李洪赭，閆連山，陳建譯,2，李賽飛，徐斯?jié)?/p>

（1.西南交通大學(xué)信息科學(xué)與技術(shù)學(xué)院，四川 成都 611756；2.中國(guó)鐵路廣州局集團(tuán)有限公司，廣東 廣州 510088；3.安捷光通科技成都有限公司，四川 成都 611730）

高速鐵路信號(hào)系統(tǒng)是保證列車(chē)運(yùn)行安全與提高運(yùn)輸效率的核心，幾乎覆蓋所有列車(chē)可達(dá)之處，是遍布全國(guó)范圍的大型網(wǎng)絡(luò).我國(guó)高速鐵路信號(hào)系統(tǒng)主要由計(jì)算機(jī)聯(lián)鎖系統(tǒng)、列車(chē)運(yùn)行控制系統(tǒng)、調(diào)度集中系統(tǒng)、信號(hào)集中監(jiān)測(cè)系統(tǒng)和GSM-R （global system for mobile communications-railway）無(wú)線通信系統(tǒng)等組成，其中，調(diào)度集中系統(tǒng)和信號(hào)集中監(jiān)測(cè)系統(tǒng)分別采用各自?xún)?nèi)部網(wǎng)絡(luò)通信.列車(chē)運(yùn)行控制系統(tǒng)與計(jì)算機(jī)聯(lián)鎖系統(tǒng)通過(guò)信號(hào)安全數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行通信，并利用GSM-R無(wú)線通信系統(tǒng)與車(chē)載設(shè)備進(jìn)行數(shù)據(jù)傳輸.因此，高速鐵路信號(hào)系統(tǒng)不僅網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，其對(duì)實(shí)時(shí)性、可靠性和完整性亦有極高要求，如果系統(tǒng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致控制數(shù)據(jù)的延遲、丟失甚至篡改，以及設(shè)備單點(diǎn)故障都將對(duì)列車(chē)行車(chē)安全造成重大影響.

歷史上，高速鐵路信號(hào)系統(tǒng)使用環(huán)境相對(duì)封閉，智能化、信息化程度較低，一般認(rèn)為不存在網(wǎng)絡(luò)入侵及病毒傳播問(wèn)題，更注重系統(tǒng)的功能實(shí)現(xiàn)和可靠性.隨著網(wǎng)絡(luò)信息技術(shù)發(fā)展，為實(shí)現(xiàn)不同系統(tǒng)間協(xié)同和信息共享，傳統(tǒng)鐵路和信息技術(shù)的融合越來(lái)越密切，同時(shí)也帶來(lái)了新的安全風(fēng)險(xiǎn).2016年，英國(guó)鐵路系統(tǒng)陸續(xù)遭到4次有針對(duì)性的網(wǎng)絡(luò)安全攻擊[1]； 2017年，德國(guó)聯(lián)邦鐵路部分旅客服務(wù)設(shè)備受到WannaCry勒索軟件感染而損壞[2]； 2018年，DDoS （distributed denial of service attack）攻擊影響了丹麥鐵路的票務(wù)系統(tǒng)[3]； 2020年，英國(guó)鐵路公眾WIFI網(wǎng)絡(luò)發(fā)生信息泄漏，導(dǎo)致包含旅客詳細(xì)信息在內(nèi)的1.46億條記錄在網(wǎng)絡(luò)上公布[4].

