基于二維結(jié)構(gòu)熵的CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法

董慧宇 唐濤 王洪偉

城市軌道交通具有安全、準(zhǔn)時(shí)、快速、運(yùn)量大等優(yōu)點(diǎn),在解決城市擁堵、促進(jìn)城市及其交通可持續(xù)發(fā)展方面發(fā)揮著重要作用[1].基于通信的列車運(yùn)行控制(Communication-based train control,CBTC)是城市軌道交通信號(hào)系統(tǒng)的關(guān)鍵技術(shù),該技術(shù)使用無線通信實(shí)現(xiàn)列車與地面設(shè)備的實(shí)時(shí)、雙向、連續(xù)信息交互,控制列車的運(yùn)行速度和方向,在確保安全的前提下提高城市軌道交通的運(yùn)行效率[2].為提升城市軌道交通的自動(dòng)化和信息化水平,通信、控制、計(jì)算機(jī)等信息技術(shù)在CBTC系統(tǒng)中得到了廣泛應(yīng)用.與此同時(shí),來自系統(tǒng)外部或內(nèi)部的信息攻擊的威脅加大,系統(tǒng)面臨的挑戰(zhàn)日益嚴(yán)峻[3],信息安全事件頻發(fā).2012年3月,上海申通地鐵車站信息發(fā)布系統(tǒng)和運(yùn)行調(diào)度系統(tǒng)的無線網(wǎng)絡(luò)受到攻擊;2012年7月,深圳地鐵受乘客隨身MIFI(Mobile WIFI)干擾的影響導(dǎo)致車地通信中斷,致使多列列車緊急制動(dòng)等.這些事件均造成了不好的社會(huì)影響,有的嚴(yán)重影響了城市軌道交通的行車秩序.CBTC系統(tǒng)的信息安全已成為軌道交通領(lǐng)域的重要研究?jī)?nèi)容,評(píng)估列控系統(tǒng)網(wǎng)絡(luò)安全性、提高CBTC系統(tǒng)信息安全防護(hù)能力成為軌道交通事業(yè)健康、快速發(fā)展的關(guān)鍵[4].

然而,國(guó)內(nèi)外對(duì)軌道交通領(lǐng)域的信息安全研究處于起步階段,相關(guān)研究停留在列控系統(tǒng)信息安全存在的隱患及挑戰(zhàn)等分析層面,針對(duì)CBTC系統(tǒng)的信息安全評(píng)估方法匱乏.文獻(xiàn)[5]對(duì)歐洲鐵路運(yùn)輸(European railway traffic management system,ERTMS)規(guī)范中的潛在漏洞進(jìn)行分析,并綜合威脅來源、攻擊能力以及影響等級(jí)幾個(gè)方面定性地評(píng)估了英國(guó)實(shí)施的ERTMS的網(wǎng)絡(luò)安全風(fēng)險(xiǎn).文獻(xiàn)[6]采用基于貝葉斯攻擊圖的方法,分析了列控系統(tǒng)最易發(fā)生的信息安全事件及系統(tǒng)的風(fēng)險(xiǎn)等級(jí).文獻(xiàn)[7]分析了用于控制道岔轉(zhuǎn)換、改變行車信號(hào)的先進(jìn)列車控制系統(tǒng)(Advanced train control systems,ATCS)協(xié)議的脆弱性.文獻(xiàn)[8-9]分別從入侵檢測(cè)和攻擊防御的角度對(duì)列控系統(tǒng)信息安全進(jìn)行研究.

鑒于CBTC系統(tǒng)與其他工業(yè)控制系統(tǒng)(Industrial control system,ICS)均屬于典型的信息物理系統(tǒng)(Cyber physical system,CPS)[10],例如智能電網(wǎng)[11]、水利[12]、核能[13]等,加之這些領(lǐng)域?qū)π畔踩难芯肯鄬?duì)成熟,因此,CBTC系統(tǒng)信息安全研究可參考ICS相關(guān)的研究方法及成果.

常見的信息安全評(píng)估方法有貝葉斯網(wǎng)絡(luò)、攻擊樹、Petri網(wǎng)、博弈論等.貝葉斯網(wǎng)絡(luò)[14-15]是一種將定性分析轉(zhuǎn)化為定量分析的概率網(wǎng)絡(luò),文獻(xiàn)[16]提出了一種基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全模型,從管理和技術(shù)方面綜合評(píng)估了核基礎(chǔ)設(shè)施的安全性.考慮到貝葉斯網(wǎng)絡(luò)具有解決復(fù)雜依賴性問題的優(yōu)勢(shì),文獻(xiàn)[17]利用貝葉斯網(wǎng)絡(luò)計(jì)算結(jié)果作為事件樹的輸入,分析網(wǎng)絡(luò)攻擊下核反應(yīng)堆保護(hù)系統(tǒng)的故障率,從而量化評(píng)估其信息安全能力.該方法克服了常見的概率安全評(píng)估方法在工業(yè)控制系統(tǒng)信息安全評(píng)估中的局限性.攻擊樹[18-19]可以方便直接地顯示系統(tǒng)中的資產(chǎn)或設(shè)備可能受到的攻擊類型,提供了一種以目標(biāo)為導(dǎo)向的方法來描述多階段攻擊,文獻(xiàn)[20]基于攻擊樹對(duì)節(jié)點(diǎn)重新定義,從各設(shè)備、攻擊場(chǎng)景及系統(tǒng)的脆弱性的角度對(duì)SCADA(Supervisory control and data acquisition)系統(tǒng)的安全性進(jìn)行評(píng)估,但是,該方法是一種靜態(tài)的信息安全評(píng)估方法,不能體現(xiàn)系統(tǒng)在網(wǎng)絡(luò)攻擊中狀態(tài)的變化.Petri網(wǎng)[21-22]中的變遷是一個(gè)主動(dòng)元素,可以表示事件發(fā)生、狀態(tài)改變等動(dòng)態(tài)特性,Bouchti等[23]提出了一種將靜態(tài)的攻擊樹模型擴(kuò)展為有色Petri網(wǎng)的方法,利用有色Petri網(wǎng)[24-25]的靈活性,分析網(wǎng)絡(luò)入侵的靜態(tài)和動(dòng)態(tài)特征.信息安全攻防之間構(gòu)成典型的博弈關(guān)系,使用博弈論[26-27]研究信息安全問題較為廣泛,加之許多信息安全評(píng)估方法只關(guān)注系統(tǒng)當(dāng)前的安全狀態(tài),沒有考慮未來系統(tǒng)安全狀態(tài)的變化趨勢(shì),文獻(xiàn)[28]提出了一種基于馬爾科夫博弈理論的新型風(fēng)險(xiǎn)評(píng)估模型以衡量網(wǎng)絡(luò)信息系統(tǒng)的安全性,并且能自動(dòng)生成防御方案以提高系統(tǒng)信息安全防護(hù)能力.

