董慧宇 唐濤 王洪偉

城市軌道交通具有安全、準(zhǔn)時、快速、運量大等優(yōu)點,在解決城市擁堵、促進城市及其交通可持續(xù)發(fā)展方面發(fā)揮著重要作用[1].基于通信的列車運行控制(Communication-based train control,CBTC)是城市軌道交通信號系統(tǒng)的關(guān)鍵技術(shù),該技術(shù)使用無線通信實現(xiàn)列車與地面設(shè)備的實時、雙向、連續(xù)信息交互,控制列車的運行速度和方向,在確保安全的前提下提高城市軌道交通的運行效率[2].為提升城市軌道交通的自動化和信息化水平,通信、控制、計算機等信息技術(shù)在CBTC系統(tǒng)中得到了廣泛應(yīng)用.與此同時,來自系統(tǒng)外部或內(nèi)部的信息攻擊的威脅加大,系統(tǒng)面臨的挑戰(zhàn)日益嚴(yán)峻[3],信息安全事件頻發(fā).2012年3月,上海申通地鐵車站信息發(fā)布系統(tǒng)和運行調(diào)度系統(tǒng)的無線網(wǎng)絡(luò)受到攻擊;2012年7月,深圳地鐵受乘客隨身MIFI(Mobile WIFI)干擾的影響導(dǎo)致車地通信中斷,致使多列列車緊急制動等.這些事件均造成了不好的社會影響,有的嚴(yán)重影響了城市軌道交通的行車秩序.CBTC系統(tǒng)的信息安全已成為軌道交通領(lǐng)域的重要研究內(nèi)容,評估列控系統(tǒng)網(wǎng)絡(luò)安全性、提高CBTC系統(tǒng)信息安全防護能力成為軌道交通事業(yè)健康、快速發(fā)展的關(guān)鍵[4].

然而,國內(nèi)外對軌道交通領(lǐng)域的信息安全研究處于起步階段,相關(guān)研究停留在列控系統(tǒng)信息安全存在的隱患及挑戰(zhàn)等分析層面,針對CBTC系統(tǒng)的信息安全評估方法匱乏.文獻[5]對歐洲鐵路運輸(European railway traffic management system,ERTMS)規(guī)范中的潛在漏洞進行分析,并綜合威脅來源、攻擊能力以及影響等級幾個方面定性地評估了英國實施的ERTMS的網(wǎng)絡(luò)安全風(fēng)險.文獻[6]采用基于貝葉斯攻擊圖的方法,分析了列控系統(tǒng)最易發(fā)生的信息安全事件及系統(tǒng)的風(fēng)險等級.文獻[7]分析了用于控制道岔轉(zhuǎn)換、改變行車信號的先進列車控制系統(tǒng)(Advanced train control systems,ATCS)協(xié)議的脆弱性.文獻[8-9]分別從入侵檢測和攻擊防御的角度對列控系統(tǒng)信息安全進行研究.

鑒于CBTC系統(tǒng)與其他工業(yè)控制系統(tǒng)(Industrial control system,ICS)均屬于典型的信息物理系統(tǒng)(Cyber physical system,CPS)[10],例如智能電網(wǎng)[11]、水利[12]、核能[13]等,加之這些領(lǐng)域?qū)π畔踩难芯肯鄬Τ墒?因此,CBTC系統(tǒng)信息安全研究可參考ICS相關(guān)的研究方法及成果.

常見的信息安全評估方法有貝葉斯網(wǎng)絡(luò)、攻擊樹、Petri網(wǎng)、博弈論等.貝葉斯網(wǎng)絡(luò)[14-15]是一種將定性分析轉(zhuǎn)化為定量分析的概率網(wǎng)絡(luò),文獻[16]提出了一種基于貝葉斯網(wǎng)絡(luò)的網(wǎng)絡(luò)安全模型,從管理和技術(shù)方面綜合評估了核基礎(chǔ)設(shè)施的安全性.考慮到貝葉斯網(wǎng)絡(luò)具有解決復(fù)雜依賴性問題的優(yōu)勢,文獻[17]利用貝葉斯網(wǎng)絡(luò)計算結(jié)果作為事件樹的輸入,分析網(wǎng)絡(luò)攻擊下核反應(yīng)堆保護系統(tǒng)的故障率,從而量化評估其信息安全能力.該方法克服了常見的概率安全評估方法在工業(yè)控制系統(tǒng)信息安全評估中的局限性.攻擊樹[18-19]可以方便直接地顯示系統(tǒng)中的資產(chǎn)或設(shè)備可能受到的攻擊類型,提供了一種以目標(biāo)為導(dǎo)向的方法來描述多階段攻擊,文獻[20]基于攻擊樹對節(jié)點重新定義,從各設(shè)備、攻擊場景及系統(tǒng)的脆弱性的角度對SCADA(Supervisory control and data acquisition)系統(tǒng)的安全性進行評估,但是,該方法是一種靜態(tài)的信息安全評估方法,不能體現(xiàn)系統(tǒng)在網(wǎng)絡(luò)攻擊中狀態(tài)的變化.Petri網(wǎng)[21-22]中的變遷是一個主動元素,可以表示事件發(fā)生、狀態(tài)改變等動態(tài)特性,Bouchti等[23]提出了一種將靜態(tài)的攻擊樹模型擴展為有色Petri網(wǎng)的方法,利用有色Petri網(wǎng)[24-25]的靈活性,分析網(wǎng)絡(luò)入侵的靜態(tài)和動態(tài)特征.信息安全攻防之間構(gòu)成典型的博弈關(guān)系,使用博弈論[26-27]研究信息安全問題較為廣泛,加之許多信息安全評估方法只關(guān)注系統(tǒng)當(dāng)前的安全狀態(tài),沒有考慮未來系統(tǒng)安全狀態(tài)的變化趨勢,文獻[28]提出了一種基于馬爾科夫博弈理論的新型風(fēng)險評估模型以衡量網(wǎng)絡(luò)信息系統(tǒng)的安全性,并且能自動生成防御方案以提高系統(tǒng)信息安全防護能力.

