基于实时以太网的列车网络信息安全防护研究.docx

?

?

基于实时以太网的列车网络信息安全防护研究

?

?

李思源邹宇驰杨曼莉

【摘要】??列车智能化业务和高带宽以太网已逐步应用于列车通信网络，开放式的以太网带来了优势也存在一定安全隐患。本文主要阐述了目前基于实时以太网的列车通信网络面临的信息安全风险，并基于上述风险提出了列车通信网络防护策略，以保障列车车载网络系统的网络信息安全。

【关键词】??列车通信网络??信息安全??安全防护

引言：

列车通信网络是轨道交通车辆的“大脑与神经”，目前正处于MVB/WTB总线转向实时以太网通信的阶段。带宽也由1.5Mbps提升至100Mbps或1Gbps，大带宽为轨道交通列车的信息化、智能化应用提供了通道基础。随之而来，网络安全的风险也从外界互联网延伸到列车内部通信网络，提升列车网络系统的网络安全防护能力成为亟需解决的关键性、基础性问题。

一、列车通信网络信息安全的重要性

高带宽以太网以及大数据技术的应用，使得列车内部网络的数据处理与应用显著加强，为信息化和智能化应用提供了数据支撑。但是随着技术的不断发展，其能够带来优势也能够带来一定的安全隐患，目前的网络信息安全问题受到了严重的挑战，网络中的信息数据面临着被盗取的风险，网络设备、计算机系统、甚至智能联网设备的安全漏洞问题严重，修复进度未跟上步伐。因此，对信息安全的保护显得尤为重要。列车通信网络关系到的列车运行安全，需要对这些关键性、基础性问题进行研究，以保障列车车载网络系统的网络信息安全。

二、影响网络信息安全的因素

2.1网络安全漏洞

网络系统在使用的过程中可能会产生漏洞，导致相关的代码错误或者信息系统出现问题，容易受到外部的网络攻击，进而引起内部的信息泄露现象。网络出现漏洞的原因一般为内部对信息的储存能力不足，缺乏处理大量积累的信息，导致网络的运行受到影响，进而使整体网络的安全性和稳定性受到严重的不良影响，通过漏洞，外部能够对列车网络的数据伪造或篡改导致可引起列车无法正常运营，交换机拒绝服务造成数据丢失、传输实时性下降，原有网络QoS无法得到保障;终端设备拒绝服务造成终端设备原有功能无法正常工作等等。

2.2以太网具有较大开放性

以太网属于开放式网络，部分列车通信设备调试接口处于开放状态，第三方可利用此接口与车载设备进行交互，比如监视设备的状态、统计设备的关键信息、下载设备文件系统下的固件或者配置文件、下载记录文件等信息。车载以太网有空闲以太网端口，第三方可通过端口镜像等技术监视网络中的所有数据流。

2.3安全管理与人员使用问题

列车通信网络和传统工业以太网一样，需要良好的管理制度来保证网络安全。历史上因缺乏有效管理而导致工业网络受到的攻击较多。另外，列车通信网络也受到使用人员影响而产生网路安全风险。在内部网络中若使用者操作不当时，可能会产生一定的安全风险。设计人员或维修人员不了解网络的信息安全重要性，其设定相应的权限失效或者计算机的使用不合理，導致误触等，也可能造成网络发生故障问题，影响整体的使用效果和安全性。

以太网网络具有一定的开放性，该特性为工业网络的应用和发展带来了较大的影响，在实际的运行过程中，由于信息的收发和共享，导致内部的数据容易被截获或者外部的木马等被接收到内部网络中，进而对网络的使用产生一定的不良影响，影响网络信息安全。

三、列车通信网络信息安全防护具体策略

3.1设置信息与数据加密

加强信息与数据加密。车地无线通信部分，应使用一定的技术来对车载信息进行加密，避免被外部组织获取。如使用数学算法来对信息进行加密，使用序列号对车地数据加密，例如可使用秘钥进行加密，根据信息的保密程度，对其进行多层秘钥的叠加，增加保密效果[1]。对于维护使用的电脑，可以使用数字签名技术，该技术能够通过对签名来进行身份的辨认，并确保信息的接受者，通过数字化签名能够查看文档是否被修改，进而确保信息数据的安全性和隐私性。

3.2构建边界防御体系

建立列车网络的防御体系，使其具有一定的防御效果。为提升安全性，应对网络结构进行优化和调整，设立防护模式，使其具有一定的防御功能，能够对信息安全攻击和网络异常等行为进行过滤和识别。对列车通信网络的攻击路径分析，发现有三个网络接入边界存在安全隐患：终端设备，其安全防护能力不可控，存在操作风险;无线接入设备，列车通信网络存在部分无线接入的设备，而无线传输通过空中接口传输数据，相对于有限设备的线路接入，更容易被攻击者入侵;调试及维护接口，系统交付后，运维人员通过该接口访问列车通信网络的控制终端设备进行维护和管理，而运维人员不固定，接入的主机安全性无法保障，容易成为病毒、木马等入侵到列车通信网络的风险点。基于上述分析，存在网络入侵的风险，所以需要对该设备接入网络的边界设置访问控制和隔离防护的安全防火墙，如图1所示。内部网络在与外界的