上述方法均從系統(tǒng)的執(zhí)行流程出發(fā),基于功能和性能對(duì)信息安全防護(hù)能力進(jìn)行評(píng)估.然而,信息安全風(fēng)險(xiǎn)總是從計(jì)算機(jī)網(wǎng)絡(luò)發(fā)起,然后在工業(yè)控制系統(tǒng)中演化,最終作用于物理系統(tǒng).上述方法難以對(duì)風(fēng)險(xiǎn)傳播過程中的系統(tǒng)性能進(jìn)行綜合刻畫.Li等[29]提出了首個(gè)衡量網(wǎng)絡(luò)結(jié)構(gòu)信息的方法,即二維結(jié)構(gòu)熵,并基于該方法提出了網(wǎng)絡(luò)阻力的概念,用以定量描述網(wǎng)絡(luò)面對(duì)病毒傳播時(shí)的抵抗能力[30],克服了傳統(tǒng)的Shannon信息熵?zé)o法充分反映網(wǎng)絡(luò)結(jié)構(gòu)信息的局限性[31].

本文基于二維結(jié)構(gòu)熵提出衡量CBTC系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)性能的方法,再結(jié)合物理域列控系統(tǒng)的運(yùn)行性能,給出了CBTC系統(tǒng)信息安全的定量描述模型,最后依托CBTC信息安全測(cè)試床對(duì)該方法的準(zhǔn)確性和有效性進(jìn)行驗(yàn)證.

1 CBTC系統(tǒng)

1.1 CBTC系統(tǒng)簡(jiǎn)介

典型的CBTC系統(tǒng)如圖1所示,核心裝備包括列車自動(dòng)監(jiān)控(Automatic train supervision,ATS)、區(qū)域控制器 (Zone controller,ZC)、計(jì)算機(jī)聯(lián)鎖(Computer interlocking,CI)、車載控制器(Vehicle on-board controller,VOBC)、數(shù)據(jù)存儲(chǔ)單元(Data storage unit,DSU)和數(shù)據(jù)通信系統(tǒng)(Data communication system,DCS).

列車運(yùn)行過程中,VOBC通過車載移動(dòng)臺(tái)(Mobile station,MS)不間斷地將列車標(biāo)識(shí)、實(shí)時(shí)位置、速度及運(yùn)行方向等信息傳輸給ZC.ZC根據(jù)接收到的列車信息以及CI監(jiān)測(cè)的線路信息實(shí)時(shí)動(dòng)態(tài)計(jì)算后車可到達(dá)的最遠(yuǎn)距離,即移動(dòng)授權(quán)(Movement authority,MA),并發(fā)給后車,后車根據(jù)接收到的MA計(jì)算列車運(yùn)行曲線并按照該曲線行駛,在這一過程中,列車到ZC和ZC到列車之間的信息交互均通過車地?zé)o線通信實(shí)現(xiàn).

1.2 CBTC系統(tǒng)的信息安全問題

目前已投入運(yùn)營(yíng)的CBTC系統(tǒng)主要采用基于IEEE 802.11協(xié)議族的無線局域網(wǎng)作為車地通信的主要制式.為提升信息化和自動(dòng)化程度,CBTC系統(tǒng)采用大量數(shù)字化和信息化組件,包括Windows和VxWorks等操作系統(tǒng)、通用計(jì)算機(jī)、標(biāo)準(zhǔn)通信協(xié)議等.然而,隨著系統(tǒng)組件漏洞的逐漸披露,CBTC系統(tǒng)面臨著日益嚴(yán)峻的信息安全風(fēng)險(xiǎn).一旦系統(tǒng)被惡意入侵,漏洞被利用,列車會(huì)被迫緊急制動(dòng),降低系統(tǒng)運(yùn)行效率,影響正常行車秩序.