上述方法均從系統(tǒng)的執(zhí)行流程出發(fā),基于功能和性能對信息安全防護能力進行評估.然而,信息安全風(fēng)險總是從計算機網(wǎng)絡(luò)發(fā)起,然后在工業(yè)控制系統(tǒng)中演化,最終作用于物理系統(tǒng).上述方法難以對風(fēng)險傳播過程中的系統(tǒng)性能進行綜合刻畫.Li等[29]提出了首個衡量網(wǎng)絡(luò)結(jié)構(gòu)信息的方法,即二維結(jié)構(gòu)熵,并基于該方法提出了網(wǎng)絡(luò)阻力的概念,用以定量描述網(wǎng)絡(luò)面對病毒傳播時的抵抗能力[30],克服了傳統(tǒng)的Shannon信息熵?zé)o法充分反映網(wǎng)絡(luò)結(jié)構(gòu)信息的局限性[31].

本文基于二維結(jié)構(gòu)熵提出衡量CBTC系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)性能的方法,再結(jié)合物理域列控系統(tǒng)的運行性能,給出了CBTC系統(tǒng)信息安全的定量描述模型,最后依托CBTC信息安全測試床對該方法的準(zhǔn)確性和有效性進行驗證.

1 CBTC系統(tǒng)

1.1 CBTC系統(tǒng)簡介

典型的CBTC系統(tǒng)如圖1所示,核心裝備包括列車自動監(jiān)控(Automatic train supervision,ATS)、區(qū)域控制器 (Zone controller,ZC)、計算機聯(lián)鎖(Computer interlocking,CI)、車載控制器(Vehicle on-board controller,VOBC)、數(shù)據(jù)存儲單元(Data storage unit,DSU)和數(shù)據(jù)通信系統(tǒng)(Data communication system,DCS).

列車運行過程中,VOBC通過車載移動臺(Mobile station,MS)不間斷地將列車標(biāo)識、實時位置、速度及運行方向等信息傳輸給ZC.ZC根據(jù)接收到的列車信息以及CI監(jiān)測的線路信息實時動態(tài)計算后車可到達的最遠距離,即移動授權(quán)(Movement authority,MA),并發(fā)給后車,后車根據(jù)接收到的MA計算列車運行曲線并按照該曲線行駛,在這一過程中,列車到ZC和ZC到列車之間的信息交互均通過車地?zé)o線通信實現(xiàn).

1.2 CBTC系統(tǒng)的信息安全問題

目前已投入運營的CBTC系統(tǒng)主要采用基于IEEE 802.11協(xié)議族的無線局域網(wǎng)作為車地通信的主要制式.為提升信息化和自動化程度,CBTC系統(tǒng)采用大量數(shù)字化和信息化組件,包括Windows和VxWorks等操作系統(tǒng)、通用計算機、標(biāo)準(zhǔn)通信協(xié)議等.然而,隨著系統(tǒng)組件漏洞的逐漸披露,CBTC系統(tǒng)面臨著日益嚴(yán)峻的信息安全風(fēng)險.一旦系統(tǒng)被惡意入侵,漏洞被利用,列車會被迫緊急制動,降低系統(tǒng)運行效率,影響正常行車秩序.