近年來(lái)，模糊綜合評(píng)價(jià)和AHP （analytic hierarchy process）在工程風(fēng)險(xiǎn)分析中得到了廣泛的研究和應(yīng)用[5-7].在互聯(lián)網(wǎng)和工控系統(tǒng)領(lǐng)域，Wu等[8]討論了AHP在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的運(yùn)用；龔斯諦等[9]基于工控網(wǎng)絡(luò)結(jié)構(gòu)結(jié)合信息熵法得出系統(tǒng)風(fēng)險(xiǎn)值；鄭曉波[10]從網(wǎng)絡(luò)和主機(jī)安全、系統(tǒng)運(yùn)行安全等4個(gè)層面評(píng)估鐵路信息系統(tǒng)安全風(fēng)險(xiǎn).以高速鐵路信號(hào)系統(tǒng)為代表的典型工業(yè)控制系統(tǒng)，其網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出，Wang等[11]基于彈性指標(biāo)策略討論了城市軌道交通系統(tǒng)的魯棒性和恢復(fù)能力；Yi等[12]提出故障樹(shù)和擴(kuò)展攻擊樹(shù)結(jié)合的擴(kuò)展故障樹(shù)對(duì)列車(chē)控制系統(tǒng)的安全性進(jìn)行綜合評(píng)估；付淳川等[13]提出一種基于組件安全屬性的列控中心風(fēng)險(xiǎn)評(píng)估方法.因此，亟待建立有效的風(fēng)險(xiǎn)評(píng)估手段，充分考慮威脅場(chǎng)景的潛在影響及發(fā)生的可能性，定性定量地評(píng)估高速鐵路信號(hào)系統(tǒng)面臨的安全風(fēng)險(xiǎn).

AHP考慮了目標(biāo)系統(tǒng)在網(wǎng)絡(luò)不同區(qū)域和層次中面臨的多種風(fēng)險(xiǎn)因素，并能有效建立各場(chǎng)景下風(fēng)險(xiǎn)因素耦合關(guān)系，結(jié)合模糊綜合評(píng)價(jià)在處理非確定性問(wèn)題方面的優(yōu)勢(shì)，有利于提高評(píng)估結(jié)果的真實(shí)性.然而，針對(duì)高速鐵路信號(hào)系統(tǒng)的惡意攻擊大多是針對(duì)功能安全的，如信號(hào)設(shè)備故障、列車(chē)緊急制動(dòng)等，甚至包括重大行車(chē)事故.同時(shí)，高速鐵路信號(hào)系統(tǒng)設(shè)備采用故障安全設(shè)計(jì)原則，對(duì)關(guān)鍵設(shè)備進(jìn)行了雙冗余配置.因此，傳統(tǒng)的AHP并不能很好地將高速鐵路信號(hào)系統(tǒng)風(fēng)險(xiǎn)行為具體化，有必要對(duì)高速鐵路信號(hào)系統(tǒng)安全威脅場(chǎng)景分析進(jìn)行有針對(duì)性的研究.

本文基于功能安全的故障特性，建立了綜合層次分析模型，通過(guò)威脅場(chǎng)景分析和評(píng)價(jià)指標(biāo)來(lái)量化系統(tǒng)及風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)值，從而為風(fēng)險(xiǎn)管理者進(jìn)行有效管理提供依據(jù).

1 高速鐵路信號(hào)系統(tǒng)威脅場(chǎng)景分析

從鐵路相關(guān)規(guī)范[14]得出高速鐵路信號(hào)系統(tǒng)的標(biāo)準(zhǔn)業(yè)務(wù)功能模型如圖1所示.主要包含列控中心（train control center，TCC）、車(chē)載設(shè)備（on-board equipment，OBE）、應(yīng)答器、無(wú)線閉塞中心（radio blocking center，RBC）、臨時(shí)限速服務(wù)器（temporary speed restriction server，TSRS）、CTC （centralized traffic control）中心及自律分機(jī)、聯(lián)鎖設(shè)備（computer based interlocking，CBI）、軌道電路等.

