基于二維結構熵的CBTC系統信息安全風險評估方法

董慧宇 唐濤 王洪偉

城市軌道交通具有安全、準時、快速、運量大等優點,在解決城市擁堵、促進城市及其交通可持續發展方面發揮著重要作用[1].基于通信的列車運行控制(Communication-based train control,CBTC)是城市軌道交通信號系統的關鍵技術,該技術使用無線通信實現列車與地面設備的實時、雙向、連續信息交互,控制列車的運行速度和方向,在確保安全的前提下提高城市軌道交通的運行效率[2].為提升城市軌道交通的自動化和信息化水平,通信、控制、計算機等信息技術在CBTC系統中得到了廣泛應用.與此同時,來自系統外部或內部的信息攻擊的威脅加大,系統面臨的挑戰日益嚴峻[3],信息安全事件頻發.2012年3月,上海申通地鐵車站信息發布系統和運行調度系統的無線網絡受到攻擊;2012年7月,深圳地鐵受乘客隨身MIFI(Mobile WIFI)干擾的影響導致車地通信中斷,致使多列列車緊急制動等.這些事件均造成了不好的社會影響,有的嚴重影響了城市軌道交通的行車秩序.CBTC系統的信息安全已成為軌道交通領域的重要研究內容,評估列控系統網絡安全性、提高CBTC系統信息安全防護能力成為軌道交通事業健康、快速發展的關鍵[4].

然而,國內外對軌道交通領域的信息安全研究處于起步階段,相關研究停留在列控系統信息安全存在的隱患及挑戰等分析層面,針對CBTC系統的信息安全評估方法匱乏.文獻[5]對歐洲鐵路運輸(European railway traffic management system,ERTMS)規范中的潛在漏洞進行分析,并綜合威脅來源、攻擊能力以及影響等級幾個方面定性地評估了英國實施的ERTMS的網絡安全風險.文獻[6]采用基于貝葉斯攻擊圖的方法,分析了列控系統最易發生的信息安全事件及系統的風險等級.文獻[7]分析了用于控制道岔轉換、改變行車信號的先進列車控制系統(Advanced train control systems,ATCS)協議的脆弱性.文獻[8-9]分別從入侵檢測和攻擊防御的角度對列控系統信息安全進行研究.

鑒于CBTC系統與其他工業控制系統(Industrial control system,ICS)均屬于典型的信息物理系統(Cyber physical system,CPS)[10],例如智能電網[11]、水利[12]、核能[13]等,加之這些領域對信息安全的研究相對成熟,因此,CBTC系統信息安全研究可參考ICS相關的研究方法及成果.

常見的信息安全評估方法有貝葉斯網絡、攻擊樹、Petri網、博弈論等.貝葉斯網絡[14-15]是一種將定性分析轉化為定量分析的概率網絡,文獻[16]提出了一種基于貝葉斯網絡的網絡安全模型,從管理和技術方面綜合評估了核基礎設施的安全性.考慮到貝葉斯網絡具有解決復雜依賴性問題的優勢,文獻[17]利用貝葉斯網絡計算結果作為事件樹的輸入,分析網絡攻擊下核反應堆保護系統的故障率,從而量化評估其信息安全能力.該方法克服了常見的概率安全評估方法在工業控制系統信息安全評估中的局限性.攻擊樹[18-19]可以方便直接地顯示系統中的資產或設備可能受到的攻擊類型,提供了一種以目標為導向的方法來描述多階段攻擊,文獻[20]基于攻擊樹對節點重新定義,從各設備、攻擊場景及系統的脆弱性的角度對SCADA(Supervisory control and data acquisition)系統的安全性進行評估,但是,該方法是一種靜態的信息安全評估方法,不能體現系統在網絡攻擊中狀態的變化.Petri網[21-22]中的變遷是一個主動元素,可以表示事件發生、狀態改變等動態特性,Bouchti等[23]提出了一種將靜態的攻擊樹模型擴展為有色Petri網的方法,利用有色Petri網[24-25]的靈活性,分析網絡入侵的靜態和動態特征.信息安全攻防之間構成典型的博弈關系,使用博弈論[26-27]研究信息安全問題較為廣泛,加之許多信息安全評估方法只關注系統當前的安全狀態,沒有考慮未來系統安全狀態的變化趨勢,文獻[28]提出了一種基于馬爾科夫博弈理論的新型風險評估模型以衡量網絡信息系統的安全性,并且能自動生成防御方案以提高系統信息安全防護能力.

