鐵路物聯(lián)網(wǎng)系統(tǒng)的安全挑戰(zhàn)與對(duì)策研究

孫 鵬，張惟皎

（中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081）

隨著“萬(wàn)物互聯(lián)”趨勢(shì)的逐步明朗和應(yīng)用深入，傳統(tǒng)的信息安全防護(hù)手段[1]越來(lái)越難以應(yīng)對(duì)層出不窮的物聯(lián)網(wǎng)攻擊。物聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的進(jìn)一步延伸，在現(xiàn)場(chǎng)大量部署監(jiān)測(cè)控制設(shè)備或邊緣計(jì)算節(jié)點(diǎn)[2]，使網(wǎng)絡(luò)信息安全邊界越發(fā)模糊，攻擊面也在不斷擴(kuò)大，未來(lái)的網(wǎng)絡(luò)信息安全將向物聯(lián)網(wǎng)設(shè)備側(cè)或網(wǎng)絡(luò)邊緣側(cè)全方面滲透，這對(duì)物聯(lián)網(wǎng)應(yīng)用系統(tǒng)[3]的安全防護(hù)策略提出了新的更高要求，亟需有針對(duì)性地研究鐵路物聯(lián)網(wǎng)安全態(tài)勢(shì)，研究與現(xiàn)有信息系統(tǒng)安全融合的技術(shù)，建設(shè)適合鐵路的物聯(lián)網(wǎng)安全防御體系，有效控制、消除當(dāng)前和未來(lái)可能面臨的物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)和漏洞隱患。基于此，本文分析鐵路物聯(lián)網(wǎng)的安全特點(diǎn)及挑戰(zhàn)，提出構(gòu)建鐵路物聯(lián)網(wǎng)安全參考框架和全生命周期管理模式的安全對(duì)策。

1 鐵路物聯(lián)網(wǎng)的安全特點(diǎn)及挑戰(zhàn)

1.1 鐵路物聯(lián)網(wǎng)的安全特點(diǎn)

鐵路物聯(lián)網(wǎng)安全具有海量性、異構(gòu)性、資源受限性、分布式及實(shí)時(shí)性的特點(diǎn)[4-5]?，F(xiàn)場(chǎng)監(jiān)測(cè)控制設(shè)備數(shù)量大、類型多，設(shè)備接入?yún)f(xié)議和應(yīng)用模式豐富，還涉及復(fù)雜的網(wǎng)絡(luò)拓?fù)溥B接和邊緣計(jì)算節(jié)點(diǎn)的靈活運(yùn)用，大多數(shù)現(xiàn)場(chǎng)設(shè)備終端在計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源等方面具有受限性的特征。這就對(duì)鐵路物聯(lián)網(wǎng)系統(tǒng)及其安全策略的輕量級(jí)安全協(xié)議運(yùn)用、安全服務(wù)低延遲和現(xiàn)場(chǎng)業(yè)務(wù)連續(xù)性、無(wú)線網(wǎng)絡(luò)防御和抵近攻擊防范、移動(dòng)無(wú)縫切換和動(dòng)態(tài)高效認(rèn)證、統(tǒng)一設(shè)備身份標(biāo)識(shí)管理、感知數(shù)據(jù)備份恢復(fù)及隱私保護(hù)、設(shè)備安全策略的遠(yuǎn)程群組化配置、物聯(lián)網(wǎng)接入設(shè)備規(guī)模動(dòng)態(tài)擴(kuò)展、基于云邊協(xié)同的設(shè)備安全加固和本地安全自治管理、大規(guī)模物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of Service attack）防御、智能入侵監(jiān)測(cè)和安全態(tài)勢(shì)分析等提出了更高要求。

