基于貝葉斯攻擊圖的CBTC系統(tǒng)安全風(fēng)險(xiǎn)評估

馬洋洋，王 璇，鄺香琦，伊勝偉，謝 豐，高 洋，張 亮

(1.中國信息安全測評中心，北京 100085；2.北京交通大學(xué)軌道交通控制與安全國家重點(diǎn)實(shí)驗(yàn)室，北京 100044)

引言

隨著現(xiàn)代化城市的發(fā)展，城市路面交通壓力持續(xù)加大，各地政府重點(diǎn)發(fā)展立體交通模式，積極投身于城市軌道交通建設(shè)。城市軌道交通的安全、準(zhǔn)時(shí)、快速、運(yùn)量大、環(huán)保等優(yōu)點(diǎn)，在緩解城市道路擁堵、促進(jìn)城市交通可持續(xù)發(fā)展方面，發(fā)揮著其他交通方式無法比擬的作用，成為各國爭相發(fā)展的目標(biāo)[1]。

列控系統(tǒng)是列車運(yùn)行控制系統(tǒng)的簡稱，由地面設(shè)備和車載設(shè)備構(gòu)成，用于控制列車運(yùn)行速度、保證列車安全和高效運(yùn)行[2]，是城市軌道交通的核心。我國地鐵線路大多采用CBTC系統(tǒng)。隨著信息化與軌道交通列控系統(tǒng)自動(dòng)化的深度融合，越來越多基于TCP/IP的通信協(xié)議和接口被采用，從而實(shí)現(xiàn)了自管理信息層延伸至現(xiàn)場設(shè)備的一致性識(shí)別、通訊和控制。然而，在軌道交通越來越開放的同時(shí)，也削弱了列控系統(tǒng)與外界的隔離，來自列控系統(tǒng)外部和內(nèi)部的威脅也在逐漸增大。

在工控信息安全相關(guān)標(biāo)準(zhǔn)制定以及研究方面，國外已經(jīng)取得了較多的成果[3]，主要有定性、定量和定性定量相結(jié)合的風(fēng)險(xiǎn)評估方法[4-5]。但是針對列控系統(tǒng)的信息安全研究相對較少[6]。國內(nèi)在工控系統(tǒng)的信息安全研究方面，相關(guān)單位也已經(jīng)制定了一些標(biāo)準(zhǔn)，理論層面上相關(guān)的研究工作也在持續(xù)地推進(jìn)，主要也是從定性、定量和定性定量結(jié)合三個(gè)角度進(jìn)行研究[7-9]。對列控系統(tǒng)信息安全方面的研究也相對較少，針對列控系統(tǒng)的安全分析研究多數(shù)停留在可靠性研究[10-14]。在現(xiàn)有的評估方法研究中，以攻擊圖為代表的圖形化、結(jié)構(gòu)化的風(fēng)險(xiǎn)評估的研究，是當(dāng)前工控系統(tǒng)風(fēng)險(xiǎn)評估研究的熱點(diǎn)。對CBTC系統(tǒng)的信息安全進(jìn)行分析，將貝葉斯攻擊圖應(yīng)用到CBTC系統(tǒng)風(fēng)險(xiǎn)評估建模中，在此基礎(chǔ)上分析了列控系統(tǒng)最易發(fā)生的信息安全事件和系統(tǒng)的風(fēng)險(xiǎn)等級(jí)。

1 基于WLAN的CBTC系統(tǒng)及其安全風(fēng)險(xiǎn)簡述

1.1 基于WLAN的CBTC系統(tǒng)

城市軌道交通中應(yīng)用最廣泛的列控系統(tǒng)是CBTC系統(tǒng)。目前，城市軌道交通系統(tǒng)車地?zé)o線通信主要采用基于IEEE 802.11系列標(biāo)準(zhǔn)的WLAN技術(shù)，故本文選取基于WLAN的CBTC系統(tǒng)作為列控系統(tǒng)信息安全風(fēng)險(xiǎn)評估的研究對象。