圖1 高速鐵路信號(hào)系統(tǒng)標(biāo)準(zhǔn)業(yè)務(wù)功能模型Fig.1 Standard service function model of railway signal system

其中：TCC從軌道電路獲得閉塞分區(qū)占用信息，并發(fā)送給聯(lián)鎖設(shè)備，同時(shí)，根據(jù)CTC的進(jìn)路控制指令排列進(jìn)路；聯(lián)鎖綜合列控中心發(fā)來(lái)的閉塞分區(qū)狀態(tài)信息和站內(nèi)聯(lián)鎖信息，生成信號(hào)授權(quán)SA（signaling authorization）發(fā)送給RBC；車(chē)載設(shè)備周期性向RBC報(bào)告自身位置，RBC根據(jù)列車(chē)當(dāng)前位置找出前方空閑進(jìn)路，即時(shí)生成移動(dòng)授權(quán)MA （movement authority），并通過(guò)GSM-R發(fā)送給OBE；當(dāng)RBC接到TSRS的臨時(shí)限速命令后，會(huì)立即發(fā)送給所有受到該消息影響的列車(chē).另外，由于MA為預(yù)先發(fā)送，若此后線路信息發(fā)生變化，RBC將及時(shí)更新的控車(chē)消息發(fā)送給車(chē)載設(shè)備.

基于功能安全的角度，從標(biāo)準(zhǔn)功能業(yè)務(wù)模型分析可能導(dǎo)致業(yè)務(wù)中斷或偽造的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)是威脅場(chǎng)景發(fā)生的充分條件.通過(guò)利用這些風(fēng)險(xiǎn)的方式、難易程度，結(jié)合信號(hào)系統(tǒng)的特點(diǎn)，梳理得出可能導(dǎo)致行車(chē)事故發(fā)生的總計(jì)44個(gè)威脅場(chǎng)景.為便于分析，將這些威脅場(chǎng)景分為如表1所示的5個(gè)類(lèi)別.

表1 威脅場(chǎng)景分類(lèi)Tab.1 Threat scenario classification

1）系統(tǒng)運(yùn)算輸出錯(cuò)誤.例如，惡意人員嘗試攻擊RBC邏輯運(yùn)算單元，使RBC輸出錯(cuò)誤的行車(chē)許可，導(dǎo)致列車(chē)超速或冒進(jìn)，方式可能是篡改RBC運(yùn)算程序，或者偽造RBC邏輯運(yùn)算需要的數(shù)據(jù)等.

2）列控信息網(wǎng)絡(luò)傳輸錯(cuò)誤.惡意人員可能?chē)L試劫持網(wǎng)絡(luò)通信，進(jìn)行篡改通信消息、偽造行車(chē)指令和破壞列控信息完整性等操作，導(dǎo)致列車(chē)未按既定計(jì)劃行駛而發(fā)生事故.

3）人員越權(quán)操作.在信號(hào)系統(tǒng)中尤其是CTC調(diào)度系統(tǒng)需要較多人工參與，惡意人員可以嘗試?yán)@過(guò)系統(tǒng)的鑒別機(jī)制，利用操作系統(tǒng)的漏洞進(jìn)行權(quán)限提升，或通過(guò)網(wǎng)絡(luò)嗅探獲得明文傳輸?shù)目诹?，從而偽造行?chē)指令或使網(wǎng)絡(luò)中斷.

4）信號(hào)系統(tǒng)基礎(chǔ)數(shù)據(jù)錯(cuò)誤.信號(hào)設(shè)備的邏輯運(yùn)算，需要大量線路基礎(chǔ)數(shù)據(jù)的支撐，如這些信息被惡意人員篡改或破壞，將會(huì)給列車(chē)的安全運(yùn)行造成重大影響.

5）設(shè)備、系統(tǒng)或程序損壞.惡意人員較少關(guān)心信號(hào)系統(tǒng)的具體業(yè)務(wù)邏輯，而是單純嘗試對(duì)信號(hào)系統(tǒng)的設(shè)備資源、操作系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)資源等進(jìn)行破壞，利用操作系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議棧的漏洞，發(fā)起對(duì)設(shè)備的拒絕服務(wù)攻擊.

另外，值得注意的是，信號(hào)系統(tǒng)跨越地域廣闊，存在眾多無(wú)人值守機(jī)房，給惡意人員的接入帶來(lái)可乘之機(jī)，需要格外重視物理攻擊的影響.