1.2 鐵路物聯(lián)網(wǎng)的安全問(wèn)題

結(jié)合實(shí)際應(yīng)用現(xiàn)狀，當(dāng)前鐵路物聯(lián)網(wǎng)應(yīng)用常見(jiàn)的安全問(wèn)題是：既有生產(chǎn)管理信息系統(tǒng)在實(shí)現(xiàn)監(jiān)測(cè)控制設(shè)備接入時(shí)，已有的安全防護(hù)措施不完善，安全防護(hù)水平參差不齊，容易導(dǎo)致安全防護(hù)的木桶短板效應(yīng)；現(xiàn)場(chǎng)監(jiān)測(cè)控制設(shè)備數(shù)量多、類型雜，大量生產(chǎn)設(shè)備在自身網(wǎng)絡(luò)信息安全方面的考慮不足；尚不具備完善的網(wǎng)絡(luò)防護(hù)能力，通信網(wǎng)絡(luò)接入?yún)f(xié)議豐富，無(wú)線通信技術(shù)大量使用，無(wú)線滲透、抵近攻擊、擺渡攻擊等行為可能對(duì)系統(tǒng)構(gòu)成重大威脅；部分物聯(lián)網(wǎng)感知設(shè)備設(shè)計(jì)簡(jiǎn)單，計(jì)算、存儲(chǔ)資源受限，相比信息系統(tǒng)更容易受到攻擊，而且正在進(jìn)行的攻擊行為也很難被發(fā)現(xiàn)。

1.3 鐵路物聯(lián)網(wǎng)的安全挑戰(zhàn)

1.3.1 設(shè)備安全挑戰(zhàn)

（1）缺乏物理安全控制

鐵路現(xiàn)場(chǎng)的監(jiān)測(cè)控制設(shè)備往往分散部署在偏遠(yuǎn)暴露的地理位置，一部分還具有移動(dòng)作業(yè)功能，必須假設(shè)設(shè)備存在被破壞、盜竊、篡改等物理攻擊威脅或至少是被惡意訪問(wèn)的可能性。

（2）設(shè)備安全能力不足

受限于計(jì)算資源及能量供給，終端設(shè)備更傾向于采用輕量級(jí)的設(shè)計(jì)實(shí)現(xiàn)，云計(jì)算安全加密技術(shù)很難在現(xiàn)場(chǎng)設(shè)備的復(fù)雜信任場(chǎng)景中實(shí)現(xiàn)，物理/邏輯隔離成為一種更高性價(jià)比的方案[6]。

（3）設(shè)備后門與設(shè)計(jì)漏洞

設(shè)備后門能夠繞過(guò)安全控制獲得訪問(wèn)權(quán)，而硬件系統(tǒng)設(shè)計(jì)漏洞一般是因研制階段對(duì)安全威脅考慮不周引起。

（4）惡意節(jié)點(diǎn)及終端賬號(hào)劫持

攻擊者可能以不誠(chéng)實(shí)的方式獲取終端設(shè)備或邊緣節(jié)點(diǎn)的身份標(biāo)識(shí)，物聯(lián)網(wǎng)環(huán)境下的節(jié)點(diǎn)、用戶偽裝攻擊極易實(shí)施，誘使連接并隱秘地收集數(shù)據(jù)，或?qū)?shù)據(jù)流量進(jìn)行非法監(jiān)聽(tīng)。

1.3.2 網(wǎng)絡(luò)安全挑戰(zhàn)

（1） 無(wú)線網(wǎng)絡(luò)滲透與抵近攻擊

必須考慮無(wú)線信道易受監(jiān)聽(tīng)干擾、物理攻擊者易接近、部分設(shè)備移動(dòng)性等帶來(lái)的安全問(wèn)題，重視利用移動(dòng)存儲(chǔ)設(shè)備的擺渡攻擊。

（2） 不安全的非傳統(tǒng)通信協(xié)議

鐵路基層接入網(wǎng)長(zhǎng)期應(yīng)用短距離無(wú)線通信、低功耗廣域網(wǎng)等多種無(wú)線通信協(xié)議，由于終端資源受限，難以通過(guò)復(fù)雜的安全計(jì)算進(jìn)行安全加固。

（3） 網(wǎng)絡(luò)認(rèn)證與訪問(wèn)控制不足

物聯(lián)網(wǎng)環(huán)境往往缺少統(tǒng)一的身份認(rèn)證和密鑰分配機(jī)制，以及相關(guān)云安全服務(wù)，必須采取輕量級(jí)安全加密協(xié)議和適當(dāng)?shù)木W(wǎng)絡(luò)隔離策略，并把部分終端安全計(jì)算外包給邊緣計(jì)算節(jié)點(diǎn)執(zhí)行。