1.2 CBTC系統(tǒng)信息安全分析

列控系統(tǒng)信息安全主要關(guān)注的是信息攻擊對列車運(yùn)營安全和運(yùn)營連續(xù)性的影響。信息安全風(fēng)險(xiǎn)評估主要涉及到資產(chǎn)、脆弱性、威脅三個(gè)要素。

1.2.1 CBTC系統(tǒng)資產(chǎn)分析

資產(chǎn)是指對組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對象[15]10-11。脆弱性、威脅等均是以資產(chǎn)為中心產(chǎn)生的，分析CBTC系統(tǒng)的資產(chǎn)需要從信息攻擊對列控系統(tǒng)的影響入手。

本文在借鑒其他文獻(xiàn)的分析方法上進(jìn)行完善，采用受影響的列車數(shù)量，從列車發(fā)生緊急制動(dòng)、安全事故兩個(gè)角度來衡量信息攻擊對列控系統(tǒng)的影響，采用資產(chǎn)重要度表示[16]，具體如下式

(1)

式中，I為資產(chǎn)重要度；Nco為發(fā)生安全事故的列車數(shù)目；Neb為緊急制動(dòng)的列車數(shù)目；Naf為受影響的列車數(shù)目，即某輛列車緊急制動(dòng)或出現(xiàn)安全事故時(shí)，后續(xù)列車受到影響而采取減速或停車的措施；N為線路上運(yùn)行列車的數(shù)目；a1、a2、a3為對應(yīng)的加權(quán)系數(shù)，為便于量化分析，此處分別取值為0.85，0.12，0.03。

1.2.2 CBTC系統(tǒng)脆弱性分析

脆弱性是資產(chǎn)自身存在的，如果未被威脅利用，脆弱性本身不會(huì)對資產(chǎn)造成損害[15]16-17。CBTC系統(tǒng)的脆弱性主要來自網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、通信傳輸三個(gè)方面。網(wǎng)絡(luò)設(shè)備的脆弱性主要來自于網(wǎng)關(guān)和交換機(jī)。在操作系統(tǒng)方面，由于列控系統(tǒng)處于24h運(yùn)行不間斷的狀態(tài)，系統(tǒng)無法進(jìn)行實(shí)時(shí)更新，也不能為已發(fā)現(xiàn)的系統(tǒng)漏洞及時(shí)打補(bǔ)丁，則系統(tǒng)勢必會(huì)存在許多的漏洞和安全隱患。在通信傳輸協(xié)議方面，列控系統(tǒng)傳輸協(xié)議有通用協(xié)議和私有協(xié)議兩類，分別面臨著兩個(gè)方面的隱患。在基于WLAN的CBTC系統(tǒng)中，車地?zé)o線傳輸是基于802.11的WLAN技術(shù)實(shí)現(xiàn)的，這項(xiàng)技術(shù)存在許多安全隱患，如數(shù)據(jù)加密算法缺陷、用戶身份認(rèn)證的缺陷等。同時(shí)有些私有協(xié)議沒有嚴(yán)格遵循安全協(xié)議標(biāo)準(zhǔn)，存在一定的隱患。

1.2.3 CBTC系統(tǒng)威脅源分析

威脅是指可能導(dǎo)致系統(tǒng)或組織的不希望事故的潛在起因[15]12-14。列控系統(tǒng)的威脅源包括內(nèi)部和外部兩部分。內(nèi)部威脅主要是列控系統(tǒng)內(nèi)部潛在的、導(dǎo)致系統(tǒng)發(fā)生信息安全事件的因素，主要來自于內(nèi)部惡意的員工根據(jù)列控系統(tǒng)的脆弱點(diǎn)和工作流程對他們能夠接觸的設(shè)備造成威脅，以及一些粗心、缺乏訓(xùn)練的員工由于無意的過失對系統(tǒng)造成的破壞[16-17]。外部威脅是指與列控系統(tǒng)內(nèi)部工作人員無關(guān)的、來自系統(tǒng)外圍的潛在風(fēng)險(xiǎn)因素，主要來自于不法乘客。列控系統(tǒng)是采用封閉的專用網(wǎng)絡(luò)，幾乎不存在與外界互聯(lián)網(wǎng)的通信，因此黑客企圖通過外界互聯(lián)網(wǎng)達(dá)到入侵列控系統(tǒng)難度極大。