上述方法均從系統的執行流程出發,基于功能和性能對信息安全防護能力進行評估.然而,信息安全風險總是從計算機網絡發起,然后在工業控制系統中演化,最終作用于物理系統.上述方法難以對風險傳播過程中的系統性能進行綜合刻畫.Li等[29]提出了首個衡量網絡結構信息的方法,即二維結構熵,并基于該方法提出了網絡阻力的概念,用以定量描述網絡面對病毒傳播時的抵抗能力[30],克服了傳統的Shannon信息熵無法充分反映網絡結構信息的局限性[31].

本文基于二維結構熵提出衡量CBTC系統網絡結構性能的方法,再結合物理域列控系統的運行性能,給出了CBTC系統信息安全的定量描述模型,最后依托CBTC信息安全測試床對該方法的準確性和有效性進行驗證.

1 CBTC系統

1.1 CBTC系統簡介

典型的CBTC系統如圖1所示,核心裝備包括列車自動監控(Automatic train supervision,ATS)、區域控制器 (Zone controller,ZC)、計算機聯鎖(Computer interlocking,CI)、車載控制器(Vehicle on-board controller,VOBC)、數據存儲單元(Data storage unit,DSU)和數據通信系統(Data communication system,DCS).

列車運行過程中,VOBC通過車載移動臺(Mobile station,MS)不間斷地將列車標識、實時位置、速度及運行方向等信息傳輸給ZC.ZC根據接收到的列車信息以及CI監測的線路信息實時動態計算后車可到達的最遠距離,即移動授權(Movement authority,MA),并發給后車,后車根據接收到的MA計算列車運行曲線并按照該曲線行駛,在這一過程中,列車到ZC和ZC到列車之間的信息交互均通過車地無線通信實現.

1.2 CBTC系統的信息安全問題

目前已投入運營的CBTC系統主要采用基于IEEE 802.11協議族的無線局域網作為車地通信的主要制式.為提升信息化和自動化程度,CBTC系統采用大量數字化和信息化組件,包括Windows和VxWorks等操作系統、通用計算機、標準通信協議等.然而,隨著系統組件漏洞的逐漸披露,CBTC系統面臨著日益嚴峻的信息安全風險.一旦系統被惡意入侵,漏洞被利用,列車會被迫緊急制動,降低系統運行效率,影響正常行車秩序.

圖1 CBTC系統結構Fig.1 CBTC systems

CBTC系統的典型信息安全風險包括:1)網絡設備的工作機制、配置等信息安全隱患可能被內部及外部威脅利用,例如常用的防火墻設備的包過濾機制存在缺陷,可導致防火墻被穿透;2)核心、匯聚交換機承載著極高的數據流量,在突發異常數據或攻擊時,極易造成設備負載過重而宕機;3)操作系統漏洞會導致遠程代碼執行、緩沖區溢出、拒絕服務、信息泄露、未授權訪問以及獲取權限等,均可給城市軌道交通的高效運營帶來極大隱患;4)WLAN工作在ISM頻段,易受到干擾,其認證、加密等關鍵技術相對陳舊,車地信息的傳輸存在被竊聽甚至篡改的風險,對行車效率造成威脅.

實際上,CBTC系統的安全苛求特征決定系統具有比較完善的安全功能防護措施,包括故障導向安全機制、容錯架構設計、冗余設置、安全協議等.然而,功能安全保障措施并非專為信息安全設計,既有措施對信息安全風險的約束以及信息安全風險造成的影響仍需要精確、全面評估.