（4） DDoS

DDoS通過(guò)募集遍及整個(gè)物聯(lián)網(wǎng)的大量終端設(shè)備及邊緣節(jié)點(diǎn)，構(gòu)造僵尸網(wǎng)絡(luò)，在同一時(shí)間以協(xié)同方式對(duì)目標(biāo)發(fā)起攻擊，消耗其資源使其不能提供服務(wù)[7]。

1.3.3 數(shù)據(jù)安全挑戰(zhàn)

（1） 節(jié)點(diǎn)設(shè)備數(shù)據(jù)易損毀

鐵路線路邊界長(zhǎng)，跨越復(fù)雜的人文、地理、氣候環(huán)境，物聯(lián)網(wǎng)設(shè)備往往缺少有效的數(shù)據(jù)備份和恢復(fù)措施等，攻擊者可能修改或刪除設(shè)備緩存數(shù)據(jù)。

（2） 數(shù)據(jù)源可信性難以驗(yàn)證

鐵路應(yīng)用可能對(duì)數(shù)據(jù)源的真實(shí)性或不可抵賴性提出需求。資源受限設(shè)備使得內(nèi)容偵聽(tīng)、流量分析，以及假冒、重放、偽造等主動(dòng)攻擊更易實(shí)施。

（3） 隱私數(shù)據(jù)保護(hù)不足

移動(dòng)終端等內(nèi)置了大量傳感器來(lái)獲取第一手?jǐn)?shù)據(jù)，包括大量的隱私數(shù)據(jù)。有效的加密或脫敏措施往往缺失，使得這些數(shù)據(jù)易被攻擊者收集或窺探。

（4） 不安全的移動(dòng)數(shù)據(jù)

必須假設(shè)移動(dòng)端被攜帶到不信任環(huán)境下也能保障基本安全。移動(dòng)端有可能訪問(wèn)PC不會(huì)遇到的內(nèi)容，如惡意的二維碼、被重定向的惡意站點(diǎn)或未知來(lái)源應(yīng)用程序等，因此，數(shù)據(jù)在移動(dòng)端難以監(jiān)管。

1.3.4 應(yīng)用安全挑戰(zhàn)

（1） 不安全的系統(tǒng)與組件

鐵路物聯(lián)網(wǎng)環(huán)境計(jì)算任務(wù)由云中心、邊緣節(jié)點(diǎn)、終端設(shè)備分布式地承擔(dān)，不完善的信任機(jī)制可能導(dǎo)致通過(guò)偽造節(jié)點(diǎn)，劫持現(xiàn)場(chǎng)設(shè)備或者應(yīng)用系統(tǒng)。

（2） 不安全的開放接口

鐵路物聯(lián)網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)必須通過(guò)開放一系列設(shè)備接口和應(yīng)用接口支持協(xié)同工作。物聯(lián)網(wǎng)二次實(shí)施可能會(huì)產(chǎn)生新的復(fù)雜應(yīng)用程序接口（API，Application Programming Interface），風(fēng)險(xiǎn)也會(huì)相應(yīng)增加。

（3） 難監(jiān)管的惡意用戶

鐵路物聯(lián)網(wǎng)信任環(huán)境復(fù)雜，管理如此大規(guī)模的監(jiān)測(cè)控制設(shè)備及邊緣計(jì)算設(shè)備，這對(duì)用戶管理來(lái)說(shuō)是一項(xiàng)巨大挑戰(zhàn)。

（4） 易蔓延的高持續(xù)性威脅

高持續(xù)性威脅（APT，Advanced Persistent Threat）通常包括定向情報(bào)收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等過(guò)程。若物聯(lián)網(wǎng)應(yīng)用系統(tǒng)對(duì)APT攻擊的檢測(cè)能力不足，則很容易導(dǎo)致攻擊感染面不斷擴(kuò)大并進(jìn)一步蔓延。