2 基于貝葉斯攻擊圖的CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)評估模型

2.1 貝葉斯攻擊圖生成流程

結(jié)合列控系統(tǒng)的特點(diǎn)，得到了貝葉斯攻擊圖的六要素分別為控制組件、組件脆弱性、網(wǎng)絡(luò)連接、控制權(quán)限、攻擊者初始分布和利用規(guī)則[7，18-19]。

BAG由條件節(jié)點(diǎn)、原子攻擊節(jié)點(diǎn)、邊、節(jié)點(diǎn)概率4個(gè)元素構(gòu)成，其形式化描述為一個(gè)四元組，如式(2)所示

BAG(CPre∪CPost，A，τ，P)

(2)

式中，CPre∪CPost為貝葉斯攻擊圖的條件節(jié)點(diǎn)集；A為原子攻擊節(jié)點(diǎn)集，集合中每個(gè)元素a為攻擊者利用組件的脆弱性發(fā)動(dòng)一次攻擊，為利用原子發(fā)動(dòng)一次攻擊必須具備的前提條件集；τ為貝葉斯攻擊圖的有向邊集合，且，表示貝葉斯攻擊圖中的條件依賴關(guān)系，如圖1所示，表示后置節(jié)點(diǎn)依賴于原子節(jié)點(diǎn)；P為節(jié)點(diǎn)的局部條件概率函數(shù)集，集合中的每個(gè)元素是BAG每一個(gè)節(jié)點(diǎn)的概率分布，通常采用條件概率分布表表示。

圖1 攻擊圖實(shí)例

貝葉斯攻擊圖中，通常用橢圓表示原子攻擊節(jié)點(diǎn)，矩形表示前置條件節(jié)點(diǎn)、后置條件節(jié)點(diǎn)。攻擊圖生成流程如下。

(1)分析列控系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及脆弱性信息，提取貝葉斯攻擊圖要素：網(wǎng)絡(luò)連接Connecti、攻擊者初始分布Attackeri、利用規(guī)則AtRulei，分別建立網(wǎng)絡(luò)連接隊(duì)列Qc、攻擊者初始分布隊(duì)列Qa、利用規(guī)則隊(duì)列QaR。

(2)判斷隊(duì)列Qa是否為空，若為空，則流程結(jié)束；否則，從隊(duì)列Qa中取一個(gè)元素Attackeri，作為一條攻擊路徑的起點(diǎn)，根據(jù)Attackeri的IP地址aipi，在Qc中查詢與該節(jié)點(diǎn)有連接關(guān)系的組件，建立隊(duì)列Qh。

(3)判斷隊(duì)列Qh是否為空，若為空，則轉(zhuǎn)向步驟(2)；否則，從隊(duì)列Qh中取一個(gè)與Attackeri節(jié)點(diǎn)有連接關(guān)系的節(jié)點(diǎn)Hostk，在隊(duì)列Qv查詢組件Hostk的脆弱性。

(4)判斷隊(duì)列Qv是否為空，若為空，則轉(zhuǎn)向步驟(3)；否則，從隊(duì)列Qv中取一個(gè)脆弱性節(jié)點(diǎn)Vulj，在規(guī)則庫QaR中，查詢是否滿足該脆弱性的利用規(guī)則，若不滿足則舍棄，轉(zhuǎn)向(4)，否則生成新的攻擊圖原子節(jié)點(diǎn)aj及對應(yīng)的前置條件節(jié)點(diǎn)CPre(aj)和后置條件節(jié)點(diǎn)CPost(aj)。

(5)判斷后置節(jié)點(diǎn)所取得的權(quán)限Result-Ctr是否為0，若是，則該條攻擊路徑生成完畢，轉(zhuǎn)向步驟(2)；否則，轉(zhuǎn)向步驟(4)。

2.2 CBTC系統(tǒng)風(fēng)險(xiǎn)評估建模

針對CBTC的子系統(tǒng)，分析系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提取系統(tǒng)的脆弱性信息，結(jié)合貝葉斯攻擊圖生成流程，構(gòu)建BAG模型，基于模型分析系統(tǒng)的信息安全事件。ATS子系統(tǒng)是CBTC系統(tǒng)的一個(gè)重要組成部分，負(fù)責(zé)對全線的監(jiān)督和管理，是CBTC的上層管理系統(tǒng)，因此以ATS子系統(tǒng)為例進(jìn)行建模。