圖1 CBTC系統(tǒng)結(jié)構(gòu)Fig.1 CBTC systems

CBTC系統(tǒng)的典型信息安全風(fēng)險包括:1)網(wǎng)絡(luò)設(shè)備的工作機制、配置等信息安全隱患可能被內(nèi)部及外部威脅利用,例如常用的防火墻設(shè)備的包過濾機制存在缺陷,可導(dǎo)致防火墻被穿透;2)核心、匯聚交換機承載著極高的數(shù)據(jù)流量,在突發(fā)異常數(shù)據(jù)或攻擊時,極易造成設(shè)備負載過重而宕機;3)操作系統(tǒng)漏洞會導(dǎo)致遠程代碼執(zhí)行、緩沖區(qū)溢出、拒絕服務(wù)、信息泄露、未授權(quán)訪問以及獲取權(quán)限等,均可給城市軌道交通的高效運營帶來極大隱患;4)WLAN工作在ISM頻段,易受到干擾,其認(rèn)證、加密等關(guān)鍵技術(shù)相對陳舊,車地信息的傳輸存在被竊聽甚至篡改的風(fēng)險,對行車效率造成威脅.

實際上,CBTC系統(tǒng)的安全苛求特征決定系統(tǒng)具有比較完善的安全功能防護措施,包括故障導(dǎo)向安全機制、容錯架構(gòu)設(shè)計、冗余設(shè)置、安全協(xié)議等.然而,功能安全保障措施并非專為信息安全設(shè)計,既有措施對信息安全風(fēng)險的約束以及信息安全風(fēng)險造成的影響仍需要精確、全面評估.

2 CBTC系統(tǒng)信息安全評估方法

信息物理系統(tǒng)中,信息安全威脅和系統(tǒng)漏洞組合作用于信息域的網(wǎng)絡(luò)節(jié)點或鏈路,進而會引起物理域列車運行狀態(tài)的變化,從而帶來軌道交通運營服務(wù)性能的降低.綜合描述物理域和信息域的性能是對CBTC系統(tǒng)信息安全風(fēng)險評估的核心,本文引入結(jié)構(gòu)信息熵對計算機網(wǎng)絡(luò)在信息安全風(fēng)險下的整體性能進行描述和分析,繼而充分考慮物理域列車控制性能,實現(xiàn)對CBTC系統(tǒng)信息安全風(fēng)險的綜合評價.

2.1 二維結(jié)構(gòu)熵

Shannon提出的熵是關(guān)于不確定性的一種度量,結(jié)構(gòu)信息熵可用來描述復(fù)雜系統(tǒng)結(jié)構(gòu)的屬性.網(wǎng)絡(luò)的結(jié)構(gòu)信息能夠較好地定義網(wǎng)絡(luò)交互、網(wǎng)絡(luò)通信以及網(wǎng)絡(luò)演變等網(wǎng)絡(luò)結(jié)構(gòu)的動態(tài)復(fù)雜性,對網(wǎng)絡(luò)理論的發(fā)展至關(guān)重要[32].因此,借助于二維結(jié)構(gòu)熵可描述計算機網(wǎng)絡(luò)在信息安全風(fēng)險下的狀態(tài)變化.

2.1.1 二維結(jié)構(gòu)熵的定義

給定一個由n個節(jié)點和m條邊組成的連通的加權(quán)網(wǎng)絡(luò)G=(V,E),V和E分別是網(wǎng)絡(luò)G中所有節(jié)點和所有邊的集合,將V劃分為L個模塊,每個模塊用Xj表示,則P={X1,X2,···,XL}可看作G的劃分.由于P的存在,確定G中任意一點v∈V都需要確定v所在的模塊的標(biāo)識j和v在相應(yīng)模塊Xj中的節(jié)點標(biāo)識i.基于劃分P,給出網(wǎng)絡(luò)G的二維結(jié)構(gòu)熵的定義,如下:

H2(G)是一個二項式,第1項表示在模塊Xj中確定任意節(jié)點v所需要的信息量;第2項表示在G中,確定某一模塊X所需的信息量.其中,每個模塊可由與其相連的其他模塊中的節(jié)點訪問.因此,二維結(jié)構(gòu)熵包含了各個模塊內(nèi)部節(jié)點的信息和各模塊之間的信息,反映了系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的特性.

2.1.2 CBTC系統(tǒng)二維結(jié)構(gòu)熵的特點

CBTC系統(tǒng)的計算機設(shè)備和網(wǎng)絡(luò)設(shè)備構(gòu)成了典型的計算機網(wǎng)絡(luò),設(shè)備之間存在復(fù)雜的數(shù)據(jù)交互.由于城市軌道交通站間距離短,所以CBTC裝備分布密度高,同時系統(tǒng)的冗余和容錯設(shè)置也使得網(wǎng)絡(luò)中的設(shè)備數(shù)量眾多.鑒于安全等級需求和工作模式的不同,數(shù)據(jù)交互的承載方式有所不同,傳輸協(xié)議和傳輸媒介存在差異.