2 鐵路物聯(lián)網(wǎng)的安全對(duì)策

2.1 鐵路物聯(lián)網(wǎng)安全參考框架

鐵路物聯(lián)網(wǎng)安全包括物理安全[8]和信息安全，從鐵路物聯(lián)網(wǎng)面臨的安全特點(diǎn)、問(wèn)題及挑戰(zhàn)出發(fā)，基于問(wèn)題導(dǎo)向和目標(biāo)導(dǎo)向，從設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全的維度，分類整理鐵路物聯(lián)網(wǎng)參考安全分區(qū)中的安全策略，并貫穿涵蓋第三方采購(gòu)、安全設(shè)計(jì)開發(fā)、安全部署運(yùn)行維護(hù)（簡(jiǎn)稱：運(yùn)維）的鐵路物聯(lián)網(wǎng)安全全生命周期管理，構(gòu)建覆蓋鐵路物聯(lián)網(wǎng)“云—邊—端”的安全參考框架[9-11]，如圖1所示。

圖1 鐵路物聯(lián)網(wǎng)安全參考框架

2.2 鐵路物聯(lián)網(wǎng)的安全策略

參考鐵路物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用所面臨的主要安全風(fēng)險(xiǎn)和威脅，提煉物理安全或信息安全防護(hù)需求，并有針對(duì)性地提出對(duì)應(yīng)的安全策略；同時(shí)，通過(guò)全生命周期管理將安全要素融入物聯(lián)網(wǎng)第三方采購(gòu)、設(shè)計(jì)開發(fā)、部署運(yùn)維的各階段，通過(guò)固化管理流程，確保安全風(fēng)險(xiǎn)及漏洞不會(huì)被帶到物聯(lián)網(wǎng)系統(tǒng)實(shí)施的后續(xù)階段。

2.2.1 設(shè)備安全策略

（1） 設(shè)備物理防護(hù)

在設(shè)備選型和地理選址時(shí)[12]，應(yīng)在物理訪問(wèn)控制、防盜竊、防破壞、防雷擊、防火、防水、防潮、溫/濕度控制、電力供應(yīng)、電磁兼容、部署環(huán)境等方面滿足相關(guān)標(biāo)準(zhǔn)和規(guī)范要求，在受控環(huán)境下部署。

（2） 設(shè)備身份認(rèn)證

設(shè)備應(yīng)具備可識(shí)別、防篡改和防擦除的唯一身份標(biāo)識(shí)（ID，Identity Document）[13]，支持通過(guò)設(shè)備ID或媒體存取控制（MAC，Media Access Control）地址綁定等方式實(shí)現(xiàn)接入認(rèn)證與管理，并充分考慮輕量級(jí)的設(shè)備認(rèn)證策略和協(xié)議。

（3） 設(shè)備訪問(wèn)控制

使用統(tǒng)一的用戶授權(quán)管理和基于屬性或角色的訪問(wèn)控制模型，為授權(quán)用戶訪問(wèn)設(shè)備資源提供細(xì)粒度的訪問(wèn)控制，并考慮到支持設(shè)備群組和批量化的設(shè)備安全策略配置。

（4） 設(shè)備完整性校驗(yàn)

建議采用輕量級(jí)的安全校驗(yàn)方法，對(duì)設(shè)備進(jìn)行完整性檢查驗(yàn)證，保障設(shè)備運(yùn)行在預(yù)期的狀態(tài)上。不僅要保證設(shè)備操作系統(tǒng)的完整性和可信性，還要保證應(yīng)用程序與數(shù)據(jù)的機(jī)密性和完整性。

（5） 設(shè)備入侵檢測(cè)防護(hù)

對(duì)安全級(jí)別高和資源充裕的物聯(lián)網(wǎng)節(jié)點(diǎn)，安裝經(jīng)過(guò)安全認(rèn)證的惡意代碼掃描、入侵檢測(cè)和安全日志工具。

2.2.2 網(wǎng)絡(luò)安全策略

（1） 安全通信協(xié)議

針對(duì)物聯(lián)網(wǎng)設(shè)備數(shù)量大、類型多、網(wǎng)絡(luò)拓?fù)鋸?fù)雜，現(xiàn)有的通信協(xié)議的安全性參差不齊等問(wèn)題，對(duì)現(xiàn)有協(xié)議進(jìn)行漏洞挖掘和安全評(píng)估[14]，并綜合性能因素，在原有協(xié)議的基礎(chǔ)上進(jìn)行安全封裝。