2 信號(hào)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型

2.1 構(gòu)建層次分析模型

高速鐵路信號(hào)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估主要包括如圖2所示兩部分，即AHP和模糊綜合評(píng)價(jià).

圖2 信號(hào)系統(tǒng)風(fēng)險(xiǎn)評(píng)估流程Fig.2 Risk assessment process of signal system

AHP用于確定評(píng)估指標(biāo)中各層元素的權(quán)重，但評(píng)估模型中涉及到多個(gè)風(fēng)險(xiǎn)因素的綜合評(píng)價(jià)，易受到主觀判斷的影響；引入模糊綜合評(píng)價(jià)能有效提高評(píng)價(jià)結(jié)果的可靠性和有效性.

根據(jù)第1節(jié)中高速鐵路信號(hào)系統(tǒng)安全威脅場(chǎng)景分析，結(jié)合各元素之間的因果關(guān)系，將信號(hào)系統(tǒng)風(fēng)險(xiǎn)分成不同層次的要素，構(gòu)成遞階層次結(jié)構(gòu)，如圖3所示.提取信號(hào)系統(tǒng)信息安全風(fēng)險(xiǎn)作為目標(biāo)層元素，由于不同威脅對(duì)行車(chē)的影響不同，因此，選取威脅場(chǎng)景所導(dǎo)致的3類(lèi)典型行車(chē)事故作為準(zhǔn)則層的要素，考慮到同一場(chǎng)景下各個(gè)子系統(tǒng)的影響是不同的，其中集中監(jiān)測(cè)系統(tǒng)并不直接參與列車(chē)運(yùn)行，所以，選取列控系統(tǒng)（Y1）、聯(lián)鎖系統(tǒng)（Y2）、調(diào)度集中系統(tǒng)（Y3）和GSM-R系統(tǒng)（Y4）作為因素層1的要素，具體威脅場(chǎng)景的類(lèi)別作為因素層2的要素.值得指出的是，在Y3不存在信號(hào)系統(tǒng)基礎(chǔ)數(shù)據(jù)錯(cuò)誤（S4）的風(fēng)險(xiǎn)，故將其剔除，同理Y4僅與系統(tǒng)運(yùn)算輸出錯(cuò)誤（S1）、列控信息網(wǎng)絡(luò)傳輸錯(cuò)誤（S2）和設(shè)備、系統(tǒng)或程序損壞（S5）有關(guān)聯(lián).

圖3 信號(hào)系統(tǒng)風(fēng)險(xiǎn)層次分析結(jié)構(gòu)Fig.3 Risk hierarchical analysis structure of signal system

2.2 確定各層元素權(quán)重

建立層次結(jié)構(gòu)后，將上一層級(jí)作為約束條件，比較下一層級(jí)中各要素的相對(duì)重要性，采用1 ～ 9標(biāo)度法來(lái)構(gòu)造判斷矩陣，并根據(jù)評(píng)價(jià)指標(biāo)得出相對(duì)權(quán)重.

例如，以因素層1中Y1作為約束條件，對(duì)因素層2中S1 ～ S5的5類(lèi)威脅場(chǎng)景的重要程度進(jìn)行兩兩比較得到判斷矩陣如下：

判斷矩陣ΔY1_S是一個(gè)n階正互反矩陣，所以存在唯一非零特征根.通常用平均近似法來(lái)得到最大特征值 λmax和特征向量w.首先，計(jì)算矩陣ΔY1_S每一行元素的乘積：

式中：aij為對(duì)應(yīng)矩陣ΔY1_S的元素.

并計(jì)算Mi的n次方根：

由此得出矩陣ΔY1_S的特征向量為

然后根據(jù)式（4）計(jì)算矩陣ΔY1_S最大特征值：

式中：awi為判斷矩陣ΔY1_S第i個(gè)元素和其權(quán)重的乘積.

計(jì)算得矩陣ΔY1_S的最大特征值 λmax=5.251.

