鐵路信號系統區域邊界信息安全風險評估

宋紹華

（中鐵第四勘察設計院集團有限公司，武漢 430063）

1 鐵路信號系統

鐵路信號系統是鐵路上為保證行車安全、調車安全、提高火車通過能力以及列車編組解體能力，從而使用的提高工作人員勞動效率的設備總稱。其主要包括信號集中監測網、信號安全數據網、調度集中網、車載設備、無線網絡以及其中包含的軟硬件設備。鐵路信號系統結構如圖1所示。

圖1 鐵路信號系統Fig.1 Railway signal system

鐵路信號系統屬于工業控制系統范疇，是鐵路運輸的保障。如果針對鐵路信號系統進行網絡攻擊，將會產生巨大的經濟損失和人員傷亡，并造成巨大的社會影響，所以應該對鐵路信號系統信息安全風險進行評估，梳理出重點防護的對象。而根據鐵路信號系統的封閉和隔離特性，首先應該對其進行區域邊界防護，并針對鐵路信號系統區域邊界防護進行風險分析。

2 鐵路信號系統區域邊界安全要求和防護對象

根據《 信息系統安全等級保護基本要求》（GB/T 22239-2008）和鐵路信號系統的重要程度評估，按照四級等級保護和工業控制系統擴展要求來對鐵路信號系統進行定級分析。根據四級等級保護制度和工業控制系統擴展要求對鐵路信號系統區域邊界進行分析后的安全要求如圖2所示。

圖2 鐵路信號系統區域邊界安全要求Fig.2 Requirements for regional boundary security of railway signal systems

根據分析，鐵路信號系統區域邊界安全要求主要包括邊界防護、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證、訪問控制、撥號使用控制和無線使用控制7個方面的安全要求。對鐵路信號系統進行分析和梳理，針對區域防護邊界安全要求對應的防護對象如表1所示。

表1 鐵路信號系統信息安全要求和防護對象Tab1 Information security requirements and protection objects of railway signal systems

根據表1所示，鐵路信號系統區域邊界所包含的7個安全要求所對應的防護對象主要包括信號安全數據網、調度集中網、安全監測網中的設備和維修機、車載設備、電腦設備以及和無線通信相關的設備。通過對不同安全要求進行分析，計算不同安全要求的權重，能夠找到需要重點防護的對象以及相應防護要求所針對的防護技術，為鐵路信號系統區域邊界信息安全防護提供指導。

3 使用層次分析法對安全區域邊界防護信息安全風險的評估

3.1 層次分析法

層次分析法常被運用于多目標、多準則、多要素、多層次的非結構化復雜決策問題，特別是戰略決策問題，可以較好地解決多要素相互關聯、相互制約的復雜系統的評價。

3.2 鐵路信號系統安全區域邊界信息安全風險分析

根據前文分析，選取安全區域邊界風險為層次分析法上層評估層，選取信息安全三要素可用性、完整性和保密性作為層次分析法中間層，選取鐵路信號系統區域邊界安全通用要求作為層次分析法下層矩陣，利用層次分析法來計算鐵路信號系統安全區域邊界要求權重。根據相應的權重可以得到在鐵路信號系統區域邊界防護中所占權重較高的安全要求以及需要重點防護的對象。

3.2.1 層次模型建立

根據等級保護制度通用要求和信息安全三要素分析建立安全區域邊界的信息安全風險評估層次結構，模型如圖3所示。

圖3 安全區域邊界安全風險評估模型Fig.3 Risk assessment model of regional boundary security

模型中每一層都與上、下層存在聯系，通過三層矩陣之間的關系矩陣，可以得到最下層矩陣相對上層矩陣的權重，從而得到下層矩陣相對上層矩陣的重要性。首先建立中間層矩陣，鐵路信號系統作為工業控制系統，可用性是其最重要的安全指標，保密性和完整性重要程度不如可用性高，根據這個原則和標準比率標度法建立的中間層矩陣如公式（1）所示。

針對鐵路信號系統安全區域邊界要求，相對于中間層的重要程度進行問卷調查，建立中間層和下層對比矩陣，如公式（2）、（3）、（4）所示。

為檢驗各元素重要度之間的協調性，避免矩陣中出現元素對比矛盾，通過公式（5）、（6）、（7）計算出所有矩陣均通過一致性比率。

3.2.2 區域邊界安全要求權重計算

根據計算得知，矩陣A的最大特征根λmax=3,歸一化特征向量為ω=[0.17, 0.33, 0.5]T。矩陣B1的最大特征根λmax=7.96，歸一化特征向量為ω1=[0.11, 0.05, 0.05, 0.04, 0.31, 0.22, 0.11,0.11]T。矩陣B2的最大特征根λmax=8，歸一化特征向量為ω2=[0.1, 0.04, 0.04, 0.18, 0.26, 0.18,0.1, 0.1]T。矩陣B3的最大特征根λmax=7.96，歸一化特征向量為ω3=[0.22, 0.22, 0.1, 0.07, 0.03,0.04, 0.1, 0.22]T。通過最下層歸一化特征向量形成的矩陣于中間層歸一化特征向量相乘，得到最下層防護要求在安全區域邊界信息安全風險中所占的權重為ω4=[0.16, 0.14, 0.07, 0.1, 0.15, 0.12, 0.1,0.16]T，由此而知，鐵路信號系統安全區域邊界要求權重中較高的為邊界防護、訪問控制、入侵防范和無線使用控制4個方面。

對于鐵路信號系統來說，邊界防護主要存在于將信號通信網絡與外界相互隔離，在網絡接口處設置網關和防火墻等信息安全防護設備。主要保護對象是調度集中網、信號安全數據網和信號監測網中的網絡設備和信號設備，同時防護避免外界通過非法途徑對網內設備進行攻擊。訪問控制主要是利用IP控制等網絡技術手段，針對鐵路信號網絡中設備間通信以及維修調試進行訪問控制，切斷非法設備對網絡內信號設備的訪問路徑，保護信號設備的安全，主要保護對象是安全數據網、調度集中網、安全監測網中的設備和相應的維護機器。無線控制則主要是針對GSM-R網絡通信和車載無線通信，通過加強無線通信的安全監控，防止針對GSM-R網絡和車載無線設備來進行信號干擾或者無線攻擊，主要防護對象為車載設備和無線閉塞中心。入侵防范則使用入侵檢測技術，防范針對信號設備的網絡攻擊。主要防護對象是信號安全數據網，調度集中網，信號監測網中的信號設備和維護設備。

4 總結

針對日益嚴重的網絡攻擊安全事件和國外鐵路信號系統信息安全攻擊事件的出現，鐵路信號系統作為鐵路安全行車的重要保障必須針對自身進行研究并提出信息安全攻擊防護方案。根據鐵路信號系統封閉和隔離特性，使用層次分析法對鐵路信號系統安全區域邊界要求進行權重分析，總結出應該重點對邊界防護、訪問控制、入侵防范和無線使用控制4個方面使用相應信息安全防護技術對信號安全數據網、調度集中網、信號監測網中的設備和維修機、車載設備、無線閉塞中心等設備進行防護，保護鐵路信號系統運行穩定。