鐵路信號系統(tǒng)區(qū)域邊界信息安全風(fēng)險評估

宋紹華

（中鐵第四勘察設(shè)計院集團有限公司，武漢 430063）

1 鐵路信號系統(tǒng)

鐵路信號系統(tǒng)是鐵路上為保證行車安全、調(diào)車安全、提高火車通過能力以及列車編組解體能力，從而使用的提高工作人員勞動效率的設(shè)備總稱。其主要包括信號集中監(jiān)測網(wǎng)、信號安全數(shù)據(jù)網(wǎng)、調(diào)度集中網(wǎng)、車載設(shè)備、無線網(wǎng)絡(luò)以及其中包含的軟硬件設(shè)備。鐵路信號系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 鐵路信號系統(tǒng)Fig.1 Railway signal system

鐵路信號系統(tǒng)屬于工業(yè)控制系統(tǒng)范疇，是鐵路運輸?shù)谋Ｕ?。如果針對鐵路信號系統(tǒng)進行網(wǎng)絡(luò)攻擊，將會產(chǎn)生巨大的經(jīng)濟損失和人員傷亡，并造成巨大的社會影響，所以應(yīng)該對鐵路信號系統(tǒng)信息安全風(fēng)險進行評估，梳理出重點防護的對象。而根據(jù)鐵路信號系統(tǒng)的封閉和隔離特性，首先應(yīng)該對其進行區(qū)域邊界防護，并針對鐵路信號系統(tǒng)區(qū)域邊界防護進行風(fēng)險分析。

2 鐵路信號系統(tǒng)區(qū)域邊界安全要求和防護對象

根據(jù)《 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）和鐵路信號系統(tǒng)的重要程度評估，按照四級等級保護和工業(yè)控制系統(tǒng)擴展要求來對鐵路信號系統(tǒng)進行定級分析。根據(jù)四級等級保護制度和工業(yè)控制系統(tǒng)擴展要求對鐵路信號系統(tǒng)區(qū)域邊界進行分析后的安全要求如圖2所示。

圖2 鐵路信號系統(tǒng)區(qū)域邊界安全要求Fig.2 Requirements for regional boundary security of railway signal systems

根據(jù)分析，鐵路信號系統(tǒng)區(qū)域邊界安全要求主要包括邊界防護、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證、訪問控制、撥號使用控制和無線使用控制7個方面的安全要求。對鐵路信號系統(tǒng)進行分析和梳理，針對區(qū)域防護邊界安全要求對應(yīng)的防護對象如表1所示。

表1 鐵路信號系統(tǒng)信息安全要求和防護對象Tab1 Information security requirements and protection objects of railway signal systems

根據(jù)表1所示，鐵路信號系統(tǒng)區(qū)域邊界所包含的7個安全要求所對應(yīng)的防護對象主要包括信號安全數(shù)據(jù)網(wǎng)、調(diào)度集中網(wǎng)、安全監(jiān)測網(wǎng)中的設(shè)備和維修機、車載設(shè)備、電腦設(shè)備以及和無線通信相關(guān)的設(shè)備。通過對不同安全要求進行分析，計算不同安全要求的權(quán)重，能夠找到需要重點防護的對象以及相應(yīng)防護要求所針對的防護技術(shù)，為鐵路信號系統(tǒng)區(qū)域邊界信息安全防護提供指導(dǎo)。

3 使用層次分析法對安全區(qū)域邊界防護信息安全風(fēng)險的評估

3.1 層次分析法

層次分析法常被運用于多目標、多準則、多要素、多層次的非結(jié)構(gòu)化復(fù)雜決策問題，特別是戰(zhàn)略決策問題，可以較好地解決多要素相互關(guān)聯(lián)、相互制約的復(fù)雜系統(tǒng)的評價。

3.2 鐵路信號系統(tǒng)安全區(qū)域邊界信息安全風(fēng)險分析

根據(jù)前文分析，選取安全區(qū)域邊界風(fēng)險為層次分析法上層評估層，選取信息安全三要素可用性、完整性和保密性作為層次分析法中間層，選取鐵路信號系統(tǒng)區(qū)域邊界安全通用要求作為層次分析法下層矩陣，利用層次分析法來計算鐵路信號系統(tǒng)安全區(qū)域邊界要求權(quán)重。根據(jù)相應(yīng)的權(quán)重可以得到在鐵路信號系統(tǒng)區(qū)域邊界防護中所占權(quán)重較高的安全要求以及需要重點防護的對象。

3.2.1 層次模型建立

根據(jù)等級保護制度通用要求和信息安全三要素分析建立安全區(qū)域邊界的信息安全風(fēng)險評估層次結(jié)構(gòu)，模型如圖3所示。

圖3 安全區(qū)域邊界安全風(fēng)險評估模型Fig.3 Risk assessment model of regional boundary security