2 CBTC系統信息安全評估方法

信息物理系統中,信息安全威脅和系統漏洞組合作用于信息域的網絡節點或鏈路,進而會引起物理域列車運行狀態的變化,從而帶來軌道交通運營服務性能的降低.綜合描述物理域和信息域的性能是對CBTC系統信息安全風險評估的核心,本文引入結構信息熵對計算機網絡在信息安全風險下的整體性能進行描述和分析,繼而充分考慮物理域列車控制性能,實現對CBTC系統信息安全風險的綜合評價.

2.1 二維結構熵

Shannon提出的熵是關于不確定性的一種度量,結構信息熵可用來描述復雜系統結構的屬性.網絡的結構信息能夠較好地定義網絡交互、網絡通信以及網絡演變等網絡結構的動態復雜性,對網絡理論的發展至關重要[32].因此,借助于二維結構熵可描述計算機網絡在信息安全風險下的狀態變化.

2.1.1 二維結構熵的定義

給定一個由n個節點和m條邊組成的連通的加權網絡G=(V,E),V和E分別是網絡G中所有節點和所有邊的集合,將V劃分為L個模塊,每個模塊用Xj表示,則P={X1,X2,···,XL}可看作G的劃分.由于P的存在,確定G中任意一點v∈V都需要確定v所在的模塊的標識j和v在相應模塊Xj中的節點標識i.基于劃分P,給出網絡G的二維結構熵的定義,如下:

H2(G)是一個二項式,第1項表示在模塊Xj中確定任意節點v所需要的信息量;第2項表示在G中,確定某一模塊X所需的信息量.其中,每個模塊可由與其相連的其他模塊中的節點訪問.因此,二維結構熵包含了各個模塊內部節點的信息和各模塊之間的信息,反映了系統網絡拓撲結構的特性.

2.1.2 CBTC系統二維結構熵的特點

CBTC系統的計算機設備和網絡設備構成了典型的計算機網絡,設備之間存在復雜的數據交互.由于城市軌道交通站間距離短,所以CBTC裝備分布密度高,同時系統的冗余和容錯設置也使得網絡中的設備數量眾多.鑒于安全等級需求和工作模式的不同,數據交互的承載方式有所不同,傳輸協議和傳輸媒介存在差異.

二維結構熵定義中圖的頂點和邊均是一致的,而CBTC網絡中的節點和通信鏈路有一定的差異性,因此對網絡拓撲的頂點和邊的屬性的差異性需要針對性描述.本文使用加權網絡對CBTC網絡拓撲的頂點和邊進行加權處理.

1)邊權重

網絡拓撲中的邊即為通信鏈路,CBTC系統中,通信鏈路以有線和無線兩種形式呈現.有線網即為骨干網,采用數字同步序列、彈性分組網或基于交換技術的環網,地面設備通過骨干網基于TCP/IP通信協議交互數據;無線是地面設備與車載設備的雙向數據傳輸方式,主要承載列車和地面控制中心的信息交互.考慮到數據傳輸的安全需求不同,不同通信鏈路采用不同的應用層傳輸協議.典型的CBTC系統安全通信協議包括RSSP-I、RSSP-II以及私有協議等,不同協議的安全防護能力不同,各自的權重值也不同.類似地,考慮到通信鏈路的本質物理屬性,有線網和無線網的抗干擾能力及安全防護能力不同,各自的權重值也不同.

2)節點權重

CBTC系統主要的通信節點有安全計算機、工控機、服務器、網絡交換機、網關等,根據功能定位的不同,內置的操作系統也不同,主要有WindowsXP、Windows7、Windows Server以及VxWorks等.鑒于設備類型、設備配置及使用的操作系統等的多樣性,每個設備的安全隱患有所不同,例如使用防火墻及強登錄密碼的設備的安全性要高于未設置防火墻及身份驗證的設備;Windows操作系統的漏洞一般遠多于VxWorks系統;相同操作系統的設備的漏洞數目、嚴重程度也可能不同等.因此,在構建CBTC網絡拓撲圖時,需要考慮通信節點的安全性差異從而給各個頂點賦權重,權值的大小取決于設備現有的安全措施、是否存在異常、漏洞情況等.

