隨著全球軌道運輸加速數位化與智慧化，網路交換機已成為智慧軌道通訊網路的中樞與資安防護核心。
本文從IEC 62443-4-1/-4-2標準出發，解析軌道環境下交換機的安全需求與防護設計邏輯，以期讓交換機有效防禦資安危脅、維持即時資料交換的穩定性，進而確保軌道營運不中斷。
  
隨著全球軌道運輸邁向數位化，列車、車站與控制中心之間的資料流全面IP化。從乘客資訊（PIS）、影像監控（CCTV）、列車控制（CBTC）、列車管理（TCMS）、票務…等，所有系統都透過網路交換機互聯而成為規模巨大的數位化營運網路。交換機不再只是傳輸節點，而是掌管整體營運資訊流的「神經中樞」。它們的穩定與安全，直接關係到列車能否準時、安全與不中斷地行駛。
 
軌道營運的資安新挑戰
軌道營運的最大特性是「不能停駛」，任何網路異常都可能引發班次混亂或服務中斷。與一般IT系統可定期維護不同，OT（營運技術）環境必須24小時不間斷，若網路系統遭受惡意攻擊、流量堵塞或設定遭惡意竄改，不只是網路效能降低，更可能導致列車誤點、監控畫面流失、售票閘門故障、CBTC訊號延遲，甚至全線停駛。
 
事實上，國際已有多起真實案例，如：2023年波蘭鐵路因無線電「緊急煞車」訊號遭濫用，多個列車被迫停止;同年丹麥國鐵DSB因外包商的測試系統遭駭客入侵而導致全線停駛;更早之前，義大利國鐵集團也因勒索軟體癱瘓售票系統而被迫中斷服務。此外，美國舊金山Muni也曾因票務電腦遭駭客攻擊，而改採臨時開閘讓乘客進出以維持營運。這些事件提醒我們：軌道資安事故即營運事故，其衝擊可與天然災害相提並論。
 
交換機角色轉變，須從設計源頭落實安全
隨著軌道數位化程度加深，網路交換機已從「通訊配件」轉變為「營運命脈」。它連結車廂端各子系統與控制中心，一旦遭到駭客入侵，攻擊可能在網路中橫向擴散。因此現代軌道級交換機必須同時具備「高可靠」與「高防護」特性。

 

然而，真正的防護不是事後加裝，而是「從設計即安全」（Security by Design）。IEC 62443-4-1是針對工業控制系統（IACS）產品開發生命週期的安全流程標準，由ISA/IEC制定，用以確保產品在設計、開發、測試、維護等階段皆符合資安要求。此標準強調安全開發生命週期（SDL）的建立，要求製造商導入可重複、可稽核的流程來降低資安風險。其內容包含8大實作需求（Practice Requirements）：安全開發流程管理（SM）、安全需求（SR）、安全設計（SD）、安全實作（SI）、測試（SVV）、弱點與事件處理（DM）、更新管理（DR）及安全使用手冊（MS）。
 
透過此安全產品研發流程，製造商可確保其產品從源頭具備防禦能力，並且產品設計需要符合IEC 62443-4-2的標準，其規範工業控制系統元件的技術安全要求涵蓋裝置、應用、主機與網路元件4類，對應7大基本需求：FR1身分驗證、FR2權限控制、FR3系統完整性、FR4資料保密、FR5資料流控管、FR6事件稽核、FR7資源可用性，其確認產品在技術層面上具備「可防禦性、安全性與可靠性」，最終達到整體系統的安全可追溯、可驗證、可維護之目標。


 

交換機資安防護設計重點：縱深防禦
根據上述FR1～FR7的安全功能基本要求，網路交換機在資安設計上需整合多層資安防護機制，才形成完整的「縱深防禦」（Defense-in-Depth），主要包含：

• 身分驗證與權限控管：確保使用者權限管理、功能權限分級。
• 帳號與密碼策略：強制變更預設密碼、設定最短使用期限與錯誤登入鎖定機制，防止暴力破解。
• 白名單流量設計：限定允許的通訊對象與協定類型，防止未授權裝置接入網路。
• 加密通訊機制：全面禁用Telnet/HTTP，採用SSH、HTTPS、SNMPv3，確保設定與監控過程中的資料不被竊聽。
• Secure Boot與數位簽章：開機時驗證韌體的真實性與完整性，防止惡意程式植入或韌體被竄改。
• 入侵防禦與網路流量異常防護措施：透過ACL、QoS、Storm Control、Rate Limiting及DoS防護功能，抵禦Packet Flooding或異常流量。
• 網路分區與隔離：以VLAN、Port-based ACL將PIS、CBTC、CCTV等子系統分隔，降低橫向滲透風險。
• 時間同步與記錄可信性：配合IEEE 1588精準授時，確保事件紀錄可追溯且具法律效力。
• 集中日誌與異常稽核：支援Syslog、RADIUS、TACACS+，集中保存登入紀錄、設定變更與異常事件，利於追蹤與稽核。
• 遠端維運防護：管理連線需經安全VPN或跳板機（Bastion Host）中介，避免維護端成為入侵入口。
• 自我診斷與異常回復：具備安全功能健康檢測與自動復原機制（如watchdog、auto-reboot），確保營運不中斷。

這些機制彼此協作，讓交換機在遭遇攻擊、誤設定或人為錯誤時仍能維持穩定運作，並快速復原。它不只是資料傳輸設備，更是軌道系統整體安全的重要防線。
 
從交換機開始，打造「營運不中斷」的安全
政策推動，IEC 62443將成基本門檻
各國政府已開始要求重大基礎建設導入IEC 62443或同等級的資安標準，對軌道營運單位而言，資安管理制度與定期演練的重要性，將與行車安全演練並列;而對系統整合商與設備供應商來說，隨著歐盟預計於2027年正式實施CRA（Cyber Resilience Act），取得IEC 62443認證已成為進入歐洲標案的基本門檻。在台灣，隨著智慧軌道計畫與城際鐵路現代化推進，網路交換機的資安能力將決定系統穩定性與國際競爭力。從採購規範到驗收測試，都應將「資安合規」視為與EN 50155可靠度同等級的關鍵指標。
 
交換機安全已成軌道營運命脈
隨著駭客威脅從企業IT網路滲入軌道列車控制與信號層，網路交換機不再只是傳輸設備，而是確保列車安全、通訊穩定與營運不中斷的核心命脈。唯有在設計階段導入IEC 62443-4-1的安全產品開發流程與IEC 62443-4-2的多層資安防禦架構，才能從開發、驗收到維運全面落實安全機制，進而建立高可靠、高韌性的智慧軌道系統。當資安融入設計與營運管理，它將成為推動智慧軌道與安全運輸的關鍵力量。