圖1 CBTC系統(tǒng)結(jié)構(gòu)Fig.1 CBTC systems

CBTC系統(tǒng)的典型信息安全風(fēng)險(xiǎn)包括:1)網(wǎng)絡(luò)設(shè)備的工作機(jī)制、配置等信息安全隱患可能被內(nèi)部及外部威脅利用,例如常用的防火墻設(shè)備的包過濾機(jī)制存在缺陷,可導(dǎo)致防火墻被穿透;2)核心、匯聚交換機(jī)承載著極高的數(shù)據(jù)流量,在突發(fā)異常數(shù)據(jù)或攻擊時(shí),極易造成設(shè)備負(fù)載過重而宕機(jī);3)操作系統(tǒng)漏洞會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行、緩沖區(qū)溢出、拒絕服務(wù)、信息泄露、未授權(quán)訪問以及獲取權(quán)限等,均可給城市軌道交通的高效運(yùn)營(yíng)帶來極大隱患;4)WLAN工作在ISM頻段,易受到干擾,其認(rèn)證、加密等關(guān)鍵技術(shù)相對(duì)陳舊,車地信息的傳輸存在被竊聽甚至篡改的風(fēng)險(xiǎn),對(duì)行車效率造成威脅.

實(shí)際上,CBTC系統(tǒng)的安全苛求特征決定系統(tǒng)具有比較完善的安全功能防護(hù)措施,包括故障導(dǎo)向安全機(jī)制、容錯(cuò)架構(gòu)設(shè)計(jì)、冗余設(shè)置、安全協(xié)議等.然而,功能安全保障措施并非專為信息安全設(shè)計(jì),既有措施對(duì)信息安全風(fēng)險(xiǎn)的約束以及信息安全風(fēng)險(xiǎn)造成的影響仍需要精確、全面評(píng)估.

2 CBTC系統(tǒng)信息安全評(píng)估方法

信息物理系統(tǒng)中,信息安全威脅和系統(tǒng)漏洞組合作用于信息域的網(wǎng)絡(luò)節(jié)點(diǎn)或鏈路,進(jìn)而會(huì)引起物理域列車運(yùn)行狀態(tài)的變化,從而帶來軌道交通運(yùn)營(yíng)服務(wù)性能的降低.綜合描述物理域和信息域的性能是對(duì)CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的核心,本文引入結(jié)構(gòu)信息熵對(duì)計(jì)算機(jī)網(wǎng)絡(luò)在信息安全風(fēng)險(xiǎn)下的整體性能進(jìn)行描述和分析,繼而充分考慮物理域列車控制性能,實(shí)現(xiàn)對(duì)CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)的綜合評(píng)價(jià).

2.1 二維結(jié)構(gòu)熵

Shannon提出的熵是關(guān)于不確定性的一種度量,結(jié)構(gòu)信息熵可用來描述復(fù)雜系統(tǒng)結(jié)構(gòu)的屬性.網(wǎng)絡(luò)的結(jié)構(gòu)信息能夠較好地定義網(wǎng)絡(luò)交互、網(wǎng)絡(luò)通信以及網(wǎng)絡(luò)演變等網(wǎng)絡(luò)結(jié)構(gòu)的動(dòng)態(tài)復(fù)雜性,對(duì)網(wǎng)絡(luò)理論的發(fā)展至關(guān)重要[32].因此,借助于二維結(jié)構(gòu)熵可描述計(jì)算機(jī)網(wǎng)絡(luò)在信息安全風(fēng)險(xiǎn)下的狀態(tài)變化.

2.1.1 二維結(jié)構(gòu)熵的定義

給定一個(gè)由n個(gè)節(jié)點(diǎn)和m條邊組成的連通的加權(quán)網(wǎng)絡(luò)G=(V,E),V和E分別是網(wǎng)絡(luò)G中所有節(jié)點(diǎn)和所有邊的集合,將V劃分為L(zhǎng)個(gè)模塊,每個(gè)模塊用Xj表示,則P={X1,X2,···,XL}可看作G的劃分.由于P的存在,確定G中任意一點(diǎn)v∈V都需要確定v所在的模塊的標(biāo)識(shí)j和v在相應(yīng)模塊Xj中的節(jié)點(diǎn)標(biāo)識(shí)i.基于劃分P,給出網(wǎng)絡(luò)G的二維結(jié)構(gòu)熵的定義,如下:

H2(G)是一個(gè)二項(xiàng)式,第1項(xiàng)表示在模塊Xj中確定任意節(jié)點(diǎn)v所需要的信息量;第2項(xiàng)表示在G中,確定某一模塊X所需的信息量.其中,每個(gè)模塊可由與其相連的其他模塊中的節(jié)點(diǎn)訪問.因此,二維結(jié)構(gòu)熵包含了各個(gè)模塊內(nèi)部節(jié)點(diǎn)的信息和各模塊之間的信息,反映了系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特性.

2.1.2 CBTC系統(tǒng)二維結(jié)構(gòu)熵的特點(diǎn)

CBTC系統(tǒng)的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備構(gòu)成了典型的計(jì)算機(jī)網(wǎng)絡(luò),設(shè)備之間存在復(fù)雜的數(shù)據(jù)交互.由于城市軌道交通站間距離短,所以CBTC裝備分布密度高,同時(shí)系統(tǒng)的冗余和容錯(cuò)設(shè)置也使得網(wǎng)絡(luò)中的設(shè)備數(shù)量眾多.鑒于安全等級(jí)需求和工作模式的不同,數(shù)據(jù)交互的承載方式有所不同,傳輸協(xié)議和傳輸媒介存在差異.

二維結(jié)構(gòu)熵定義中圖的頂點(diǎn)和邊均是一致的,而CBTC網(wǎng)絡(luò)中的節(jié)點(diǎn)和通信鏈路有一定的差異性,因此對(duì)網(wǎng)絡(luò)拓?fù)涞捻旤c(diǎn)和邊的屬性的差異性需要針對(duì)性描述.本文使用加權(quán)網(wǎng)絡(luò)對(duì)CBTC網(wǎng)絡(luò)拓?fù)涞捻旤c(diǎn)和邊進(jìn)行加權(quán)處理.

