基于威胁分析的高速铁路信号系统风险评估方法
2022-12-16李洪赭闫连山陈建译李赛飞徐斯润
李洪赭,闫连山,陈建译,2,李赛飞,徐斯润
(1.西南交通大学信息科学与技术学院,四川 成都 611756;2.中国铁路广州局集团有限公司,广东 广州 510088;3.安捷光通科技成都有限公司,四川 成都 611730)
高速铁路信号系统是保证列车运行安全与提高运输效率的核心,几乎覆盖所有列车可达之处,是遍布全国范围的大型网络.我国高速铁路信号系统主要由计算机联锁系统、列车运行控制系统、调度集中系统、信号集中监测系统和GSM-R (global system for mobile communications-railway)无线通信系统等组成,其中,调度集中系统和信号集中监测系统分别采用各自内部网络通信.列车运行控制系统与计算机联锁系统通过信号安全数据网络进行通信,并利用GSM-R无线通信系统与车载设备进行数据传输.因此,高速铁路信号系统不仅网络结构复杂,其对实时性、可靠性和完整性亦有极高要求,如果系统遭受网络攻击,导致控制数据的延迟、丢失甚至篡改,以及设备单点故障都将对列车行车安全造成重大影响.
历史上,高速铁路信号系统使用环境相对封闭,智能化、信息化程度较低,一般认为不存在网络入侵及病毒传播问题,更注重系统的功能实现和可靠性.随着网络信息技术发展,为实现不同系统间协同和信息共享,传统铁路和信息技术的融合越来越密切,同时也带来了新的安全风险.2016年,英国铁路系统陆续遭到4次有针对性的网络安全攻击[1]; 2017年,德国联邦铁路部分旅客服务设备受到WannaCry勒索软件感染而损坏[2]; 2018年,DDoS (distributed denial of service attack)攻击影响了丹麦铁路的票务系统[3]; 2020年,英国铁路公众WIFI网络发生信息泄漏,导致包含旅客详细信息在内的1.46亿条记录在网络上公布[4].
近年来,模糊综合评价和AHP (analytic hierarchy process)在工程风险分析中得到了广泛的研究和应用[5-7].在互联网和工控系统领域,Wu等[8]讨论了AHP在信息系统风险评估中的运用;龚斯谛等[9]基于工控网络结构结合信息熵法得出系统风险值;郑晓波[10]从网络和主机安全、系统运行安全等4个层面评估铁路信息系统安全风险.以高速铁路信号系统为代表的典型工业控制系统,其网络安全问题也越来越突出,Wang等[11]基于弹性指标策略讨论了城市轨道交通系统的鲁棒性和恢复能力;Yi等[12]提出故障树和扩展攻击树结合的扩展故障树对列车控制系统的安全性进行综合评估;付淳川等[13]提出一种基于组件安全属性的列控中心风险评估方法.因此,亟待建立有效的风险评估手段,充分考虑威胁场景的潜在影响及发生的可能性,定性定量地评估高速铁路信号系统面临的安全风险.
AHP考虑了目标系统在网络不同区域和层次中面临的多种风险因素,并能有效建立各场景下风险因素耦合关系,结合模糊综合评价在处理非确定性问题方面的优势,有利于提高评估结果的真实性.然而,针对高速铁路信号系统的恶意攻击大多是针对功能安全的,如信号设备故障、列车紧急制动等,甚至包括重大行车事故.同时,高速铁路信号系统设备采用故障安全设计原则,对关键设备进行了双冗余配置.因此,传统的AHP并不能很好地将高速铁路信号系统风险行为具体化,有必要对高速铁路信号系统安全威胁场景分析进行有针对性的研究.
本文基于功能安全的故障特性,建立了综合层次分析模型,通过威胁场景分析和评价指标来量化系统及风险因素的风险值,从而为风险管理者进行有效管理提供依据.
1 高速铁路信号系统威胁场景分析
从铁路相关规范[14]得出高速铁路信号系统的标准业务功能模型如图1所示.主要包含列控中心(train control center,TCC)、车载设备(on-board equipment,OBE)、应答器、无线闭塞中心(radio blocking center,RBC)、临时限速服务器(temporary speed restriction server,TSRS)、CTC (centralized traffic control)中心及自律分机、联锁设备(computer based interlocking,CBI)、轨道电路等.
