基于貝葉斯攻擊圖的CBTC系統安全風險評估

馬洋洋，王 璇，鄺香琦，伊勝偉，謝 豐，高 洋，張 亮

(1.中國信息安全測評中心，北京 100085；2.北京交通大學軌道交通控制與安全國家重點實驗室，北京 100044)

引言

隨著現代化城市的發展，城市路面交通壓力持續加大，各地政府重點發展立體交通模式，積極投身于城市軌道交通建設。城市軌道交通的安全、準時、快速、運量大、環保等優點，在緩解城市道路擁堵、促進城市交通可持續發展方面，發揮著其他交通方式無法比擬的作用，成為各國爭相發展的目標[1]。

列控系統是列車運行控制系統的簡稱，由地面設備和車載設備構成，用于控制列車運行速度、保證列車安全和高效運行[2]，是城市軌道交通的核心。我國地鐵線路大多采用CBTC系統。隨著信息化與軌道交通列控系統自動化的深度融合，越來越多基于TCP/IP的通信協議和接口被采用，從而實現了自管理信息層延伸至現場設備的一致性識別、通訊和控制。然而，在軌道交通越來越開放的同時，也削弱了列控系統與外界的隔離，來自列控系統外部和內部的威脅也在逐漸增大。

在工控信息安全相關標準制定以及研究方面，國外已經取得了較多的成果[3]，主要有定性、定量和定性定量相結合的風險評估方法[4-5]。但是針對列控系統的信息安全研究相對較少[6]。國內在工控系統的信息安全研究方面，相關單位也已經制定了一些標準，理論層面上相關的研究工作也在持續地推進，主要也是從定性、定量和定性定量結合三個角度進行研究[7-9]。對列控系統信息安全方面的研究也相對較少，針對列控系統的安全分析研究多數停留在可靠性研究[10-14]。在現有的評估方法研究中，以攻擊圖為代表的圖形化、結構化的風險評估的研究，是當前工控系統風險評估研究的熱點。對CBTC系統的信息安全進行分析，將貝葉斯攻擊圖應用到CBTC系統風險評估建模中，在此基礎上分析了列控系統最易發生的信息安全事件和系統的風險等級。

1 基于WLAN的CBTC系統及其安全風險簡述

1.1 基于WLAN的CBTC系統

城市軌道交通中應用最廣泛的列控系統是CBTC系統。目前，城市軌道交通系統車地無線通信主要采用基于IEEE 802.11系列標準的WLAN技術，故本文選取基于WLAN的CBTC系統作為列控系統信息安全風險評估的研究對象。

1.2 CBTC系統信息安全分析

列控系統信息安全主要關注的是信息攻擊對列車運營安全和運營連續性的影響。信息安全風險評估主要涉及到資產、脆弱性、威脅三個要素。

1.2.1 CBTC系統資產分析

資產是指對組織具有價值的信息或資源，是安全策略保護的對象[15]10-11。脆弱性、威脅等均是以資產為中心產生的，分析CBTC系統的資產需要從信息攻擊對列控系統的影響入手。

本文在借鑒其他文獻的分析方法上進行完善，采用受影響的列車數量，從列車發生緊急制動、安全事故兩個角度來衡量信息攻擊對列控系統的影響，采用資產重要度表示[16]，具體如下式

(1)

式中，I為資產重要度；Nco為發生安全事故的列車數目；Neb為緊急制動的列車數目；Naf為受影響的列車數目，即某輛列車緊急制動或出現安全事故時，后續列車受到影響而采取減速或停車的措施；N為線路上運行列車的數目；a1、a2、a3為對應的加權系數，為便于量化分析，此處分別取值為0.85，0.12，0.03。

1.2.2 CBTC系統脆弱性分析

脆弱性是資產自身存在的，如果未被威脅利用，脆弱性本身不會對資產造成損害[15]16-17。CBTC系統的脆弱性主要來自網絡設備、操作系統、通信傳輸三個方面。網絡設備的脆弱性主要來自于網關和交換機。在操作系統方面，由于列控系統處于24h運行不間斷的狀態，系統無法進行實時更新，也不能為已發現的系統漏洞及時打補丁，則系統勢必會存在許多的漏洞和安全隱患。在通信傳輸協議方面，列控系統傳輸協議有通用協議和私有協議兩類，分別面臨著兩個方面的隱患。在基于WLAN的CBTC系統中，車地無線傳輸是基于802.11的WLAN技術實現的，這項技術存在許多安全隱患，如數據加密算法缺陷、用戶身份認證的缺陷等。同時有些私有協議沒有嚴格遵循安全協議標準，存在一定的隱患。