(1)ATS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及脆弱性提取

圖2為某信號(hào)廠商的調(diào)度工作站及網(wǎng)關(guān)計(jì)算機(jī)的網(wǎng)絡(luò)拓?fù)鋱D，調(diào)度工作站采用雙機(jī)結(jié)構(gòu)分別接在ATS黃綠網(wǎng)上，一系故障時(shí)，另一系將會(huì)無條件自動(dòng)頂替故障單元運(yùn)行；車站設(shè)備是指連在ATS網(wǎng)上的聯(lián)鎖上位機(jī)等設(shè)備；網(wǎng)關(guān)計(jì)算機(jī)采用雙機(jī)結(jié)構(gòu)，一系連接在ATS網(wǎng)和紅網(wǎng)，另一系連接在ATS網(wǎng)和藍(lán)網(wǎng)。

圖2 ATS系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

采用Nessus漏洞掃描軟件對調(diào)度工作站、網(wǎng)關(guān)計(jì)算機(jī)組件掃描，得到脆弱性信息如表1所示。

表1 ATS系統(tǒng)脆弱性列表

(2)ATS貝葉斯攻擊圖模型

調(diào)度工作站的貝葉斯攻擊圖模型見圖3。調(diào)度工作站工作過程中，一系故障時(shí)，另一系將無條件頂替故障機(jī)投入使用。鑒于這個(gè)特點(diǎn)，構(gòu)建BAG模型中引入了熱備檢測門HSP節(jié)點(diǎn)。當(dāng)檢測到連接的兩個(gè)分支均斷開時(shí)，HSP節(jié)點(diǎn)將阻斷外界的接入，由該系統(tǒng)利用漏洞入侵CBTC其他子系統(tǒng)的攻擊路徑也將由此斷開，此時(shí)系統(tǒng)對外表現(xiàn)故障。

圖3 控制中心調(diào)度工作站貝葉斯攻擊圖模型

內(nèi)部惡意工作人員通常會(huì)采取直接入侵調(diào)度工作站或網(wǎng)關(guān)計(jì)算機(jī)的方式。考慮由CBTC其他子系統(tǒng)利用漏洞入侵ATS調(diào)度工作站的情況，其接口有以下幾種：

①從聯(lián)鎖上位機(jī)入侵調(diào)度工作站I系入口UD1、Ⅱ系的入口UD2，合用UD12表示；

②從聯(lián)鎖維護(hù)機(jī)入侵到調(diào)度工作站I系入口WD1、Ⅱ系的入口WD2，合用WD12表示。

通過調(diào)度工作站下發(fā)的指令首先到達(dá)聯(lián)鎖上位機(jī)，經(jīng)其處理后由網(wǎng)關(guān)計(jì)算機(jī)發(fā)送給聯(lián)鎖機(jī)?？紤]由調(diào)度工作站入侵到CBTC其他子系統(tǒng)的可能，其接口有：從調(diào)度工作站入侵聯(lián)鎖上位機(jī)I系入口為DU1，Ⅱ系入口DU2，合用DU12表示。

由圖2可知，網(wǎng)關(guān)計(jì)算機(jī)的Ⅰ、Ⅱ系均與ATS雙網(wǎng)相連，為了體現(xiàn)這個(gè)特點(diǎn)，網(wǎng)關(guān)計(jì)算機(jī)BAG模型中引入了綠網(wǎng)省略子圖、FDEP節(jié)點(diǎn)、HSP節(jié)點(diǎn)，見圖4。其中，綠網(wǎng)的攻擊圖結(jié)構(gòu)與黃網(wǎng)所在的攻擊圖結(jié)構(gòu)相同，此處采用綠網(wǎng)省略子圖表示；當(dāng)HSP節(jié)點(diǎn)檢測到Ⅰ、Ⅱ系分支均中斷時(shí)，將阻斷外界的接入，表明Ⅰ、Ⅱ系均已故障。經(jīng)分析可知，此時(shí)綠網(wǎng)一支也應(yīng)處于中斷狀態(tài)。這是因?yàn)樾畔⒐魧?dǎo)致主機(jī)宕機(jī)的同時(shí)，會(huì)同時(shí)影響到綠、黃網(wǎng)兩個(gè)分支，故引入FDEP節(jié)點(diǎn)。當(dāng)它檢測到連接的任一分支中斷，阻斷外界接入，系統(tǒng)對外表現(xiàn)為故障。BAG中，節(jié)點(diǎn)C23表示入侵者取得網(wǎng)關(guān)計(jì)算機(jī)I的All權(quán)限。

