环境，物联网设备往往缺少有效的数据备份和恢复措施等，攻击者可能修改或删除设备缓存数据。

（2） 数据源可信性难以验证

铁路应用可能对数据源的真实性或不可抵赖性提出需求。资源受限设备使得内容侦听、流量分析，以及假冒、重放、伪造等主动攻击更易实施。

（3） 隐私数据保护不足

移动终端等内置了大量传感器来获取第一手数据，包括大量的隐私数据。有效的加密或脱敏措施往往缺失，使得这些数据易被攻击者收集或窥探。

（4） 不安全的移动数据

必须假设移动端被携带到不信任环境下也能保障基本安全。移动端有可能访问PC不会遇到的内容，如恶意的二维码、被重定向的恶意站点或未知来源应用程序等，因此，数据在移动端难以监管。

1.3.4 应用安全挑战

（1） 不安全的系统与组件

铁路物联网环境计算任务由云中心、边缘节点、终端设备分布式地承担，不完善的信任机制可能导致通过伪造节点，劫持现场设备或者应用系统。

（2） 不安全的开放接口

铁路物联网环境的网络节点必须通过开放一系列设备接口和应用接口支持协同工作。物联网二次实施可能会产生新的复杂应用程序接口（API，Application Programming Interface），风险也会相应增加。

（3） 难监管的恶意用户

铁路物联网信任环境复杂，管理如此大规模的监测控制设备及边缘计算设备，这对用户管理来说是一项巨大挑战。

（4） 易蔓延的高持续性威胁

高持续性威胁（APT，Advanced Persistent Threat）通常包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等过程。若物联网应用系统对APT攻击的检测能力不足，则很容易导致攻击感染面不断扩大并进一步蔓延。

2 铁路物联网的安全对策

2.1 铁路物联网安全参考框架

铁路物联网安全包括物理安全[8]和信息安全，从铁路物联网面临的安全特点、问题及挑战出发，基于问题导向和目标导向，从设备安全、网络安全、数据安全、应用安全的维度，分类整理铁路物联网参考安全分区中的安全策略，并贯穿涵盖第三方采购、安全设计开发、安全部署运行维护（简称：运维）的铁路物联网安全全生命周期管理，构建覆盖铁路物联网“云—边—端”的安全参考框架[9-11]，如图1所示。

图1 铁路物联网安全参考框架

2.2 铁路物联网的安全策略

参考铁路物联网设备、网络、数据、应用所面临的主要安全风险和威胁，提炼物理安全或信息安全防护需求，并有针对性地提出对应的安全策略；同时，通过全生命周期管理将安全要素融入物联网第三方采购、设计开发、部署运维的各阶段，通过固化管理流程，确保安全风险及漏洞不会被带到物联网系统实施的后续阶段。

2.2.1 设备安全策略

（1） 设备物理防护

在设备选型和地理选址时[12]，应在物理访问控制、防盗窃、防破坏、防雷击、防火、防水、防潮、温/湿度控制、电力供应、电磁兼容、部署环境等方面满足相关标准和规范要求，在受控环境下部署。

（2） 设备身份认证

设备应具备可识别、防篡改和防擦除的唯一身份标识（ID，Identity Document）[13]，支持通过设备ID或媒体存取控制（MAC，Media Access Control）地址绑定等方式实现接入认证与管理，并充分考虑轻量级的设备认证策略和协议。

（3） 设备访问控制

使用统一的用户授权管理和基于属性或角色的访问控制模型，为授权用户访问设备资源提供细粒度的访问控制，并考虑到支持设备群组和批量化的设备安全策略配置。

（4） 设备完整性校验

建议采用轻量级的安全校验方法，对设备进行完整性检查验证，保障设备运行在预期的状态上。不仅要保证设备操作系统的完整性和可信性，还要保证应用程序与数据的机密性和完整性。

（5） 设备入侵检测防护

对安全级别高和资源充裕的物联网节点，安装经过安全认证的恶意代码扫描、入侵检测和安全日志工具。

2.2.2 网络安全策略

（1） 安全通信协议

针对物联网设备数量大、类型多、网络拓扑复杂，现有的通信协议的安全性参差不齐等问题，对现有协议进行漏洞挖掘和安全评估[14]，并综合性能因素，在原有协议的基础上进行安全封装。