1.2.3 CBTC系統威脅源分析

威脅是指可能導致系統或組織的不希望事故的潛在起因[15]12-14。列控系統的威脅源包括內部和外部兩部分。內部威脅主要是列控系統內部潛在的、導致系統發生信息安全事件的因素，主要來自于內部惡意的員工根據列控系統的脆弱點和工作流程對他們能夠接觸的設備造成威脅，以及一些粗心、缺乏訓練的員工由于無意的過失對系統造成的破壞[16-17]。外部威脅是指與列控系統內部工作人員無關的、來自系統外圍的潛在風險因素，主要來自于不法乘客。列控系統是采用封閉的專用網絡，幾乎不存在與外界互聯網的通信，因此黑客企圖通過外界互聯網達到入侵列控系統難度極大。

2 基于貝葉斯攻擊圖的CBTC系統信息安全風險評估模型

2.1 貝葉斯攻擊圖生成流程

結合列控系統的特點，得到了貝葉斯攻擊圖的六要素分別為控制組件、組件脆弱性、網絡連接、控制權限、攻擊者初始分布和利用規則[7，18-19]。

BAG由條件節點、原子攻擊節點、邊、節點概率4個元素構成，其形式化描述為一個四元組，如式(2)所示

BAG(CPre∪CPost，A，τ，P)

(2)

式中，CPre∪CPost為貝葉斯攻擊圖的條件節點集；A為原子攻擊節點集，集合中每個元素a為攻擊者利用組件的脆弱性發動一次攻擊，為利用原子發動一次攻擊必須具備的前提條件集；τ為貝葉斯攻擊圖的有向邊集合，且，表示貝葉斯攻擊圖中的條件依賴關系，如圖1所示，表示后置節點依賴于原子節點；P為節點的局部條件概率函數集，集合中的每個元素是BAG每一個節點的概率分布，通常采用條件概率分布表表示。

圖1 攻擊圖實例

貝葉斯攻擊圖中，通常用橢圓表示原子攻擊節點，矩形表示前置條件節點、后置條件節點。攻擊圖生成流程如下。

(1)分析列控系統的網絡拓撲結構及脆弱性信息，提取貝葉斯攻擊圖要素：網絡連接Connecti、攻擊者初始分布Attackeri、利用規則AtRulei，分別建立網絡連接隊列Qc、攻擊者初始分布隊列Qa、利用規則隊列QaR。

(2)判斷隊列Qa是否為空，若為空，則流程結束；否則，從隊列Qa中取一個元素Attackeri，作為一條攻擊路徑的起點，根據Attackeri的IP地址aipi，在Qc中查詢與該節點有連接關系的組件，建立隊列Qh。

(3)判斷隊列Qh是否為空，若為空，則轉向步驟(2)；否則，從隊列Qh中取一個與Attackeri節點有連接關系的節點Hostk，在隊列Qv查詢組件Hostk的脆弱性。

(4)判斷隊列Qv是否為空，若為空，則轉向步驟(3)；否則，從隊列Qv中取一個脆弱性節點Vulj，在規則庫QaR中，查詢是否滿足該脆弱性的利用規則，若不滿足則舍棄，轉向(4)，否則生成新的攻擊圖原子節點aj及對應的前置條件節點CPre(aj)和后置條件節點CPost(aj)。

(5)判斷后置節點所取得的權限Result-Ctr是否為0，若是，則該條攻擊路徑生成完畢，轉向步驟(2)；否則，轉向步驟(4)。

2.2 CBTC系統風險評估建模

針對CBTC的子系統，分析系統的網絡拓撲結構，提取系統的脆弱性信息，結合貝葉斯攻擊圖生成流程，構建BAG模型，基于模型分析系統的信息安全事件。ATS子系統是CBTC系統的一個重要組成部分，負責對全線的監督和管理，是CBTC的上層管理系統，因此以ATS子系統為例進行建模。

