孙中豪1,刘贞2,丁欢2,何跃鹰1
1 国家计算机网络应急技术处理协调中心
2 北京全路通信信号研究设计院集团有限公司
2020年11月,欧洲网络与信息安全局(European Union Agency for Cybersecurity,ENISA)发布了报告《Railway Cybersecurity》(“铁路网络安全报告”)。系统介绍了信息安全在铁路行业的政策和法规框架、相关干系人、面临的挑战和应对措施、以及在ERTMS中的应用现状。本文是对该报告的全文翻译,约23900字。
铁路网络安全
摘要:铁路部门使货物和旅客能够在国内国际运输和流动,这对于欧盟的发展至关重要。铁路部门中的主要参与者是铁路企业(RU),铁路企业负责提供铁路货物和/或乘客的运输服务;而基础设施管理者(IM)负责建立、管理和维护铁路基础设施以及固定的安装工作,其中包括交通管理、控制命令和信号、以及车站运营和火车电源。以上的两方面参与者均在NIS指令的范围内,并且它们作为基本服务运营商(OES)认可这些规则向大多数成员国的转移。
发展趋势:
根据本研究进行的调查和访谈,铁路领域基本服务运营商(OES)实施NIS指令的总体趋势如下:
• 与其他类型的措施相比,有关管理和生态系统的安全措施,其总体实施情况对于不同的OES是各异的,而且实施程度较低。大多数成熟的OES早已采用这些措施。与此同时,对于尚未成熟的OES,这些措施的实施才刚刚开始。
• 保护性安全措施似乎是实施最好的措施。尽管网络安全基础知识已经得到充分实施,但那些需要高级技术的安全措施却显示出较低的实施水平。在运营技术(OT)的特殊情况下(老旧化、系统数量、对供应商的依赖性、安全问题),通常不可能在不采用补偿性对策的情况下实现安全基础。
• 对于防御性安全措施,最简单的安全措施(例如与主管当局和计算机安全事件响应小组之间的通信)已得到很好的实施。但是,其他安全措施却很少或没有实施,因为它们需要大量的网络安全专业知识和熟练度(例如,日志关联和分析)。
• 对于弹性措施,实施水平不错。处理危机事件是铁路部门日常业务的一部分。但是,其要求必须要是合格的:仍有机会将新的网络安全威胁完全整合到现有流程中,以应对新的危机和确保应对的弹性。
挑战:
本研究还确定了铁路部门在执行NIS指令方面所面临的主要挑战:
• 铁路利益相关者必须在运营需求、业务竞争力和网络安全之间取得平衡,而该行业正在经历数字化转型,这增加了对网络安全的需求。
• 铁路利益相关者依赖具有不同技术标准和网络安全能力的供应商,尤其是运营方面的技术。
• 铁路运营技术系统基于的是最新的技术,其在某个时间点是安全的系统,但是由于系统的使用寿命长,它们最终将变得过时。这导致系统难以始终保持最新以了解当前的网络安全要求。此外,这些系统通常分布在整个网络(站点、通道等)上,因此很难全面控制网络安全。
• 铁路运营商报告了网络安全意识低下和文化差异的问题,尤其是安全人员和运营人员之间的文化差异。
• 现有铁路的特定法规不包含网络安全条款。OES通常必须遵守源自不同法规的和非统一的网络安全要求。
由于其特殊要求和跨欧洲的性质,ERTMS也作为单独的结构包含在本研究中。
最后,为应对上述的一些挑战,本报告介绍了一些欧洲方面所采取的举措。ENISA与欧洲铁路局以及整个铁路界合作,将这些举措推向了最前沿。
一、引言
承担着4720亿旅客/公里的运输量、21.6万公里的现役铁路和4300亿吨/公里的货运,铁路部门的作用越来越重要。铁路的基础设施和系统是欧盟的关键资产,对于发展和保护欧盟至关重要。
由于OT和IT系统以及基础设施的数字化、铁路流程的自动化、集体运输问题以及与外部和多模式系统的互连数量不断增加,铁路部门的运营、系统和基础设施正在经历重大变革。该行业在逐渐向竞争开放的同时也在不断发展,这将导致各方面的责任需要重新分配以及铁路系统和基础设施的分离,从而也影响了IT系统。
在这种情况下,铁路部门如何应对网络威胁将变得越来越重要。
1.1政策与法规背景
几个监管机构在国际、欧盟或国家级别定义并实施了有关铁路部门的法规。图1介绍了其中主要的利益相关者。
图1 监管机构概述
铁路部门在历史上一直受到国际、欧洲和国家层面关于控制的互操作性、安全、危险品管理和认证方面的法规约束。
在国际方面,有关铁路部门的第一个倡议是于1922年成立的国际铁路联盟(UIC),该联盟在五大洲有194个成员国。如今,通过UIC规范对铁路进行标准化和分类,该组织在促进最佳实践经验共享、促进互操作性和发展技能中心方面发挥着重要的作用。
除此之外,第一个之前没有的的监管框架是在1980年5月9日所签署的《国际铁路运输公约》(COTIF),该公约经过了1999年6月3日《维尔纽斯议定书》(“加入协定”)的修订,进而建立了政府间的“铁路运输组织”(OTIF)。该组织在2019年拥有51个成员国(欧盟于2011年加入了COTIF),其目标是通过技术规范要求和合同范本,制定统一的法律和规章,以通过铁路来运输旅客和货物。
在欧洲范围内,为了发展具有竞争性的铁路运输系统,促进单一欧洲铁路区域的发展,并与国际规范保持一致,欧洲委员会已经执行了几项指令,其中大部分指令包含在四个铁路法规中(这些法规在附录的表5中给出)。为了实现以上这些目标,欧洲委员会定义了三个主要优先级:
• 开放铁路运输市场,开放竞争;
• 改善国家网络的互操作性和安全性;
• 发展铁路基础设施。
然而,上述现有监管框架并未充分考虑安全性的问题,尤其是铁路部门所特有的网络安全问题。在过去的几年中,欧洲委员会已经执行了一些有关网络安全的指令和条例,这些指令和条例适用于所有的市场和部门,如本文末尾附录中的表6所述。
2016/1148号指令(NIS指令)是第一个针对网络安全的立法文件,其应用范围也扩大到了铁路部门,且针对以下几个基本服务运营商(OES):
• 第2012/34 / EU号指令第3条第(2)款所定义的基础设施管理者为:“那些对建立、管理和维护铁路基础设施(包括交通管理,控制命令和信号)负责的任何个人或公司,以及基础设施管理者将网络的全部或者一部分功能分配给的不同机构或公司”。
• 第2012/34 / EU号指令第3条第(1)款所定义的铁路企业为:“根据本指令获得许可的任何公共或私人企业,其主要业务是通过铁路为货物和/或乘客的运输提供服务,并要求企业能够确保铁路所需的牵引设备。这也包括那些仅提供牵引设备的企业”。
• 此外,还包括第2012/34 / EU号指令第3条第(12)款所定义的服务设施经营者,即“负责管理一个或多个服务设施或向铁路经营者提供一项或多项服务的任何公共或私人实体”。
在2018年,UIC发起了一些活动和发行了一些出版物来解决铁路部门的网络安全问题(例如《铁路网络安全指南》)。此外,根据Horizon 2020计划启动的Shift2Rail联合倡议以寻求重点研究和创新(R&I)以及市场驱动的解决方案为目标,同时提高欧洲铁路行业的竞争力。该倡议包括了铁路部门的网络安全问题,例如CYRAIL(RAILway部门的网络安全)项目,或X2Rail-1项目和X2Rail-3项目,这其中就包含了网络安全的工作。
1.2研究范围
本研究在每个欧洲成员国NIS指令的执行范围内进行,同时考虑了铁路部门网络安全措施的实施水平。参与本研究的利益相关者是欧洲基础设施管理者(IM)和铁路企业(RU)。
1.3研究目的
本研究的主要目的是针对NIS指令中安全措施的实施情况,对铁路部门的成熟度水平进行初步分析。该研究的另一个重要目标是,当铁路部门采取这些措施时,确定OES在网络安全中所面临的挑战。最后,由于一些OES已将其部分服务集成到欧洲铁路交通管理系统(ERTMS)中,因此本研究还对ERTMS的网络安全进行了仔细的研究。
1.4目标受众
本研究的主要目标受众是铁路部门负责IT和OT安全的专业人员:铁路企业(RU)、基础设施管理者(IM)或参与执行安全措施的其他任何利益相关者。
1.5采用的方法
针对欧洲网络安全问题的在线调查问卷已经发送给欧洲铁路部门的利益相关者(铁路企业和基础设施管理者)。
该调查收集了41份调查结果,其中包含29份来自OES的调查结果(占71%),调查包括21个成员国(奥地利,比利时,保加利亚,克罗地亚,捷克共和国,丹麦,爱沙尼亚,芬兰,法国,德国,希腊,匈牙利,意大利,拉脱维亚,立陶宛,卢森堡,波兰,葡萄牙,罗马尼亚,西班牙,瑞典)和挪威。48%的受访者是基础设施管理者,24%是铁路企业,28%是同时具有这两个角色的机构。非OES的受访者(总计12个,占29%)包含认证机构、铁路制造行业的公司、政府机构或未被认定为OES的铁路企业和基础设施管理者(例如在荷兰和挪威等国家/地区运营铁路企业和基础设施管理者)。