考慮到由CBTC其他子系統(tǒng)利用漏洞入侵到ATS網(wǎng)關(guān)計(jì)算機(jī)的可能，其接口有以下幾種：

①從聯(lián)鎖上位機(jī)入侵到網(wǎng)關(guān)計(jì)算機(jī)Ⅰ系入口UG1、網(wǎng)關(guān)計(jì)算機(jī)Ⅱ系的入口UG2，合用UG12表示；

②從聯(lián)鎖機(jī)入侵到網(wǎng)關(guān)計(jì)算機(jī)Ⅰ系入口LS1、Ⅱ系入口LS2，合用LS12表示；

③從ZC入侵到網(wǎng)關(guān)計(jì)算機(jī)Ⅰ系入口ZS1、Ⅱ系入口ZS2，合用ZS12表示；

④從車載ATP入侵網(wǎng)關(guān)計(jì)算機(jī)Ⅰ系入口PS1、Ⅱ系入口PS2，合用PS12表示；

⑤從聯(lián)鎖維護(hù)機(jī)入侵到網(wǎng)關(guān)計(jì)算機(jī)Ⅰ系的入口WG1、Ⅱ系的入口為WG2，合用WG12表示。

考慮由網(wǎng)關(guān)計(jì)算機(jī)入侵到CBTC其他子系統(tǒng)的可能，其接口有以下幾種：

①從網(wǎng)關(guān)計(jì)算機(jī)入侵到聯(lián)鎖上位機(jī)Ⅰ系的入口GU1、Ⅱ系的入口為GU2，合用GU12表示；

②從網(wǎng)關(guān)計(jì)算機(jī)入侵聯(lián)鎖機(jī)CC1入口SL1、CC2入口SL2，合用SL12表示；

③從網(wǎng)關(guān)計(jì)算機(jī)入侵ZC的CC1入口SZ1、CC2入口SZ2，合用SZ12表示；

④從網(wǎng)關(guān)計(jì)算機(jī)入侵到一端的車載ATP的入口SP1、另一端車載ATP的入口為SP2，合用SP12表示。

由于網(wǎng)關(guān)計(jì)算機(jī)同時(shí)接三張網(wǎng)，可以通過網(wǎng)關(guān)計(jì)算機(jī)的I/II系入侵到II/I系，對應(yīng)的入口分別為SS1、SS2，合稱SS12，由此可以實(shí)現(xiàn)一系到另一系的攻擊。

圖4 控制中心網(wǎng)關(guān)計(jì)算機(jī)貝葉斯攻擊圖模型

由調(diào)度工作站BAG模型提取攻擊路徑如表2所示。表2中“< >”表示條件滿足時(shí)，利用原子攻擊節(jié)點(diǎn)發(fā)動(dòng)一次原子攻擊，路徑編號(hào)1是內(nèi)部惡意工作人員入侵該系統(tǒng)的攻擊路徑，2是從CBTC其他子系統(tǒng)入侵到該系統(tǒng)的攻擊路徑，3表示內(nèi)部惡意工作人員從該系統(tǒng)入侵CBTC其他系統(tǒng)的接口所在路徑。