（2） 網(wǎng)絡(luò)隔離分區(qū)

規(guī)劃物聯(lián)網(wǎng)云中心、邊緣域、終端設(shè)備等不同區(qū)域間的安全隔離策略，采用虛擬化邏輯隔離，甚至物理隔離，實(shí)現(xiàn)數(shù)據(jù)采集網(wǎng)絡(luò)彼此不連通，僅在需要時(shí)進(jìn)行安全數(shù)據(jù)交換，保障在單點(diǎn)設(shè)備失效時(shí)迅速隔離有害攻擊、不會(huì)向整個(gè)網(wǎng)絡(luò)蔓延。

（3）網(wǎng)絡(luò)接入驗(yàn)證

對(duì)接入網(wǎng)絡(luò)的物聯(lián)網(wǎng)節(jié)點(diǎn)進(jìn)行鑒權(quán)，根據(jù)安全等級(jí)實(shí)現(xiàn)設(shè)備單向認(rèn)證，或者基于預(yù)共享密鑰、公鑰基礎(chǔ)設(shè)施的雙向認(rèn)證。

（4）入侵安全檢測(cè)

對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)實(shí)施持續(xù)性的網(wǎng)絡(luò)流量監(jiān)測(cè)和自動(dòng)報(bào)警預(yù)警，建立終端接入日志審計(jì)機(jī)制，實(shí)時(shí)檢測(cè)偽節(jié)點(diǎn)或中間人攻擊。嚴(yán)格盯控DDoS攻擊，重點(diǎn)防范復(fù)雜網(wǎng)絡(luò)和大規(guī)模設(shè)備連接環(huán)境下的網(wǎng)絡(luò)風(fēng)暴，對(duì)網(wǎng)絡(luò)異常事件或有害網(wǎng)絡(luò)流量采取阻斷、緩解和分流等措施。

2.2.3 數(shù)據(jù)安全策略

（1）輕量級(jí)數(shù)據(jù)加密

在鐵路物聯(lián)網(wǎng)節(jié)點(diǎn)執(zhí)行傳統(tǒng)加密算法具有極大的挑戰(zhàn)性，需通過(guò)對(duì)加密方案進(jìn)行定制和剪裁，并依托硬件加密或者邊緣節(jié)點(diǎn)分包等方式增強(qiáng)計(jì)算能力，形成輕量級(jí)密碼服務(wù)。

（2）數(shù)據(jù)安全傳輸

對(duì)重要信息、敏感信息選擇必要的加密傳輸策略[15]，支持?jǐn)?shù)據(jù)保密傳輸、完整性校驗(yàn)、時(shí)效性驗(yàn)證、數(shù)據(jù)脫敏保護(hù)、基于設(shè)備身份的數(shù)據(jù)源信任機(jī)制。提供數(shù)據(jù)溯源技術(shù)對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行跟蹤紀(jì)錄，對(duì)數(shù)據(jù)流轉(zhuǎn)及訪問(wèn)過(guò)程中的異常行為及時(shí)告警。

（3）數(shù)據(jù)安全存儲(chǔ)

保證物聯(lián)網(wǎng)節(jié)點(diǎn)上靜態(tài)數(shù)據(jù)或動(dòng)態(tài)緩存數(shù)據(jù)的安全性，兼顧安全和效率，構(gòu)建分布式數(shù)據(jù)存儲(chǔ)架構(gòu)，采用適用的存儲(chǔ)空間加密和數(shù)據(jù)訪問(wèn)控制保證數(shù)據(jù)的保密性和完整性，并提供分布式數(shù)據(jù)冗余備份機(jī)制保證數(shù)據(jù)的可用性。

（4）敏感數(shù)據(jù)處理

建立識(shí)別、使用和保護(hù)敏感數(shù)據(jù)的有效機(jī)制，鑒別物聯(lián)網(wǎng)采集數(shù)據(jù)中的敏感信息，在不嚴(yán)重影響性能的前提下提供脫敏混淆計(jì)算，保證有效性和及時(shí)性，并提供一定審計(jì)能力。