1)邊權(quán)重

網(wǎng)絡(luò)拓?fù)渲械倪吋礊橥ㄐ沛溌?CBTC系統(tǒng)中,通信鏈路以有線和無線兩種形式呈現(xiàn).有線網(wǎng)即為骨干網(wǎng),采用數(shù)字同步序列、彈性分組網(wǎng)或基于交換技術(shù)的環(huán)網(wǎng),地面設(shè)備通過骨干網(wǎng)基于TCP/IP通信協(xié)議交互數(shù)據(jù);無線是地面設(shè)備與車載設(shè)備的雙向數(shù)據(jù)傳輸方式,主要承載列車和地面控制中心的信息交互.考慮到數(shù)據(jù)傳輸?shù)陌踩枨蟛煌?不同通信鏈路采用不同的應(yīng)用層傳輸協(xié)議.典型的CBTC系統(tǒng)安全通信協(xié)議包括RSSP-I、RSSP-II以及私有協(xié)議等,不同協(xié)議的安全防護(hù)能力不同,各自的權(quán)重值也不同.類似地,考慮到通信鏈路的本質(zhì)物理屬性,有線網(wǎng)和無線網(wǎng)的抗干擾能力及安全防護(hù)能力不同,各自的權(quán)重值也不同.

2)節(jié)點(diǎn)權(quán)重

CBTC系統(tǒng)主要的通信節(jié)點(diǎn)有安全計(jì)算機(jī)、工控機(jī)、服務(wù)器、網(wǎng)絡(luò)交換機(jī)、網(wǎng)關(guān)等,根據(jù)功能定位的不同,內(nèi)置的操作系統(tǒng)也不同,主要有WindowsXP、Windows7、Windows Server以及VxWorks等.鑒于設(shè)備類型、設(shè)備配置及使用的操作系統(tǒng)等的多樣性,每個(gè)設(shè)備的安全隱患有所不同,例如使用防火墻及強(qiáng)登錄密碼的設(shè)備的安全性要高于未設(shè)置防火墻及身份驗(yàn)證的設(shè)備;Windows操作系統(tǒng)的漏洞一般遠(yuǎn)多于VxWorks系統(tǒng);相同操作系統(tǒng)的設(shè)備的漏洞數(shù)目、嚴(yán)重程度也可能不同等.因此,在構(gòu)建CBTC網(wǎng)絡(luò)拓?fù)鋱D時(shí),需要考慮通信節(jié)點(diǎn)的安全性差異從而給各個(gè)頂點(diǎn)賦權(quán)重,權(quán)值的大小取決于設(shè)備現(xiàn)有的安全措施、是否存在異常、漏洞情況等.

一般而言,邊的安全性越低,與其連接的節(jié)點(diǎn)被入侵的可能性越高,但是節(jié)點(diǎn)被入侵的可能性還取決于節(jié)點(diǎn)自身的特性.如果節(jié)點(diǎn)本身安全性很高,即便與其相連的邊易被入侵,該節(jié)點(diǎn)被攻擊成功的可能性也會(huì)降低.

CBTC加權(quán)網(wǎng)絡(luò)與一般的加權(quán)網(wǎng)絡(luò)相比,除了邊被賦予權(quán)重,網(wǎng)絡(luò)的節(jié)點(diǎn)也被賦予不同的權(quán)重,因此,各節(jié)點(diǎn)的度不能僅由邊權(quán)重之和確定,應(yīng)具有其特殊性.由此,給出CBTC系統(tǒng)在節(jié)點(diǎn)度的新定義如下:

2.2 列車運(yùn)行性能

二維結(jié)構(gòu)熵衡量的是CBTC系統(tǒng)信息域網(wǎng)絡(luò)拓?fù)湓谛畔踩L(fēng)險(xiǎn)下的狀態(tài)變化,無法體現(xiàn)物理域列車的運(yùn)營(yíng)屬性,因此需要在式(1)的基礎(chǔ)上增加列車運(yùn)行性能的參數(shù).

列車按計(jì)劃正常行駛時(shí),線路的運(yùn)營(yíng)能力、列車的運(yùn)行速度和運(yùn)行距離等指標(biāo)在一定范圍內(nèi)隨時(shí)間規(guī)律變化.基于故障導(dǎo)向安全原則,為保證安全,在信息安全風(fēng)險(xiǎn)作用下,列車運(yùn)行會(huì)導(dǎo)向安全側(cè),即列車緊急停車.為了保障列車運(yùn)行的連續(xù)性和線路運(yùn)營(yíng)服務(wù)的彈性,列車停車后會(huì)進(jìn)行降級(jí)運(yùn)行,CBTC系統(tǒng)的冗余和容錯(cuò)架構(gòu)設(shè)計(jì)會(huì)使得即使在某些情況下網(wǎng)絡(luò)的拓?fù)湫阅馨l(fā)生改變,列車運(yùn)行仍不受影響.因此在衡量CBTC系統(tǒng)的信息安全風(fēng)險(xiǎn)時(shí),需要綜合考慮物理域的列控性能和信息域的網(wǎng)絡(luò)性能.

