近日，有媒體報道丹麥公司Supeo遭受網絡攻擊，致使丹麥最大的鐵路運營公司DSB旗下所有列車均陷入停運，連續數個小時未能恢復。丹麥公司Supeo提供了一款移動應用，供火車司機訪問運行的各項關鍵運營信息，例如限速指標和鐵路運行信息，發現黑客攻擊之后，Supeo決定關閉其服務器，導致列車司機們使用的一款軟件無法正常工作，最終引發了列車運營中斷。

     2021年底，國家安全機關破獲了一起為境外刺探、非法提供高鐵數據的重要案件。這起案件是《數據安全法》實施以來，首例涉案數據被鑒定為情報的案件，也是我國首例涉及高鐵運行安全的危害國家安全類案件。

     軌道交通安全運營是軌交發展的重要基石，多起事件證明，軌道交通安全運營建設已經迫在眉睫。

長揚科技車載信息安全防護系統，內置長揚車載防火墻和長揚車載網絡監測審計系統模塊，且具備良好的安全功能擴展能力，能有效防范車載網絡安全風險，保證用戶車載網絡安全平穩運行。

一，長揚車載信息安全防護系統產品

長揚車載信息安全防護系統包含長揚車載防火墻和長揚車載網絡監測審計系統各一套，可對車輛TCMS系統及PIS系統進行安全防護和審計記錄。

1.1.  長揚車載防火墻功能介紹

圖1 長揚車載防火墻功能示意圖

1.2.  長揚車載網絡監測審計系統功能介紹

圖2 長揚車載網絡監測審計系統功能示意圖

二，長揚車載信息安全防護系統部署案例

2.1.  車載硬件面臨的挑戰

      環境適應性

• 溫濕度要求：運行溫度-40℃～+85℃，不低于-40℃環境溫度下存放，相對濕度不大于95%；
• 絕緣性要求：兆歐表檔位500V，絕緣電阻≥9.5MΩ；
• 耐壓要求：信號對地（機殼），AC750V，1min，無擊穿和閃爍現象，漏電流不大于10mA。 

• 需集成度高且易于擴展的插卡式結構設計；

• 產品形態需采用板卡式，而不采用機架式或導軌式。

圖3 車載板卡示意圖

接口要求

• 以太網端口采用X/D-Code編碼的M12以太網連接器；
• 背板采用符合IEC 61076-4-101標準的CPCI連接器。

2.2.  車載網絡面臨的風險

圖5 列車動態編組網絡系統示意圖

• 通信傳輸過程被“竊聽”、“篡改”和“攔截”；
• 針對車載WIFI的惡意代碼攻擊；
• 數據傳輸接口的非法使用；
• 對車載網關設備的拒絕服務攻擊。
• 受感染車地網絡間擴散傳播；
• 車載操作系統自身不夠安全，存在脆弱性；
• 應用系統/軟件自身存在安全漏洞；
• 未授權的非法設備/人員接入。

       2.3.  某軌道交通項目建設方案

圖6 某軌道交通項目建設方案示意圖

• TCMS系統與外部互聯系統接口之間部署防火墻；
• 車載PIS系統與地面之間通信邊界部署防火墻；
• TCMS系統以太網交換機環網及PIS系統以太網交換機內網各配置相應監測審計模塊進行防護。

        長揚車載信息安全防護系統的目的是加強車載網絡安全的防護，使車載網絡能夠滿足等保2.0要求，該系統留有擴展功能插槽，后續隨著車載網絡安全要求的增強，可以擴展符合安全擴展要求的管理（UMP）、日志審計（LAS）、堡壘機（SSA）等安全擴展模塊。

        長揚車載防火墻模塊的作用在于對邊界進行訪問控制、邊界完整性檢查、惡意代碼防范等，可以滿足等保中對于邊界安全的技術要求。車載防火墻能夠根據數據包的源地址、目的地址、傳輸層協議、應用層協議、端口（對應請求的服務類型）等信息執行訪問控制規則，僅允許車輛和其他系統必要的正常業務數據通過，禁止其他應用的連接請求，以保障車輛的安全性。

三，用戶價值

3.1.  符合國家安全性政策法規，滿足合規性要求

      符合國家安全性政策法規，滿足等級保護2.0、網絡安全法以及行業相關的邏輯隔離、報文過濾、訪問控制等剛性需求；滿足對網絡邊界、重要網絡節點進行安全審計的要求；審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

      3.2.  事件溯源取證，安全事件可視性

      長揚車載信息安全防護系統具有細粒度的監測和審計能力，解決安全實時性預警外，提供有效的事件還原能力，增強事后分析調查取證能力，規避工控系統持續受損。

      可視化展現車載網絡的通信行為和安全狀況，方便安全管理人員快速、準確地定位安全事件，提高企業車載網絡安全管理效率。

      3.3.  融合多種安全功能，保障車載網絡安全

      長揚車載信息安全防護系統具有簡單高效的防火墻策略，也具有深度管控的TRDP協議策略；既有常見的DDOS攻擊防御，也有流量管控防止視頻等流量泛濫；既有白名單方式的安全部署，也有白名單之上的漏洞黑名單再次篩查；它通過部署立體的防護體系，全面保障車載網絡安全。