图2 参与调查者
根据调查结果,对14个OES进行了访问,以了解他们在网络安全方面的优先级、在实施安全措施方面所面临的挑战以及他们与NIS指令和国家主管部门之间的关系。然后对从调查和访谈中收集到的信息进行彻底分析,并通过桌面研究(desk research)加以完善,进而起草报告。
1.6报告结构
整个报告的结构如下:
• 分析有关铁路的政策和监管环境,尤其是铁路的网络安全;
• 明确当前NIS指令移交给欧盟国家(尤其是铁路部门)所处的状态;
• 根据调查和访谈结果,确定铁路部门的基本服务系统和关键信息系统;
• 根据调查和访谈结果,对有关执行NIS指令的行业进行成熟度评估;
• 重点关注欧洲铁路交通管理系统,这是欧洲铁路部门中最关键的服务和信息系统。
二、铁路部门
迄今为止,铁路部门似乎还不是网络犯罪分子的直接攻击目标,但是依然发生了几次网络攻击事件,表明该部门面临网络攻击时的防御很脆弱。下面列出了一些经常被引用的(并不广泛)攻击事件的详细列表(始终以欧盟为重点)。需要注意的是,到目前为止,尚未发生包含OT和IT的相关安全事件(截止到撰写该研究报告时所公开的信息)。
• 2015年,乌克兰:DoS攻击。一名技术先进的具有持续威胁性的(APT)攻击者针对乌克兰的发电厂、矿山和铁路基础设施进行了大规模的协同攻击,以破坏乌克兰政府的稳定性。这些攻击的目的是通过禁用工业控制系统(ICS)来导致公共基础设施和关键基础设施瘫痪。
• 2015年7月-2016年7月,英国:网络入侵。在2015年7月至2016年7月之间,英国铁路网络发现了四次网络攻击。经过分析后认为这些攻击是在APT(高级持续威胁)攻击之前攻击者进行的侦察行动的一部分,该攻击可能是由国家所领导的。此次攻击未检测到网络数据中断或修改。
• 2017年5月,德国:勒索软件。Deutsche Bahn是WannaCry勒索软件的受害者。该勒索软件导致一些设备损坏,因此无法再向乘客显示任何信息,但是火车运行没有该勒索软件而中断。
• 2017年10月,瑞典:DoS攻击。第一次攻击事件发生在10月11日,其通过两家互联网服务提供商TDC和DGC攻击了瑞典运输管理局(Trafikverket)。根据报道,DDoS攻击影响了监视火车位置的IT系统,它还删除了联邦机构的电子邮件系统、网站和道路交通图。在此期间,客户无法预订车票或接收有关延迟的更新,造成的结果是工作人员必须使用备份程序来手动管理火车交通以及其他服务。第二天,第二次DDoS攻击影响了瑞典运输局的网站,这是一个负责管理和检查运输系统的独立政府机构。它还影响了瑞典西部公共交通运营商Vasttrafik,据报道该攻击导致了其机票预订的应用程序和在线旅行计划服务的崩溃。
• 2018年5月,丹麦:DDoS攻击。DDoS攻击影响了DSB的票务系统。导致丹麦旅客无法从售票机、在线应用程序、网站和某些车站售票亭购买车票。DSB估计大约有15,000个客户受到影响。
• 2020年3月,英国:数据泄露。在英国火车站提供的免费Wi-Fi网络中,约有10,000人的电子邮件地址和旅行详细信息已经在网络上公布,对此,NetworkRail和服务提供商C3UK确认了这一事件。该网络数据库包含1.46亿条记录,包括个人联系方式和出生日期。违规行为涉及一款“IndianRail”的应用,这是苹果应用商店里的热门应用。由于公开的Firebase数据库,违规行为包含了2,357,684行电子邮件、用户名和纯文本密码。
• 2020年5月,瑞士:恶意软件。瑞士铁路车辆制造商Stadler受到了恶意软件攻击的影响,该恶意软件的攻击影响了其所有部门,并且可能使攻击者窃取了公司的敏感数据。据报道,在破坏了Stadler的系统后,攻击者用恶意软件感染了其系统,然后再利用这些恶意软件从受破坏的系统中窃取公司的敏感数据。在制造商拒绝接受攻击者提出的赎金要求之后,在Stadler总部遭受网络攻击期间被盗的内部文件已在网络上发布。
• 2020年7月,西班牙:勒索软件。西班牙基础设施管理者ADIF受到勒索软件的攻击,该勒索软件不会影响关键的基础设施,但会泄露数千兆字节的个人和企业数据。
2.1铁路利益相关者
铁路各个利益相关者在铁路生态系统的良好运行和组织过程中承担着多个角色和责任。以下表格和图中描述了铁路生态系统的参与者。
表1 利益相关者描述
利益相关者 | 描述 |
基础设施管理者 | 在2012/34 / EU指令中,欧盟将基础设施管理者定义为“专门负责建立、管理和维护铁路基础设施(包括交通管理,控制命令和信号)的任何个人或公司,以及基础设施管理者将网络的全部或者一部分功能分配给的不同机构或公司”。 |
铁路企业 | 在2012/34 / EU指令中,欧盟将铁路企业定义为“根据本指令获得许可的任何公共或私人企业,其主要业务是通过铁路为货物和/或乘客的运输提供服务,并要求企业能够确保铁路所需的牵引设备。这也包括那些仅提供牵引设备的企业”。 |
供应链 | 供应链利益相关者向RU和IM提供铁路和IT / OT资产,他们可能是火车、ICS系统、IT系统等的供应商。铁路部门依赖于这些供应商,他们的协作对于确保铁路部门的网络安全至关重要。 |
服务提供商 | 服务提供商可以是任何由RU或IM签约的,用来提供全部或部分服务的第三方,这些服务可以是业务服务(例如,负责列车维护的实体)或IT/OT服务(例如,IT监控)。服务提供商包括顾问、工程承包商、项目管理顾问、系统提供商和集成商。 |
配送链 | 配送链由参与向客户提供运输服务的所有利益相关者组成,涉及货运(例如货运代理、物流公司)或乘客(例如旅行社、旅游经纪人)。它还涵盖与铁路进行沟通以提供服务的第三方(例如公路运输公司)。 |
政府当局与机构 | 政府当局和机构由铁路部门中负责实施政策和法规的所有利益相关者组成(例如铁路监管机构、国家和欧洲安全或网络安全机构、合格评定机构和指定机构)。 |
公共区域 | 公共区域由使用铁路场所提供货物或服务的所有第三方组成(更具体地说是在车站场所),它们包括为旅客提供服务的服务商(例如起居区、休息室)以及车站的餐厅或零售店。 |
其他实体 | 其他实体(例如银行、货运保险)的特点是与铁路利益相关者有一定关系,特别是一些专注于铁路部门的某些方面工作的协会或工作组。 |
图3 铁路利益相关者示意图
根据对调查结果的分析,可以知道:
• 大多数OES与国家机构在网络安全问题上进行了合作,例如政府、安全或网络安全机构、交通运输或基础设施部、国家计算机安全事件响应团队(CSIRT)或计算机紧急事件响应团队(CERT)、负责危机或紧急情况管理的机构、负责灾难管理的机构、负责国家安全的机构、负责反恐或数据保护的机构;
• 许多OES与欧洲机构进行了合作,例如ENISA、ERA、DG CONNECT、DG MOVE、CENELEC和欧洲铁路ISAC2;
• 几个OES还提到了与其合作的其他一些组织和协会,例如UIC、CER、ERFA、RailNetEurope、FTE、COLPOFER和Hitrail。
2.1.1 NIS指令实施:政府当局
所有欧盟成员国(MS)都已经将NIS指令转移到其国家监管的框架中。欧盟委员会于2019年10月发布了一份报告,对成员国为了执行NIS指令并重点关注铁路部门而采用的不同方法进行了首次评估。
该报告强调了欧盟各成员国为了执行NIS指令而选择了不同方法这一事实,并解释了各成员国之间的差异。报告对以下几种差异进行了解释:每个国家主管部门选择的识别方法、基本服务列表的定义以及OES的识别。
表2详细列出了MS为运输部门、铁路子部门以及主管机构选择的不同方法。与本报告的内容有关的主要发现如下:
• 所有成员国均已确定运输部门至关重要。
• 除荷兰外,所有成员国均明确指出铁路子部门至关重要。
• 识别NIS指令的主管机构有两种方法:要么是专门关注网络安全问题的唯一国家主管部门,要么是每个部门(通常是相关部门)的一个主管部门,以解决包括网络安全在内的部门问题。
表2 各个欧盟成员国对铁路部门实施NIS指令情况
成员国 | 是否确定运输部门 | 是否确定铁路子部门 | NIS指令的国家单一联络点 | 国家OES的主管部门(运输) | 国家铁路安全机构 |
