一种用于铁路信号系统网络信息安全风险评估方法与流程

本发明涉及铁路信息安全技术领域，具体为一种用于铁路信号系统网络信息安全风险评估方法。

背景技术：

铁路信号系统是一类特殊的工业控制系统，往往把安全性(safety)、可靠性和实时性等放在首位，没有充分考虑到其所面临的网络信息安全问题，对铁路信号系统的风险评估主要解决控制设备部件随机失效和系统失效问题。另一方面，由于铁路信号系统所采用的技术特点，现有的针对信息系统的网络信息安全风险评估方法亦不能很好地适用。例如，公开(公告)号为cn106790198a的中国发明专利，公开了“一种信息系统风险评估方法及系统”，该方法根据所述安全风险报告确定所述信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素，就没有涵盖铁路信号设备功能安全(safety)等对整个铁路信号系统业务安全风险的影响。此外，铁路信号系统为列车运行过程控制系统，上述风险评估方法所针对的评估对象为资产，没有深度结合控制系统业务逻辑，不能更深入的刻画铁路信号系统所面临的风险。

技术实现要素：

针对上述问题，本发明的目的在于提供一种能够提高铁路信号系统网络信息风险评估的准确性和实用性，更准确的反映铁路信号控制系统所面临的风险的用于铁路信号系统网络信息安全风险评估方法。技术方案如下：

一种用于铁路信号系统网络信息安全风险评估方法，包括以下步骤：

步骤1：构建铁路信号系统信息流模型：

根据铁路信号系统的业务流程和逻辑，进行总结抽象，得到信号系统信息流模型，所述信息流模型包括信号系统的基本组成要素和信号系统的信息流动的方向；所述信号系统的信息包括各个基本组成要素的状态信息和调度列车以预期的方式安全行驶的控制信息；

步骤2：构建铁路信号系统设备功能结构模型：

所述铁路信号系统设备功能结构模型包括信号安全设备功能结构模型和安全设备通信模型，所述信号安全设备功能结构模型对信号系统设备技术特征进行描述，以准确分析信号设备所采用的安全防护措施；所述安全设备通信模型对信号设备安全通信进行描述；

步骤3：构建铁路信号系统威胁场景：

根据信号系统信息流模型和信号系统设备功能结构模型确定信号系统威胁场景；所述信号系统威胁场景包括列车超速、列车冒进信号和列车中断运行；

步骤4：针对不同的威胁场景，对攻击发生的可能性进行分析：

攻击发生的可能性通过攻击者的技术能力、接入系统的机会、对信号系统专业知识的了解程度以及攻击动机来确定；

步骤5：针对不同的威胁场景，对攻击造成的影响严重程度进行分析；

攻击造成影响的严重程度由攻击密度和受到攻击后资产的功能安全完整性等级sil(safetyintegritylevel)来确定；

步骤6：针对不同的威胁场景进行网络信息安全风险计算：

根据攻击发生的可能性和攻击造成影响严重程度来确定网络信息安全风险。

进一步的，所述攻击发生的可能性分为可能性低、可能性中和可能性高；所述攻击造成的影响严重程度分为影响小、影响中和影响大；将攻击可能性低同时攻击造成的影响小的攻击行为确定为低危风险；将攻击可能性低同时攻击造成的影响中或影响大的攻击行为，以及攻击造成的影响小同时攻击可能性中或可能性高的攻击行为确定为中危风险；将攻击可能性高同时攻击造成影响中，以及攻击可能性中同时攻击造成的影响大的攻击行为确定为高危风险；将攻击可能性高同时攻击造成的影响大的攻击行为确定为严重高危风险。

更进一步的，所述资产的功能安全完整性等级分为sil0、sil1、sil2、sil4；将受到攻击后资产的功能安全完整性等级为sil0或sil1的攻击确定为影响小的攻击；将受到攻击后资产的功能安全完整性等级为sil2或sil3的攻击确定为影响中的攻击；将受到攻击后资产的功能安全完整性等级为sil4的攻击确定为影响大的攻击。

本发明的有益效果是：本发明可以使得网络信息安全风险评估综合铁路信号系统设备功能安全特点，提高铁路信号系统网络信息风险评估的准确性和实用性；可以使得网络信息安全风险评估与铁路业务紧密结合，更准确的反映铁路信号控制系统所面临的风险。

附图说明

图1本发明技术方案流程和原理图。

图2本发明技术方案中的铁路信号系统信息流模型图。

图3本发明技术方案中建铁路信号系统设备功能结构模型图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细说明。评估方法的流程和原理如图1所示，包括威胁场景，攻击发生的可能性，攻击造成影响的严重程度和网络信息安全风险。通过建立信息流模型，描述信号系统的信息流动以及系统各个组成要素的行为关系，对威胁场景进行分析。通过建立信号安全(safety)设备功能结构模型，对信号系统设备技术特征进行描述，以准确分析信号设备所采用的安全防护措施。通过建立安全(safety)设备通信模型，对信号设备安全(safety)通信进行描述。综合上述三个模型，通过建立铁路信号系统信息流模型和功能结构，确定威胁场景，对威胁场景进行分析和刻画。