最后計(jì)算并檢驗(yàn)矩陣一致性指標(biāo)：

通過(guò)查表可知[15]平均一致性指標(biāo)RI=1.12.

可得矩陣ΔY1_S的隨機(jī)一致性比率：

當(dāng)CR< 0.100時(shí)，具有較好的一致性；否則，矩陣需要重新調(diào)整.

以此類(lèi)推，得到層次分析結(jié)構(gòu)中所有上層元素對(duì)下層元素集的判斷矩陣權(quán)重向量如下：

所有特征向量對(duì)應(yīng)的隨機(jī)一致性比率分別為0.056、0.017、0.053、0.051、0.047、0.059、0.051、0.051，均小于0.100，滿(mǎn)足矩陣一致性要求.

3 測(cè)試結(jié)果及分析

3.1 確定評(píng)價(jià)集合和隸屬度矩陣

為了綜合評(píng)價(jià)信號(hào)系統(tǒng)功能安全風(fēng)險(xiǎn)，以因素層2中的各要素構(gòu)成評(píng)估因素集U，得到U={u1,u2,u3,u4,u5} = {系統(tǒng)運(yùn)算輸出錯(cuò)誤，列控信息網(wǎng)絡(luò)傳輸錯(cuò)誤，人員越權(quán)操作，信號(hào)系統(tǒng)基礎(chǔ)數(shù)據(jù)錯(cuò)誤，設(shè)備、系統(tǒng)和程序損壞}.以U中各威脅場(chǎng)景的嚴(yán)重程度建立評(píng)語(yǔ)集V={v1,v2,v3,v4,v5} = {較低，低，中等，高，較高}.

對(duì)于高速鐵路信號(hào)系統(tǒng)，本次選取了某集團(tuán)公司正在聯(lián)調(diào)聯(lián)試中的某客專(zhuān)為實(shí)驗(yàn)對(duì)象，聯(lián)調(diào)聯(lián)試中信號(hào)系統(tǒng)業(yè)務(wù)基本與正式開(kāi)通后一致，且能有效降低測(cè)試風(fēng)險(xiǎn).首先，在該線路依據(jù)傳統(tǒng)信息安全手段收集漏洞信息，并根據(jù)GB/T 28448—2019[16]在技術(shù)層面進(jìn)行合規(guī)性風(fēng)險(xiǎn)評(píng)估，再與具體業(yè)務(wù)結(jié)合后歸納為表1中的5類(lèi)威脅場(chǎng)景.

通過(guò)如表2所示CVSS （common vulnerability scoring system）漏洞評(píng)分方法[17]，從影響度和可利用度兩方面評(píng)估在因素層1中風(fēng)險(xiǎn)問(wèn)題在不同威脅場(chǎng)景發(fā)生的嚴(yán)重程度.其中：影響度評(píng)價(jià)反映漏洞被成功利用所造成的直接后果，主要考慮機(jī)密性、完整性、可用性；可利用度評(píng)價(jià)反映可利用漏洞的易利用性和技術(shù)手段難易度，主要考慮攻擊路徑、復(fù)雜度、權(quán)限要求等指標(biāo).

表2 CVSS漏洞評(píng)分方法Tab.2 Common vulnerability scoring system

按照式（5）計(jì)算單個(gè)漏洞的分值：

式中：mC、mI、mA分別為機(jī)密性、完整性、可用性的權(quán)值.

最后，根據(jù)如表3所示漏洞嚴(yán)重程度，統(tǒng)計(jì)不同嚴(yán)重程度的占比，并以此確定評(píng)估因素集U對(duì)評(píng)語(yǔ)集V的隸屬程度.

