基于威脅分析的高速鐵路信號系統風險評估方法

李洪赭，閆連山，陳建譯,2，李賽飛，徐斯潤

（1.西南交通大學信息科學與技術學院，四川 成都 611756；2.中國鐵路廣州局集團有限公司，廣東 廣州 510088；3.安捷光通科技成都有限公司，四川 成都 611730）

高速鐵路信號系統是保證列車運行安全與提高運輸效率的核心，幾乎覆蓋所有列車可達之處，是遍布全國范圍的大型網絡.我國高速鐵路信號系統主要由計算機聯鎖系統、列車運行控制系統、調度集中系統、信號集中監測系統和GSM-R （global system for mobile communications-railway）無線通信系統等組成，其中，調度集中系統和信號集中監測系統分別采用各自內部網絡通信.列車運行控制系統與計算機聯鎖系統通過信號安全數據網絡進行通信，并利用GSM-R無線通信系統與車載設備進行數據傳輸.因此，高速鐵路信號系統不僅網絡結構復雜，其對實時性、可靠性和完整性亦有極高要求，如果系統遭受網絡攻擊，導致控制數據的延遲、丟失甚至篡改，以及設備單點故障都將對列車行車安全造成重大影響.

歷史上，高速鐵路信號系統使用環境相對封閉，智能化、信息化程度較低，一般認為不存在網絡入侵及病毒傳播問題，更注重系統的功能實現和可靠性.隨著網絡信息技術發展，為實現不同系統間協同和信息共享，傳統鐵路和信息技術的融合越來越密切，同時也帶來了新的安全風險.2016年，英國鐵路系統陸續遭到4次有針對性的網絡安全攻擊[1]； 2017年，德國聯邦鐵路部分旅客服務設備受到WannaCry勒索軟件感染而損壞[2]； 2018年，DDoS （distributed denial of service attack）攻擊影響了丹麥鐵路的票務系統[3]； 2020年，英國鐵路公眾WIFI網絡發生信息泄漏，導致包含旅客詳細信息在內的1.46億條記錄在網絡上公布[4].

近年來，模糊綜合評價和AHP （analytic hierarchy process）在工程風險分析中得到了廣泛的研究和應用[5-7].在互聯網和工控系統領域，Wu等[8]討論了AHP在信息系統風險評估中的運用；龔斯諦等[9]基于工控網絡結構結合信息熵法得出系統風險值；鄭曉波[10]從網絡和主機安全、系統運行安全等4個層面評估鐵路信息系統安全風險.以高速鐵路信號系統為代表的典型工業控制系統，其網絡安全問題也越來越突出，Wang等[11]基于彈性指標策略討論了城市軌道交通系統的魯棒性和恢復能力；Yi等[12]提出故障樹和擴展攻擊樹結合的擴展故障樹對列車控制系統的安全性進行綜合評估；付淳川等[13]提出一種基于組件安全屬性的列控中心風險評估方法.因此，亟待建立有效的風險評估手段，充分考慮威脅場景的潛在影響及發生的可能性，定性定量地評估高速鐵路信號系統面臨的安全風險.

AHP考慮了目標系統在網絡不同區域和層次中面臨的多種風險因素，并能有效建立各場景下風險因素耦合關系，結合模糊綜合評價在處理非確定性問題方面的優勢，有利于提高評估結果的真實性.然而，針對高速鐵路信號系統的惡意攻擊大多是針對功能安全的，如信號設備故障、列車緊急制動等，甚至包括重大行車事故.同時，高速鐵路信號系統設備采用故障安全設計原則，對關鍵設備進行了雙冗余配置.因此，傳統的AHP并不能很好地將高速鐵路信號系統風險行為具體化，有必要對高速鐵路信號系統安全威脅場景分析進行有針對性的研究.

本文基于功能安全的故障特性，建立了綜合層次分析模型，通過威脅場景分析和評價指標來量化系統及風險因素的風險值，從而為風險管理者進行有效管理提供依據.

1 高速鐵路信號系統威脅場景分析

從鐵路相關規范[14]得出高速鐵路信號系統的標準業務功能模型如圖1所示.主要包含列控中心（train control center，TCC）、車載設備（on-board equipment，OBE）、應答器、無線閉塞中心（radio blocking center，RBC）、臨時限速服務器（temporary speed restriction server，TSRS）、CTC （centralized traffic control）中心及自律分機、聯鎖設備（computer based interlocking，CBI）、軌道電路等.