攻击发生的可能性通过攻击者的技术能力、接入系统的机会、对信号系统专业知识的了解程度以及攻击动机来确定。攻击造成影响的严重程度由攻击密度和资产的安全完整性等级(sil，safetyintegritylevel)来确定。或者仅地利用资产的安全完整性等级(sil)来确定攻击造成的影响严重程度。网络信息安全风险由攻击发生的可能性和攻击造成影响的严重程度确定。

具体步骤如下：

步骤1：构建铁路信号系统信息流模型。

根据铁路信号系统的业务流程和逻辑，进行总结抽象，得到信号系统信息流模型，所述信息流模型包括信号系统的基本组成要素和信号系统的信息流动的方向；所述信号系统的信息包括各个基本组成要素的状态信息和调度列车以预期的方式安全行驶的控制信息。

如图2所示，方框代表信号系统的基本组成要素，箭头代表信息流动的方向，信号系统的信息主要分为两类：第一类，是信号系统各个基本组成要素的状态信息，是信号控制系统进行正确控制的基础；如图2中列控中心(tcc)向连锁设备(cbi)发送的“闭塞分区状态”，或连锁设备(cbi)向列控中心(tcc)发送的“区间方向/进行信息”。第二类，是控制信息，调度列车以预期的方式安全行驶；如图2中分散自律调度集中(ctc)自律机向连锁设备(cbi)发送的“进路控制命令”，或车载设备(obe)向分散自律调度集中(ctc)中心发送的“调度命令”。

步骤2：构建铁路信号系统设备功能结构模型。

所述铁路信号系统设备功能结构模型包括信号安全设备功能结构模型和安全设备通信模型，所述信号安全设备功能结构模型对信号系统设备技术特征进行描述，以准确分析信号设备所采用的安全防护措施；所述安全设备通信模型对信号设备安全通信进行描述。

以铁路信号系统核心控制设备无线闭塞中心(rbc，radioblockingcenter)为例，分析其安全(safety)功能结构模型，如图3所示，rbc采用通用计算服务器构建2乘2取2计算机系统，系统核心逻辑处理单元包括硬件平台、操作系统、故障-安全处理软件、应用逻辑软件和工程配置数据等。其中vpc_a(vitalplatformcomputer)和vpc_b为故障-安全处理单元，又分别称为fspa(fail-safe-platforma)和fspb，用于实现rbc逻辑功能，输出使能单元对vpc_a和vpc_b的运算结果进行比较，如果一致则进行输出，如果不一致则阻断输出。

步骤3：构建铁路信号系统威胁场景。

根据信号系统信息流模型和信号系统设备功能结构模型确定信号系统威胁场景；所述信号系统威胁场景包括所述信号系统威胁场景包括列车超速、列车冒进信号和列车中断运行。通过建立铁路信号系统信息流模型，确定威胁场景，可以使得网络信息安全风险评估与铁路业务紧密结合，更准确的反映铁路信号控制系统所面临的风险。

以恶意攻击造成列车超速为攻击目标，以发生位置为rbc系统举例(如表1所示)，根据rbc系统功能结构模型，rbc故障-安全单元运算错误和rbc输出使能单元程序/数据被伪造均会造成列车超速，因此可以得到两个威胁场景，(1)恶意人员造成rbc故障-安全单元运算错误；(2)恶意人员篡改/伪造rbc输出使能单元程序/数据。

表1恶意人员攻击rbc造成列车超速的威胁场景

步骤4：针对不同的威胁场景，对攻击发生的可能性进行分析。

攻击发生的可能性通过攻击者的技术能力、接入系统的机会、对信号系统专业知识的了解程度以及攻击动机来确定。利用表2针对不同的威胁场景，对攻击发生的可能性进行分析。

表2攻击发生的可能性

步骤5：针对不同的威胁场景，对攻击造成的影响严重程度进行分析。

攻击造成影响的严重程度由攻击密度和资产的功能安全完整性等级(sil：safetyintegritylevel)来确定。资产的功能安全完整性等级分为sil0、sil1、sil2、sil4；将受到攻击后资产的功能安全完整性等级为sil0或sil1的攻击确定为影响小的攻击；将受到攻击后资产的功能安全完整性等级为sil2或sil3的攻击确定为影响中的攻击；将受到攻击后资产的功能安全完整性等级为sil4的攻击确定为影响大的攻击。

利用资产的功能安全完整性等级(sil)来确定攻击造成的影响严重程度使得网络信息安全风险评估综合铁路信号系统设备功能安全特点，提高铁路信号系统网络信息风险评估的准确性和实用性。

利用利用表3针对不同的威胁场景，对攻击造成的影响进行分析。

表3攻击造成的影响

步骤6：针对不同的威胁场景进行网络信息安全风险计算：

根据攻击发生的可能性和攻击造成影响严重程度来确定网络信息安全风险。利用表4对不同的威胁场景进行风险计算。

表4风险计算

将攻击发生的可能性分为可能性低、可能性中和可能性高；所述攻击造成的影响严重程度分为影响小、影响中和影响大；将攻击可能性低同时攻击造成的影响小的攻击行为确定为低危风险；将攻击可能性低同时攻击造成的影响中或影响大的攻击行为，以及攻击造成的影响小同时攻击可能性中或可能性高的攻击行为确定为中危风险；将攻击可能性高同时攻击造成影响中，以及攻击可能性中同时攻击造成的影响大的攻击行为确定为高危风险；将攻击可能性高同时攻击造成的影响大的攻击行为确定为严重高危风险。