奥地利 (AT) | 是 | 是 | 联邦内政部 | 联邦内政部 | 联邦气候行动部,环境部,能源部,交通部,创新和技术部(BMK) |
比利时 (BE) | 是 | 是 | 比利时网络安全中心(CCB) | 比利时网络安全中心(CCB) | 联邦交通部(联邦公共服务-FPS交通与运输) |
保加利亚 (BG) | 是 | 是 | 国家电子政务机构 | 运输部,信息技术和通信部 | 交通运输部铁道管理局 |
克罗地亚 (HR) | 是 | 是 | 国家安全委员会办公室 | 海洋部,运输部和基础设施部 | 铁路安全局 |
塞浦路斯 (CY) | 是 | 否 | 数字安全管理局(DSA) | 数字安全管理局(DSA) | — |
捷克共和国 (CZ) | 是 | 是 | 国家网络和信息安全局(NCISA) | 国家网络和信息安全局(NCISA) | 铁路管理局(DU) |
丹麦 (DK) | 是 | 是 | 丹麦网络安全中心 | 丹麦运输局,建筑和房屋管理局 | 丹麦运输局,建筑和房屋管理局 |
爱沙尼亚 (EE) | 是 | 是 | 爱沙尼亚信息系统管理局 | 爱沙尼亚信息系统管理局 | 消费者保护和技术监管局 |
芬兰 (FI) | 是 | 是 | 芬兰运输和通讯局(Traficom) | 芬兰运输和通讯局(Traficom) | 芬兰运输和通讯局(Traficom) |
法国 (FR) | 是 | 是 | 国家网络安全局(ANSSI) | 国家网络安全局(ANSSI) | 公共铁路安全机构(EPSF) |
德国 (DE) | 是 | 是 | 联邦信息安全局(BSI) | 联邦信息安全局(BSI) | 联邦铁路局 |
希腊 (EL) | 是 | 是 | 国家网络安全局(数字政策总秘书处-数字政策、电信和媒体部) | 国家网络安全局(数字政策总秘书处-数字政策、电信和媒体部 | 铁路监管局 |
匈牙利 (HU) | 是 | 是 | 国家网络安全中心 | 国家灾难管理总局 | 技术创新部,交通安全局 |
爱尔兰 (IE) | 是 | 是 | 国家网络安全中心(NCSC) | 国家网络安全中心(NCSC) | 铁路监管委员会(CRR) |
意大利 (IT) | 是 | 是 | 部长会议主席 | 运输和基础设施部 | 国家铁路安全局 |
拉脱维亚 (LV) | 是 | 否 | 国防部 | 交通部 | 国家铁路技术监察局 |
立陶宛 (LT) | 是 | 是 | 国家网络安全中心(NCSC / CERT-LT) | 国家网络安全中心(NCSC / CERT-LT) | 立陶宛运输安全管理局 |
卢森堡 (LU) | 是 | 是 | 卢森堡法规研究所 | 卢森堡法规研究所 | 交通和公共工程部(铁路管理局) |
马耳他 (MT) | 是 | 否 | 马耳他关键基础设施保护单位(CIIP) | 马耳他关键基础设施保护单位(CIIP) | — |
荷兰 (NL) | 是 | 否 | 国家网络安全中心(NCSC) | 不适用(铁路部门) | 人类环境与运输督察局 |
波兰 (PL) | 是 | 是 | 数字事务部,网络安全部 | 基础设施部 | 铁路运输办公室(FOR) |
葡萄牙 (PT) | 是 | 是 | 葡萄牙国家网络安全中心(CNCS) | 葡萄牙国家网络安全中心(CNCS) | 流动与运输研究所(IMT,I.P.) |
罗马尼亚 (RO) | 是 | 是 | 罗马尼亚国家计算机安全事件响应小组(CERT-RO) | 罗马尼亚国家计算机安全事件响应小组(CERT-RO) | 罗马尼亚铁路安全局(ASFR) |
斯洛伐克 (SK) | 是 | 是 | 国家安全局 | 国家安全局 | 运输局 |
斯洛文尼亚 (SI) | 是 | 是 | 信息安全管理局 | 信息安全管理局 | 斯洛文尼亚共和国铁路运输公共机构 |
西班牙 (ES) | 是 | 是 | 国家安全委员会,通过国家安全局 | 私营部门:内政部安全大臣,通过国家基础设施和网络安全保护中心(CNPIC);公共部门:国防部,通过国家密码学中心 | 国家铁路安全局 |
瑞典 (SE) | 是 | 是 | 瑞典民事应急局(MSB) | 瑞典运输局 | 瑞典运输局 |
2.2铁路基本服务
欧盟委员会的上述报告显示,成员国选择了不同程度级别的方法来定义铁路部门的基本服务。成员国特别选择了以下几种方法:
• 不指定特定于铁路的基本服务;
• 区分RU和IM,这是两项重要的铁路服务;
• 区分货运和客运等独立活动;
• 制定基本服务的详细列表,例如危险品管理或维护。
接受调查的受访者被要求评估哪些服务对铁路部门至关重要。大多数受访者认为的重要基本服务是“网络运营流量”(72%),“确保旅客和/或货物的安全性”(69%)以及“维护铁路基础设施和/或火车”(59%)。
图4 确定基本铁路服务
不同的OES(RU,IM和兼具RU、IM的OES)对这些基本服务的评估都不同。图5展示了各个OES选择的必需服务之间的差异。
图5 各个OES所确定的基本服务类型
从以上结果中,我们可以得出以下结论:
• “网络运营流量”被认为是所有OES的最基本服务(IM的71%,RU的71%和兼具RU、IM的OES的100%)。
• “维护铁路基础设施和/或火车”被认为对于IM(64%)和兼具RU、IM的OES(75%)是必不可少的服务,但是较少的RU认为其是必不可少的服务(仅29%)。
• RU(57%)和兼具RU、IM的OES都将“运载货物和/或乘客”确定为最重要的服务之一(88%),而IM则只有7%认为这是必不可少的。
• “确保旅客和/或货物的安全”是所有类型OES的重要服务之一(IM的64%,RU的43%和兼具RU、IM的OES的100%)。
以上的结果是显而易见的,该结果很好的代表了铁路部门的两个参与者在职责范围内已实施的等级划分,总体上来说,安全和保障是整个行业的重中之重。由于几个欧盟成员国的竞争日益激烈,一些RU共享火车运营,但只有少数几个负责铁路基础设施管理。由于多个RU通常依赖一个IM,因此,IM在提供铁路基本服务方面的作用更加突出。
2.2.1 NIS指令实施:基本服务
在实施NIS指令时,每个成员国都确定了必不可少的铁路服务(当铁路被确定为必不可少的部门时)。需要强调的是,与铁路子部门有关的基本服务的确定尚未标准化。成员国在确定铁路基本服务时采用了不同级别的方法(下一节将详细介绍)。
表3 每个成员国确定的必须的铁路服务
成员国 | 是否确定了铁路子部门 | 确定的铁路基本服务 |
奥地利(AT) | 是 | ➣铁路基础设施 ➣铁路货运 ➣铁路客运 ➣火车站 |
比利时(BE) | 是 | ➣基础设施管理者 ➣铁路负责机构 |
保加利亚 (BG) | 是 | ➣提供,维护和管理服务设施 ➣承运人的铁路运输 ➣提供铁路运输指导 |
克罗地亚 (HR) | 是 | ➣管理和维护铁路基础设施,包括交通管理以及控制命令和信号子系统 ➣货物和/或旅客的铁路运输服务 ➣管理服务设施并在服务设施中提供服务 ➣提供铁路运输货物或乘客所需的附加服务 |
塞浦路斯 (CY) | 否 | 不适用 |
捷克共和国 (CZ) | 是 | ➣铁路运营 ➣铁路运输或服务设施的运营 |
丹麦 (DK) | 是 | ➣铁路基础设施管理 ➣铁路运输 |
爱沙尼亚 (EE) | 是 | ➣铁路基础设施管理者 ➣铁路运输服务 |
芬兰 (FI) | 是 | ➣国家基础设施管理 ➣交通管理服务 |
法国 (FR) | 是 | ➣铁路服务 ➣铁路交通的控制与管理 ➣基础设施维护 ➣货运和危险品 ➣客运 ➣机车车辆维修 ➣地铁,电车和其他轻轨服务(包括地下服务) |
德国 (DE) | 是 | ➣火车站 ➣大型调车场 ➣根据TEN-V的铁路网络(包括基础设施和运营中心) ➣运营中心 |
希腊 (EL) | 是 | ➣铁路基础设施管理 ➣铁路服务 |
爱尔兰 (IE) | 是 | ➣基础设施管理者 ➣铁路负责机构 |
意大利 (IT) | 是 | 不适用 |
拉脱维亚 (LV) | 否 | ➣运输部门的具体标准 |
立陶宛 (LT) | 是 | ➣铁路运输旅客和行李 ➣铁路货运服务 ➣铁路基础设施的开发,管理和维护服务 |
卢森堡 (LU) | 是 | ➣铁路基础设施管理 ➣货运和客运铁路运输 |
马耳他 (MT) | 否 | 不适用 |
荷兰 (NL) | 否 | 不适用 |
波兰 (PL) | 是 | ➣准备火车时刻表 ➣铁路客运 ➣铁路货运 |
葡萄牙 (PT) | 是 | ➣基础设施管理者 ➣铁路负责机构 |