圖1 高速鐵路信號系統標準業務功能模型Fig.1 Standard service function model of railway signal system

其中：TCC從軌道電路獲得閉塞分區占用信息，并發送給聯鎖設備，同時，根據CTC的進路控制指令排列進路；聯鎖綜合列控中心發來的閉塞分區狀態信息和站內聯鎖信息，生成信號授權SA（signaling authorization）發送給RBC；車載設備周期性向RBC報告自身位置，RBC根據列車當前位置找出前方空閑進路，即時生成移動授權MA （movement authority），并通過GSM-R發送給OBE；當RBC接到TSRS的臨時限速命令后，會立即發送給所有受到該消息影響的列車.另外，由于MA為預先發送，若此后線路信息發生變化，RBC將及時更新的控車消息發送給車載設備.

基于功能安全的角度，從標準功能業務模型分析可能導致業務中斷或偽造的風險，這些風險是威脅場景發生的充分條件.通過利用這些風險的方式、難易程度，結合信號系統的特點，梳理得出可能導致行車事故發生的總計44個威脅場景.為便于分析，將這些威脅場景分為如表1所示的5個類別.

表1 威脅場景分類Tab.1 Threat scenario classification

1）系統運算輸出錯誤.例如，惡意人員嘗試攻擊RBC邏輯運算單元，使RBC輸出錯誤的行車許可，導致列車超速或冒進，方式可能是篡改RBC運算程序，或者偽造RBC邏輯運算需要的數據等.

2）列控信息網絡傳輸錯誤.惡意人員可能嘗試劫持網絡通信，進行篡改通信消息、偽造行車指令和破壞列控信息完整性等操作，導致列車未按既定計劃行駛而發生事故.

3）人員越權操作.在信號系統中尤其是CTC調度系統需要較多人工參與，惡意人員可以嘗試繞過系統的鑒別機制，利用操作系統的漏洞進行權限提升，或通過網絡嗅探獲得明文傳輸的口令，從而偽造行車指令或使網絡中斷.

4）信號系統基礎數據錯誤.信號設備的邏輯運算，需要大量線路基礎數據的支撐，如這些信息被惡意人員篡改或破壞，將會給列車的安全運行造成重大影響.

5）設備、系統或程序損壞.惡意人員較少關心信號系統的具體業務邏輯，而是單純嘗試對信號系統的設備資源、操作系統、應用程序和網絡資源等進行破壞，利用操作系統、應用程序和網絡協議棧的漏洞，發起對設備的拒絕服務攻擊.

另外，值得注意的是，信號系統跨越地域廣闊，存在眾多無人值守機房，給惡意人員的接入帶來可乘之機，需要格外重視物理攻擊的影響.

2 信號系統風險評估模型

2.1 構建層次分析模型

高速鐵路信號系統的風險評估主要包括如圖2所示兩部分，即AHP和模糊綜合評價.

圖2 信號系統風險評估流程Fig.2 Risk assessment process of signal system

AHP用于確定評估指標中各層元素的權重，但評估模型中涉及到多個風險因素的綜合評價，易受到主觀判斷的影響；引入模糊綜合評價能有效提高評價結果的可靠性和有效性.

根據第1節中高速鐵路信號系統安全威脅場景分析，結合各元素之間的因果關系，將信號系統風險分成不同層次的要素，構成遞階層次結構，如圖3所示.提取信號系統信息安全風險作為目標層元素，由于不同威脅對行車的影響不同，因此，選取威脅場景所導致的3類典型行車事故作為準則層的要素，考慮到同一場景下各個子系統的影響是不同的，其中集中監測系統并不直接參與列車運行，所以，選取列控系統（Y1）、聯鎖系統（Y2）、調度集中系統（Y3）和GSM-R系統（Y4）作為因素層1的要素，具體威脅場景的類別作為因素層2的要素.值得指出的是，在Y3不存在信號系統基礎數據錯誤（S4）的風險，故將其剔除，同理Y4僅與系統運算輸出錯誤（S1）、列控信息網絡傳輸錯誤（S2）和設備、系統或程序損壞（S5）有關聯.

圖3 信號系統風險層次分析結構Fig.3 Risk hierarchical analysis structure of signal system

2.2 確定各層元素權重

建立層次結構后，將上一層級作為約束條件，比較下一層級中各要素的相對重要性，采用1 ～ 9標度法來構造判斷矩陣，并根據評價指標得出相對權重.

例如，以因素層1中Y1作為約束條件，對因素層2中S1 ～ S5的5類威脅場景的重要程度進行兩兩比較得到判斷矩陣如下：

判斷矩陣ΔY1_S是一個n階正互反矩陣，所以存在唯一非零特征根.通常用平均近似法來得到最大特征值 λmax和特征向量w.首先，計算矩陣ΔY1_S每一行元素的乘積：

式中：aij為對應矩陣ΔY1_S的元素.