一般而言,邊的安全性越低,與其連接的節點被入侵的可能性越高,但是節點被入侵的可能性還取決于節點自身的特性.如果節點本身安全性很高,即便與其相連的邊易被入侵,該節點被攻擊成功的可能性也會降低.

CBTC加權網絡與一般的加權網絡相比,除了邊被賦予權重,網絡的節點也被賦予不同的權重,因此,各節點的度不能僅由邊權重之和確定,應具有其特殊性.由此,給出CBTC系統在節點度的新定義如下:

2.2 列車運行性能

二維結構熵衡量的是CBTC系統信息域網絡拓撲在信息安全風險下的狀態變化,無法體現物理域列車的運營屬性,因此需要在式(1)的基礎上增加列車運行性能的參數.

列車按計劃正常行駛時,線路的運營能力、列車的運行速度和運行距離等指標在一定范圍內隨時間規律變化.基于故障導向安全原則,為保證安全,在信息安全風險作用下,列車運行會導向安全側,即列車緊急停車.為了保障列車運行的連續性和線路運營服務的彈性,列車停車后會進行降級運行,CBTC系統的冗余和容錯架構設計會使得即使在某些情況下網絡的拓撲性能發生改變,列車運行仍不受影響.因此在衡量CBTC系統的信息安全風險時,需要綜合考慮物理域的列控性能和信息域的網絡性能.

以車地通信為例,ZC與車載設備通過骨干網實現無線雙向通信,由于ZC采用2×2取2的架構,當ZC主系故障時會自動切到備系以確保列車仍能收到MA并正常運行.因此,攻擊者攻擊ZC時,列車運行狀態在短時間內不會受到影響;隨著攻擊的深入,ZC備系也故障時,列車則觸發故障—安全機制,緊急制動;在制動過程中,如果列車滿足降級運行,即通過一個用于定位的應答器時,列車會重新啟動,由自動駕駛模式轉換為點式運行模式.如圖2所示,面臨信息安全風險時,冗余設計使得CBTC系統具備一定的抵抗力,當主備系均被破壞后,列車性能開始由最佳狀態快速下降直至最低點,在保障功能安全的前提下,根據運營服務的需求,列車性能開始緩慢恢復,最終達到新的穩定狀態.由于網絡攻擊前后列車駕駛模式發生改變,因此,初始的列車運行性能狀態優于緩慢恢復后的新的穩定狀態.

圖2 CBTC系統故障時的列車性能變化Fig.2 Train performance under failures of CBTC

上述過程導致列車的實際運行曲線與計劃運行曲線產生較大差異,圖2中的陰影部分是信息安全風險下系統性能的損失,可由列車實際運行速度曲線計算得到.

其中,Ploss(t)表示t時刻列車運行性能損失,t0表示初始時刻,vp和va分別表示列車計劃和實際運行速度.對式(3)進行歸一化處理可得

P(t)范圍為[0,1],值越小,表示攻擊對列車當前時刻造成的影響越大.

2.3 CBTC系統信息安全模型

有效的網絡攻擊會對CBTC系統信息域的網絡拓撲性能造成直接影響,例如利用特定系統漏洞導致設備宕機繼而節點從網絡中移除,利用協議漏洞導致設備通信中斷繼而使相應節點之間的邊移除等.但是CBTC系統采取雙網冗余、雙機熱備等架構設計,確保了列控系統在一定程度上具有抵抗網絡攻擊的能力,即隨著網絡攻擊致使系統的網絡拓撲結構造發生變化,但列車仍能在短時間內保持CBTC駕駛模式正常運行.因此,衡量CBTC系統的信息安全狀態需要綜合信息域網絡拓撲性能及物理域列車運行性能,繼而得到衡量CBTC系統信息安全的模型.