表3 漏洞嚴(yán)重程度分級(jí)Tab.3 Vulnerability severity rating

例如在GSM-R系統(tǒng)中，由于空口未加密，可利用中間人攻擊RSSP-II協(xié)議的核心消息鑒別碼，偽造信號(hào)授權(quán)SA；在聯(lián)鎖系統(tǒng)中接入車(chē)站聯(lián)鎖局域網(wǎng)后，訪問(wèn)聯(lián)鎖控顯A機(jī)掃描發(fā)現(xiàn)緩沖區(qū)溢出漏洞，將其利用取得控制權(quán)限后上傳纂改后的配置文件，造成聯(lián)鎖控顯A機(jī)表示錯(cuò)誤，但由于信號(hào)系統(tǒng)采取2乘2取2冗余結(jié)構(gòu)，并未對(duì)實(shí)際輸出結(jié)果產(chǎn)生影響.如想改變最終輸出結(jié)果，需在同一時(shí)間內(nèi)對(duì)2乘2計(jì)算機(jī)發(fā)起攻擊，難度較大.

而在某車(chē)站調(diào)度集中系統(tǒng)中，利用ARP （address resolution protocol）嗅探和端口掃描得到主機(jī)IP地址、系統(tǒng)類(lèi)別及端口等重要信息，結(jié)果顯示網(wǎng)絡(luò)中多臺(tái)主機(jī)存在高危漏洞，且大都開(kāi)放了部分遠(yuǎn)程端口.通過(guò)字典爆破發(fā)現(xiàn)了多臺(tái)存在Telnet、FTP （file transfer protocol）弱密碼的主機(jī)及網(wǎng)絡(luò)設(shè)備.Telnet登錄其中一臺(tái)主機(jī)后，發(fā)現(xiàn)自律機(jī)、SNMP （simple network management protocol）服務(wù)器、通信服務(wù)器、通信前置機(jī)、行調(diào)、助調(diào)、調(diào)監(jiān)、綜合維修等各種服務(wù)器和終端的IP、SNMP連接等敏感信息.

將上述信息加以利用，結(jié)合風(fēng)險(xiǎn)評(píng)估模型，經(jīng)過(guò)詳細(xì)調(diào)研及測(cè)評(píng)后，得出調(diào)度集中系統(tǒng)的安全問(wèn)題數(shù)共61個(gè)，其中，會(huì)導(dǎo)致設(shè)備、系統(tǒng)和程序損壞的問(wèn)題共24個(gè)，結(jié)合CVSS評(píng)分方法計(jì)算得出安全問(wèn)題中風(fēng)險(xiǎn)較低3個(gè)，風(fēng)險(xiǎn)低4個(gè)，風(fēng)險(xiǎn)中等9個(gè)，風(fēng)險(xiǎn)高6個(gè)，風(fēng)險(xiǎn)較高2個(gè)，得到的隸屬度矩陣為[0.1250.1670.3750.2500.083].以此類(lèi)推，得到調(diào)度集中系統(tǒng)中其他威脅場(chǎng)景類(lèi)別的隸屬度矩陣如下：

然后，依次按照評(píng)語(yǔ)集V對(duì)評(píng)估因素集U中的所有元素進(jìn)行綜合評(píng)判，得到所有隸屬度矩陣如下：

3.2 多級(jí)綜合評(píng)價(jià)

將3.1節(jié)中得到的模糊隸屬度矩陣按照式（6）將其與2.2節(jié)中對(duì)應(yīng)的權(quán)重向量進(jìn)行模糊合成運(yùn)算，為減少信息損失，選擇加權(quán)平均計(jì)算.

式中：

Rp為層級(jí)p里各個(gè)元素的模糊綜合評(píng)價(jià)向量；

wp_q為層級(jí)p里各個(gè)元素對(duì)層級(jí)q的權(quán)重向量；

Rp_q為層級(jí)p里各個(gè)元素約束下，層級(jí)q元素集的模糊隸屬度矩陣.