(1)ATS網絡拓撲結構及脆弱性提取

圖2為某信號廠商的調度工作站及網關計算機的網絡拓撲圖，調度工作站采用雙機結構分別接在ATS黃綠網上，一系故障時，另一系將會無條件自動頂替故障單元運行；車站設備是指連在ATS網上的聯鎖上位機等設備；網關計算機采用雙機結構，一系連接在ATS網和紅網，另一系連接在ATS網和藍網。

圖2 ATS系統網絡拓撲結構

采用Nessus漏洞掃描軟件對調度工作站、網關計算機組件掃描，得到脆弱性信息如表1所示。

表1 ATS系統脆弱性列表

(2)ATS貝葉斯攻擊圖模型

調度工作站的貝葉斯攻擊圖模型見圖3。調度工作站工作過程中，一系故障時，另一系將無條件頂替故障機投入使用。鑒于這個特點，構建BAG模型中引入了熱備檢測門HSP節點。當檢測到連接的兩個分支均斷開時，HSP節點將阻斷外界的接入，由該系統利用漏洞入侵CBTC其他子系統的攻擊路徑也將由此斷開，此時系統對外表現故障。

圖3 控制中心調度工作站貝葉斯攻擊圖模型

內部惡意工作人員通常會采取直接入侵調度工作站或網關計算機的方式。考慮由CBTC其他子系統利用漏洞入侵ATS調度工作站的情況，其接口有以下幾種：

①從聯鎖上位機入侵調度工作站I系入口UD1、Ⅱ系的入口UD2，合用UD12表示；

②從聯鎖維護機入侵到調度工作站I系入口WD1、Ⅱ系的入口WD2，合用WD12表示。

通過調度工作站下發的指令首先到達聯鎖上位機，經其處理后由網關計算機發送給聯鎖機。考慮由調度工作站入侵到CBTC其他子系統的可能，其接口有：從調度工作站入侵聯鎖上位機I系入口為DU1，Ⅱ系入口DU2，合用DU12表示。

由圖2可知，網關計算機的Ⅰ、Ⅱ系均與ATS雙網相連，為了體現這個特點，網關計算機BAG模型中引入了綠網省略子圖、FDEP節點、HSP節點，見圖4。其中，綠網的攻擊圖結構與黃網所在的攻擊圖結構相同，此處采用綠網省略子圖表示；當HSP節點檢測到Ⅰ、Ⅱ系分支均中斷時，將阻斷外界的接入，表明Ⅰ、Ⅱ系均已故障。經分析可知，此時綠網一支也應處于中斷狀態。這是因為信息攻擊導致主機宕機的同時，會同時影響到綠、黃網兩個分支，故引入FDEP節點。當它檢測到連接的任一分支中斷，阻斷外界接入，系統對外表現為故障。BAG中，節點C23表示入侵者取得網關計算機I的All權限。

考慮到由CBTC其他子系統利用漏洞入侵到ATS網關計算機的可能，其接口有以下幾種：

①從聯鎖上位機入侵到網關計算機Ⅰ系入口UG1、網關計算機Ⅱ系的入口UG2，合用UG12表示；

②從聯鎖機入侵到網關計算機Ⅰ系入口LS1、Ⅱ系入口LS2，合用LS12表示；

③從ZC入侵到網關計算機Ⅰ系入口ZS1、Ⅱ系入口ZS2，合用ZS12表示；

④從車載ATP入侵網關計算機Ⅰ系入口PS1、Ⅱ系入口PS2，合用PS12表示；

⑤從聯鎖維護機入侵到網關計算機Ⅰ系的入口WG1、Ⅱ系的入口為WG2，合用WG12表示。

考慮由網關計算機入侵到CBTC其他子系統的可能，其接口有以下幾種：

①從網關計算機入侵到聯鎖上位機Ⅰ系的入口GU1、Ⅱ系的入口為GU2，合用GU12表示；

②從網關計算機入侵聯鎖機CC1入口SL1、CC2入口SL2，合用SL12表示；

③從網關計算機入侵ZC的CC1入口SZ1、CC2入口SZ2，合用SZ12表示；

④從網關計算機入侵到一端的車載ATP的入口SP1、另一端車載ATP的入口為SP2，合用SP12表示。

由于網關計算機同時接三張網，可以通過網關計算機的I/II系入侵到II/I系，對應的入口分別為SS1、SS2，合稱SS12，由此可以實現一系到另一系的攻擊。

圖4 控制中心網關計算機貝葉斯攻擊圖模型

由調度工作站BAG模型提取攻擊路徑如表2所示。表2中“< >”表示條件滿足時，利用原子攻擊節點發動一次原子攻擊，路徑編號1是內部惡意工作人員入侵該系統的攻擊路徑，2是從CBTC其他子系統入侵到該系統的攻擊路徑，3表示內部惡意工作人員從該系統入侵CBTC其他系統的接口所在路徑。