（2） 网络隔离分区

规划物联网云中心、边缘域、终端设备等不同区域间的安全隔离策略，采用虚拟化逻辑隔离，甚至物理隔离，实现数据采集网络彼此不连通，仅在需要时进行安全数据交换，保障在单点设备失效时迅速隔离有害攻击、不会向整个网络蔓延。

（3）网络接入验证

对接入网络的物联网节点进行鉴权，根据安全等级实现设备单向认证，或者基于预共享密钥、公钥基础设施的双向认证。

（4）入侵安全检测

对物联网网络实施持续性的网络流量监测和自动报警预警，建立终端接入日志审计机制，实时检测伪节点或中间人攻击。严格盯控DDoS攻击，重点防范复杂网络和大规模设备连接环境下的网络风暴，对网络异常事件或有害网络流量采取阻断、缓解和分流等措施。

2.2.3 数据安全策略

（1）轻量级数据加密

在铁路物联网节点执行传统加密算法具有极大的挑战性，需通过对加密方案进行定制和剪裁，并依托硬件加密或者边缘节点分包等方式增强计算能力，形成轻量级密码服务。

（2）数据安全传输

对重要信息、敏感信息选择必要的加密传输策略[15]，支持数据保密传输、完整性校验、时效性验证、数据脱敏保护、基于设备身份的数据源信任机制。提供数据溯源技术对关键数据进行跟踪纪录，对数据流转及访问过程中的异常行为及时告警。

（3）数据安全存储

保证物联网节点上静态数据或动态缓存数据的安全性，兼顾安全和效率，构建分布式数据存储架构，采用适用的存储空间加密和数据访问控制保证数据的保密性和完整性，并提供分布式数据冗余备份机制保证数据的可用性。

（4）敏感数据处理

建立识别、使用和保护敏感数据的有效机制，鉴别物联网采集数据中的敏感信息，在不严重影响性能的前提下提供脱敏混淆计算，保证有效性和及时性，并提供一定审计能力。

2.2.4 应用安全策略

（1）应用系统加固

对资源受限的物联网节点，需要满足统一身份管理、补丁升级更新等基本要求。对可能存在安全漏洞的现场应用程序，实施软件安全加固。同时考虑终端应用轻量化的要求，结合云边协同计算对关键程序逻辑进行安全强化，尽量采用自动化的程序安全检查工具。

（2）应用安全控制

尽量支持基于群组自定义的用户访问权限管理，以明确的准许限制策略，控制用户访问应用系统资源的权利与范围。提供轻量级的安全授权模型，以及去中心化、分布式访问控制策略，支持快速认证和动态授权的机制。实现高等级安全域的安全管控、权限分离和行为回放。

（3）应用安全监控

补强对现场物联网设备的安全监控能力，对应用资源占用、网络流量、设备连接、终端用户身份及其操作行为等进行实时检测分析和报警处置，按预置的安全策略发现程序漏洞和入侵行为。通过安全审计和日志分析对应用违规、越权和异常行为进行报警判识，并实施事后追溯。

（4）应用安全管理

制定安全管理策略规程，明确物联网接入设备责任方安全职责及行为准则，制定应急响应计划和配置管理策略，定期开展安全评估工作；明确不同责任方物联网业务应用系统运维的职责，加强物联网相关采购、研发、运维人员的安全管理意识。

2.3 铁路物联网安全的全生命周期管理

2.3.1 第三方安全采购

铁路物联网系统建设依赖于研发生态环境中不同厂家的支持，各供应商安全角色和安全策略相互关联，必须建立安全责任制度进行有效的安全治理；铁路物联网设备、网络、平台、应用供应商有责任遵循安全架构确保产品安全可信，针对铁路环境提供硬件安全漏洞修补、固件软件升级更新等配套服务，在安全合规性准入上采取零容忍的策略；尽量减少安全维护带来的额外运营负担，保证不产生难以承受的生产停机时间，灵活规划向后兼容和新能力整合；对资源受限设备，建议综合考虑专用密码加速器、边缘计算策略，或在网络安全隔离策略方面提出安全加固方案；设备选型时，建议消除关键硬件功能以外无用的附加特性，以减少攻击面。