二維結(jié)構(gòu)熵定義中圖的頂點和邊均是一致的,而CBTC網(wǎng)絡(luò)中的節(jié)點和通信鏈路有一定的差異性,因此對網(wǎng)絡(luò)拓撲的頂點和邊的屬性的差異性需要針對性描述.本文使用加權(quán)網(wǎng)絡(luò)對CBTC網(wǎng)絡(luò)拓撲的頂點和邊進行加權(quán)處理.

1)邊權(quán)重

網(wǎng)絡(luò)拓撲中的邊即為通信鏈路,CBTC系統(tǒng)中,通信鏈路以有線和無線兩種形式呈現(xiàn).有線網(wǎng)即為骨干網(wǎng),采用數(shù)字同步序列、彈性分組網(wǎng)或基于交換技術(shù)的環(huán)網(wǎng),地面設(shè)備通過骨干網(wǎng)基于TCP/IP通信協(xié)議交互數(shù)據(jù);無線是地面設(shè)備與車載設(shè)備的雙向數(shù)據(jù)傳輸方式,主要承載列車和地面控制中心的信息交互.考慮到數(shù)據(jù)傳輸?shù)陌踩枨蟛煌?不同通信鏈路采用不同的應(yīng)用層傳輸協(xié)議.典型的CBTC系統(tǒng)安全通信協(xié)議包括RSSP-I、RSSP-II以及私有協(xié)議等,不同協(xié)議的安全防護能力不同,各自的權(quán)重值也不同.類似地,考慮到通信鏈路的本質(zhì)物理屬性,有線網(wǎng)和無線網(wǎng)的抗干擾能力及安全防護能力不同,各自的權(quán)重值也不同.

2)節(jié)點權(quán)重

CBTC系統(tǒng)主要的通信節(jié)點有安全計算機、工控機、服務(wù)器、網(wǎng)絡(luò)交換機、網(wǎng)關(guān)等,根據(jù)功能定位的不同,內(nèi)置的操作系統(tǒng)也不同,主要有WindowsXP、Windows7、Windows Server以及VxWorks等.鑒于設(shè)備類型、設(shè)備配置及使用的操作系統(tǒng)等的多樣性,每個設(shè)備的安全隱患有所不同,例如使用防火墻及強登錄密碼的設(shè)備的安全性要高于未設(shè)置防火墻及身份驗證的設(shè)備;Windows操作系統(tǒng)的漏洞一般遠多于VxWorks系統(tǒng);相同操作系統(tǒng)的設(shè)備的漏洞數(shù)目、嚴(yán)重程度也可能不同等.因此,在構(gòu)建CBTC網(wǎng)絡(luò)拓撲圖時,需要考慮通信節(jié)點的安全性差異從而給各個頂點賦權(quán)重,權(quán)值的大小取決于設(shè)備現(xiàn)有的安全措施、是否存在異常、漏洞情況等.

一般而言,邊的安全性越低,與其連接的節(jié)點被入侵的可能性越高,但是節(jié)點被入侵的可能性還取決于節(jié)點自身的特性.如果節(jié)點本身安全性很高,即便與其相連的邊易被入侵,該節(jié)點被攻擊成功的可能性也會降低.

CBTC加權(quán)網(wǎng)絡(luò)與一般的加權(quán)網(wǎng)絡(luò)相比,除了邊被賦予權(quán)重,網(wǎng)絡(luò)的節(jié)點也被賦予不同的權(quán)重,因此,各節(jié)點的度不能僅由邊權(quán)重之和確定,應(yīng)具有其特殊性.由此,給出CBTC系統(tǒng)在節(jié)點度的新定義如下:

2.2 列車運行性能

二維結(jié)構(gòu)熵衡量的是CBTC系統(tǒng)信息域網(wǎng)絡(luò)拓撲在信息安全風(fēng)險下的狀態(tài)變化,無法體現(xiàn)物理域列車的運營屬性,因此需要在式(1)的基礎(chǔ)上增加列車運行性能的參數(shù).

列車按計劃正常行駛時,線路的運營能力、列車的運行速度和運行距離等指標(biāo)在一定范圍內(nèi)隨時間規(guī)律變化.基于故障導(dǎo)向安全原則,為保證安全,在信息安全風(fēng)險作用下,列車運行會導(dǎo)向安全側(cè),即列車緊急停車.為了保障列車運行的連續(xù)性和線路運營服務(wù)的彈性,列車停車后會進行降級運行,CBTC系統(tǒng)的冗余和容錯架構(gòu)設(shè)計會使得即使在某些情況下網(wǎng)絡(luò)的拓撲性能發(fā)生改變,列車運行仍不受影響.因此在衡量CBTC系統(tǒng)的信息安全風(fēng)險時,需要綜合考慮物理域的列控性能和信息域的網(wǎng)絡(luò)性能.