并計算Mi的n次方根：

由此得出矩陣ΔY1_S的特征向量為

然后根據式（4）計算矩陣ΔY1_S最大特征值：

式中：awi為判斷矩陣ΔY1_S第i個元素和其權重的乘積.

計算得矩陣ΔY1_S的最大特征值 λmax=5.251.

最后計算并檢驗矩陣一致性指標：

通過查表可知[15]平均一致性指標RI=1.12.

可得矩陣ΔY1_S的隨機一致性比率：

當CR< 0.100時，具有較好的一致性；否則，矩陣需要重新調整.

以此類推，得到層次分析結構中所有上層元素對下層元素集的判斷矩陣權重向量如下：

所有特征向量對應的隨機一致性比率分別為0.056、0.017、0.053、0.051、0.047、0.059、0.051、0.051，均小于0.100，滿足矩陣一致性要求.

3 測試結果及分析

3.1 確定評價集合和隸屬度矩陣

為了綜合評價信號系統功能安全風險，以因素層2中的各要素構成評估因素集U，得到U={u1,u2,u3,u4,u5} = {系統運算輸出錯誤，列控信息網絡傳輸錯誤，人員越權操作，信號系統基礎數據錯誤，設備、系統和程序損壞}.以U中各威脅場景的嚴重程度建立評語集V={v1,v2,v3,v4,v5} = {較低，低，中等，高，較高}.

對于高速鐵路信號系統，本次選取了某集團公司正在聯調聯試中的某客專為實驗對象，聯調聯試中信號系統業務基本與正式開通后一致，且能有效降低測試風險.首先，在該線路依據傳統信息安全手段收集漏洞信息，并根據GB/T 28448—2019[16]在技術層面進行合規性風險評估，再與具體業務結合后歸納為表1中的5類威脅場景.

通過如表2所示CVSS （common vulnerability scoring system）漏洞評分方法[17]，從影響度和可利用度兩方面評估在因素層1中風險問題在不同威脅場景發生的嚴重程度.其中：影響度評價反映漏洞被成功利用所造成的直接后果，主要考慮機密性、完整性、可用性；可利用度評價反映可利用漏洞的易利用性和技術手段難易度，主要考慮攻擊路徑、復雜度、權限要求等指標.

表2 CVSS漏洞評分方法Tab.2 Common vulnerability scoring system

按照式（5）計算單個漏洞的分值：

式中：mC、mI、mA分別為機密性、完整性、可用性的權值.

最后，根據如表3所示漏洞嚴重程度，統計不同嚴重程度的占比，并以此確定評估因素集U對評語集V的隸屬程度.

表3 漏洞嚴重程度分級Tab.3 Vulnerability severity rating

例如在GSM-R系統中，由于空口未加密，可利用中間人攻擊RSSP-II協議的核心消息鑒別碼，偽造信號授權SA；在聯鎖系統中接入車站聯鎖局域網后，訪問聯鎖控顯A機掃描發現緩沖區溢出漏洞，將其利用取得控制權限后上傳纂改后的配置文件，造成聯鎖控顯A機表示錯誤，但由于信號系統采取2乘2取2冗余結構，并未對實際輸出結果產生影響.如想改變最終輸出結果，需在同一時間內對2乘2計算機發起攻擊，難度較大.

而在某車站調度集中系統中，利用ARP （address resolution protocol）嗅探和端口掃描得到主機IP地址、系統類別及端口等重要信息，結果顯示網絡中多臺主機存在高危漏洞，且大都開放了部分遠程端口.通過字典爆破發現了多臺存在Telnet、FTP （file transfer protocol）弱密碼的主機及網絡設備.Telnet登錄其中一臺主機后，發現自律機、SNMP （simple network management protocol）服務器、通信服務器、通信前置機、行調、助調、調監、綜合維修等各種服務器和終端的IP、SNMP連接等敏感信息.

將上述信息加以利用，結合風險評估模型，經過詳細調研及測評后，得出調度集中系統的安全問題數共61個，其中，會導致設備、系統和程序損壞的問題共24個，結合CVSS評分方法計算得出安全問題中風險較低3個，風險低4個，風險中等9個，風險高6個，風險較高2個，得到的隸屬度矩陣為[0.1250.1670.3750.2500.083].以此類推，得到調度集中系統中其他威脅場景類別的隸屬度矩陣如下：

然后，依次按照評語集V對評估因素集U中的所有元素進行綜合評判，得到所有隸屬度矩陣如下：

3.2 多級綜合評價

將3.1節中得到的模糊隸屬度矩陣按照式（6）將其與2.2節中對應的權重向量進行模糊合成運算，為減少信息損失，選擇加權平均計算.