模型中每一層都與上、下層存在聯(lián)系，通過三層矩陣之間的關(guān)系矩陣，可以得到最下層矩陣相對上層矩陣的權(quán)重，從而得到下層矩陣相對上層矩陣的重要性。首先建立中間層矩陣，鐵路信號系統(tǒng)作為工業(yè)控制系統(tǒng)，可用性是其最重要的安全指標，保密性和完整性重要程度不如可用性高，根據(jù)這個原則和標準比率標度法建立的中間層矩陣如公式（1）所示。

針對鐵路信號系統(tǒng)安全區(qū)域邊界要求，相對于中間層的重要程度進行問卷調(diào)查，建立中間層和下層對比矩陣，如公式（2）、（3）、（4）所示。

為檢驗各元素重要度之間的協(xié)調(diào)性，避免矩陣中出現(xiàn)元素對比矛盾，通過公式（5）、（6）、（7）計算出所有矩陣均通過一致性比率。

3.2.2 區(qū)域邊界安全要求權(quán)重計算

根據(jù)計算得知，矩陣A的最大特征根λmax=3,歸一化特征向量為ω=[0.17, 0.33, 0.5]T。矩陣B1的最大特征根λmax=7.96，歸一化特征向量為ω1=[0.11, 0.05, 0.05, 0.04, 0.31, 0.22, 0.11,0.11]T。矩陣B2的最大特征根λmax=8，歸一化特征向量為ω2=[0.1, 0.04, 0.04, 0.18, 0.26, 0.18,0.1, 0.1]T。矩陣B3的最大特征根λmax=7.96，歸一化特征向量為ω3=[0.22, 0.22, 0.1, 0.07, 0.03,0.04, 0.1, 0.22]T。通過最下層歸一化特征向量形成的矩陣于中間層歸一化特征向量相乘，得到最下層防護要求在安全區(qū)域邊界信息安全風(fēng)險中所占的權(quán)重為ω4=[0.16, 0.14, 0.07, 0.1, 0.15, 0.12, 0.1,0.16]T，由此而知，鐵路信號系統(tǒng)安全區(qū)域邊界要求權(quán)重中較高的為邊界防護、訪問控制、入侵防范和無線使用控制4個方面。

對于鐵路信號系統(tǒng)來說，邊界防護主要存在于將信號通信網(wǎng)絡(luò)與外界相互隔離，在網(wǎng)絡(luò)接口處設(shè)置網(wǎng)關(guān)和防火墻等信息安全防護設(shè)備。主要保護對象是調(diào)度集中網(wǎng)、信號安全數(shù)據(jù)網(wǎng)和信號監(jiān)測網(wǎng)中的網(wǎng)絡(luò)設(shè)備和信號設(shè)備，同時防護避免外界通過非法途徑對網(wǎng)內(nèi)設(shè)備進行攻擊。訪問控制主要是利用IP控制等網(wǎng)絡(luò)技術(shù)手段，針對鐵路信號網(wǎng)絡(luò)中設(shè)備間通信以及維修調(diào)試進行訪問控制，切斷非法設(shè)備對網(wǎng)絡(luò)內(nèi)信號設(shè)備的訪問路徑，保護信號設(shè)備的安全，主要保護對象是安全數(shù)據(jù)網(wǎng)、調(diào)度集中網(wǎng)、安全監(jiān)測網(wǎng)中的設(shè)備和相應(yīng)的維護機器。無線控制則主要是針對GSM-R網(wǎng)絡(luò)通信和車載無線通信，通過加強無線通信的安全監(jiān)控，防止針對GSM-R網(wǎng)絡(luò)和車載無線設(shè)備來進行信號干擾或者無線攻擊，主要防護對象為車載設(shè)備和無線閉塞中心。入侵防范則使用入侵檢測技術(shù)，防范針對信號設(shè)備的網(wǎng)絡(luò)攻擊。主要防護對象是信號安全數(shù)據(jù)網(wǎng)，調(diào)度集中網(wǎng)，信號監(jiān)測網(wǎng)中的信號設(shè)備和維護設(shè)備。

4 總結(jié)

針對日益嚴重的網(wǎng)絡(luò)攻擊安全事件和國外鐵路信號系統(tǒng)信息安全攻擊事件的出現(xiàn)，鐵路信號系統(tǒng)作為鐵路安全行車的重要保障必須針對自身進行研究并提出信息安全攻擊防護方案。根據(jù)鐵路信號系統(tǒng)封閉和隔離特性，使用層次分析法對鐵路信號系統(tǒng)安全區(qū)域邊界要求進行權(quán)重分析，總結(jié)出應(yīng)該重點對邊界防護、訪問控制、入侵防范和無線使用控制4個方面使用相應(yīng)信息安全防護技術(shù)對信號安全數(shù)據(jù)網(wǎng)、調(diào)度集中網(wǎng)、信號監(jiān)測網(wǎng)中的設(shè)備和維修機、車載設(shè)備、無線閉塞中心等設(shè)備進行防護，保護鐵路信號系統(tǒng)運行穩(wěn)定。