考慮到網絡攻擊可能使子系統之間通信中斷,從而導致系統網絡拓撲結構由連通狀態變為非連通,因此,結合前面給出的CBTC系統在網絡攻擊過程中信息域及物理域的動態評估結果,可得CBTC系統信息安全模型.

其中,N表示當前網絡結構中連通子圖的個數,vol(Gk)表示t時刻系統網絡結構中第k個連通子圖中所有節點度之和,表示t時刻該連通子圖的二維結構熵;P(t)表示t時刻列車運行情況.

3 CBTC系統信息安全評估方法驗證與分析

本節基于CBTC系統信息安全測試床,利用系統的安全隱患模擬入侵者對其進行網絡攻擊.根據信息安全評估模型,構建CBTC系統的網絡拓撲,分析網絡邊和節點的權重并計算網絡拓撲性能的變化,根據列車運行狀態計算列車性能的變化,綜合評估測試床的安全性.

3.1 CBTC系統信息安全測試床

CBTC系統信息安全測試床是基于北京地鐵7號線搭建的列控系統半實物仿真平臺,由部分真實列控設備、仿真軟件和真實線路參數組成,模擬多列車在線路上的追蹤.

每個ZC子系統包含4臺使用VxWorks系統的處理單元(Process unit,PU)、2臺通信控制器(Communication controller,CC)以及1臺使用Windows XP系統的維護機,構成2×2取2的容錯架構.當且僅當主系或備系中的2個PU處理結果相同時,才能作為本系的最終結果,此外,每一系的CC承載著骨干網與ZC內網數據轉發的功能,一旦CC故障,相應的骨干網將無法接收來自ZC的數據.

CBTC測試床網絡拓撲如圖3所示.按功能結構將拓撲圖劃分為15個子系統:6個ZC子系統,1個ATS子系統,每個ZC覆蓋范圍內的所有AP,VOBC及MS,各劃分為1個子系統,8個CI設備作為1個子系統,其他設備例如地面電子單元(Lineside electronic unit,LEU)和DSU等作為1個子系統.

圖3 CBTC系統測試床網絡拓撲圖Fig.3 The network topology of the CBTC test-bed

3.2 攻擊案例

為了驗證上述方法的合理性,本文將ZC子系統作為攻擊目標進行仿真實驗.

ZC由主備兩系組成,每一系包括1臺CC和2臺PU,CC宕機后會自動重啟,若重啟失敗,則整系宕機.

根據ZC的工作原理,模擬以下攻擊過程:如圖4所示,首先攻擊者通過暴力破解無線網密碼侵入DCS紅網,通過網絡分析獲取網段信息,隨后利用VxWorks操作系統漏洞對ZC1主系的CC1發起攻擊,導致CC1宕機,共耗時20min;持續攻擊CC1,使其重啟失敗,則主系兩個PU同時宕機,ZC1切換到備系,共耗時10min;采用同樣的方法接入藍網,攻擊ZC1的備系,直到整個ZC1子系統故障.對ZC2,ZC3依次進行上述操作.

3.3 CBTC系統信息安全評估結果及分析

3.3.1 網絡拓撲性能變化

系統的設備故障反映到網絡拓撲中表現為相應的節點從拓撲中移除,因此,系統的網絡拓撲隨著上述攻擊過程不斷變化.

1)節點權重

圖4 網絡攻擊過程Fig.4 The process of the network attack

節點的權重使用文獻[33]中基于攻擊樹的脆弱性評估的方法,構建CBTC測試床的攻擊樹模型,綜合每臺設備,即每個節點的安全狀態、設備漏洞情況、密碼強度以及涉及的通信協議類型4個要素計算得到.

其中,χ表示設備當前的安全狀態,由設備滿足的網絡安全條件(是否存在異常、是否已采取防護措施、是否設置登錄密碼等)個數確定;vα表示綜合考慮設備的固有漏洞類型、漏洞嚴重程度以及漏洞數目的端口審計結果;vβ表示設備采取的密碼策略的強度;μ從不同通信協議類型可能造成設備安全程度不同的角度,考慮了通信協議對節點安全的影響.

