董 宁 王 剑，2，3 蔡伯根，2，3

（1.北京交通大学 电子信息工程学院，北京 100044；2.北京交通大学 轨道交通控制与安全国家重点实验室，北京 100044；3.北京交通大学 北京市轨道交通电磁兼容与卫星导航工程技术研究中心，北京 100044）

列控中心是铁路信号系统中的核心部件，其安全性影响着铁路行车安全这个铁路运输中最关键部分。文献[1]分析了风险评估的基本流程和属性，介绍了如何对一个系统进行风险评估。文献[2]介绍了使用AHP方法对信息系统进行安全性风险评估，文献[3]～[6]介绍了AHP方法如何调整比较矩阵一致性的问题，使得矩阵一致性符合要求。

1 风险评估流程

文献[7]介绍了模糊风险评估模型，通过对风险因素建立评判集的方式通过矩阵运算获得最终权值。文献[8]介绍了通过云模型和DS证据理论对列控中心进行风险评估的方法。文献[9]介绍了基于组件和VIKOR方法决策的列控中心风险评估。本文利用FAHP方法对列控中心进行风险评估，降低AHP放在在评估中的主观因素。

风险评估是组织确定信息安全风险需求的过程，包括资产识别与评价，威胁和弱点评估，控制措施评估，风险认定在内的一系列活动。相比于普通信息系统，列控中心属于工业控制系统，工业控制系统一般包括许多现场控制设备，这些设备的差异性比较大。而对于工业控制系统来说，风险评估必须是一个整体考虑、充分规划、持续运作的过程，从系统结构方面，评估整个工业控制网络的各个逻辑层；从评估要素方面，评估包括技术、管理、运行等各个层面。列控中心风险评估流程如图1所示，整个流程包括评估准备、要素识别，风险分析和汇报验收4个阶段。一般使用层次分析法对系统进行风险评估，层次分析法对每个因素的结果进行量化分析，解决一致性问题。

图1 信息安全风险评估流程图Fig.1 Information Security Risk Assessment Flow Chart

本文在第二层和第三层中间采取模糊矩阵的方式，这样可以解决专家打分主观性问题，提高整个分析结果的客观性。

2 列控中心安全风险评估方法

2.1 列控中心介绍

列控中心（TCC）主要实现车站/区间轨道电路编码、临时限速报文实时组帧、有源应答器控制、区间方向控制等功能，并通过联锁设备向RBC提供轨道电路状态信息。根据其管辖范围内轨道电路状态、联锁进路及边界条件等信息，通过轨道电路和应答器向工作在CTCS-2级的列车提供行车许可。列控中心主要有以下功能。

1）轨道电路编码

列控中心设备控制站内和区间的轨道电路编码，并通过联锁设备把轨道电路状态信息传送给RBC，作为生成MA的依据。同时把轨道电路状态信息传送给TSRS和CTC，作为临时限速下达时机的判断依据和CTC列车位置显示的依据。

2）临时限速报文实时组帧

列控中心根据临时限速命令，结合进路信息，实时组帧，生成应答器报文，通过LEU和有源应答器发给车载设备。

3）闭塞方向控制

列控中心设备通过信号系统安全数据网，与联锁设备以及相邻车站列控中心间通信，实现站间闭塞方向的控制，并把区间状态和方向信息传送给联锁设备，联锁设备根据闭塞方向状态信息实现进路的开放和关闭。

2.2 构造层次结构

层次分析法是将决策问题按总目标、各层子目标、评价准则直至具体备投方案的顺序分解为不同层次结构，然后用求解判断矩阵特征向量的办法，求得每一层次的各元素对上一层次某元素的优先权重，最后再加权和的方法递阶归并各备择方案对总目标的最终权重，此最终权重最大者即为最优方案。

根据信息安全风险评估标准，对其中包含的威胁识别来进行风险评估，按照网络结构，系统软件，应用中间件，操作系统对列控中心可能遇到的风险进行分类并组建第二层。然后在第二层每个因素之下再进行分类，将网络结构下面划分为边界保护、内部访问策略，外部访问策略，网络设备安全配置4个因素。系统软件划分为口令策略、事件审计、物理保护、访问控制4个因素。应用中间件划分为协议安全、通信完整性、数据完整性3个因素。操作系统划分为漏洞利用、访问控制、数据审计、密码管理、鉴别控制5个因素，如图2所示。下文将对这些因素进行风险评估。

图2 安全风险层次图Fig.2 Security Risk hierarchy Chart

3 FAHP方法介绍

来对特征向量进行归一化得到权向量

W=(w1,w2,w3,……wn)，其中

然后来计算最大特征根

通过对比n阶指标即可判断一致性是否通过。

得到相对权重Wb=(wb1,wb2,wb3,……,wbn)，然后归一化后和第一层权向量相乘可得第三层权值。

4 计算举例

4.1 风险评估计算方法

然后利用式（3）求得最大特征根为4.17，利用式（4）求得一致性指标为0.05小于0.1,说明矩阵一致性没有问题。

下面计算第三层权重,令U=(u1,u2,u3,u4)分别对应边界防护，内部防伪策略，外部访问策略，网络设备安全配置4个风险因素，采用7个等级来构造评判集V=(v1,v2,v3,v4,v5,v6,v7)，依次代表可忽略，很低，低，中等，高，很高，非常高，确定其权重分别为1/28, 2/28, 3/28, 4/28, 5/28,6/28, 7/28，结合专家意见，让专家针对风险因素和评判集打分形成隶属度矩阵

通过式（5）得到的相对权重为[0.12 0.15 0.16 0.15]，通过式（6）对其归一化后再和第一层权值相乘之后得到的第三层权值为[0.015 0.020 0.020 0.018]。

类似的对于应用层中间件和操作系统，分别得到第三层的权值为[0.079 0.097 0.073]和[0.032 0.027 0.037 0.030]。

5 结语

本文利用FAHP方法对列控中心的各种组成要素进行定量的风险评估，降低了直接利用AHP方法所产生的主观性。利用所得的结果可以有针对性的对列控中心各种要素进行风险分析，对重点对象进行特殊防护，从而降低整个列控中心的风险值，保证列车正常安全运行。