分別得Y1～Y4的模糊綜合評(píng)價(jià)向量分別為

同理，以準(zhǔn)則層各元素為約束條件，得出對(duì)因素層1元素集的模糊綜合評(píng)價(jià)向量分別為

最終得出目標(biāo)層的模糊綜合評(píng)價(jià)結(jié)果：

由結(jié)果可知：準(zhǔn)則層中發(fā)生概率最高的是列車(chē)運(yùn)行中斷，而中斷的最主要風(fēng)險(xiǎn)就是拒絕服務(wù)攻擊，這類(lèi)攻擊不需要了解具體業(yè)務(wù)邏輯，故較容易實(shí)現(xiàn).目標(biāo)層的評(píng)價(jià)結(jié)果：33.5%可能屬于風(fēng)險(xiǎn)較低，21.6%可能屬于風(fēng)險(xiǎn)低，22.5%可能屬于風(fēng)險(xiǎn)中等，17.3%可能屬于風(fēng)險(xiǎn)高，4.1%可能屬于風(fēng)險(xiǎn)較高，根據(jù)最大隸屬度原則，該鐵路線高速鐵路信號(hào)系統(tǒng)功能安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)等級(jí)為風(fēng)險(xiǎn)較低.與等級(jí)保護(hù)合規(guī)性檢查結(jié)果“基本符合”一致，即系統(tǒng)中存在安全問(wèn)題，但不會(huì)導(dǎo)致系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn).

3.3 威脅類(lèi)別風(fēng)險(xiǎn)評(píng)價(jià)

值得注意的是針對(duì)整個(gè)系統(tǒng)的風(fēng)險(xiǎn)低和風(fēng)險(xiǎn)中等兩類(lèi)評(píng)價(jià)的隸屬度占比也較高，通過(guò)分析因素層1中不同系統(tǒng)的隸屬度，其中調(diào)度集中系統(tǒng)屬于風(fēng)險(xiǎn)中等，GSM-R系統(tǒng)屬于風(fēng)險(xiǎn)較高.

因此，為了能更好地橫向?qū)Ρ?種威脅場(chǎng)景類(lèi)別的風(fēng)險(xiǎn)程度以及模型的適用性，將2.1節(jié)中圖3中層次分析結(jié)構(gòu)的因素層1和因素層2整體進(jìn)行互換.數(shù)據(jù)樣本不變的情況下，再次按照評(píng)估模型和流程得到關(guān)于威脅類(lèi)別的模糊綜合評(píng)價(jià)向量R，每行數(shù)據(jù)從上至下依次對(duì)應(yīng)系統(tǒng)運(yùn)算輸出錯(cuò)誤、列控信息網(wǎng)絡(luò)傳輸錯(cuò)誤、人員越權(quán)操作、信號(hào)系統(tǒng)基礎(chǔ)數(shù)據(jù)錯(cuò)誤、設(shè)備、系統(tǒng)或程序損壞.

從結(jié)果可以看出：按最大隸屬度原則，5種威脅場(chǎng)景類(lèi)別存在的風(fēng)險(xiǎn)程度從高到低依次為設(shè)備、系統(tǒng)或程序損壞 > 人員越權(quán)操作 > 列控信息網(wǎng)絡(luò)傳輸錯(cuò)誤 > 信號(hào)系統(tǒng)基礎(chǔ)數(shù)據(jù)錯(cuò)誤 > 系統(tǒng)運(yùn)算輸出錯(cuò)誤，與在收集漏洞信息后和具體業(yè)務(wù)結(jié)合得出威脅場(chǎng)景并實(shí)地測(cè)試的結(jié)果較為一致.其中 調(diào)度集中系統(tǒng)較容易受到人員越權(quán)操作和設(shè)備、系統(tǒng)或程序損壞兩類(lèi)威脅的影響，但GSM-R系統(tǒng)則容易受到列控信息網(wǎng)絡(luò)傳輸錯(cuò)誤威脅類(lèi)別的影響，通過(guò)調(diào)研[18-19]及現(xiàn)場(chǎng)測(cè)試驗(yàn)證，兩個(gè)系統(tǒng)均存在部分對(duì)應(yīng)威脅類(lèi)別下的風(fēng)險(xiǎn)與漏洞，而高速鐵路信號(hào)系統(tǒng)通過(guò)2乘2取2和雙環(huán)網(wǎng)冗余等安全機(jī)制，極大地降低了系統(tǒng)運(yùn)算輸出錯(cuò)誤和信號(hào)系統(tǒng)基礎(chǔ)數(shù)據(jù)錯(cuò)誤 兩類(lèi)威脅場(chǎng)景的風(fēng)險(xiǎn)程度，這也印證了測(cè)試結(jié)果.