罗马尼亚 (RO) | 是 | ➣交通控制与管理 ➣货运 ➣危险品运输 ➣客运 ➣地铁,电车和其他轻轨服务 ➣铁路基础设施的维护 ➣机动车辆的维护 |
斯洛伐克 (SK) | 是 | ➣基础设施运营者 ➣铁路负责机构 |
斯洛文尼亚 (SI) | 是 | ➣城际客运铁路运输 ➣货运铁路运输 ➣陆路运输附带的服务活动(火车站等的运营) |
西班牙 (ES) | 是 | ➣铁路服务管理 ➣铁路运输管理 ➣铁路网络服务 ➣铁路信息和电信管理 |
瑞典 (SE) | 是 | ➣基础设施管理 ➣PAX运输 ➣货运 |
2.3铁路系统
基于案头研究和受访者的反馈,本报告整理了主要铁路系统的高水平概述。图6展示了该概述,铁路系统由RU或IM共同承担责任,具体取决于国家法规和政策、当地特殊性、历史原因等。
本概述定义了五类系统,这些系统类别如图6所示,同时在表4中进行了更详细的描述。需要注意的是,系统的列表在之后阶段进行了更新,以与即将到来的CENELEC TS50701中使用的术语相匹配。
表4 主要铁路系统描述
类别 | 系统 | 描述 |
前操作系统 | 时间表建设 | 系统可以为客户创建商业报价(每条火车的时间表)并准备资源清单(资产和员工)。 |
销售,分销和客户关系 | 使客户能够购买机票或预订火车座位以及管理客户关系(例如理赔,会员卡,营销活动)的系统。 | |
网络分配 | 使RU能够预订基础设施(走廊)以便在网络上操作火车并向IM通知火车或货物的任何特殊特征(例如危险货物,超大型货物)的系统。它们还使IM能够将成本计算策略应用于RU,以更好地利用这些基础设施。 | |
资产采购 | 使RU和IM能够对其资产(例如基础设施或火车)进行核算,并采购新资产和管理物流的系统。 | |
运营系统 | 发信号 | 用于引导铁路交通的系统,例如电子联锁系统,十字道口系统等。 |
命令与控制 | 用于使列车运行的系统,例如 自动列车控制(ATC),自动列车监督(ATS)和能量牵引系统。 | |
辅助 | 紧急情况下的能源系统,HVAC和照明等系统。 | |
乘客的舒适度和服务 | 有利于乘客舒适性和服务的系统,例如乘客通告系统、乘客信息系统、HVAC和照明系统、电梯和自动扶梯等。 | |
电信系统 | 支持通信的系统,例如专用于发送信号的无线电系统和其他系统,用于网络通信的有线系统、语音通信和计时。 | |
安保,安全与维护系统 | 安保和安全系统可确保操作安全。它们包括访问控制系统、视频监视、火灾探测、人员认证系统。 维护系统使RU和IM能够对其所有资产执行维护。它们包括资产管理、调度系统、故障报告系统、资源分配/计划系统、文档数据库、故障跟进和升级系统。 | |
企业与支撑系统 | RU和IM使用公司系统执行日常业务。它们包括电子邮件、PC、财务、人力资源和通信。 | |
开发系统 | 开发系统包括用于发展事业的一切系统。它们包括用于RU或IM的竞标系统、火车运营或基础设施管理的招标系统、以及用于研究和工程的所有系统。 | |
表6 铁路系统概述
基于此概述,接受调查的OES确定了支持其基本服务的关键信息系统。总体而言,所有类型的OES(IM,RU和兼具IM,RU的OES)所确定的最关键系统是用于安全性和用于操作(信号发送、命令控制和电信)的系统。
图7 每类OES的关键信息系统
三、网络安全措施
3.1网络安全挑战
根据调查结果,以及与ENISA专家的访谈结果,可以着重指出铁路部门OES在寻求实施安全措施时所面临的以下网络安全挑战:
• 铁路部门对数字和网络安全的了解不足。
• 难以协调安全团队和网络安全世界。
• 铁路核心业务的数字化转型。
• 依赖供应链来确保网络安全。
• 铁路基础设施的地理分布和老旧系统的存在。
• 需要兼顾安全性、竞争力和运营效率。
• 网络安全法规的复杂性。
铁路部门对数字和网络安全的了解不足。总体而言,铁路员工对网络安全需求的认识仍然很低,但是OES的报告表明,随着针对铁路部门的网络事件的增加和公开化,人们的意识正在逐步提高。例如,在Wannacry和NotPetya攻击铁路部门之后,铁路部门中某些OES的网络安全团队参照其他部门,正在增加其团队人员数量。
难以协调安全团队和网络安全世界。在铁路部门,安全要求的重要性无可争议。对于每次更新以引入有关网络安全的规定,安全团队需要确保安全机制保持完整,因此这需要额外的时间和金钱。此外,负责安全问题的利益相关者在之前并不了解和培训过应对网络安全的知识。这导致铁路安全部门和网络安全人员之间的关系复杂化。此外,似乎很难同时与安全和安保部门打交道,每个人都有自己的要求,有时可能彼此重叠或矛盾(例如,管理系统更新以获取网络安全性,而过时的IT组件仍可能获得最高安全级别的认证)。这实际上表明,这种差异不仅从技术角度来看很明显,而且在治理问题上也很明显。
铁路核心业务的数字化转型。目前,大多数铁路OES正在进行数字化转型,并且通常在没有适当采购、映射和管理的情况下,将各种各样的IT和连接设备(IoT)引入铁路系统。这些更改引入了新的漏洞,并突出表明了OT系统必须遵守与IT系统相同甚至更高的网络安全规定。网络资产、网络连接的设备、软件开发应在操作领域中受到同样(或更严格的考虑)的对待。像IT系统一样,OT系统应附带提供,甚至嵌入式的监视、监督和管理工具。此外,新的OT系统应通过设计集成安全和网络安全的规范。
依赖供应链来确保网络安全。OES声称,它们在系统更新、补丁管理和全生命周期管理方面都严重依赖于其供应商(供应商甚至可以包括云服务提供商)、提供商和其他第三方。这种依赖的原因包括安全、运营和财务责任、合规安全、网络安全、技术标准、成本和合同义务。RU和IM依赖于多个供应商来提供其IT系统,甚至在火车或轨道旁和OCC上的OT系统方面也是如此。每个供应商可以采用单独的技术来满足类似的功能要求。这会增加标准化的挑战,并增加为所有系统定义和实施基准网络安全措施的能力。网络安全需求的意识和相关技能因每个供应商而异,这导致各个OT系统中的网络安全水平完全不同。而且,针对供应商的规定未在NIS指令中定义,因此它们对网络安全的法定要求并不那么严格。最后,在系统的招标过程与部署之间可能要花费数年的时间,在此期间,网络安全要求可能会发生变化,而供应链可能不够灵活,无法集成新要求。
铁路基础设施的地理分布和老旧系统的存在。铁路基础设施分布在大都市区和农村地区之间的广阔区域中,在大都市区中,铁路系统和网络的关键节点需要保持最大限度的可用性,而在农村地区,保护和维护基础设施需要花费大量时间和金钱,尤其是铁道边设备的更新可能会对公司财务产生重大影响。
而且,IM和RU管理着许多旧的或过时的系统(生命周期以几十年计算),而这些硬件很难或不可能升级以实施网络安全措施。一些制造商甚至失去了升级这些系统的技术技能。过时的OT需要补丁程序、更新的程序和策略以及人工干预,以确保足够的安全级别。因此,应该设计预期能够涵盖网络安全生命周期管理的新的系统。
需要兼顾安全性、竞争力和运营效率。铁路运输通常是一项公共服务,以使旅客能够负担得起。OES必须保持火车票价格尽可能低,否则旅客将选择其他交通方式,然而OES必须实施昂贵的网络安全措施,与此同时还不能通过提高火车票价格来增加自身收入。因此,OES经常会在为网络安全项目计划预算时遇到重大问题。与其他运输子行业一样,他们必须在合理安排预算和增强安全水平之间权衡。此外,铁路需要IM进行全国性投资(用于道路系统),这也需要通过服务收入来资助。相比之下,水上或空中旅行不需要在整个领土上进行投资。而且,增强系统的安全性会使数据流和系统(例如,密码学,系统隔离)复杂化,如果出现任何问题(例如证书到期)都会严重影响系统的性能或可用性。
网络安全法规的复杂性。对于某些OES,理解法规约束,尤其是NIS指令可能很困难。遵从性的完成可能需要耗时的工作来集成大量信息并执行许多管理任务,因为OES试图遵守不同国家法规施加的网络安全要求。一些报告指出,除了NIS指令外,它们还必须遵守其他国家的法律,例如国家安全法或关键基础设施法。总体而言,OES意识到在国家和欧洲级别制定法定网络安全要求和计划的重要性,由此而带来的好处包括提高意识、共享最佳实践、潜在的资金以及对供应商网络安全的更高要求。但是,由于在多个MS中运行的OES通常面临着不同的法规要求,因此这些要求应在整个欧盟范围内得到统一。供应商也经常在整个欧盟范围内提供产品和服务,因此这种协调对供应商也至关重要。最后,目前NIS指令所倡导的安全措施并非针对每个部门,一些OES表示需要更灵活的操作指南以适应铁路部门的特殊性和组织架构。