以車地通信為例,ZC與車載設(shè)備通過骨干網(wǎng)實現(xiàn)無線雙向通信,由于ZC采用2×2取2的架構(gòu),當(dāng)ZC主系故障時會自動切到備系以確保列車仍能收到MA并正常運行.因此,攻擊者攻擊ZC時,列車運行狀態(tài)在短時間內(nèi)不會受到影響;隨著攻擊的深入,ZC備系也故障時,列車則觸發(fā)故障—安全機制,緊急制動;在制動過程中,如果列車滿足降級運行,即通過一個用于定位的應(yīng)答器時,列車會重新啟動,由自動駕駛模式轉(zhuǎn)換為點式運行模式.如圖2所示,面臨信息安全風(fēng)險時,冗余設(shè)計使得CBTC系統(tǒng)具備一定的抵抗力,當(dāng)主備系均被破壞后,列車性能開始由最佳狀態(tài)快速下降直至最低點,在保障功能安全的前提下,根據(jù)運營服務(wù)的需求,列車性能開始緩慢恢復(fù),最終達到新的穩(wěn)定狀態(tài).由于網(wǎng)絡(luò)攻擊前后列車駕駛模式發(fā)生改變,因此,初始的列車運行性能狀態(tài)優(yōu)于緩慢恢復(fù)后的新的穩(wěn)定狀態(tài).

圖2 CBTC系統(tǒng)故障時的列車性能變化Fig.2 Train performance under failures of CBTC

上述過程導(dǎo)致列車的實際運行曲線與計劃運行曲線產(chǎn)生較大差異,圖2中的陰影部分是信息安全風(fēng)險下系統(tǒng)性能的損失,可由列車實際運行速度曲線計算得到.

其中,Ploss(t)表示t時刻列車運行性能損失,t0表示初始時刻,vp和va分別表示列車計劃和實際運行速度.對式(3)進行歸一化處理可得

P(t)范圍為[0,1],值越小,表示攻擊對列車當(dāng)前時刻造成的影響越大.

2.3 CBTC系統(tǒng)信息安全模型

有效的網(wǎng)絡(luò)攻擊會對CBTC系統(tǒng)信息域的網(wǎng)絡(luò)拓撲性能造成直接影響,例如利用特定系統(tǒng)漏洞導(dǎo)致設(shè)備宕機繼而節(jié)點從網(wǎng)絡(luò)中移除,利用協(xié)議漏洞導(dǎo)致設(shè)備通信中斷繼而使相應(yīng)節(jié)點之間的邊移除等.但是CBTC系統(tǒng)采取雙網(wǎng)冗余、雙機熱備等架構(gòu)設(shè)計,確保了列控系統(tǒng)在一定程度上具有抵抗網(wǎng)絡(luò)攻擊的能力,即隨著網(wǎng)絡(luò)攻擊致使系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)造發(fā)生變化,但列車仍能在短時間內(nèi)保持CBTC駕駛模式正常運行.因此,衡量CBTC系統(tǒng)的信息安全狀態(tài)需要綜合信息域網(wǎng)絡(luò)拓撲性能及物理域列車運行性能,繼而得到衡量CBTC系統(tǒng)信息安全的模型.

考慮到網(wǎng)絡(luò)攻擊可能使子系統(tǒng)之間通信中斷,從而導(dǎo)致系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)由連通狀態(tài)變?yōu)榉沁B通,因此,結(jié)合前面給出的CBTC系統(tǒng)在網(wǎng)絡(luò)攻擊過程中信息域及物理域的動態(tài)評估結(jié)果,可得CBTC系統(tǒng)信息安全模型.

其中,N表示當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)中連通子圖的個數(shù),vol(Gk)表示t時刻系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)中第k個連通子圖中所有節(jié)點度之和,表示t時刻該連通子圖的二維結(jié)構(gòu)熵;P(t)表示t時刻列車運行情況.

3 CBTC系統(tǒng)信息安全評估方法驗證與分析

本節(jié)基于CBTC系統(tǒng)信息安全測試床,利用系統(tǒng)的安全隱患模擬入侵者對其進行網(wǎng)絡(luò)攻擊.根據(jù)信息安全評估模型,構(gòu)建CBTC系統(tǒng)的網(wǎng)絡(luò)拓撲,分析網(wǎng)絡(luò)邊和節(jié)點的權(quán)重并計算網(wǎng)絡(luò)拓撲性能的變化,根據(jù)列車運行狀態(tài)計算列車性能的變化,綜合評估測試床的安全性.

3.1 CBTC系統(tǒng)信息安全測試床

CBTC系統(tǒng)信息安全測試床是基于北京地鐵7號線搭建的列控系統(tǒng)半實物仿真平臺,由部分真實列控設(shè)備、仿真軟件和真實線路參數(shù)組成,模擬多列車在線路上的追蹤.