图1 高速铁路信号系统标准业务功能模型Fig.1 Standard service function model of railway signal system
其中:TCC从轨道电路获得闭塞分区占用信息,并发送给联锁设备,同时,根据CTC的进路控制指令排列进路;联锁综合列控中心发来的闭塞分区状态信息和站内联锁信息,生成信号授权SA(signaling authorization)发送给RBC;车载设备周期性向RBC报告自身位置,RBC根据列车当前位置找出前方空闲进路,即时生成移动授权MA (movement authority),并通过GSM-R发送给OBE;当RBC接到TSRS的临时限速命令后,会立即发送给所有受到该消息影响的列车.另外,由于MA为预先发送,若此后线路信息发生变化,RBC将及时更新的控车消息发送给车载设备.
基于功能安全的角度,从标准功能业务模型分析可能导致业务中断或伪造的风险,这些风险是威胁场景发生的充分条件.通过利用这些风险的方式、难易程度,结合信号系统的特点,梳理得出可能导致行车事故发生的总计44个威胁场景.为便于分析,将这些威胁场景分为如表1所示的5个类别.
表1 威胁场景分类Tab.1 Threat scenario classification
1)系统运算输出错误.例如,恶意人员尝试攻击RBC逻辑运算单元,使RBC输出错误的行车许可,导致列车超速或冒进,方式可能是篡改RBC运算程序,或者伪造RBC逻辑运算需要的数据等.
2)列控信息网络传输错误.恶意人员可能尝试劫持网络通信,进行篡改通信消息、伪造行车指令和破坏列控信息完整性等操作,导致列车未按既定计划行驶而发生事故.
3)人员越权操作.在信号系统中尤其是CTC调度系统需要较多人工参与,恶意人员可以尝试绕过系统的鉴别机制,利用操作系统的漏洞进行权限提升,或通过网络嗅探获得明文传输的口令,从而伪造行车指令或使网络中断.
4)信号系统基础数据错误.信号设备的逻辑运算,需要大量线路基础数据的支撑,如这些信息被恶意人员篡改或破坏,将会给列车的安全运行造成重大影响.
5)设备、系统或程序损坏.恶意人员较少关心信号系统的具体业务逻辑,而是单纯尝试对信号系统的设备资源、操作系统、应用程序和网络资源等进行破坏,利用操作系统、应用程序和网络协议栈的漏洞,发起对设备的拒绝服务攻击.
另外,值得注意的是,信号系统跨越地域广阔,存在众多无人值守机房,给恶意人员的接入带来可乘之机,需要格外重视物理攻击的影响.
2 信号系统风险评估模型
2.1 构建层次分析模型
高速铁路信号系统的风险评估主要包括如图2所示两部分,即AHP和模糊综合评价.
图2 信号系统风险评估流程Fig.2 Risk assessment process of signal system
AHP用于确定评估指标中各层元素的权重,但评估模型中涉及到多个风险因素的综合评价,易受到主观判断的影响;引入模糊综合评价能有效提高评价结果的可靠性和有效性.
根据第1节中高速铁路信号系统安全威胁场景分析,结合各元素之间的因果关系,将信号系统风险分成不同层次的要素,构成递阶层次结构,如图3所示.提取信号系统信息安全风险作为目标层元素,由于不同威胁对行车的影响不同,因此,选取威胁场景所导致的3类典型行车事故作为准则层的要素,考虑到同一场景下各个子系统的影响是不同的,其中集中监测系统并不直接参与列车运行,所以,选取列控系统(Y1)、联锁系统(Y2)、调度集中系统(Y3)和GSM-R系统(Y4)作为因素层1的要素,具体威胁场景的类别作为因素层2的要素.值得指出的是,在Y3不存在信号系统基础数据错误(S4)的风险,故将其剔除,同理Y4仅与系统运算输出错误(S1)、列控信息网络传输错误(S2)和设备、系统或程序损坏(S5)有关联.
图3 信号系统风险层次分析结构Fig.3 Risk hierarchical analysis structure of signal system
2.2 确定各层元素权重
建立层次结构后,将上一层级作为约束条件,比较下一层级中各要素的相对重要性,采用1 ~ 9标度法来构造判断矩阵,并根据评价指标得出相对权重.
例如,以因素层1中Y1作为约束条件,对因素层2中S1 ~ S5的5类威胁场景的重要程度进行两两比较得到判断矩阵如下:
判断矩阵ΔY1_S是一个n阶正互反矩阵,所以存在唯一非零特征根.通常用平均近似法来得到最大特征值 λmax和特征向量w.首先,计算矩阵ΔY1_S每一行元素的乘积:
式中:aij为对应矩阵ΔY1_S的元素.