3.2最小安全措施
本报告中涉及的安全措施由NIS指令合作小组定义。如下图所示,它们被分为4个域和29种安全措施,此外在附录的表8中有更详细的描述。
图8 OES的安全措施
图9概述了铁路部门OES关于安全措施的实施水平,其中强调了安全措施在四个主要领域之间的差异。
• 与治理、风险管理和生态系统管理相关的安全措施由47%的OES负责实施和控制。某些此类措施之所以得到部分实施,是因为一些OES表示它们目前正在启动整个组织范围内的网络安全计划,以符合NIS指令和其他国家网络安全要求,并改善其网络安全状况。这些措施尤其重要,因为它们通常是提高所有安全措施的实施水平的必要步骤。
• 保护措施由53%的OES负责实施和控制。基本的网络安全似乎已经得到很好的实施和控制,例如访问控制或系统隔离。但是,对安全性要求较高的技术,例如密码控制或对工业控制系统(OT)的网络安全控制,实施率较低。该现象可以通过铁路OT的特定背景来解释,同时在完全实施此类最低安全措施保护方面也给OES带来了挑战。原因包括老旧系统的存在、系统的数量过多以及IM网络的复杂性、对安全解决方案的供应商的依赖性以及更新此类系统时的安全性问题。
• 与国防有关的安全措施由52%的OES负责实施和控制。那些需要较少专业技术的安全措施,例如与主管当局和CSIRT的通信或事件报告,似乎都得到了很好的实施和控制。其他需要资源、成熟度和专业知识的措施(例如,日志关联和分析)对于OES而言似乎更具挑战性。
• 弹性安全措施由57%的OES负责实施和控制。OES表示管理危机和突发事件是铁路部门日常业务的一部分,该行业已经受到安全和安保以及运营连续性的监管。但是应谨慎对待这些统计数据,尽管已经很好地采用了保护运营和预防安全事件的措施,但是在应对网络安全威胁和事件时却未达到相同的预防水平。当前的危机和业务连续性的管理流程需要进行调整,以涵盖网络安全事件。
图9 网络安全措施实施水平的概述
3.2.1 治理与生态系统
根据对调查结果的分析,图10重点展示了与“治理和生态系统”有关的八项安全措施的实施水平。图10之后是根据访谈和案头研究的结果所得到的主要发现。
图10 “治理和生态系统”安全措施的实施水平
主要发现
关于“治理和生态系统”安全措施的主要发现如下:
• “安全风险分析”措施似乎已经得到部分实施(55%的OES)。确实,当按照NIS指令将IM和RU识别为OES时,它们就被要求基于风险的方法来识别其关键系统。进行风险分析通常是遵循NIS指令的第一步,接受访问的大多数OES都有此类正在进行的活动,以在不久的将来完全应用此措施,同时更新其安全策略以覆盖组织的所有系统(66%的OES已实施此措施)。
• 关于“安全认证”措施,其安全评估似乎是由48%的OES实施的。OES认识到通过在所有项目中都包含网络安全审查来保护关键系统的重要性。但是要在所有铁路项目中包括网络安全并不是一件容易的事,特别是由于其特殊性。铁路基础设施和系统的建设是一个漫长的项目,涉及的第三方和供应商并不总是熟悉网络安全。此外,网络安全法规的要求相对较新,不像安全要求那样已经得到了系统认证。在制定安全措施之后,执行网络安全认证过程似乎被视为第二步。
• 定义、评估和监视安全性指标似乎只是部分实施(38%的OES)。管理和政策必须得到充分执行,获得一些安全措施的经验也必须在定义相关的关键绩效指标(KPI)之前。此外,必须有可能从广泛的来源中收集和处理数据,这可能给OES带来额外的挑战。
• 对于“安全审核”措施(52%的OES)可以强调两个主要趋势:最成熟的OES进行定期审核以检查其网络安全级别和对安全策略的遵守情况,而将最不成熟的OES视为第二步骤,应在实施安全措施后再采取“安全审核”措施。对于某些OES,可能难以执行对老旧系统和其他系统的审核。最后,大多数OES知道需要采取哪些措施来更好地保护其关键系统,但是如果事先没有采取措施,他们会认为安全审核浪费时间和预算。
• “人力资源安全”措施似乎已部分实施(48%的OES),其原因有两个:多数OES已任命关键人员(首席信息安全官CISO和网络安全项目经理已在工作,有计划任命更多的网络安全专家)和提高“人力资源安全”意识的活动正在计划或进行中。但是提这些活动需要时间才能产生结果,尤其是在铁路部门,其核心业务比数字世界更接近现实世界,甚至也会远离网络安全问题。
• 与“生态系统管理”有关的两项安全措施似乎很难完全实施和控制。有41%的OES表示他们已经绘制了他们的生态系统图,而31%的OES已经绘制了与第三方的关系图。由于第三方和供应商的数量巨大,铁路生态系统很难绘制。例如一个系统可能有多个供应商,其技术水平差异很大,因此网络安全性也不同。
3.2.2 保护
根据对调查结果的分析,图11重点展示了与安全域“保护”相关的11种安全措施的实施。图11之后是根据访谈和案头研究的结果所得到的主要发现。
图11 “保护”安全措施的实施水平
主要发现
关于“保护”安全措施的主要发现如下:
• 诸如“通信过滤”、“物理和环境安全”之类的安全措施似乎得到了大部分的实施(69%的OES称他们已实施)。“通信过滤”被视为网络安全的基础,已经建立了很多年,每个OES似乎都已经部署了防火墙系统和访问控制策略。现有的安全和安保法规要求涵盖了“物理和环境安全”并得到了广泛部署。这些应该是相互平衡的,因为铁路网络通常非常宽阔,并且要为所有本地IT资产保持同质量的物理安全性似乎很复杂,这些本地IT资产可以位于车站内或轨道附近;
• “系统配置”安全措施的实施率很低(45%的OES)。确实,似乎很难将此安全措施应用于老旧系统上,结果是大多数接受访问的OES将此措施保留在最新的系统上。
• “系统隔离”安全措施似乎是该领域中实施程度最高的(50%的OES)。大多数OES已经将OT和IT系统和网络隔离开来,但尚未解决更高级的隔离(例如,基于业务关键性将IT和OT系统分开)。但是,IT和OT往往变得更加互连,因此这可能会改变安全措施的实施方式,并使关键系统与其他系统的分离更加复杂。欧洲标准委员会正在寻求提出一个通用定义作为解决这种分离复杂性的解决方案。
• “加密”安全措施似乎是最难实施的(只有24%)。实际上OT系统(通常是老旧系统)通常本身并不支持加密机制。此外,此措施要求建立复杂的项目并为网络安全定义特殊的架构(例如,公钥基础结构、证书管理),这需要专门的网络安全专业知识。最后,如果管理不善(例如,证书生命周期管理),则实施此类措施会严重限制系统的可用性。
• “管理帐户”、“访问权限”和“身份验证和标识”安全措施似乎得到了大多数OES的实施(分别为59%,69%和59%)。铁路部门似乎已经敏锐地意识到了管理帐户和访问权的重要性。OES似乎已经建立了被视为网络安全基础知识的身份验证和标识机制(例如,名义帐户、强密码和日志记录注册)。对于旧的和嵌入式系统(通常是OT),情况并非总是如此,因为对于这些系统,此类措施(例如,复杂的密码)可能无法实现。OES正在开展着为了充分实施此措施的一些项目,同时OES也在努力控制这种访问控制过程。
• “管理信息系统”安全措施相对于其他安全措施进行实施(52%),这是由于OES对供应商的系统和服务的高度依赖,因此此类安全系统的实施可以预期。该实施速度将使网络安全配置成为采购过程中的要求。
• 对于RU(71%)来说,实施“IT安全维护程序”安全措施似乎比IM(28%)要容易得多。IM很难绘制和维护其系统,这些系统分布在具有强烈地方特色的国家领土上。相比之下,对于需要维护火车(移动系统)的RU来说似乎更容易。此外,由于对铁路部门放松管制的大趋势,铁路市场正在各个RU之间共享,其中包括管理易于维护的新列车和现代列车。同时,IM必须继续管理或多或少相同的基础架构和系统,其中一些基础架构和系统过时且难以维护。
• “工业控制系统”(ICS)安全措施的实施率较低(38%)。确实,通常的安全措施并不总是适用于那些系统,因为它们通常是老旧系统,没有设计上的安全性,因此对其进行更改会引发安全问题。它需要强大的网络安全专业知识来对那些系统实施补偿性安全措施,并且铁路生态系统对此非常依赖供应链。对于最新的系统,OES需要调整采购流程以包括网络安全要求,并从一开始就让网络安全专家参与其中,因为系统在采购流程之后5年内都可能部署网络安全措施。一些RU还报告说,这些系统不直接由他们负责,而是由火车供应商负责。
3.2.3 防御