由網關計算機BAG模型提取攻擊路徑如表3所示，路徑編號4、6分別是黑客、內部惡意工作人員入侵網關計算機的攻擊路徑，5、7表示由一系入侵到另一系的接口所在路徑，8表示由網關計算機一系入侵到另一系的攻擊路徑，9表示由CBTC其他子系統入侵網關計算機的攻擊路徑，10、11分別表示黑客、內部惡意工作人員企圖通過該系統入侵CBTC其他系統的接口所在路徑。綠網省略子圖的攻擊路徑分析類似，此處不再分析。

表2 控制中心調度工作站的攻擊路徑

表3 控制中心網關計算機攻擊路徑

分析攻擊對CBTC系統的影響，不僅需要考慮入侵的攻擊路徑，還需結合對組件脆弱性的利用方式。綜合分析對列控系統的影響見表4。

表4 ATS系統安全事件分析

表4中“∨”表示“或”的關系，“∧”表示“與”的關系，符號兩側的數據表示攻擊路徑編號，字母表示在取得目標主機權限下，脆弱性利用方式，“E”表示緊急制動事件，“S”表示安全事故。

破壞ATS調度工作站、網關計算機的兩系便可引發列車緊急制動。故可選取攻擊路徑1、2、4、6、8、9中的任一條，采用重啟主機的方式，結合對應的子圖/圖簇采取同樣操作，便可導致列車緊急制動。攻擊者在成功實施對Ⅰ/Ⅱ系的攻擊后，更傾向于在同一張ATS網下發動對Ⅱ/Ⅰ系攻擊，故組合攻擊路徑時，在圖簇、省略子圖節點均存在的條件下，不再對黃、綠網的攻擊路徑組合分析。

2.3 CBTC系統信息安全分析

計算CBTC系統的信息安全風險值時，分別對黑客、內部惡意工作人員發起的信息攻擊單獨分析。

以黑客入侵CBTC第i個系統為例，在第i個系統中引發m個安全事件，在mi中選取風險值最大的作為第i子系統的風險值Riskii；以該系統為跳板入侵到第j個系統，在第j個系統中引發mj個安全事件，在mj中選取風險值最大的作為第j子系統的風險值Riskij，如式(2)所示。以上述兩者之和，作為黑客入侵第i個系統時，CBTC系統的風險值，如式(3)所示：

Riskij=max{Riskijk,k=0,1,…,mj}

(2)

(3)

式中，i=j是一個特例，此時Riskii=Riskij，表示首次入侵第i個系統的風險值，Riskijk表示mj個信息安全風險事件中的第k個事件的風險值。

同理可得，惡意工作人員入侵第i個系統時，CBTC系統的風險值riskij如下

riskij=max{riskijk,k=0,1,…,mj}

(4)

(5)

式中，i表示內部惡意工作人員首次入侵的子系統，j表示內部惡意工作人員以第i個子系統為跳板入侵到的第j個子系統，riskij表示由第i個系統入侵到第j個系統的最大風險值；i=j是一個特例，此時riskii=riskij表示首次入侵系統的風險值，riskijk表示m’j個信息安全風險事件中的第k個事件的風險值。

本文分析過程中，黑客入侵CBTC四個子系統ATS、ZC、CI、車載ATP時，取系統的最大風險值作為黑客入侵CBTC系統的風險值即max{Risk1，Risk2，Risk3，Risk4}，同理，內部惡意工作人員入侵CBTC系統的風險值為max{risk1，risk2，risk3，risk4}，則CBTC系統的風險值Risk為

Risk=max{Risk1，Risk2，Risk3，Risk4}+

max{risk1，risk2，risk3，risk4}

(6)

其中，Risk1、Risk2、Risk3、Risk4分別表示黑客從車地無線通信首次入侵ATS、ZC、CI、車載ATP，并以其為跳板發動入侵CBTC其他子系統時，CBTC系統的風險值；risk1、risk2、risk3、risk4分別表示內部惡意工作人員首次入侵ATS、ZC、CI、車載ATP，并以其為跳板入侵CBTC其他子系統時，CBTC系統的風險值。