以車地通信為例,ZC與車載設(shè)備通過骨干網(wǎng)實(shí)現(xiàn)無線雙向通信,由于ZC采用2×2取2的架構(gòu),當(dāng)ZC主系故障時(shí)會(huì)自動(dòng)切到備系以確保列車仍能收到MA并正常運(yùn)行.因此,攻擊者攻擊ZC時(shí),列車運(yùn)行狀態(tài)在短時(shí)間內(nèi)不會(huì)受到影響;隨著攻擊的深入,ZC備系也故障時(shí),列車則觸發(fā)故障—安全機(jī)制,緊急制動(dòng);在制動(dòng)過程中,如果列車滿足降級(jí)運(yùn)行,即通過一個(gè)用于定位的應(yīng)答器時(shí),列車會(huì)重新啟動(dòng),由自動(dòng)駕駛模式轉(zhuǎn)換為點(diǎn)式運(yùn)行模式.如圖2所示,面臨信息安全風(fēng)險(xiǎn)時(shí),冗余設(shè)計(jì)使得CBTC系統(tǒng)具備一定的抵抗力,當(dāng)主備系均被破壞后,列車性能開始由最佳狀態(tài)快速下降直至最低點(diǎn),在保障功能安全的前提下,根據(jù)運(yùn)營(yíng)服務(wù)的需求,列車性能開始緩慢恢復(fù),最終達(dá)到新的穩(wěn)定狀態(tài).由于網(wǎng)絡(luò)攻擊前后列車駕駛模式發(fā)生改變,因此,初始的列車運(yùn)行性能狀態(tài)優(yōu)于緩慢恢復(fù)后的新的穩(wěn)定狀態(tài).

圖2 CBTC系統(tǒng)故障時(shí)的列車性能變化Fig.2 Train performance under failures of CBTC

上述過程導(dǎo)致列車的實(shí)際運(yùn)行曲線與計(jì)劃運(yùn)行曲線產(chǎn)生較大差異,圖2中的陰影部分是信息安全風(fēng)險(xiǎn)下系統(tǒng)性能的損失,可由列車實(shí)際運(yùn)行速度曲線計(jì)算得到.

其中,Ploss(t)表示t時(shí)刻列車運(yùn)行性能損失,t0表示初始時(shí)刻,vp和va分別表示列車計(jì)劃和實(shí)際運(yùn)行速度.對(duì)式(3)進(jìn)行歸一化處理可得

P(t)范圍為[0,1],值越小,表示攻擊對(duì)列車當(dāng)前時(shí)刻造成的影響越大.

2.3 CBTC系統(tǒng)信息安全模型

有效的網(wǎng)絡(luò)攻擊會(huì)對(duì)CBTC系統(tǒng)信息域的網(wǎng)絡(luò)拓?fù)湫阅茉斐芍苯佑绊?例如利用特定系統(tǒng)漏洞導(dǎo)致設(shè)備宕機(jī)繼而節(jié)點(diǎn)從網(wǎng)絡(luò)中移除,利用協(xié)議漏洞導(dǎo)致設(shè)備通信中斷繼而使相應(yīng)節(jié)點(diǎn)之間的邊移除等.但是CBTC系統(tǒng)采取雙網(wǎng)冗余、雙機(jī)熱備等架構(gòu)設(shè)計(jì),確保了列控系統(tǒng)在一定程度上具有抵抗網(wǎng)絡(luò)攻擊的能力,即隨著網(wǎng)絡(luò)攻擊致使系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)造發(fā)生變化,但列車仍能在短時(shí)間內(nèi)保持CBTC駕駛模式正常運(yùn)行.因此,衡量CBTC系統(tǒng)的信息安全狀態(tài)需要綜合信息域網(wǎng)絡(luò)拓?fù)湫阅芗拔锢碛蛄熊囘\(yùn)行性能,繼而得到衡量CBTC系統(tǒng)信息安全的模型.

考慮到網(wǎng)絡(luò)攻擊可能使子系統(tǒng)之間通信中斷,從而導(dǎo)致系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)由連通狀態(tài)變?yōu)榉沁B通,因此,結(jié)合前面給出的CBTC系統(tǒng)在網(wǎng)絡(luò)攻擊過程中信息域及物理域的動(dòng)態(tài)評(píng)估結(jié)果,可得CBTC系統(tǒng)信息安全模型.

其中,N表示當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)中連通子圖的個(gè)數(shù),vol(Gk)表示t時(shí)刻系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)中第k個(gè)連通子圖中所有節(jié)點(diǎn)度之和,表示t時(shí)刻該連通子圖的二維結(jié)構(gòu)熵;P(t)表示t時(shí)刻列車運(yùn)行情況.

3 CBTC系統(tǒng)信息安全評(píng)估方法驗(yàn)證與分析

本節(jié)基于CBTC系統(tǒng)信息安全測(cè)試床,利用系統(tǒng)的安全隱患模擬入侵者對(duì)其進(jìn)行網(wǎng)絡(luò)攻擊.根據(jù)信息安全評(píng)估模型,構(gòu)建CBTC系統(tǒng)的網(wǎng)絡(luò)拓?fù)?分析網(wǎng)絡(luò)邊和節(jié)點(diǎn)的權(quán)重并計(jì)算網(wǎng)絡(luò)拓?fù)湫阅艿淖兓?根據(jù)列車運(yùn)行狀態(tài)計(jì)算列車性能的變化,綜合評(píng)估測(cè)試床的安全性.

3.1 CBTC系統(tǒng)信息安全測(cè)試床

CBTC系統(tǒng)信息安全測(cè)試床是基于北京地鐵7號(hào)線搭建的列控系統(tǒng)半實(shí)物仿真平臺(tái),由部分真實(shí)列控設(shè)備、仿真軟件和真實(shí)線路參數(shù)組成,模擬多列車在線路上的追蹤.