由網(wǎng)關(guān)計(jì)算機(jī)BAG模型提取攻擊路徑如表3所示，路徑編號(hào)4、6分別是黑客、內(nèi)部惡意工作人員入侵網(wǎng)關(guān)計(jì)算機(jī)的攻擊路徑，5、7表示由一系入侵到另一系的接口所在路徑，8表示由網(wǎng)關(guān)計(jì)算機(jī)一系入侵到另一系的攻擊路徑，9表示由CBTC其他子系統(tǒng)入侵網(wǎng)關(guān)計(jì)算機(jī)的攻擊路徑，10、11分別表示黑客、內(nèi)部惡意工作人員企圖通過該系統(tǒng)入侵CBTC其他系統(tǒng)的接口所在路徑。綠網(wǎng)省略子圖的攻擊路徑分析類似，此處不再分析。

表2 控制中心調(diào)度工作站的攻擊路徑

表3 控制中心網(wǎng)關(guān)計(jì)算機(jī)攻擊路徑

分析攻擊對CBTC系統(tǒng)的影響，不僅需要考慮入侵的攻擊路徑，還需結(jié)合對組件脆弱性的利用方式。綜合分析對列控系統(tǒng)的影響見表4。

表4 ATS系統(tǒng)安全事件分析

表4中“∨”表示“或”的關(guān)系，“∧”表示“與”的關(guān)系，符號(hào)兩側(cè)的數(shù)據(jù)表示攻擊路徑編號(hào)，字母表示在取得目標(biāo)主機(jī)權(quán)限下，脆弱性利用方式，“E”表示緊急制動(dòng)事件，“S”表示安全事故。

破壞ATS調(diào)度工作站、網(wǎng)關(guān)計(jì)算機(jī)的兩系便可引發(fā)列車緊急制動(dòng)。故可選取攻擊路徑1、2、4、6、8、9中的任一條，采用重啟主機(jī)的方式，結(jié)合對應(yīng)的子圖/圖簇采取同樣操作，便可導(dǎo)致列車緊急制動(dòng)。攻擊者在成功實(shí)施對Ⅰ/Ⅱ系的攻擊后，更傾向于在同一張ATS網(wǎng)下發(fā)動(dòng)對Ⅱ/Ⅰ系攻擊，故組合攻擊路徑時(shí)，在圖簇、省略子圖節(jié)點(diǎn)均存在的條件下，不再對黃、綠網(wǎng)的攻擊路徑組合分析。

2.3 CBTC系統(tǒng)信息安全分析

計(jì)算CBTC系統(tǒng)的信息安全風(fēng)險(xiǎn)值時(shí)，分別對黑客、內(nèi)部惡意工作人員發(fā)起的信息攻擊單獨(dú)分析。

以黑客入侵CBTC第i個(gè)系統(tǒng)為例，在第i個(gè)系統(tǒng)中引發(fā)m個(gè)安全事件，在mi中選取風(fēng)險(xiǎn)值最大的作為第i子系統(tǒng)的風(fēng)險(xiǎn)值Riskii；以該系統(tǒng)為跳板入侵到第j個(gè)系統(tǒng)，在第j個(gè)系統(tǒng)中引發(fā)mj個(gè)安全事件，在mj中選取風(fēng)險(xiǎn)值最大的作為第j子系統(tǒng)的風(fēng)險(xiǎn)值Riskij，如式(2)所示。以上述兩者之和，作為黑客入侵第i個(gè)系統(tǒng)時(shí)，CBTC系統(tǒng)的風(fēng)險(xiǎn)值，如式(3)所示：

Riskij=max{Riskijk,k=0,1,…,mj}

(2)

(3)

式中，i=j是一個(gè)特例，此時(shí)Riskii=Riskij，表示首次入侵第i個(gè)系統(tǒng)的風(fēng)險(xiǎn)值，Riskijk表示mj個(gè)信息安全風(fēng)險(xiǎn)事件中的第k個(gè)事件的風(fēng)險(xiǎn)值。

同理可得，惡意工作人員入侵第i個(gè)系統(tǒng)時(shí)，CBTC系統(tǒng)的風(fēng)險(xiǎn)值riskij如下

riskij=max{riskijk,k=0,1,…,mj}

(4)

(5)