每個ZC子系統(tǒng)包含4臺使用VxWorks系統(tǒng)的處理單元(Process unit,PU)、2臺通信控制器(Communication controller,CC)以及1臺使用Windows XP系統(tǒng)的維護機,構(gòu)成2×2取2的容錯架構(gòu).當(dāng)且僅當(dāng)主系或備系中的2個PU處理結(jié)果相同時,才能作為本系的最終結(jié)果,此外,每一系的CC承載著骨干網(wǎng)與ZC內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)的功能,一旦CC故障,相應(yīng)的骨干網(wǎng)將無法接收來自ZC的數(shù)據(jù).

CBTC測試床網(wǎng)絡(luò)拓撲如圖3所示.按功能結(jié)構(gòu)將拓撲圖劃分為15個子系統(tǒng):6個ZC子系統(tǒng),1個ATS子系統(tǒng),每個ZC覆蓋范圍內(nèi)的所有AP,VOBC及MS,各劃分為1個子系統(tǒng),8個CI設(shè)備作為1個子系統(tǒng),其他設(shè)備例如地面電子單元(Lineside electronic unit,LEU)和DSU等作為1個子系統(tǒng).

圖3 CBTC系統(tǒng)測試床網(wǎng)絡(luò)拓撲圖Fig.3 The network topology of the CBTC test-bed

3.2 攻擊案例

為了驗證上述方法的合理性,本文將ZC子系統(tǒng)作為攻擊目標(biāo)進行仿真實驗.

ZC由主備兩系組成,每一系包括1臺CC和2臺PU,CC宕機后會自動重啟,若重啟失敗,則整系宕機.

根據(jù)ZC的工作原理,模擬以下攻擊過程:如圖4所示,首先攻擊者通過暴力破解無線網(wǎng)密碼侵入DCS紅網(wǎng),通過網(wǎng)絡(luò)分析獲取網(wǎng)段信息,隨后利用VxWorks操作系統(tǒng)漏洞對ZC1主系的CC1發(fā)起攻擊,導(dǎo)致CC1宕機,共耗時20min;持續(xù)攻擊CC1,使其重啟失敗,則主系兩個PU同時宕機,ZC1切換到備系,共耗時10min;采用同樣的方法接入藍網(wǎng),攻擊ZC1的備系,直到整個ZC1子系統(tǒng)故障.對ZC2,ZC3依次進行上述操作.

3.3 CBTC系統(tǒng)信息安全評估結(jié)果及分析

3.3.1 網(wǎng)絡(luò)拓撲性能變化

系統(tǒng)的設(shè)備故障反映到網(wǎng)絡(luò)拓撲中表現(xiàn)為相應(yīng)的節(jié)點從拓撲中移除,因此,系統(tǒng)的網(wǎng)絡(luò)拓撲隨著上述攻擊過程不斷變化.

1)節(jié)點權(quán)重

圖4 網(wǎng)絡(luò)攻擊過程Fig.4 The process of the network attack

節(jié)點的權(quán)重使用文獻[33]中基于攻擊樹的脆弱性評估的方法,構(gòu)建CBTC測試床的攻擊樹模型,綜合每臺設(shè)備,即每個節(jié)點的安全狀態(tài)、設(shè)備漏洞情況、密碼強度以及涉及的通信協(xié)議類型4個要素計算得到.

其中,χ表示設(shè)備當(dāng)前的安全狀態(tài),由設(shè)備滿足的網(wǎng)絡(luò)安全條件(是否存在異常、是否已采取防護措施、是否設(shè)置登錄密碼等)個數(shù)確定;vα表示綜合考慮設(shè)備的固有漏洞類型、漏洞嚴(yán)重程度以及漏洞數(shù)目的端口審計結(jié)果;vβ表示設(shè)備采取的密碼策略的強度;μ從不同通信協(xié)議類型可能造成設(shè)備安全程度不同的角度,考慮了通信協(xié)議對節(jié)點安全的影響.

圖5為CBTC測試床葉脆弱性指數(shù)的仿真結(jié)果,即各節(jié)點被惡意入侵的可能性大小.脆弱性指數(shù)越大,相應(yīng)設(shè)備的安全性越低,節(jié)點權(quán)重則越小.

圖5 節(jié)點脆弱性指數(shù)Fig.5 Vulnerability indexes of nodes

2)邊權(quán)重

邊的權(quán)重取決于設(shè)備之間的通信方式和通信協(xié)議的安全性,表1從數(shù)據(jù)安全性、數(shù)據(jù)包被截獲的難易程度兩個方面對通信方式和通信協(xié)議進行量化,并綜合表征了通信鏈路的權(quán)重值.

表1 通信鏈路的安全性Table 1 Security of communication links between equipments

CBTC系統(tǒng)使用的通信協(xié)議類型有RSSP-I、私有協(xié)議以及明文,其中,RSSP-I是公開的鐵路信號安全通信協(xié)議,私有協(xié)議由廠家自定,因此,從數(shù)據(jù)安全性角度,私有協(xié)議安全性最高,RSSP-I次之,明文最弱.