2.2.4 應(yīng)用安全策略

（1）應(yīng)用系統(tǒng)加固

對(duì)資源受限的物聯(lián)網(wǎng)節(jié)點(diǎn)，需要滿足統(tǒng)一身份管理、補(bǔ)丁升級(jí)更新等基本要求。對(duì)可能存在安全漏洞的現(xiàn)場(chǎng)應(yīng)用程序，實(shí)施軟件安全加固。同時(shí)考慮終端應(yīng)用輕量化的要求，結(jié)合云邊協(xié)同計(jì)算對(duì)關(guān)鍵程序邏輯進(jìn)行安全強(qiáng)化，盡量采用自動(dòng)化的程序安全檢查工具。

（2）應(yīng)用安全控制

盡量支持基于群組自定義的用戶訪問(wèn)權(quán)限管理，以明確的準(zhǔn)許限制策略，控制用戶訪問(wèn)應(yīng)用系統(tǒng)資源的權(quán)利與范圍。提供輕量級(jí)的安全授權(quán)模型，以及去中心化、分布式訪問(wèn)控制策略，支持快速認(rèn)證和動(dòng)態(tài)授權(quán)的機(jī)制。實(shí)現(xiàn)高等級(jí)安全域的安全管控、權(quán)限分離和行為回放。

（3）應(yīng)用安全監(jiān)控

補(bǔ)強(qiáng)對(duì)現(xiàn)場(chǎng)物聯(lián)網(wǎng)設(shè)備的安全監(jiān)控能力，對(duì)應(yīng)用資源占用、網(wǎng)絡(luò)流量、設(shè)備連接、終端用戶身份及其操作行為等進(jìn)行實(shí)時(shí)檢測(cè)分析和報(bào)警處置，按預(yù)置的安全策略發(fā)現(xiàn)程序漏洞和入侵行為。通過(guò)安全審計(jì)和日志分析對(duì)應(yīng)用違規(guī)、越權(quán)和異常行為進(jìn)行報(bào)警判識(shí)，并實(shí)施事后追溯。

（4）應(yīng)用安全管理

制定安全管理策略規(guī)程，明確物聯(lián)網(wǎng)接入設(shè)備責(zé)任方安全職責(zé)及行為準(zhǔn)則，制定應(yīng)急響應(yīng)計(jì)劃和配置管理策略，定期開展安全評(píng)估工作；明確不同責(zé)任方物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)維的職責(zé)，加強(qiáng)物聯(lián)網(wǎng)相關(guān)采購(gòu)、研發(fā)、運(yùn)維人員的安全管理意識(shí)。

2.3 鐵路物聯(lián)網(wǎng)安全的全生命周期管理

2.3.1 第三方安全采購(gòu)

鐵路物聯(lián)網(wǎng)系統(tǒng)建設(shè)依賴于研發(fā)生態(tài)環(huán)境中不同廠家的支持，各供應(yīng)商安全角色和安全策略相互關(guān)聯(lián)，必須建立安全責(zé)任制度進(jìn)行有效的安全治理；鐵路物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、平臺(tái)、應(yīng)用供應(yīng)商有責(zé)任遵循安全架構(gòu)確保產(chǎn)品安全可信，針對(duì)鐵路環(huán)境提供硬件安全漏洞修補(bǔ)、固件軟件升級(jí)更新等配套服務(wù)，在安全合規(guī)性準(zhǔn)入上采取零容忍的策略；盡量減少安全維護(hù)帶來(lái)的額外運(yùn)營(yíng)負(fù)擔(dān)，保證不產(chǎn)生難以承受的生產(chǎn)停機(jī)時(shí)間，靈活規(guī)劃向后兼容和新能力整合；對(duì)資源受限設(shè)備，建議綜合考慮專用密碼加速器、邊緣計(jì)算策略，或在網(wǎng)絡(luò)安全隔離策略方面提出安全加固方案；設(shè)備選型時(shí)，建議消除關(guān)鍵硬件功能以外無(wú)用的附加特性，以減少攻擊面。

2.3.2 安全設(shè)計(jì)開發(fā)