根据对调查结果的分析,图12重点展示了与“防御”相关的6种安全措施的实施水平。图12之后是根据访谈和案头研究的结果所得到的主要发现
图12 “防御”安全措施的实施水平
主要发现
关于“防御”安全措施的主要发现如下:
• “与主管部门和计算机安全事件响应团队(CSIRT)的通信”的安全措施似乎是实施最广泛的措施(69%)。实际上大多数OES都会与主管当局就NIS指令及其实施情况进行沟通。这是自然而然的,因为当今发生事件时与相关当局进行沟通已成为一项法律要求。
• 大多数OES(55%),包括IM和RU,似乎都在很大程度上实施了“日志记录”安全措施。日志似乎被视为一种网络安全基础,尤其是对于标准日志(例如身份验证、帐户管理和访问权限)。但是仍然需要开展一些工作将这些措施应用于IT系统或更新日志管理中(日志存储时间更长)。
• “检测”(31%)和“日志关联和分析”(31%)的安全措施似乎是最难实施的。这需要专门的网络安全专家和复杂的项目来部署检测和日志关联分析机制(例如,漏洞监控、对疑难事件的标识、基于现有或疑难事件的检测规则的定义)。对于由IMS进行更普遍管理的OT系统,这一现象更加明显。
• “信息系统安全事件响应”(55%)和“事件报告”(72%)安全措施似乎已经得到广泛实施。有效处理事件和报告是铁路部门的重要技能。RU和IMS必须每天处理安全事件,但是可能需要检查现有事件管理的流程,以完全涵盖网络事件的特殊性。
3.2.4 韧性
根据对调查结果的分析,图13重点展示了与“韧性”相关的4种安全措施的实施水平。为了体现该实施水平的发展趋势,图13之后阐述了根据访谈和案头研究的结果所得到的主要发现。
图13 “弹性”安全措施的实施水平
主要发现:
• 出于与事件管理相同的原因,“业务连续性管理”和“灾难恢复管理”(均为52%)的安全措施似乎得到了部分实施。在铁路部门,大多数RU和IMS似乎已经定义并测试了业务连续性和灾难恢复计划,以应对安全、安保和灾难事件(例如防火或防洪),并由业务团队进行管理和跟进。必须对这些计划进行更新以包括网络威胁及其演变(例如,在勒索软件攻击的情况下进行脱机备份以增强弹性)。
• “危机管理组织”(69%)和“危机管理流程”(55%)的安全措施似乎也得到了很好的实施。由于上述原因,铁路部门的利益相关者习惯于在日常工作中处理危机。但是危机管理流程和演练似乎主要涉及的是人身安全事件(例如出轨、行进中的障碍物和停电),而网络安全场景尚未完全涵盖,因此需要采取不同的危机管理方法。危机事件需要IT和网络安全专家的快速干预,例如,在特定站点中,危机可能比在本地站点发生的事件更为广泛比如一次发生在许多站点中。大多数成熟的OES都会执行紧急演习来模拟网络攻击。
四、欧洲铁路交通管理系统(ERTMS)的网络安全
4.1ERTMS的定义和架构
欧洲铁路交通管理系统(ERTMS)是单一的欧洲铁路信号和速度控制系统,可确保铁路系统的互操作性,其目的是减少信号系统的采购和维护成本。在某些情况下,它还可以提高火车速度和基础设施的容量。ERTMS的主要附加好处是允许互操作性,而无需安装不同车载系统的各种轨道旁系统。ERA承担了ERTMS的系统权限的角色。在这方面,它建立了一个透明的流程,以通过部门代表的贡献来管理任何系统变更。
ERTMS包括欧洲火车控制系统(ETCS),即结合了自动火车保护功能的出租车信号系统、全球铁路移动通信系统(GSM-R)和操作规则。进一步来说:
• ETCS(欧洲火车控制系统)。该系统的信号元件包含了运动授权机构的控制、自动列车保护和以协调方式互锁的接口。它可以逐步降低火车驾驶的复杂性(控制的自动化)、将轨道旁的信号带入驾驶室、向车载显示器提供信息、允许永久性的火车控制、使火车司机专注于核心任务。
• GSM-R(全球铁路移动通信系统)。电信网络既能提供驾驶车辆与线路控制器之间的语音通信服务,又提供ETCS数据的承载路径。它基于公共标准GSM,并具有特定的铁路功能以进行操作,例如,优先和预操作功能(eMLPP)、取决于位置的功能性寻址、语音广播服务(VBS)、语音组呼叫(VGC)、分流模式、紧急呼叫和快速呼叫建立。通用分组无线业务(GPRS选件)也可以用于GSM-R网络,以提供更多的数据可能性。
ETML(欧洲交通管理层)。其运营管理旨在通过“智能”方式分析时间表和列车运行数据来优化列车运行,预计将涉及实时火车管理和路线规划的改进、铁路节点的流动性、跨国际铁路网络的客户和运营人员信息。
下图概述了主要的ERTMS设备及其互连。
图14 ERTMS系统
图15 ERTMS的通信
以下通信子系统和功能需要保护:
• 扶手接口(上图中的黄色标记)
➣balises编程
➣balise –基础结构接口(火车,联锁,LEU和/或现场元素)
• 车载单元(OBU)接口
➣OBU –通过GSM-R的RBC,或根据未来铁路移动通信系统(FRMCS)的其他数据电路
➣OBU –车辆总线系统(非ETCS专用)
• 无线电模块中心(RBC)接口
➣RBC –通过GSM-R的OBU或将来的其他数据电路
➣RBC操作员界面
➣RBC –连锁
• ETCS4的密钥管理中心(KMC)
➣操作员界面,即设置键和访问授权
➣将密钥传输到操作子系统,即OBU和RBC
➣通过GSM-R的KMC-ETCS实体
➣通过不同的网络的KMC-KMC
4.2ERTMS的网络安全
经由不同网络的KMC-KMC ERTMS是一种标准化解决方案,其架构在《互操作性的控制命令和信令技术规范》(CCS TSI)中定义。但是,维护工具和外部接口(联锁、维护系统、交通管理系统(TMS)等)是开放的,并且取决于所选的系统供应商。越来越多的系统允许通过维护工具远程访问无线电模块中心(RBC)和GSM-R等,从而增加了相关风险并扩大了攻击媒介。越来越多的信息管理系统(IMS)需要全球连接的系统来提高性能并向乘客提供新服务。
与任何信号、命令和控制系统一样,ERTMS具有较高的可用性和安全完整性要求,因为这些要求与提供的服务和安全性有关。如果我们考虑网络安全,则这些将反映在ICT系统的可用性和完整性的要求上。机密性要求主要是指保护相关系统中访问控制所需的信息或保护加密密钥。例如,出于以下两个原因,非常需要保护无线电模块中心(RBC)的可用性和完整性:
• 如果失败,特别是如果在没有常规信号的情况下失败,它将:
➣使铁路线几乎无法运转;火车将不得不改道,这会使其他线路超载;
➣这意味着有关线路上的火车必须清除相关的部分安全措施,即不可避免地必须采取会降低运行安全性的措施。
• 当然,对于信号和控制命令系统来说,至关重要的是正确地收集、传输和处理数据,因为损坏、不及时或受抑制的数据传输可能会对操作安全造成影响。
此外,应当保护诸如车辆与轨道之间通信之类的接口不受攻击。考虑到有效攻击时间较短,通过一些经过操纵的货台及其电报对通信的攻击似乎非常不常见,但这并不意味着可以忽略这种攻击的可能性。通过无线接口对通信的攻击更为关键,因为它可以在远程工作站上进行,因此会同时影响多辆车辆,从而导致大规模危机(可能是DDoS攻击),从而影响铁路的安全性和可用性。因此确保通信接口的安全应该成为铁路部门和ERA的优先事项。
这对于其它轨道路旁系统(无线电填充、euroloop、轻轨、LEU)和OBU也同样重要:当这些元素失效时,可能会带来负面的安全后果,或者可能使火车无法继续行驶。
ETCS的开发符合欧洲标准(包括EN50128和EN50129),并符合安全完整性等级4(SIL4)的要求。如果发生内部故障,列车应由系统停止。但是威胁可能会影响操作和某些安全功能,例如速度限制。一些网络安全措施已经可以使用,但是尚未对威胁、攻击媒介和在此背景下得出的应对措施进行深入分析。因此需要进行详细的分析,以评估包括ERTMS在内的铁路系统的哪些网络安全要求应为强制性或可选功能,以及ERTMS供应商应该提供哪些此类控制的最低规范。例如指定最新的密码要求。
CYSIS工作组(子小组:ETCS和安全性)最近进行的分析正朝着这个方向努力。结果表明如果实施了安全功能,则在balises上成功进行攻击的可能性很小。中间媒介攻击在原则上至少是可能的,但前提是使用的对称密钥是在有目的地窃听通信的同时被攻击的。而且虽然以有目的的操纵和复制GSM-R基础结构的形式来进行攻击是可能的,但要付出极大的代价。
ERTMS中还需要针对铁路系统的几种网络安全措施,如上一节中分析的措施。但是,网络安全措施的实施在ERTMS中面临以下挑战:
• 有几种措施直接取决于ERTMS的供应链,因此很难在老旧系统中实施/增强这些措施。
• 软件更新是复杂、昂贵和耗时的,并且取决于ERTMS供应商的干预。在某些情况下,这些更新甚至可能需要对车辆授权进行审查。
• OES之间缺乏严格的招标规范,使任何实施工作都变得更加繁琐。
ERTMS的网络安全措施类型的示例包括:
• balises/loop的措施以验证数据的真实性,即通过对数据进行签名;
• 采取措施以最大程度地减少可用性,降低对OBU与RBC之间的通信的影响;
• 通讯完整性和真实性的措施,尤其是往返RBC的通讯;
• 事件记录和分析;
• 访问控制措施,例如“管理帐户”和“身份验证和标识”安全措施;
• 关键组件的更新/补丁策略,例如 GSM-R,RBC等;
• 确保实施网络控制(网络隔离,没有直接的互联网连接,管理员没有远程访问,确保没有激活不必要的服务、接口、协议和端口号等);
• 最新密钥和认证的管理与分发;
• 可扩展密钥管理中心(KMC)和相关的公共密钥基础结构(PKI)。
这些措施仅是示例,需要在对ERTMS进行威胁评估之后确定这些措施的可行性。
五、结论
对于铁路部门而言,在信号和电力系统中引入IP网络是一个需要评估和进一步认识的关键问题。MS和OES在铁路部门中执行NIS指令的方式有所不同。关于NIS指令的转换,每个MS都采用了自己的方式来定义基本服务、识别基本服务运营商(OES)、分配国家或部门主管当局以及定义符合该指令的可接受方式。
此外,每个OES根据其网络安全的成熟度、数字技能、规模、业务挑战、供应商和分配给网络安全的资源,都有各自实施安全措施的方式。
总体趋势表明,NIS指令合作组所确定的安全措施与相应的铁路利益相关者有关,并且大多数安全措施似乎已经实施到位。
5.1安全措施
OES最广泛实施的安全措施如下:
• 网络安全基础知识(例如管理帐户,安全策略,日志记录和流量过滤);
• 超出网络安全要求的措施(尤其是对于铁路运营,例如业务的连续性);
• 法律要求的安全措施,例如安全性和人身安全(人身和环境安全、危机管理、事件报告)。
5.2注意事项
那些需要网络安全专业知识和严格网络安全治理的安全措施实施起来更加复杂(例如,加密系统、工业控制系统、日志关联和分析)。这些安全措施的实施必须根据系统类型(IT或OT)进行调整。在OT系统上,即使是最简单的安全措施通常也无法完全执行。当铁路部门的OES在执行NIS指令时,他们必须应对以下挑战:
• 铁路部门对数字和网络安全的总体意识不高,此外还有安全意识形态之间的矛盾;
• 铁路基础设施和OT环境的特征(取决于供应链、铁路基础设施的地理分布和老旧系统);
• 运输行业需要在网络安全、竞争力和运营效率之间寻求平衡的需求(该需求在不断增强),以及正在进行的铁路数字化转型;
• 网络安全法规的复杂性和缺乏统一性,必须充分理解这些规范才能付诸实践。
5.3下一步
为了应对上述一些挑战,欧盟采取了一些应对举措。
标准化:
在标准化方面,CENELEC的9X技术委员会“铁路的电气和电子应用”正在确定最终的欧洲技术规范TS 50701,该规范旨在介绍网络安全需求并提供解决铁路部门网络安全的建议。ERTMS技术规范的更新被认为包括更强大的网络安全性,其优先考虑的是增强不同组件之间通信接口的安全性。
政策:
在政策方面,欧盟正在不断审查NIS指令和成员国的实施水平。欧盟委员会和成员国在ENISA的协助下,致力于应对上述挑战,特别是与政策和监管环境有关的挑战。同时成员国对OES实施最低安全措施的情况进行监控,目的是确定潜在的改进措施和OES需要进一步支持的领域。本报告支持该活动,并重点介绍了针对铁路的部门的挑战。
观念改变:
铁路部门的网络安全实践正在发展。网络安全正在逐步集成到运输系统的IT和OT设计中。铁路利益相关者之间建立了网络安全文化,对于OES及其供应商均是如此。这表明了前进的方向以及思维方式的巨大变化,网络安全成为铁路运输部门的一项至关重要的要求。
附录
表5 欧盟主要指令和铁路配套
日期 | 名称 | 描述 |
2001.02 | 第一铁路配套方案 | 通过了三项指令(2001/12 / EC,2001/13 / EC和2001/14 / EC),被称为“铁路基础设施一揽子计划”,以使铁路运营商能够无歧视地使用跨欧洲网络。这些指令涉及欧盟铁路的发展、铁路事业的许可、铁路基础设施容量的分配以及使用铁路基础设施和安全认证的收费。 |
2002- 2004 | 第二铁路配套方案 | 根据“白皮书:振兴共同体铁路的战略”,第二个铁路配套方案(第2004/49 / EC,2004/50 / EC和2004/51 / EC号指令以及第881/2004号法规(EC))要求采取措施改善和加强安全性,互操作性并开拓铁路货运市场。该方案引入了事故调查的通用程序,并在每个成员国建立了安全机构。 |
2004.04 | 881/2004号法规(EC) | 通过该规定,欧洲委员会建立了欧洲铁路机构(“Agency Regulation”)。其目标是“在技术问题上,通过提高铁路系统的互操作性水平并制定一种通用的欧洲铁路安全方法,为实施旨在改善铁路部门竞争地位的欧盟立法做出贡献。”。 |
2007.10 | 第三铁路配套方案 | 第三铁路配套方案(第2007/58 / EC号指令、第2007/59 / EC号指令、第1370/2007号法规、第1371/2007号法规和第1372/2007号法规)引入了国际铁路客运服务的开放访问权、受监管的乘客权和火车乘员证书,该证书引入了欧洲驾驶执照,使火车驾驶员可以在整个欧洲网络上流通。 |
2013.12 | TEN-T核心网络通道 | 1315/2013和13/16/2013号法规(EU)修订了TEN-T(跨欧洲运输网络)指南,以定义所有运输工具的核心基础设施网络,特别是铁路的核心基础设施网络。 |
2016.04,2016.12 | 第四铁路配套方案 | 第四铁路配套方案建立了单一的欧洲铁路区域,以振兴铁路部门并提高其竞争力,主要分为两方面: ➣2016年4月的“技术支柱”法令(指令(EU)2016/79771和2016/79872以及法规(EU)2016/79673)旨在通过降低成本和行政负担来增强欧洲铁路部门的竞争力。通过不同的技术项目(ERTMS、“一站式”和IT工具等)进行跨境铁路服务。 ➣2016年12月的“市场支柱”法令(法规(EU)2016/2338,指令2016/2370 / EU和法规(EU)2016/2337)通过建立铁路企业的一般权利来完成开放市场的过程,并采取措施改善基础设施管理者的独立性和公正性。 |
表6 欧盟有关网络安全的主要指令和法规
年份 | 名称 | 描述 |
2013 | 第一个欧盟网络安全战略 | 欧盟的第一个网络安全战略规定了“实现弹性,减少网络犯罪,发展网络防御政策和能力,发展工业和技术资源以及为欧盟建立一致的国际网络空间政策的战略目标和具体行动”。 |
2016 | 法规(EU)2016/679 | 该指令,也称为通用数据保护条例(GDPR),涉及在处理和转移个人数据方面对自然人的保护,以及在包括铁路在内的所有部门内对保护个人数据的明确要求。 |
2016 | 指令2016/11487 | NIS指令是欧盟范围内的网络安全法规,旨在协调国家网络安全能力、跨境合作以及对欧盟关键部门的监管。 |
2017 | 法规(EU)526/2013 | 该法规建立了“欧盟网络安全机构”,也称为ENISA(欧盟网络和信息安全机构)。 |
2019 | 欧盟网络安全法 | 《欧盟网络安全法》加强了ENISA在欧盟成员国中对网络安全事务的地位,并为ICT产品、服务和流程定义了欧盟范围内的网络安全认证框架。该框架将提供一套全面的规则、技术要求、标准和程序,以证明基于欧盟的要求,ICT的技术产品和服务是可以信赖的。 |
表7 标准列表
标准 | 描述 |
ANSI/EIA 649B | 美国国家标准协会/电子工业联盟 |
APTA | 安全和紧急管理标准(美国) 第1部分:要素,组织和风险评估/管理 第2部分:定义用于铁路运输和关键区域保护的安全区域架构 第3a部分:攻击模型安全性分析白皮书 第3b部分:保护关键操作安全区,保护公交车车辆的控制和通信系统及支持基础设施 |
COBIT 2019 | 信息和相关技术的控制目标框架(ISACA) |
C2M2 | 网络安全能力成熟度模型(美国能源部) |
DIN VDE V 0831-104 | 铁路电信号系统-第104部分:基于IEC 62443的IT安全指南 |