DCS使用無線和有線兩種通信方式,其中,WLAN工作在公開的ISM頻段,且認(rèn)證、加密等關(guān)鍵技術(shù)相對陳舊,易被惡意入侵者破解從而接入網(wǎng)絡(luò)中,而對于有線通信方式,攻擊者往往需要接觸到相關(guān)的網(wǎng)絡(luò)設(shè)備,通過以太網(wǎng)接口、USB接口等接入網(wǎng)絡(luò),實施網(wǎng)絡(luò)攻擊的條件相對苛刻,由此,攻擊者通過無線方式侵入CBTC系統(tǒng)較有線方式更容易實現(xiàn).另外,使用不同通信協(xié)議的設(shè)備在網(wǎng)絡(luò)中的結(jié)構(gòu)、通信周期不同.鑒于這些因素,不同的通信方式下數(shù)據(jù)被截獲的難易程度不同.

3)二維結(jié)構(gòu)熵

由邊和節(jié)點的權(quán)重使用式(2)可得到網(wǎng)絡(luò)拓撲中每個節(jié)點的度,度越大,表示攻擊者入侵相應(yīng)節(jié)點的難度越大,系統(tǒng)越安全,進而根據(jù)式(1)計算得到CBTC系統(tǒng)網(wǎng)絡(luò)拓撲演變過程中二維結(jié)構(gòu)熵隨時間的變化,結(jié)果如圖6所示.

圖6 網(wǎng)絡(luò)攻擊下計算機網(wǎng)絡(luò)二維結(jié)構(gòu)熵的變化Fig.6 Two-dimensional structure entropy of computer network under the cyber attack

系統(tǒng)初始的二維結(jié)構(gòu)熵為3.4402,點A,B,C,D分別表示ZC1的CC1、主系其余設(shè)備、CC2、備系其余設(shè)備依次宕機后二維結(jié)構(gòu)熵的計算結(jié)果.其中,當(dāng)ZC子系統(tǒng)的主系以及備系的CC2故障,即ZC成為孤立子系統(tǒng)時,系統(tǒng)的二維結(jié)構(gòu)熵下降明顯,當(dāng)ZC子系統(tǒng)完全故障,即相應(yīng)ZC完全從網(wǎng)絡(luò)拓撲中移除時,二維結(jié)構(gòu)熵反而增加.這是由于在網(wǎng)絡(luò)攻擊的影響下,CBTC系統(tǒng)由連通圖演變?yōu)槎鄠€連通子圖的集合,二維結(jié)構(gòu)熵定義為各連通子圖的結(jié)構(gòu)熵的加權(quán)平均值,由于孤立的ZC子系統(tǒng)與系統(tǒng)其余部分沒有關(guān)聯(lián),各連通子圖的節(jié)點無法通過其外部的節(jié)點確定,因此,孤立ZC的結(jié)構(gòu)熵較小,并且子系統(tǒng)內(nèi)部使用明文通信,設(shè)備的安全性也較低,因此,系統(tǒng)的結(jié)構(gòu)熵明顯下降;而隨著ZC完全故障,整個ZC子系統(tǒng)從網(wǎng)絡(luò)結(jié)構(gòu)中移除,系統(tǒng)的結(jié)構(gòu)熵不再受ZC影響,因而增大.

從圖6中二維結(jié)構(gòu)熵的整體變化趨勢來看,隨著網(wǎng)絡(luò)攻擊逐漸深入,ZC1、ZC2和ZC3相繼故障,系統(tǒng)的網(wǎng)絡(luò)拓撲性能整體呈現(xiàn)下降趨勢.

3.3.2 列車運行性能變化

圖7是ZC主備兩系均故障后其管轄范圍內(nèi)的單列車的速度變化曲線.

圖7 ZC故障后的列車運行速度圖Fig.7 The speed of a train within the range of a failed ZC sub-system

正常情況下,列車以80km/h的速度運行,假設(shè)在t1時刻,ZC主備系均故障,此時,在該ZC范圍內(nèi)的列車將以0.8m/s2的減速度緊急制動,隨后經(jīng)過Δt時間的降級準(zhǔn)備后,列車重新以0.6m/s2的加速度以點式模式運行,直到t2時刻達到最大運行速度60km/h.根據(jù)式(4)可計算得到列車的性能變化.

正常工作狀態(tài)下,ZC覆蓋范圍內(nèi)的各列車的運行性能均為1,不同ZC子系統(tǒng)故障對線路運行能力的影響程度不同,該影響因子可由每個ZC線路覆蓋范圍的大小確定.