設(shè)計(jì)開發(fā)是鐵路物聯(lián)網(wǎng)系統(tǒng)全生命周期管理的關(guān)鍵階段，重視設(shè)計(jì)開發(fā)階段有利于預(yù)防早期安全問(wèn)題，為安全加固方案的實(shí)施預(yù)留充足時(shí)間，避免后期高昂的安全修復(fù)代價(jià)[16]?？紤]到大多數(shù)鐵路現(xiàn)場(chǎng)設(shè)備安全功能設(shè)計(jì)簡(jiǎn)單和資源受限等特點(diǎn)，必須遵循通用安全框架著重提升設(shè)備系統(tǒng)的穩(wěn)定性；必須將物理安全需求和信息安全需求同時(shí)納入考慮，制定完善的安全事件異常處理預(yù)案，通過(guò)平穩(wěn)斷開正在運(yùn)行的現(xiàn)場(chǎng)設(shè)備以阻止安全事件進(jìn)一步蔓延。

準(zhǔn)確把握物聯(lián)網(wǎng)系統(tǒng)安全需求，規(guī)劃整個(gè)設(shè)計(jì)開發(fā)階段的安全測(cè)試計(jì)劃，而不應(yīng)僅滿足于對(duì)系統(tǒng)功能的覆蓋性測(cè)試。利用靜/動(dòng)態(tài)代碼分析和軟件測(cè)試工具，形成安全測(cè)試及代碼審計(jì)策略，并盡量采用自動(dòng)化測(cè)試工具；對(duì)第三方軟件庫(kù)和開源代碼進(jìn)行安全評(píng)估，盡量混合使用第三方通用組件；必須對(duì)系統(tǒng)的潛在安全威脅和可能攻擊手段有一定預(yù)期，詳細(xì)定義安全邊界、安全API和數(shù)據(jù)流規(guī)范；嚴(yán)格控制編碼質(zhì)量，尤其是要杜絕程序異常，避免過(guò)度暴露權(quán)限，保證并發(fā)訪問(wèn)安全性。

2.3.3 安全部署運(yùn)維

需要合理規(guī)劃部署運(yùn)維方案以保障鐵路物聯(lián)網(wǎng)系統(tǒng)總體安全。由于安全防護(hù)必然帶來(lái)管理成本提升，因此，必須明確關(guān)鍵的安全防護(hù)對(duì)象，利用風(fēng)險(xiǎn)分析評(píng)估系統(tǒng)安全邊界；項(xiàng)目驗(yàn)收測(cè)試應(yīng)該從功能性、可靠性、物理安全性、信息安全性、管理合規(guī)性全方位綜合評(píng)估物聯(lián)網(wǎng)應(yīng)用系統(tǒng)，并在預(yù)生產(chǎn)環(huán)境下開展安全滲透測(cè)試；為保證系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行和現(xiàn)場(chǎng)設(shè)備基本不停機(jī)，必須加強(qiáng)大規(guī)?，F(xiàn)場(chǎng)設(shè)備安裝配置管理，以及可持續(xù)的安全監(jiān)控和事件管理能力；優(yōu)先采用基于群組的自動(dòng)化配置管理、安全應(yīng)急處置預(yù)案和基于人工智能的安全檢測(cè)分析技術(shù)，并開展有針對(duì)性的運(yùn)維培訓(xùn)。

3 保障鐵路物聯(lián)網(wǎng)安全的新技術(shù)

3.1 云安全控制

基于云計(jì)算的鐵路物聯(lián)網(wǎng)系統(tǒng)可作為一種安全基礎(chǔ)設(shè)施，被認(rèn)為是構(gòu)建大規(guī)模物聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)。面向大量現(xiàn)場(chǎng)設(shè)備及海量的物聯(lián)網(wǎng)采集數(shù)據(jù)，該系統(tǒng)能夠提供所需要的計(jì)算資源及應(yīng)用托管基礎(chǔ)服務(wù)，同時(shí)，通過(guò)實(shí)施最佳的安全控制策略，大幅提升應(yīng)用系統(tǒng)整體安全水平。