3 CBTC系統信息安全風險評估結果分析

3.1 CBTC系統最易發生信息安全事件的選取

以CBTC子系統ATS為例，通過深入分析BAG節點的量化、脆弱性利用方式的選取、安全事件對列車運行的影響、最易發生安全事件的求解四個過程，最終得出黑客、內部惡意工作人員、以其他子系統為跳板三種入侵ATS方式中，系統最易發生的信息安全事件分別為緊急制動1、4、7，分別通過攻擊路徑4和綠網省略子圖的攻擊路徑4、攻擊路徑1和綠網省略子圖的攻擊路徑1、攻擊路徑2和綠網省略子圖的攻擊路徑2，均是通過重啟系統的兩系來實現的，對應的風險值分別為1.3539×10-4，4.2178×10-2，4.2556×10-5。

此外，內部惡意人員入侵ATS系統時，在取得組件All權限的條件下，雖然最易發生的是列車緊急制動事件，但是此時系統的安全事故2、3風險值也是很大的，需要警惕這類安全事件的發生。以CBTC其他子系統為跳板入侵ATS系統時，來自聯鎖上位機、維護機的風險值相對較大，需要重點部署防御。

3.2 CBTC系統風險值的分析

將ATS、ZC、CI、車載ATP分別編號為1，2，3，4。以ZC系統為例進行分析。黑客入侵ZC系統，引發ZC系統最易發生的信息安全事件對應的風險值為Risk22=1.6522×10-4，以ZC為跳板分別入侵ATS、CI、車載ATP，最易發生的信息安全事件的風險值分別為Risk21=2.157 3×10-9，Risk23=5.763 9×10-9，Risk24=3.6486×10-9，因此攻擊ZC時，CBTC系統的風險值為

Risk23+Risk24=1.652 3×10-4

則黑客通過車地無線環節入侵ZC，并從ZC系統展開攻擊時，CBTC系統的風險值為2.386 7×10-4。

內部惡意工作人員攻擊ZC，系統最易發生的信息安全事件對應的風險值為risk22=3.901 1×10-2，以ZC為跳板入侵ATS、CI、車載ATP時，對應的最易發生的信息安全事件的風險值分別為risk21=3.595 5×10-7，risk23=1.327 6×10-6，risk24=6.081 0×10-8，則由公式(5)可知

3.901 3×10-2

惡意工作人員從ZC子系統開展攻擊時，CBTC系統風險值為3.901 3×10-2。

同理可得，黑客通過車地無線通信環節入侵ATS、CI、車載ATP，并從其展開攻擊時，對應的CBTC系統的信息安全風險值分別為Risk1=1.355 2×10-4，Risk3=1.532 2×10-4，Risk1=2.123 7×10-5；內部惡意工作人員入侵ATS、CI，對應的CBTC系統的信息安全風險值分別為risk1=4.224×10-2，risk3=5.067 8×10-2，由于不考慮內部惡意工作人員入侵車載ATP的過程，則risk4=0；CBTC系統的風險值為

Risk=max{Risk1，Risk2，Risk3，Risk4}+

max{risk1，risk2，risk4}=5.084×10-2

綜上，考慮到黑客和內部惡意工作人員的入侵，CBTC的風險值為5.084×10-2。

本文參考文獻[20-21]的風險等級劃分如表5所示。表5中R為所評估系統的風險值。通過上述計算可知，CBTC系統的風險值為0.050 84，系統的風險等級為1，故認為CBTC系統處于安全狀態。

表5 風險等級劃分

4 結語

在對傳統工控系統信息安全標準進行分析的基礎上，從資產、脆弱性、威脅源三個角度分析了CBTC系統的信息安全風險，將貝葉斯攻擊圖應用到CBTC系統風險評估建模中，并以ATS子系統為例，通過分析其網絡拓撲結構和提取脆弱性信息，從入侵的攻擊路徑和對組件脆弱性的利用方式兩個方面進行考慮，結合貝葉斯攻擊圖生成流程構建BAG模型，通過擴充BAG模型的節點來更好地描述系統特點并且根據模型得到ATS子系統最易發生的信息安全事件。同時提出了CBTC系統的信息安全風險值的計算方法，得到在考慮黑客和內部惡意工作人員的入侵的情況下CBTC系統的風險等級。