并计算Mi的n次方根:
由此得出矩阵ΔY1_S的特征向量为
然后根据式(4)计算矩阵ΔY1_S最大特征值:
式中:awi为判断矩阵ΔY1_S第i个元素和其权重的乘积.
计算得矩阵ΔY1_S的最大特征值 λmax=5.251.
最后计算并检验矩阵一致性指标:
通过查表可知[15]平均一致性指标RI=1.12.
可得矩阵ΔY1_S的随机一致性比率:
当CR< 0.100时,具有较好的一致性;否则,矩阵需要重新调整.
以此类推,得到层次分析结构中所有上层元素对下层元素集的判断矩阵权重向量如下:
所有特征向量对应的随机一致性比率分别为0.056、0.017、0.053、0.051、0.047、0.059、0.051、0.051,均小于0.100,满足矩阵一致性要求.
3 测试结果及分析
3.1 确定评价集合和隶属度矩阵
为了综合评价信号系统功能安全风险,以因素层2中的各要素构成评估因素集U,得到U={u1,u2,u3,u4,u5} = {系统运算输出错误,列控信息网络传输错误,人员越权操作,信号系统基础数据错误,设备、系统和程序损坏}.以U中各威胁场景的严重程度建立评语集V={v1,v2,v3,v4,v5} = {较低,低,中等,高,较高}.
对于高速铁路信号系统,本次选取了某集团公司正在联调联试中的某客专为实验对象,联调联试中信号系统业务基本与正式开通后一致,且能有效降低测试风险.首先,在该线路依据传统信息安全手段收集漏洞信息,并根据GB/T 28448—2019[16]在技术层面进行合规性风险评估,再与具体业务结合后归纳为表1中的5类威胁场景.
通过如表2所示CVSS (common vulnerability scoring system)漏洞评分方法[17],从影响度和可利用度两方面评估在因素层1中风险问题在不同威胁场景发生的严重程度.其中:影响度评价反映漏洞被成功利用所造成的直接后果,主要考虑机密性、完整性、可用性;可利用度评价反映可利用漏洞的易利用性和技术手段难易度,主要考虑攻击路径、复杂度、权限要求等指标.
表2 CVSS漏洞评分方法Tab.2 Common vulnerability scoring system
按照式(5)计算单个漏洞的分值:
式中:mC、mI、mA分别为机密性、完整性、可用性的权值.
最后,根据如表3所示漏洞严重程度,统计不同严重程度的占比,并以此确定评估因素集U对评语集V的隶属程度.
表3 漏洞严重程度分级Tab.3 Vulnerability severity rating
例如在GSM-R系统中,由于空口未加密,可利用中间人攻击RSSP-II协议的核心消息鉴别码,伪造信号授权SA;在联锁系统中接入车站联锁局域网后,访问联锁控显A机扫描发现缓冲区溢出漏洞,将其利用取得控制权限后上传纂改后的配置文件,造成联锁控显A机表示错误,但由于信号系统采取2乘2取2冗余结构,并未对实际输出结果产生影响.如想改变最终输出结果,需在同一时间内对2乘2计算机发起攻击,难度较大.
而在某车站调度集中系统中,利用ARP (address resolution protocol)嗅探和端口扫描得到主机IP地址、系统类别及端口等重要信息,结果显示网络中多台主机存在高危漏洞,且大都开放了部分远程端口.通过字典爆破发现了多台存在Telnet、FTP (file transfer protocol)弱密码的主机及网络设备.Telnet登录其中一台主机后,发现自律机、SNMP (simple network management protocol)服务器、通信服务器、通信前置机、行调、助调、调监、综合维修等各种服务器和终端的IP、SNMP连接等敏感信息.
将上述信息加以利用,结合风险评估模型,经过详细调研及测评后,得出调度集中系统的安全问题数共61个,其中,会导致设备、系统和程序损坏的问题共24个,结合CVSS评分方法计算得出安全问题中风险较低3个,风险低4个,风险中等9个,风险高6个,风险较高2个,得到的隶属度矩阵为[0.1250.1670.3750.2500.083].以此类推,得到调度集中系统中其他威胁场景类别的隶属度矩阵如下:
然后,依次按照评语集V对评估因素集U中的所有元素进行综合评判,得到所有隶属度矩阵如下:
3.2 多级综合评价
将3.1节中得到的模糊隶属度矩阵按照式(6)将其与2.2节中对应的权重向量进行模糊合成运算,为减少信息损失,选择加权平均计算.