每個(gè)ZC子系統(tǒng)包含4臺(tái)使用VxWorks系統(tǒng)的處理單元(Process unit,PU)、2臺(tái)通信控制器(Communication controller,CC)以及1臺(tái)使用Windows XP系統(tǒng)的維護(hù)機(jī),構(gòu)成2×2取2的容錯(cuò)架構(gòu).當(dāng)且僅當(dāng)主系或備系中的2個(gè)PU處理結(jié)果相同時(shí),才能作為本系的最終結(jié)果,此外,每一系的CC承載著骨干網(wǎng)與ZC內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的功能,一旦CC故障,相應(yīng)的骨干網(wǎng)將無法接收來自ZC的數(shù)據(jù).

CBTC測(cè)試床網(wǎng)絡(luò)拓?fù)淙鐖D3所示.按功能結(jié)構(gòu)將拓?fù)鋱D劃分為15個(gè)子系統(tǒng):6個(gè)ZC子系統(tǒng),1個(gè)ATS子系統(tǒng),每個(gè)ZC覆蓋范圍內(nèi)的所有AP,VOBC及MS,各劃分為1個(gè)子系統(tǒng),8個(gè)CI設(shè)備作為1個(gè)子系統(tǒng),其他設(shè)備例如地面電子單元(Lineside electronic unit,LEU)和DSU等作為1個(gè)子系統(tǒng).

圖3 CBTC系統(tǒng)測(cè)試床網(wǎng)絡(luò)拓?fù)鋱DFig.3 The network topology of the CBTC test-bed

3.2 攻擊案例

為了驗(yàn)證上述方法的合理性,本文將ZC子系統(tǒng)作為攻擊目標(biāo)進(jìn)行仿真實(shí)驗(yàn).

ZC由主備兩系組成,每一系包括1臺(tái)CC和2臺(tái)PU,CC宕機(jī)后會(huì)自動(dòng)重啟,若重啟失敗,則整系宕機(jī).

根據(jù)ZC的工作原理,模擬以下攻擊過程:如圖4所示,首先攻擊者通過暴力破解無線網(wǎng)密碼侵入DCS紅網(wǎng),通過網(wǎng)絡(luò)分析獲取網(wǎng)段信息,隨后利用VxWorks操作系統(tǒng)漏洞對(duì)ZC1主系的CC1發(fā)起攻擊,導(dǎo)致CC1宕機(jī),共耗時(shí)20min;持續(xù)攻擊CC1,使其重啟失敗,則主系兩個(gè)PU同時(shí)宕機(jī),ZC1切換到備系,共耗時(shí)10min;采用同樣的方法接入藍(lán)網(wǎng),攻擊ZC1的備系,直到整個(gè)ZC1子系統(tǒng)故障.對(duì)ZC2,ZC3依次進(jìn)行上述操作.

3.3 CBTC系統(tǒng)信息安全評(píng)估結(jié)果及分析

3.3.1 網(wǎng)絡(luò)拓?fù)湫阅茏兓?/p>

系統(tǒng)的設(shè)備故障反映到網(wǎng)絡(luò)拓?fù)渲斜憩F(xiàn)為相應(yīng)的節(jié)點(diǎn)從拓?fù)渲幸瞥?因此,系統(tǒng)的網(wǎng)絡(luò)拓?fù)潆S著上述攻擊過程不斷變化.

1)節(jié)點(diǎn)權(quán)重

圖4 網(wǎng)絡(luò)攻擊過程Fig.4 The process of the network attack

節(jié)點(diǎn)的權(quán)重使用文獻(xiàn)[33]中基于攻擊樹的脆弱性評(píng)估的方法,構(gòu)建CBTC測(cè)試床的攻擊樹模型,綜合每臺(tái)設(shè)備,即每個(gè)節(jié)點(diǎn)的安全狀態(tài)、設(shè)備漏洞情況、密碼強(qiáng)度以及涉及的通信協(xié)議類型4個(gè)要素計(jì)算得到.

其中,χ表示設(shè)備當(dāng)前的安全狀態(tài),由設(shè)備滿足的網(wǎng)絡(luò)安全條件(是否存在異常、是否已采取防護(hù)措施、是否設(shè)置登錄密碼等)個(gè)數(shù)確定;vα表示綜合考慮設(shè)備的固有漏洞類型、漏洞嚴(yán)重程度以及漏洞數(shù)目的端口審計(jì)結(jié)果;vβ表示設(shè)備采取的密碼策略的強(qiáng)度;μ從不同通信協(xié)議類型可能造成設(shè)備安全程度不同的角度,考慮了通信協(xié)議對(duì)節(jié)點(diǎn)安全的影響.

圖5為CBTC測(cè)試床葉脆弱性指數(shù)的仿真結(jié)果,即各節(jié)點(diǎn)被惡意入侵的可能性大小.脆弱性指數(shù)越大,相應(yīng)設(shè)備的安全性越低,節(jié)點(diǎn)權(quán)重則越小.

圖5 節(jié)點(diǎn)脆弱性指數(shù)Fig.5 Vulnerability indexes of nodes

2)邊權(quán)重

邊的權(quán)重取決于設(shè)備之間的通信方式和通信協(xié)議的安全性,表1從數(shù)據(jù)安全性、數(shù)據(jù)包被截獲的難易程度兩個(gè)方面對(duì)通信方式和通信協(xié)議進(jìn)行量化,并綜合表征了通信鏈路的權(quán)重值.