式中，i表示內(nèi)部惡意工作人員首次入侵的子系統(tǒng)，j表示內(nèi)部惡意工作人員以第i個(gè)子系統(tǒng)為跳板入侵到的第j個(gè)子系統(tǒng)，riskij表示由第i個(gè)系統(tǒng)入侵到第j個(gè)系統(tǒng)的最大風(fēng)險(xiǎn)值；i=j是一個(gè)特例，此時(shí)riskii=riskij表示首次入侵系統(tǒng)的風(fēng)險(xiǎn)值，riskijk表示m’j個(gè)信息安全風(fēng)險(xiǎn)事件中的第k個(gè)事件的風(fēng)險(xiǎn)值。

本文分析過程中，黑客入侵CBTC四個(gè)子系統(tǒng)ATS、ZC、CI、車載ATP時(shí)，取系統(tǒng)的最大風(fēng)險(xiǎn)值作為黑客入侵CBTC系統(tǒng)的風(fēng)險(xiǎn)值即max{Risk1，Risk2，Risk3，Risk4}，同理，內(nèi)部惡意工作人員入侵CBTC系統(tǒng)的風(fēng)險(xiǎn)值為max{risk1，risk2，risk3，risk4}，則CBTC系統(tǒng)的風(fēng)險(xiǎn)值Risk為

Risk=max{Risk1，Risk2，Risk3，Risk4}+

max{risk1，risk2，risk3，risk4}

(6)

其中，Risk1、Risk2、Risk3、Risk4分別表示黑客從車地?zé)o線通信首次入侵ATS、ZC、CI、車載ATP，并以其為跳板發(fā)動(dòng)入侵CBTC其他子系統(tǒng)時(shí)，CBTC系統(tǒng)的風(fēng)險(xiǎn)值；risk1、risk2、risk3、risk4分別表示內(nèi)部惡意工作人員首次入侵ATS、ZC、CI、車載ATP，并以其為跳板入侵CBTC其他子系統(tǒng)時(shí)，CBTC系統(tǒng)的風(fēng)險(xiǎn)值。

3 CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)評估結(jié)果分析

3.1 CBTC系統(tǒng)最易發(fā)生信息安全事件的選取

以CBTC子系統(tǒng)ATS為例，通過深入分析BAG節(jié)點(diǎn)的量化、脆弱性利用方式的選取、安全事件對列車運(yùn)行的影響、最易發(fā)生安全事件的求解四個(gè)過程，最終得出黑客、內(nèi)部惡意工作人員、以其他子系統(tǒng)為跳板三種入侵ATS方式中，系統(tǒng)最易發(fā)生的信息安全事件分別為緊急制動(dòng)1、4、7，分別通過攻擊路徑4和綠網(wǎng)省略子圖的攻擊路徑4、攻擊路徑1和綠網(wǎng)省略子圖的攻擊路徑1、攻擊路徑2和綠網(wǎng)省略子圖的攻擊路徑2，均是通過重啟系統(tǒng)的兩系來實(shí)現(xiàn)的，對應(yīng)的風(fēng)險(xiǎn)值分別為1.3539×10-4，4.2178×10-2，4.2556×10-5。

此外，內(nèi)部惡意人員入侵ATS系統(tǒng)時(shí)，在取得組件All權(quán)限的條件下，雖然最易發(fā)生的是列車緊急制動(dòng)事件，但是此時(shí)系統(tǒng)的安全事故2、3風(fēng)險(xiǎn)值也是很大的，需要警惕這類安全事件的發(fā)生。以CBTC其他子系統(tǒng)為跳板入侵ATS系統(tǒng)時(shí)，來自聯(lián)鎖上位機(jī)、維護(hù)機(jī)的風(fēng)險(xiǎn)值相對較大，需要重點(diǎn)部署防御。

3.2 CBTC系統(tǒng)風(fēng)險(xiǎn)值的分析

將ATS、ZC、CI、車載ATP分別編號(hào)為1，2，3，4。以ZC系統(tǒng)為例進(jìn)行分析。黑客入侵ZC系統(tǒng)，引發(fā)ZC系統(tǒng)最易發(fā)生的信息安全事件對應(yīng)的風(fēng)險(xiǎn)值為Risk22=1.6522×10-4，以ZC為跳板分別入侵ATS、CI、車載ATP，最易發(fā)生的信息安全事件的風(fēng)險(xiǎn)值分別為Risk21=2.157 3×10-9，Risk23=5.763 9×10-9，Risk24=3.6486×10-9，因此攻擊ZC時(shí)，CBTC系統(tǒng)的風(fēng)險(xiǎn)值為