圖5為CBTC測試床葉脆弱性指數的仿真結果,即各節點被惡意入侵的可能性大小.脆弱性指數越大,相應設備的安全性越低,節點權重則越小.

圖5 節點脆弱性指數Fig.5 Vulnerability indexes of nodes

2)邊權重

邊的權重取決于設備之間的通信方式和通信協議的安全性,表1從數據安全性、數據包被截獲的難易程度兩個方面對通信方式和通信協議進行量化,并綜合表征了通信鏈路的權重值.

表1 通信鏈路的安全性Table 1 Security of communication links between equipments

CBTC系統使用的通信協議類型有RSSP-I、私有協議以及明文,其中,RSSP-I是公開的鐵路信號安全通信協議,私有協議由廠家自定,因此,從數據安全性角度,私有協議安全性最高,RSSP-I次之,明文最弱.

DCS使用無線和有線兩種通信方式,其中,WLAN工作在公開的ISM頻段,且認證、加密等關鍵技術相對陳舊,易被惡意入侵者破解從而接入網絡中,而對于有線通信方式,攻擊者往往需要接觸到相關的網絡設備,通過以太網接口、USB接口等接入網絡,實施網絡攻擊的條件相對苛刻,由此,攻擊者通過無線方式侵入CBTC系統較有線方式更容易實現.另外,使用不同通信協議的設備在網絡中的結構、通信周期不同.鑒于這些因素,不同的通信方式下數據被截獲的難易程度不同.

3)二維結構熵

由邊和節點的權重使用式(2)可得到網絡拓撲中每個節點的度,度越大,表示攻擊者入侵相應節點的難度越大,系統越安全,進而根據式(1)計算得到CBTC系統網絡拓撲演變過程中二維結構熵隨時間的變化,結果如圖6所示.

圖6 網絡攻擊下計算機網絡二維結構熵的變化Fig.6 Two-dimensional structure entropy of computer network under the cyber attack

系統初始的二維結構熵為3.4402,點A,B,C,D分別表示ZC1的CC1、主系其余設備、CC2、備系其余設備依次宕機后二維結構熵的計算結果.其中,當ZC子系統的主系以及備系的CC2故障,即ZC成為孤立子系統時,系統的二維結構熵下降明顯,當ZC子系統完全故障,即相應ZC完全從網絡拓撲中移除時,二維結構熵反而增加.這是由于在網絡攻擊的影響下,CBTC系統由連通圖演變為多個連通子圖的集合,二維結構熵定義為各連通子圖的結構熵的加權平均值,由于孤立的ZC子系統與系統其余部分沒有關聯,各連通子圖的節點無法通過其外部的節點確定,因此,孤立ZC的結構熵較小,并且子系統內部使用明文通信,設備的安全性也較低,因此,系統的結構熵明顯下降;而隨著ZC完全故障,整個ZC子系統從網絡結構中移除,系統的結構熵不再受ZC影響,因而增大.

從圖6中二維結構熵的整體變化趨勢來看,隨著網絡攻擊逐漸深入,ZC1、ZC2和ZC3相繼故障,系統的網絡拓撲性能整體呈現下降趨勢.

3.3.2 列車運行性能變化

圖7是ZC主備兩系均故障后其管轄范圍內的單列車的速度變化曲線.

圖7 ZC故障后的列車運行速度圖Fig.7 The speed of a train within the range of a failed ZC sub-system

正常情況下,列車以80km/h的速度運行,假設在t1時刻,ZC主備系均故障,此時,在該ZC范圍內的列車將以0.8m/s2的減速度緊急制動,隨后經過Δt時間的降級準備后,列車重新以0.6m/s2的加速度以點式模式運行,直到t2時刻達到最大運行速度60km/h.根據式(4)可計算得到列車的性能變化.