式中：

Rp為層級p里各個元素的模糊綜合評價向量；

wp_q為層級p里各個元素對層級q的權重向量；

Rp_q為層級p里各個元素約束下，層級q元素集的模糊隸屬度矩陣.

分別得Y1～Y4的模糊綜合評價向量分別為

同理，以準則層各元素為約束條件，得出對因素層1元素集的模糊綜合評價向量分別為

最終得出目標層的模糊綜合評價結果：

由結果可知：準則層中發生概率最高的是列車運行中斷，而中斷的最主要風險就是拒絕服務攻擊，這類攻擊不需要了解具體業務邏輯，故較容易實現.目標層的評價結果：33.5%可能屬于風險較低，21.6%可能屬于風險低，22.5%可能屬于風險中等，17.3%可能屬于風險高，4.1%可能屬于風險較高，根據最大隸屬度原則，該鐵路線高速鐵路信號系統功能安全風險的風險等級為風險較低.與等級保護合規性檢查結果“基本符合”一致，即系統中存在安全問題，但不會導致系統面臨高等級安全風險.

3.3 威脅類別風險評價

值得注意的是針對整個系統的風險低和風險中等兩類評價的隸屬度占比也較高，通過分析因素層1中不同系統的隸屬度，其中調度集中系統屬于風險中等，GSM-R系統屬于風險較高.

因此，為了能更好地橫向對比5種威脅場景類別的風險程度以及模型的適用性，將2.1節中圖3中層次分析結構的因素層1和因素層2整體進行互換.數據樣本不變的情況下，再次按照評估模型和流程得到關于威脅類別的模糊綜合評價向量R，每行數據從上至下依次對應系統運算輸出錯誤、列控信息網絡傳輸錯誤、人員越權操作、信號系統基礎數據錯誤、設備、系統或程序損壞.

從結果可以看出：按最大隸屬度原則，5種威脅場景類別存在的風險程度從高到低依次為設備、系統或程序損壞 > 人員越權操作 > 列控信息網絡傳輸錯誤 > 信號系統基礎數據錯誤 > 系統運算輸出錯誤，與在收集漏洞信息后和具體業務結合得出威脅場景并實地測試的結果較為一致.其中 調度集中系統較容易受到人員越權操作和設備、系統或程序損壞兩類威脅的影響，但GSM-R系統則容易受到列控信息網絡傳輸錯誤威脅類別的影響，通過調研[18-19]及現場測試驗證，兩個系統均存在部分對應威脅類別下的風險與漏洞，而高速鐵路信號系統通過2乘2取2和雙環網冗余等安全機制，極大地降低了系統運算輸出錯誤和信號系統基礎數據錯誤 兩類威脅場景的風險程度，這也印證了測試結果.

在后續10余條鐵路線測評過程中，持續對該模型進行了反復驗證及優化，基本滿足高速鐵路信號系統風險評估需求，為高速鐵路信號系統提升網絡信息安全水平提供了重要支撐.

4 結 論

本文針對高速鐵路信號系統的風險評估方法展開研究，從功能安全的角度，提出了一種基于層次分析法和改進模糊綜合評價法的風險評估模型，通過深入分析高速鐵路信號系統威脅場景，將現場測評結果與之對應，定性分析了信號系統所面臨的主要風險，并參照漏洞評分方法建立評價指標體系，最終給出較為真實的系統整體風險值.經過與現場測評數據對比分析，得到如下結論：

1）本文方法與其他風險評估方法相比，信號系統的各風險因素關聯程度較為復雜，且缺乏權威的測評風險統計數據，如攻擊圖的局部條件概率主要通過經驗獲取，結果可能存在偏差.本文方法能夠定量反映系統整體及局部面臨的風險大小，減少主觀假設帶來的缺點，為展開針對性安全防護研究提供量化參考.

2）本文方法與等級保護測評相比，后者更側重于合規性檢查，通用性更強，缺乏針對高速鐵路信號系統業務信息流的梳理，難以在安全風險和信號業務之間建立映射關系.本文方法能夠在日常定期風險評估以及安全事故發生時提供問題定位，并作為等級保護合規性檢查的有力補充手段.

此外，本文層次分析結構中的各因素權重主要是基于主觀意識構建，建立評估模型時，對于信號系統和網絡安全兩者專業性要求較高，且當系統風險變化時，模型修改較繁瑣，下一步考慮建立信號系統安全評估及攻防專家庫，根據不同線路情況動態生成評估模型，提升評估模型的效率和適應性.