EN 50125 | 铁路应用-设备的环境条件-第1部分:机车车辆和车载设备 |
EN 50126-1 | 铁路应用—可靠性、可用性、可维护性和安全性(RAMS)的规范和演示-第1部分:通用RAMS流程 |
EN 50126-2 | 铁路应用—可靠性、可用性、可维护性和安全性(RAMS)的规范和演示-第2部分:安全性的系统方法 |
EN 50128 | 铁路应用—通信,信号和处理系统—铁路控制和保护系统的软件 |
EN 50129 | 铁路应用—通信,信号和处理系统—信号安全相关的电子系统 |
EN 50159 | 铁路应用—通信,信号和处理系统—传输系统中与安全有关的通信 |
EN 60447 | 人机界面,标记和识别的基本和安全原理-操作原理 |
EN 61508 | 电气,电子和可编程电子系统的功能安全 |
ERA | 通用安全方法2016(2016/413)(欧盟) |
ETSI TS 102 165 | 电信和互联网融合服务和协议(EU) 第1部分:威胁,漏洞,风险,分析(TVRA)的方法和形式 第2部分:协议框架定义;安全对策 |
ISA/IEC 62443 | 工业自动化和控制系统的安全性 |
ISO 22301 | 关键基础架构的业务连续性和灾难恢复(国际) |
ISO 27000 | 信息技术—安全技术—信息安全管理系统–概述和词汇 |
ISO 27001 | 信息技术—安全技术—信息安全管理系统—要求 |
ISO 27002 | 信息技术—安全技术—信息安全控制操作规范 |
ISO 27003 | 信息技术—安全技术—信息安全管理系统—指南 |
ISO 27004 | 信息技术—安全技术—信息安全管理–监视,测量,分析和评估 |
ISO 27005 | 信息技术—安全技术—信息安全风险管理 |
ISO 27032 | 信息技术—安全技术—网络安全准则 |
ISO 27102 | 信息安全管理-网络保险准则 |
ISO 31001 | 风险管理系统 |
ISO/IEC 12207 | 系统和软件工程—软件生命周期过程 |
ISO/IEC/IEEE 15288 | 系统和软件工程—系统生命周期过程 |
NIST SP 800-30 | 风险评估指南 |
NIST SP 800-53 | 联邦信息系统和组织的安全以及隐私控制 |
NIST SP 800-82 | 工业控制系统(ICS)安全性指南 |
NIST SP 800-94 | 入侵检测和防御系统(IDPS)指南 |
NIST Cybersecurity Framework | 改善关键基础设施网络安全的框架 |
SAE J3061 | 网络车辆系统的网络安全指南 |
TS 50701 | 铁路应用-网络安全 |
UIC - 5-18005E | 铁路网络安全准则 |
UL 2900 | 互联网设备的软件网络安全标准 |
UL 2900-1 | 通用软件的网络安全要求 |
UL 2900-2-2 | 工业控制系统的网络安全要求 |
UL 2900-2-3 | 安全和生命安全信号系统的网络安全要求 |
表8 安全措施列表
安全域 | 安全子域 | 安全措施 | 描述 |
防御 | 计算机安全事件管理 | 事件报告 | 操作员创建并保持最新状态并执行事件报告程序。 |
与主管当局和CSIRT的沟通 | 运营商实施一项服务,使它能够在不拖延的情况下,记录其国家主管部门发出的有关事件、漏洞、威胁和相关映射(关键信息系统(CIS)的最新清单,第三方网络的CIS互连信息等)。 | ||
信息系统安全事件响应 | 运营商根据其ISSP,创建并保持最新状态,并实施处理、响应和分析影响其CIS功能或安全性事件的程序。 | ||
检测 | 记录 | 操作员在每个CIS上建立一个日志记录系统,以便记录至少与用户身份验证、帐户和访问权限管理、安全规则修改以及CIS功能有关的事件。 | |
日志关联和分析 | 操作员创建一个日志关联和分析系统,以挖掘由安装在每个CIS上的日志系统记录的事件,以便检测影响CIS安全的事件。 | ||
检测 | 操作员设置“文件和协议分析探针”类型的安全事件检测系统。用于文件和协议的分析探针会分析通过这些探针传输的数据流,以便找出可能影响CIS安全性的事件。 | ||
治理与生态系统 | 生态系统管理 | 生态系统映射 | 运营商建立其生态系统的映射,包括内部和外部利益相关者,还包括但不限于供应商,特别是那些有权访问或管理运营商重要资产的供应商。 |
生态系统关系 | 运营商针对生态系统关系建立了政策,以减轻已发现的潜在风险。这尤其包括但不限于CIS与第三方之间的接口。 | ||
信息系统安全治理与风险管理 | 人力资源安全 | 既定的信息系统安全策略为所有员工设置了CIS安全意识提高计划,并为有CIS相关职责的员工提供了安全培训计划。 | |
信息系统安全指标 | 对于每一个CIS,根据许多标准和评估方法,运营商将评估其是否符合ISSP。标准可能与风险管理组织的绩效、安全条件下的资源维护、用户的访问权限、对资源的访问权进行身份验证以及资源管理有关。 | ||
信息系统安全风险分析 | 运营商进行定期更新风险分析,明确其提供OES基本服务的关键信息系统(CIS),并确定这些CIS的主要风险。 | ||
信息系统安全审核 | 考虑到定期更新的风险分析,运营商建立并更新用于执行信息系统安全评估以及关键资产和CIS审计的政策和程序。 | ||
信息系统安全认证 | 在风险分析的基础上,根据ISSP中提到的认证流程,运营商对在其信息系统风险分析中确定的CIS进行认证,其中包括CIS的管理组件清单和体系结构。 | ||
信息系统安全政策 | 在风险分析的基础上,运营商可以建立、保持最新状态并执行由高级管理层批准的信息系统安全策略(ISSP),以确保对该策略的高度认可。 | ||
保护 | 身份和访问管理 | 身份验证和识别 | 为了进行身份识别,运营商为需要访问其CIS资源的用户设置了唯一帐户。未使用或不再需要的帐户将被停用,此外还应建立定期审查程序。 |
身份和访问管理 | 访问权 | 在系统安全策略定义的规则中,只有在用户执行其任务或自动程序执行其技术操作过程中必须要获得访问权限时,操作员才授予该用户或该自动程序的访问权限。 | |
IT安全管理 | 管理员账户 | 运营商为管理设置特定的帐户,仅用于在其CIS上执行管理操作(安装,配置,管理,维护等)。这些帐户保留在最新列表中。 | |
IT安全管理 | 信息管理系统 | 运营商设置的用于管理目的的硬件和软件资源,或在适当情况下,由运营商授权的服务提供商进行管理和配置操作。 | |
IT安全管理 | 系统隔离 | 运营商隔离其系统,以限制IT安全事件在其系统或子系统中的传播。 | |
IT安全管理 | 加密 | 运营商在其ISSP中建立并实施与加密相关的政策和程序,以确保充分有效地使用密码来保护其CIS中信息的机密性、真实性和/或完整性。 | |
IT安全管理 | 信息过滤 | 运营商过滤其关键信息系统(CIS)中循环的信息流。因此,运营商禁止其系统功能不需要的信息,因为该信息很可能会助长攻击。 | |
IT安全管理 | 系统配置 | 运营商仅安装对其CIS的功能和安全至关重要的服务和功能或连接设备。 | |
IT安全管理 | IT安全维护程序 | 运营商根据其ISSP制定并实施安全维护程序。为此该过程定义了规则,可以为CIS资源维持最低的安全级别。 | |
IT安全管理 | 工业控制系统 | 运营商考虑了ICS(控制系统,SCADA系统等)的特殊安全要求。 | |
物理和环境安全 | 运营商可以防止未经授权的物理访问、损坏和干扰管理的信息以及信息处理设备。 | ||
韧性 | 运营连续性 | 灾难恢复管理 | 运营商根据其ISSP定义了在发生严重IT安全事件时有关灾难恢复管理的目标和战略指导。 |
业务连续性管理 | 如果发生IT安全事件,运营商将根据其ISSP定义有关业务连续性管理的目标和战略指导。 | ||
危机管理 | 危机管理组织 | 运营商在其ISSP中定义了用于IT安全事件和业务连续性的危机管理组织。 | |
危机管理流程 | 运营商在其ISSP中定义了危机管理流程,危机管理组织将在确保IT安全事件和业务连续性的情况下实施这些流程。 | ||
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