Risk23+Risk24=1.652 3×10-4

則黑客通過車地?zé)o線環(huán)節(jié)入侵ZC，并從ZC系統(tǒng)展開攻擊時(shí)，CBTC系統(tǒng)的風(fēng)險(xiǎn)值為2.386 7×10-4。

內(nèi)部惡意工作人員攻擊ZC，系統(tǒng)最易發(fā)生的信息安全事件對應(yīng)的風(fēng)險(xiǎn)值為risk22=3.901 1×10-2，以ZC為跳板入侵ATS、CI、車載ATP時(shí)，對應(yīng)的最易發(fā)生的信息安全事件的風(fēng)險(xiǎn)值分別為risk21=3.595 5×10-7，risk23=1.327 6×10-6，risk24=6.081 0×10-8，則由公式(5)可知

3.901 3×10-2

惡意工作人員從ZC子系統(tǒng)開展攻擊時(shí)，CBTC系統(tǒng)風(fēng)險(xiǎn)值為3.901 3×10-2。

同理可得，黑客通過車地?zé)o線通信環(huán)節(jié)入侵ATS、CI、車載ATP，并從其展開攻擊時(shí)，對應(yīng)的CBTC系統(tǒng)的信息安全風(fēng)險(xiǎn)值分別為Risk1=1.355 2×10-4，Risk3=1.532 2×10-4，Risk1=2.123 7×10-5；內(nèi)部惡意工作人員入侵ATS、CI，對應(yīng)的CBTC系統(tǒng)的信息安全風(fēng)險(xiǎn)值分別為risk1=4.224×10-2，risk3=5.067 8×10-2，由于不考慮內(nèi)部惡意工作人員入侵車載ATP的過程，則risk4=0；CBTC系統(tǒng)的風(fēng)險(xiǎn)值為

Risk=max{Risk1，Risk2，Risk3，Risk4}+

max{risk1，risk2，risk4}=5.084×10-2

綜上，考慮到黑客和內(nèi)部惡意工作人員的入侵，CBTC的風(fēng)險(xiǎn)值為5.084×10-2。

本文參考文獻(xiàn)[20-21]的風(fēng)險(xiǎn)等級(jí)劃分如表5所示。表5中R為所評估系統(tǒng)的風(fēng)險(xiǎn)值。通過上述計(jì)算可知，CBTC系統(tǒng)的風(fēng)險(xiǎn)值為0.050 84，系統(tǒng)的風(fēng)險(xiǎn)等級(jí)為1，故認(rèn)為CBTC系統(tǒng)處于安全狀態(tài)。

表5 風(fēng)險(xiǎn)等級(jí)劃分

4 結(jié)語

在對傳統(tǒng)工控系統(tǒng)信息安全標(biāo)準(zhǔn)進(jìn)行分析的基礎(chǔ)上，從資產(chǎn)、脆弱性、威脅源三個(gè)角度分析了CBTC系統(tǒng)的信息安全風(fēng)險(xiǎn)，將貝葉斯攻擊圖應(yīng)用到CBTC系統(tǒng)風(fēng)險(xiǎn)評估建模中，并以ATS子系統(tǒng)為例，通過分析其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和提取脆弱性信息，從入侵的攻擊路徑和對組件脆弱性的利用方式兩個(gè)方面進(jìn)行考慮，結(jié)合貝葉斯攻擊圖生成流程構(gòu)建BAG模型，通過擴(kuò)充BAG模型的節(jié)點(diǎn)來更好地描述系統(tǒng)特點(diǎn)并且根據(jù)模型得到ATS子系統(tǒng)最易發(fā)生的信息安全事件。同時(shí)提出了CBTC系統(tǒng)的信息安全風(fēng)險(xiǎn)值的計(jì)算方法，得到在考慮黑客和內(nèi)部惡意工作人員的入侵的情況下CBTC系統(tǒng)的風(fēng)險(xiǎn)等級(jí)。