表1 通信鏈路的安全性Table 1 Security of communication links between equipments

CBTC系統(tǒng)使用的通信協(xié)議類型有RSSP-I、私有協(xié)議以及明文,其中,RSSP-I是公開的鐵路信號(hào)安全通信協(xié)議,私有協(xié)議由廠家自定,因此,從數(shù)據(jù)安全性角度,私有協(xié)議安全性最高,RSSP-I次之,明文最弱.

DCS使用無線和有線兩種通信方式,其中,WLAN工作在公開的ISM頻段,且認(rèn)證、加密等關(guān)鍵技術(shù)相對(duì)陳舊,易被惡意入侵者破解從而接入網(wǎng)絡(luò)中,而對(duì)于有線通信方式,攻擊者往往需要接觸到相關(guān)的網(wǎng)絡(luò)設(shè)備,通過以太網(wǎng)接口、USB接口等接入網(wǎng)絡(luò),實(shí)施網(wǎng)絡(luò)攻擊的條件相對(duì)苛刻,由此,攻擊者通過無線方式侵入CBTC系統(tǒng)較有線方式更容易實(shí)現(xiàn).另外,使用不同通信協(xié)議的設(shè)備在網(wǎng)絡(luò)中的結(jié)構(gòu)、通信周期不同.鑒于這些因素,不同的通信方式下數(shù)據(jù)被截獲的難易程度不同.

3)二維結(jié)構(gòu)熵

由邊和節(jié)點(diǎn)的權(quán)重使用式(2)可得到網(wǎng)絡(luò)拓?fù)渲忻總€(gè)節(jié)點(diǎn)的度,度越大,表示攻擊者入侵相應(yīng)節(jié)點(diǎn)的難度越大,系統(tǒng)越安全,進(jìn)而根據(jù)式(1)計(jì)算得到CBTC系統(tǒng)網(wǎng)絡(luò)拓?fù)溲葑冞^程中二維結(jié)構(gòu)熵隨時(shí)間的變化,結(jié)果如圖6所示.

圖6 網(wǎng)絡(luò)攻擊下計(jì)算機(jī)網(wǎng)絡(luò)二維結(jié)構(gòu)熵的變化Fig.6 Two-dimensional structure entropy of computer network under the cyber attack

系統(tǒng)初始的二維結(jié)構(gòu)熵為3.4402,點(diǎn)A,B,C,D分別表示ZC1的CC1、主系其余設(shè)備、CC2、備系其余設(shè)備依次宕機(jī)后二維結(jié)構(gòu)熵的計(jì)算結(jié)果.其中,當(dāng)ZC子系統(tǒng)的主系以及備系的CC2故障,即ZC成為孤立子系統(tǒng)時(shí),系統(tǒng)的二維結(jié)構(gòu)熵下降明顯,當(dāng)ZC子系統(tǒng)完全故障,即相應(yīng)ZC完全從網(wǎng)絡(luò)拓?fù)渲幸瞥龝r(shí),二維結(jié)構(gòu)熵反而增加.這是由于在網(wǎng)絡(luò)攻擊的影響下,CBTC系統(tǒng)由連通圖演變?yōu)槎鄠€(gè)連通子圖的集合,二維結(jié)構(gòu)熵定義為各連通子圖的結(jié)構(gòu)熵的加權(quán)平均值,由于孤立的ZC子系統(tǒng)與系統(tǒng)其余部分沒有關(guān)聯(lián),各連通子圖的節(jié)點(diǎn)無法通過其外部的節(jié)點(diǎn)確定,因此,孤立ZC的結(jié)構(gòu)熵較小,并且子系統(tǒng)內(nèi)部使用明文通信,設(shè)備的安全性也較低,因此,系統(tǒng)的結(jié)構(gòu)熵明顯下降;而隨著ZC完全故障,整個(gè)ZC子系統(tǒng)從網(wǎng)絡(luò)結(jié)構(gòu)中移除,系統(tǒng)的結(jié)構(gòu)熵不再受ZC影響,因而增大.

從圖6中二維結(jié)構(gòu)熵的整體變化趨勢(shì)來看,隨著網(wǎng)絡(luò)攻擊逐漸深入,ZC1、ZC2和ZC3相繼故障,系統(tǒng)的網(wǎng)絡(luò)拓?fù)湫阅苷w呈現(xiàn)下降趨勢(shì).

3.3.2 列車運(yùn)行性能變化

圖7是ZC主備兩系均故障后其管轄范圍內(nèi)的單列車的速度變化曲線.

圖7 ZC故障后的列車運(yùn)行速度圖Fig.7 The speed of a train within the range of a failed ZC sub-system

正常情況下,列車以80km/h的速度運(yùn)行,假設(shè)在t1時(shí)刻,ZC主備系均故障,此時(shí),在該ZC范圍內(nèi)的列車將以0.8m/s2的減速度緊急制動(dòng),隨后經(jīng)過Δt時(shí)間的降級(jí)準(zhǔn)備后,列車重新以0.6m/s2的加速度以點(diǎn)式模式運(yùn)行,直到t2時(shí)刻達(dá)到最大運(yùn)行速度60km/h.根據(jù)式(4)可計(jì)算得到列車的性能變化.

正常工作狀態(tài)下,ZC覆蓋范圍內(nèi)的各列車的運(yùn)行性能均為1,不同ZC子系統(tǒng)故障對(duì)線路運(yùn)行能力的影響程度不同,該影響因子可由每個(gè)ZC線路覆蓋范圍的大小確定.