2.3.2 安全设计开发

设计开发是铁路物联网系统全生命周期管理的关键阶段，重视设计开发阶段有利于预防早期安全问题，为安全加固方案的实施预留充足时间，避免后期高昂的安全修复代价[16]。考虑到大多数铁路现场设备安全功能设计简单和资源受限等特点，必须遵循通用安全框架着重提升设备系统的稳定性；必须将物理安全需求和信息安全需求同时纳入考虑，制定完善的安全事件异常处理预案，通过平稳断开正在运行的现场设备以阻止安全事件进一步蔓延。

准确把握物联网系统安全需求，规划整个设计开发阶段的安全测试计划，而不应仅满足于对系统功能的覆盖性测试。利用静/动态代码分析和软件测试工具，形成安全测试及代码审计策略，并尽量采用自动化测试工具；对第三方软件库和开源代码进行安全评估，尽量混合使用第三方通用组件；必须对系统的潜在安全威胁和可能攻击手段有一定预期，详细定义安全边界、安全API和数据流规范；严格控制编码质量，尤其是要杜绝程序异常，避免过度暴露权限，保证并发访问安全性。

2.3.3 安全部署运维

需要合理规划部署运维方案以保障铁路物联网系统总体安全。由于安全防护必然带来管理成本提升，因此，必须明确关键的安全防护对象，利用风险分析评估系统安全边界；项目验收测试应该从功能性、可靠性、物理安全性、信息安全性、管理合规性全方位综合评估物联网应用系统，并在预生产环境下开展安全渗透测试；为保证系统长期稳定运行和现场设备基本不停机，必须加强大规模现场设备安装配置管理，以及可持续的安全监控和事件管理能力；优先采用基于群组的自动化配置管理、安全应急处置预案和基于人工智能的安全检测分析技术，并开展有针对性的运维培训。

3 保障铁路物联网安全的新技术

3.1 云安全控制

基于云计算的铁路物联网系统可作为一种安全基础设施，被认为是构建大规模物联网应用的基础。面向大量现场设备及海量的物联网采集数据，该系统能够提供所需要的计算资源及应用托管基础服务，同时，通过实施最佳的安全控制策略，大幅提升应用系统整体安全水平。

必须针对实际铁路物联网应用场景开展云安全设计，充分利用该系统解决安全复杂性高的问题，构建多安全主体的信任关系和认证机制。物联网云安全架构应包含“端—边—云”的多种安全要素，结合物理/虚拟隔离合理规划安全边界，实时跟踪现场设备侧或网络边缘侧的安全态势，实现统一设备身份验证、安全补丁管理、安全态势监控、攻击事件响应、灾难应急恢复、安全漏洞管理、隐私数据保护等功能。

3.2 基于区块链的信息安全

区块链具备去中心化身份管理、信息不可篡改、可追溯和不可抵赖等特性，利用区块链分布式账本和设备智能合约，为物联网信息安全防护提供了新的手段，可用来有针对性地克服中央安全控制架构下、与中心化信任源和单点故障失效有关的安全漏洞或隐患。面向铁路物联网应用对大规模设备进行分布式自主管理的需求，区块链的分布式计算和群体可信协作机制为有效应对可扩展性、协作能力、信任模式与安全保护等物联网安全挑战提供了新思路，也为物联网设备和用户的身份认证与访问控制、全业务链条数据的安全可信追溯等提供了一种分布自治、低成本的技术手段。

3.3 人工智能安全检测

人工智能不仅能够为铁路信息安全进行自主安全决策分析，还能够通过自动保护防范外部威胁或恶意攻击。通过网络安全检测与模式识别算法，以远超人工分析的速度和规模，发现并阻止正在进行中的网络攻击行为；利用人工智能对物联网海量数据进行安全检测分析，以持续应对不断发展演化的安全威胁和攻击模式，并为人类专家提供数据可视化分析和安全跟踪审查的功能。利用人工智能安全检测技术及时检测恶意软件或正在发生的攻击行为，可极大地缩短恶意入侵规避检测的延迟时间。

4 结束语

文章深入分析了铁路物联网的安全特点，结合物理安全和信息安全两个方面构建了铁路物联网安全参考框架。从设备、网络、数据、应用等方面给出了铁路物联网应用面临的主要安全挑战与相应对策，提出了全生命周期的物联网安全管理，并探讨了保障铁路物联网安全的新技术。本文对铁路物联网系统安全开展的研究，可为完善和提升铁路网络安全和信息化体系提供参考。