必須針對(duì)實(shí)際鐵路物聯(lián)網(wǎng)應(yīng)用場(chǎng)景開展云安全設(shè)計(jì)，充分利用該系統(tǒng)解決安全復(fù)雜性高的問(wèn)題，構(gòu)建多安全主體的信任關(guān)系和認(rèn)證機(jī)制。物聯(lián)網(wǎng)云安全架構(gòu)應(yīng)包含“端—邊—云”的多種安全要素，結(jié)合物理/虛擬隔離合理規(guī)劃安全邊界，實(shí)時(shí)跟蹤現(xiàn)場(chǎng)設(shè)備側(cè)或網(wǎng)絡(luò)邊緣側(cè)的安全態(tài)勢(shì)，實(shí)現(xiàn)統(tǒng)一設(shè)備身份驗(yàn)證、安全補(bǔ)丁管理、安全態(tài)勢(shì)監(jiān)控、攻擊事件響應(yīng)、災(zāi)難應(yīng)急恢復(fù)、安全漏洞管理、隱私數(shù)據(jù)保護(hù)等功能。

3.2 基于區(qū)塊鏈的信息安全

區(qū)塊鏈具備去中心化身份管理、信息不可篡改、可追溯和不可抵賴等特性，利用區(qū)塊鏈分布式賬本和設(shè)備智能合約，為物聯(lián)網(wǎng)信息安全防護(hù)提供了新的手段，可用來(lái)有針對(duì)性地克服中央安全控制架構(gòu)下、與中心化信任源和單點(diǎn)故障失效有關(guān)的安全漏洞或隱患。面向鐵路物聯(lián)網(wǎng)應(yīng)用對(duì)大規(guī)模設(shè)備進(jìn)行分布式自主管理的需求，區(qū)塊鏈的分布式計(jì)算和群體可信協(xié)作機(jī)制為有效應(yīng)對(duì)可擴(kuò)展性、協(xié)作能力、信任模式與安全保護(hù)等物聯(lián)網(wǎng)安全挑戰(zhàn)提供了新思路，也為物聯(lián)網(wǎng)設(shè)備和用戶的身份認(rèn)證與訪問(wèn)控制、全業(yè)務(wù)鏈條數(shù)據(jù)的安全可信追溯等提供了一種分布自治、低成本的技術(shù)手段。

3.3 人工智能安全檢測(cè)

人工智能不僅能夠?yàn)殍F路信息安全進(jìn)行自主安全決策分析，還能夠通過(guò)自動(dòng)保護(hù)防范外部威脅或惡意攻擊。通過(guò)網(wǎng)絡(luò)安全檢測(cè)與模式識(shí)別算法，以遠(yuǎn)超人工分析的速度和規(guī)模，發(fā)現(xiàn)并阻止正在進(jìn)行中的網(wǎng)絡(luò)攻擊行為；利用人工智能對(duì)物聯(lián)網(wǎng)海量數(shù)據(jù)進(jìn)行安全檢測(cè)分析，以持續(xù)應(yīng)對(duì)不斷發(fā)展演化的安全威脅和攻擊模式，并為人類專家提供數(shù)據(jù)可視化分析和安全跟蹤審查的功能。利用人工智能安全檢測(cè)技術(shù)及時(shí)檢測(cè)惡意軟件或正在發(fā)生的攻擊行為，可極大地縮短惡意入侵規(guī)避檢測(cè)的延遲時(shí)間。

4 結(jié)束語(yǔ)

文章深入分析了鐵路物聯(lián)網(wǎng)的安全特點(diǎn)，結(jié)合物理安全和信息安全兩個(gè)方面構(gòu)建了鐵路物聯(lián)網(wǎng)安全參考框架。從設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等方面給出了鐵路物聯(lián)網(wǎng)應(yīng)用面臨的主要安全挑戰(zhàn)與相應(yīng)對(duì)策，提出了全生命周期的物聯(lián)網(wǎng)安全管理，并探討了保障鐵路物聯(lián)網(wǎng)安全的新技術(shù)。本文對(duì)鐵路物聯(lián)網(wǎng)系統(tǒng)安全開展的研究，可為完善和提升鐵路網(wǎng)絡(luò)安全和信息化體系提供參考。