其中,Ci表示第i個(gè)ZC的覆蓋范圍,L表示整條線路全長(zhǎng).因此,6個(gè)ZC的影響因子依次為0.153,0.314,0.137,0.165,0.181,0.050.綜合線路中所有列車的性能變化情況,得到CBTC系統(tǒng)列車性能變化曲線,如圖8所示.

比較圖6和圖8,當(dāng)t=30min時(shí),雖然ZC1主系故障,系統(tǒng)的二維結(jié)構(gòu)熵減小,但是由于ZC的2×2取2架構(gòu),系統(tǒng)切換備系確保車地正常通信,列車運(yùn)行性能不受影響,直到t=60min,ZC1備系也故障后,列車性能開始下降,又因?yàn)橄到y(tǒng)具有故障安全機(jī)制,故障ZC覆蓋范圍內(nèi)的列車會(huì)緊急制動(dòng),當(dāng)滿足降級(jí)運(yùn)行條件時(shí)又會(huì)重新開始運(yùn)行,因此,列車運(yùn)行性能曲線呈現(xiàn)先急后緩的下降趨勢(shì).

圖8 網(wǎng)絡(luò)攻擊下列車性能Fig.8 Operation performance of trains of CBTC test-bed under the cyber attack

3.3.3 信息安全狀態(tài)評(píng)估結(jié)果

基于式(5)、圖6和圖8,得到CBTC系統(tǒng)受攻擊下整體性能的變化,根據(jù)該結(jié)果可以判斷列控系統(tǒng)當(dāng)前的信息安全狀態(tài),如圖9所示.

圖9 網(wǎng)絡(luò)攻擊下CBTC系統(tǒng)測(cè)試床的信息安全狀態(tài)Fig.9 Security of CBTC test-bed under the cyber attack

隨著ZC依次故障,CBTC測(cè)試床安全程度逐漸下降,仿真結(jié)果與預(yù)期基本相符.特別地,當(dāng)某個(gè)ZC完全故障,即整個(gè)ZC從網(wǎng)絡(luò)中移除后,系統(tǒng)的安全狀態(tài)會(huì)略微提高,這是由于每減少一個(gè)故障子系統(tǒng),通過該故障子系統(tǒng)入侵CBTC系統(tǒng)剩余部分的可能性變?yōu)?,因此,系統(tǒng)的安全程度會(huì)有所提高.

3.4 CBTC系統(tǒng)信息安全評(píng)估方法比較

文獻(xiàn)[5]采用貝葉斯攻擊圖和AHP—模糊綜合評(píng)價(jià)兩種方法分別對(duì)CBTC系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估.其中,貝葉斯攻擊圖從攻擊者的角度結(jié)合系統(tǒng)架構(gòu)、設(shè)備漏洞構(gòu)建攻擊圖模型,分析信息安全事件發(fā)生的概率及后果來衡量CBTC系統(tǒng)的風(fēng)險(xiǎn)值,但是該方法只考慮了網(wǎng)絡(luò)設(shè)備的漏洞,沒有考慮通信鏈路的特征;AHP模糊綜合評(píng)價(jià),運(yùn)用模糊理論分析AHP層次模型,并根據(jù)最大隸屬度原則確定CBTC系統(tǒng)的風(fēng)險(xiǎn)等級(jí),該評(píng)估過程需要考慮具體的攻擊類型,且對(duì)專家經(jīng)驗(yàn)、相關(guān)調(diào)研的依賴性強(qiáng),存在一定的主觀性.

本文提出的基于二維結(jié)構(gòu)熵的信息安全評(píng)估方法從攻擊影響的角度,將系統(tǒng)網(wǎng)絡(luò)拓?fù)湫阅茏鳛橐粋€(gè)衡量CBTC系統(tǒng)信息安全狀態(tài)的指標(biāo),并結(jié)合攻擊對(duì)列車運(yùn)行性能造成的損失,綜合評(píng)估CBTC系統(tǒng)信息安全狀態(tài).與貝葉斯攻擊圖相比,本文方法不僅考慮了系統(tǒng)設(shè)計(jì)架構(gòu)、設(shè)備漏洞,還考慮了設(shè)備當(dāng)前安全狀態(tài)、密碼策略以及通信方式、通信協(xié)議等特征,評(píng)估過程簡(jiǎn)單,可行性高;與AHP—模糊綜合評(píng)價(jià)方法相比,本文只考慮攻擊后果,不針對(duì)特定攻擊類型,具有普適性,且評(píng)估結(jié)果相對(duì)客觀.

4 結(jié)論

本文提出了一種定量分析CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)的方法.對(duì)CBTC網(wǎng)絡(luò)進(jìn)行建模;結(jié)合CBTC系統(tǒng)設(shè)備及設(shè)備間通信鏈路的特點(diǎn),以二維結(jié)構(gòu)熵衡量信息安全攻擊下網(wǎng)絡(luò)拓?fù)湫阅艿淖兓?考慮到CBTC系統(tǒng)的功能安全設(shè)計(jì),綜合列車運(yùn)行性能與二維結(jié)構(gòu)熵,給出了CBTC系統(tǒng)信息安全狀態(tài)的定量描述.

關(guān)于CBTC系統(tǒng)的信息安全狀態(tài)與系統(tǒng)信息域及物理域性能變化的定量關(guān)系仍需做進(jìn)一步的研究,此外,本文對(duì)列車運(yùn)行性能的定義只考慮了列車的實(shí)際運(yùn)行距離與理論運(yùn)行距離之間的差異,需要對(duì)該定義進(jìn)行更深入的分析.