在后續(xù)10余條鐵路線測(cè)評(píng)過(guò)程中，持續(xù)對(duì)該模型進(jìn)行了反復(fù)驗(yàn)證及優(yōu)化，基本滿(mǎn)足高速鐵路信號(hào)系統(tǒng)風(fēng)險(xiǎn)評(píng)估需求，為高速鐵路信號(hào)系統(tǒng)提升網(wǎng)絡(luò)信息安全水平提供了重要支撐.

4 結(jié) 論

本文針對(duì)高速鐵路信號(hào)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法展開(kāi)研究，從功能安全的角度，提出了一種基于層次分析法和改進(jìn)模糊綜合評(píng)價(jià)法的風(fēng)險(xiǎn)評(píng)估模型，通過(guò)深入分析高速鐵路信號(hào)系統(tǒng)威脅場(chǎng)景，將現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果與之對(duì)應(yīng)，定性分析了信號(hào)系統(tǒng)所面臨的主要風(fēng)險(xiǎn)，并參照漏洞評(píng)分方法建立評(píng)價(jià)指標(biāo)體系，最終給出較為真實(shí)的系統(tǒng)整體風(fēng)險(xiǎn)值.經(jīng)過(guò)與現(xiàn)場(chǎng)測(cè)評(píng)數(shù)據(jù)對(duì)比分析，得到如下結(jié)論：

1）本文方法與其他風(fēng)險(xiǎn)評(píng)估方法相比，信號(hào)系統(tǒng)的各風(fēng)險(xiǎn)因素關(guān)聯(lián)程度較為復(fù)雜，且缺乏權(quán)威的測(cè)評(píng)風(fēng)險(xiǎn)統(tǒng)計(jì)數(shù)據(jù)，如攻擊圖的局部條件概率主要通過(guò)經(jīng)驗(yàn)獲取，結(jié)果可能存在偏差.本文方法能夠定量反映系統(tǒng)整體及局部面臨的風(fēng)險(xiǎn)大小，減少主觀假設(shè)帶來(lái)的缺點(diǎn)，為展開(kāi)針對(duì)性安全防護(hù)研究提供量化參考.

2）本文方法與等級(jí)保護(hù)測(cè)評(píng)相比，后者更側(cè)重于合規(guī)性檢查，通用性更強(qiáng)，缺乏針對(duì)高速鐵路信號(hào)系統(tǒng)業(yè)務(wù)信息流的梳理，難以在安全風(fēng)險(xiǎn)和信號(hào)業(yè)務(wù)之間建立映射關(guān)系.本文方法能夠在日常定期風(fēng)險(xiǎn)評(píng)估以及安全事故發(fā)生時(shí)提供問(wèn)題定位，并作為等級(jí)保護(hù)合規(guī)性檢查的有力補(bǔ)充手段.

此外，本文層次分析結(jié)構(gòu)中的各因素權(quán)重主要是基于主觀意識(shí)構(gòu)建，建立評(píng)估模型時(shí)，對(duì)于信號(hào)系統(tǒng)和網(wǎng)絡(luò)安全兩者專(zhuān)業(yè)性要求較高，且當(dāng)系統(tǒng)風(fēng)險(xiǎn)變化時(shí)，模型修改較繁瑣，下一步考慮建立信號(hào)系統(tǒng)安全評(píng)估及攻防專(zhuān)家?guī)欤鶕?jù)不同線路情況動(dòng)態(tài)生成評(píng)估模型，提升評(píng)估模型的效率和適應(yīng)性.