保护铁路网络:确保干线自动列车运行免受威胁

自动列车操作(ATO)用于在授权的固定地点(如车站)之间驾驶列车，很少或没有人工干预。它使用有线和无线通信系统向铁路基础设施和列车车载系统传输基本的指挥和控制数据。但是，报纸几乎每天都有数据泄露和网络攻击的报道，ATO对这类威胁有多安全?这些威胁会危及铁路干线吗?

虽然ATO目前还没有在世界各地的干线铁路网络中广泛使用，但它在地铁铁路上被广泛使用，而且随着铁路网络投资的增加，其实施可能会增长。英国政府计划将其应用于伦敦的泰晤士铁路(Thameslink)，而在墨西哥，一条全自动干线铁路正在开发中。在英国，运行着一系列的车辆，每一种车辆都有不同的制动轮廓和运行特性，ATO目前倾向于局限于单一车辆类型的隔离线路。然而，随着其采用的增加，全面的安全保证是至关重要的，以使高完整性安全和关键任务数据能够在国家和地区之间不断交换ATO以及安全关键的列车自动保护(ATP)系统，以及负责列车监管的列车自动监督(ATS)系统。

识别风险

技术不断进步，铁路变得越来越数字化，运营商不可避免地会遇到新的安全问题。尤其是列车安全关键系统之间的数据传输，是黑客的潜在目标。数据可能会受到“中间人攻击”，即第三方在发送方和接收方之间的数据传输过程中拦截数据，导致信息被更改、延迟，甚至无法到达目的地。

ATO的资产在地理上分散在火车上和整个路线基础设施上，并与其他系统相互连接，具有增加的可用威胁面，使其可能容易受到网络攻击。当它在路边、列车和控制中心之间传输高分辨率、实时的列车判断信息时，确保这些重要数据的安全至关重要。不幸的是，准备网络整个铁路网的安全通信还远远没有达到成熟的理想水平。

采取“纵深防御”的安全方针

面对这种级别的威胁，干线运营商需要确保他们采取多层次的“深度防御”方法来确保系统的安全。多层次安全包括组织对其基础设施(网络、硬件、软件和应用程序)、人员(培训和内部威胁)和流程(标准和程序)的预防、检测和响应立法)，从而加强保安、减少漏洞和提供有意的冗余。Frazer-Nash制定了一套全面的方法，不仅考虑硬件和软件技术、信息和数据存储和交换、标准和立法要求，还考虑物理环境和组织文化(包括人员)的安全。

干线铁路在物理安全方面的成熟程度已经很高，因为保护通道既是一个安全和一个运营问题。然而，为了保护数字资产，物理访问至关重要数字基础设施受到控制，确保只有那些有业务需求的人才能访问。从技术角度来看，网络图必须保持最新，识别系统上所有潜在的入口和出口点，包括通过云访问的入口和出口点。这允许监控网络的异常活动，以及尝试获得远程访问，无论是否需要标记必要的权限。还必须考虑第三方供应链访问，将特定信息作为输出共享，同时限制进入系统的进一步级别。

授予和撤销对铁路关键系统的访问权限——无论是对内部还是外部利益相关者——都应遵循严格适用的、正式记录的流程。所有参与这一进程的人都必须认识到它的重要性，以及应用它来保护重要资产的必要性。运营商还应确保那些拥有特权访问权限(如管理员权限)的人接受适当级别的背景安全审查。

基于通信的列车控制(CBTC)。资料来源:弗雷泽-纳什咨询有限公司

人与保护

然而，采取纵深防御的方法超出了技术层面。组织必须创造一种文化，认识到安全在“虚拟”和“现实”世界中的重要作用，这种文化必须以强大的、经过测试的流程和程序为后盾。在物理环境中，这可能包括确保员工在任何时候都显示可见的身份，验证访问者的身份，并挑战潜在的入侵者。持续的人员培训是嵌入意识文化的关键:当人们了解系统是如何工作的，以及它们潜在的漏洞时，他们可以更好地保护它们。