正常工作狀態下,ZC覆蓋范圍內的各列車的運行性能均為1,不同ZC子系統故障對線路運行能力的影響程度不同,該影響因子可由每個ZC線路覆蓋范圍的大小確定.

其中,Ci表示第i個ZC的覆蓋范圍,L表示整條線路全長.因此,6個ZC的影響因子依次為0.153,0.314,0.137,0.165,0.181,0.050.綜合線路中所有列車的性能變化情況,得到CBTC系統列車性能變化曲線,如圖8所示.

比較圖6和圖8,當t=30min時,雖然ZC1主系故障,系統的二維結構熵減小,但是由于ZC的2×2取2架構,系統切換備系確保車地正常通信,列車運行性能不受影響,直到t=60min,ZC1備系也故障后,列車性能開始下降,又因為系統具有故障安全機制,故障ZC覆蓋范圍內的列車會緊急制動,當滿足降級運行條件時又會重新開始運行,因此,列車運行性能曲線呈現先急后緩的下降趨勢.

圖8 網絡攻擊下列車性能Fig.8 Operation performance of trains of CBTC test-bed under the cyber attack

3.3.3 信息安全狀態評估結果

基于式(5)、圖6和圖8,得到CBTC系統受攻擊下整體性能的變化,根據該結果可以判斷列控系統當前的信息安全狀態,如圖9所示.

圖9 網絡攻擊下CBTC系統測試床的信息安全狀態Fig.9 Security of CBTC test-bed under the cyber attack

隨著ZC依次故障,CBTC測試床安全程度逐漸下降,仿真結果與預期基本相符.特別地,當某個ZC完全故障,即整個ZC從網絡中移除后,系統的安全狀態會略微提高,這是由于每減少一個故障子系統,通過該故障子系統入侵CBTC系統剩余部分的可能性變為0,因此,系統的安全程度會有所提高.

3.4 CBTC系統信息安全評估方法比較

文獻[5]采用貝葉斯攻擊圖和AHP—模糊綜合評價兩種方法分別對CBTC系統進行信息安全風險評估.其中,貝葉斯攻擊圖從攻擊者的角度結合系統架構、設備漏洞構建攻擊圖模型,分析信息安全事件發生的概率及后果來衡量CBTC系統的風險值,但是該方法只考慮了網絡設備的漏洞,沒有考慮通信鏈路的特征;AHP模糊綜合評價,運用模糊理論分析AHP層次模型,并根據最大隸屬度原則確定CBTC系統的風險等級,該評估過程需要考慮具體的攻擊類型,且對專家經驗、相關調研的依賴性強,存在一定的主觀性.

本文提出的基于二維結構熵的信息安全評估方法從攻擊影響的角度,將系統網絡拓撲性能作為一個衡量CBTC系統信息安全狀態的指標,并結合攻擊對列車運行性能造成的損失,綜合評估CBTC系統信息安全狀態.與貝葉斯攻擊圖相比,本文方法不僅考慮了系統設計架構、設備漏洞,還考慮了設備當前安全狀態、密碼策略以及通信方式、通信協議等特征,評估過程簡單,可行性高;與AHP—模糊綜合評價方法相比,本文只考慮攻擊后果,不針對特定攻擊類型,具有普適性,且評估結果相對客觀.

4 結論

本文提出了一種定量分析CBTC系統信息安全風險的方法.對CBTC網絡進行建模;結合CBTC系統設備及設備間通信鏈路的特點,以二維結構熵衡量信息安全攻擊下網絡拓撲性能的變化;考慮到CBTC系統的功能安全設計,綜合列車運行性能與二維結構熵,給出了CBTC系統信息安全狀態的定量描述.

關于CBTC系統的信息安全狀態與系統信息域及物理域性能變化的定量關系仍需做進一步的研究,此外,本文對列車運行性能的定義只考慮了列車的實際運行距離與理論運行距離之間的差異,需要對該定義進行更深入的分析.