式中:
Rp为层级p里各个元素的模糊综合评价向量;
wp_q为层级p里各个元素对层级q的权重向量;
Rp_q为层级p里各个元素约束下,层级q元素集的模糊隶属度矩阵.
分别得Y1~Y4的模糊综合评价向量分别为
同理,以准则层各元素为约束条件,得出对因素层1元素集的模糊综合评价向量分别为
最终得出目标层的模糊综合评价结果:
由结果可知:准则层中发生概率最高的是列车运行中断,而中断的最主要风险就是拒绝服务攻击,这类攻击不需要了解具体业务逻辑,故较容易实现.目标层的评价结果:33.5%可能属于风险较低,21.6%可能属于风险低,22.5%可能属于风险中等,17.3%可能属于风险高,4.1%可能属于风险较高,根据最大隶属度原则,该铁路线高速铁路信号系统功能安全风险的风险等级为风险较低.与等级保护合规性检查结果“基本符合”一致,即系统中存在安全问题,但不会导致系统面临高等级安全风险.
3.3 威胁类别风险评价
值得注意的是针对整个系统的风险低和风险中等两类评价的隶属度占比也较高,通过分析因素层1中不同系统的隶属度,其中调度集中系统属于风险中等,GSM-R系统属于风险较高.
因此,为了能更好地横向对比5种威胁场景类别的风险程度以及模型的适用性,将2.1节中图3中层次分析结构的因素层1和因素层2整体进行互换.数据样本不变的情况下,再次按照评估模型和流程得到关于威胁类别的模糊综合评价向量R,每行数据从上至下依次对应系统运算输出错误、列控信息网络传输错误、人员越权操作、信号系统基础数据错误、设备、系统或程序损坏.
从结果可以看出:按最大隶属度原则,5种威胁场景类别存在的风险程度从高到低依次为设备、系统或程序损坏 > 人员越权操作 > 列控信息网络传输错误 > 信号系统基础数据错误 > 系统运算输出错误,与在收集漏洞信息后和具体业务结合得出威胁场景并实地测试的结果较为一致.其中 调度集中系统较容易受到人员越权操作和设备、系统或程序损坏两类威胁的影响,但GSM-R系统则容易受到列控信息网络传输错误威胁类别的影响,通过调研[18-19]及现场测试验证,两个系统均存在部分对应威胁类别下的风险与漏洞,而高速铁路信号系统通过2乘2取2和双环网冗余等安全机制,极大地降低了系统运算输出错误和信号系统基础数据错误 两类威胁场景的风险程度,这也印证了测试结果.
在后续10余条铁路线测评过程中,持续对该模型进行了反复验证及优化,基本满足高速铁路信号系统风险评估需求,为高速铁路信号系统提升网络信息安全水平提供了重要支撑.
4 结 论
本文针对高速铁路信号系统的风险评估方法展开研究,从功能安全的角度,提出了一种基于层次分析法和改进模糊综合评价法的风险评估模型,通过深入分析高速铁路信号系统威胁场景,将现场测评结果与之对应,定性分析了信号系统所面临的主要风险,并参照漏洞评分方法建立评价指标体系,最终给出较为真实的系统整体风险值.经过与现场测评数据对比分析,得到如下结论:
1)本文方法与其他风险评估方法相比,信号系统的各风险因素关联程度较为复杂,且缺乏权威的测评风险统计数据,如攻击图的局部条件概率主要通过经验获取,结果可能存在偏差.本文方法能够定量反映系统整体及局部面临的风险大小,减少主观假设带来的缺点,为展开针对性安全防护研究提供量化参考.
2)本文方法与等级保护测评相比,后者更侧重于合规性检查,通用性更强,缺乏针对高速铁路信号系统业务信息流的梳理,难以在安全风险和信号业务之间建立映射关系.本文方法能够在日常定期风险评估以及安全事故发生时提供问题定位,并作为等级保护合规性检查的有力补充手段.
此外,本文层次分析结构中的各因素权重主要是基于主观意识构建,建立评估模型时,对于信号系统和网络安全两者专业性要求较高,且当系统风险变化时,模型修改较繁琐,下一步考虑建立信号系统安全评估及攻防专家库,根据不同线路情况动态生成评估模型,提升评估模型的效率和适应性.