通过了解自己的行为如何为恶意攻击打开大门，员工可以避免成为潜在的“内部威胁”。内部威胁并不总是员工恶意行为的结果——例如，加拿大太平洋铁路公司的一名员工访问了其网络中的核心交换机，影响了数据流，删除和更改密码，迫使系统中断。由于缺乏知识或理解，更多问题是由“不知情”或“善意”的内部威胁行为者造成的。例如，人们可能会实施“变通办法”来解决与工作相关的问题，而没有意识到他们的行为有可能危及安全。弗雷泽-纳什的人为因素专家通过识别个人行为背后的潜在原因和心理动机，帮助组织建立其内部人员威胁的风险概况。

控制命令和信令升级。资料来源:弗雷泽-纳什咨询有限公司

展望未来

虽然多层、纵深防御方法可以为当前系统提供保障，但确保这种安全性的延续必须是一个持续的过程。例如，目前，ATO与安全关键型ATP有直接接口。由于数据交换的单向性质，这并不被视为一个问题。然而，随着现代通信的快速发展，新技术也有可能使这种单向访问发生逆转。量子计算的发展和采用也可能改变信息传输的方式，目前使用的许多算法和加密可能会失效。网络攻击者将继续发展他们的能力以适应这些技术进步，这意味着以前被认为安全的通信标准可能会在相对较短的时间内变得不安全。铁路运营商永远无法确保他们的系统完全不受未来的影响，但需要有前瞻性思维，不断监控和审计他们的系统保护得如何。

最糟糕的情况呢?

那么，如果网络攻击者进入ATO系统会发生什么呢?ATO本身通常不被归类为安全关键系统:如果出现问题，在ATO下运行的列车通常会行驶到下一个安全停靠地点，如果试图超越其权限，则会被ATP阻止运行。因此，对ATO的网络攻击最有可能造成的后果是网络中断，火车停止服务或无法移动。然而，ATO依赖于ATP系统，因此如果黑客能够通过ATO访问ATP系统，可能会对铁路安全造成更复杂的威胁。对ATP的攻击可能会覆盖列车的安全功能，使其绕过保护点或加速进入缓冲系统。

ATO和ATP获得了一些保护，因为它们很少使用或根本不使用商用现货(COTS)软件。他们的软件通常是定制的，并在孤立的网络上运行。然而，由于安全关键因素和非安全关键因素之间可能存在“网关”，如果系统没有被分割，成功的黑客可能会在操作系统内部移动——例如，从信号转移到基础设施。此外，“通过模糊实现安全”是网络安全行业公认的谬论;定制系统通常较少受到安全研究团体的审查，因此漏洞不太可能被发现和修复。

对系统的威胁。资料来源:弗雷泽-纳什咨询有限公司

向他人学习

虽然目前对干线铁路ATO的网络威胁仍然有限，但不能保证未来仍会如此。一个关键的挑战是英国那就是，尽管有许多不同类型的铁路公司参与火车运营——基础设施，运费，乘客和其他人-没有全面的系统当局负责监督网络安全在铁路。根据威廉姆斯报告提出的建议，这种情况可能会改变，并将提供一定程度的指导和最佳实践，这将极大地有利于关注网络威胁的铁路运营商。然后，铁路行业可以借此机会采用类似关键运输部门传输的数据标准，提高网络和数字成熟度。与此同时，弗雷泽-纳什与其合资伙伴上下文信息安全公司(Context Information Security)正致力于为铁路配送集团(读数)，然后向业界公布。

Frazer-Nash多年来一直为铁路部门提供解决方案，这些解决方案借鉴了从发电到航空航天等不同行业的最佳实践，可以帮助干线运营商识别并受益于ATO路线沿线运输系统(如地铁行业)的经验教训。除此之外，运营商必须确保他们的供应链也是安全的，鼓励供应商获得认证，如Cyber Essentials Plus。铁路部门出台了许多保护运营安全的法规——也许随着干线铁路面临的网络威胁增加，我们也将出台保护数字安全的法规。