其中,Ci表示第i個ZC的覆蓋范圍,L表示整條線路全長.因此,6個ZC的影響因子依次為0.153,0.314,0.137,0.165,0.181,0.050.綜合線路中所有列車的性能變化情況,得到CBTC系統(tǒng)列車性能變化曲線,如圖8所示.

比較圖6和圖8,當(dāng)t=30min時,雖然ZC1主系故障,系統(tǒng)的二維結(jié)構(gòu)熵減小,但是由于ZC的2×2取2架構(gòu),系統(tǒng)切換備系確保車地正常通信,列車運行性能不受影響,直到t=60min,ZC1備系也故障后,列車性能開始下降,又因為系統(tǒng)具有故障安全機制,故障ZC覆蓋范圍內(nèi)的列車會緊急制動,當(dāng)滿足降級運行條件時又會重新開始運行,因此,列車運行性能曲線呈現(xiàn)先急后緩的下降趨勢.

圖8 網(wǎng)絡(luò)攻擊下列車性能Fig.8 Operation performance of trains of CBTC test-bed under the cyber attack

3.3.3 信息安全狀態(tài)評估結(jié)果

基于式(5)、圖6和圖8,得到CBTC系統(tǒng)受攻擊下整體性能的變化,根據(jù)該結(jié)果可以判斷列控系統(tǒng)當(dāng)前的信息安全狀態(tài),如圖9所示.

圖9 網(wǎng)絡(luò)攻擊下CBTC系統(tǒng)測試床的信息安全狀態(tài)Fig.9 Security of CBTC test-bed under the cyber attack

隨著ZC依次故障,CBTC測試床安全程度逐漸下降,仿真結(jié)果與預(yù)期基本相符.特別地,當(dāng)某個ZC完全故障,即整個ZC從網(wǎng)絡(luò)中移除后,系統(tǒng)的安全狀態(tài)會略微提高,這是由于每減少一個故障子系統(tǒng),通過該故障子系統(tǒng)入侵CBTC系統(tǒng)剩余部分的可能性變?yōu)?,因此,系統(tǒng)的安全程度會有所提高.

3.4 CBTC系統(tǒng)信息安全評估方法比較

文獻[5]采用貝葉斯攻擊圖和AHP—模糊綜合評價兩種方法分別對CBTC系統(tǒng)進行信息安全風(fēng)險評估.其中,貝葉斯攻擊圖從攻擊者的角度結(jié)合系統(tǒng)架構(gòu)、設(shè)備漏洞構(gòu)建攻擊圖模型,分析信息安全事件發(fā)生的概率及后果來衡量CBTC系統(tǒng)的風(fēng)險值,但是該方法只考慮了網(wǎng)絡(luò)設(shè)備的漏洞,沒有考慮通信鏈路的特征;AHP模糊綜合評價,運用模糊理論分析AHP層次模型,并根據(jù)最大隸屬度原則確定CBTC系統(tǒng)的風(fēng)險等級,該評估過程需要考慮具體的攻擊類型,且對專家經(jīng)驗、相關(guān)調(diào)研的依賴性強,存在一定的主觀性.

本文提出的基于二維結(jié)構(gòu)熵的信息安全評估方法從攻擊影響的角度,將系統(tǒng)網(wǎng)絡(luò)拓撲性能作為一個衡量CBTC系統(tǒng)信息安全狀態(tài)的指標(biāo),并結(jié)合攻擊對列車運行性能造成的損失,綜合評估CBTC系統(tǒng)信息安全狀態(tài).與貝葉斯攻擊圖相比,本文方法不僅考慮了系統(tǒng)設(shè)計架構(gòu)、設(shè)備漏洞,還考慮了設(shè)備當(dāng)前安全狀態(tài)、密碼策略以及通信方式、通信協(xié)議等特征,評估過程簡單,可行性高;與AHP—模糊綜合評價方法相比,本文只考慮攻擊后果,不針對特定攻擊類型,具有普適性,且評估結(jié)果相對客觀.

4 結(jié)論

本文提出了一種定量分析CBTC系統(tǒng)信息安全風(fēng)險的方法.對CBTC網(wǎng)絡(luò)進行建模;結(jié)合CBTC系統(tǒng)設(shè)備及設(shè)備間通信鏈路的特點,以二維結(jié)構(gòu)熵衡量信息安全攻擊下網(wǎng)絡(luò)拓撲性能的變化;考慮到CBTC系統(tǒng)的功能安全設(shè)計,綜合列車運行性能與二維結(jié)構(gòu)熵,給出了CBTC系統(tǒng)信息安全狀態(tài)的定量描述.

關(guān)于CBTC系統(tǒng)的信息安全狀態(tài)與系統(tǒng)信息域及物理域性能變化的定量關(guān)系仍需做進一步的研究,此外,本文對列車運行性能的定義只考慮了列車的實際運行距離與理論運行距離之間的差異,需要對該定義進行更深入的分析.