基于FAHP方法的列控中心安全風險評估

董 寧 王 劍，2，3 蔡伯根，2，3

（1.北京交通大學 電子信息工程學院，北京 100044；2.北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044；3.北京交通大學 北京市軌道交通電磁兼容與衛星導航工程技術研究中心，北京 100044）

列控中心是鐵路信號系統中的核心部件，其安全性影響著鐵路行車安全這個鐵路運輸中最關鍵部分。文獻[1]分析了風險評估的基本流程和屬性，介紹了如何對一個系統進行風險評估。文獻[2]介紹了使用AHP方法對信息系統進行安全性風險評估，文獻[3]～[6]介紹了AHP方法如何調整比較矩陣一致性的問題，使得矩陣一致性符合要求。

1 風險評估流程

文獻[7]介紹了模糊風險評估模型，通過對風險因素建立評判集的方式通過矩陣運算獲得最終權值。文獻[8]介紹了通過云模型和DS證據理論對列控中心進行風險評估的方法。文獻[9]介紹了基于組件和VIKOR方法決策的列控中心風險評估。本文利用FAHP方法對列控中心進行風險評估，降低AHP放在在評估中的主觀因素。

風險評估是組織確定信息安全風險需求的過程，包括資產識別與評價，威脅和弱點評估，控制措施評估，風險認定在內的一系列活動。相比于普通信息系統，列控中心屬于工業控制系統，工業控制系統一般包括許多現場控制設備，這些設備的差異性比較大。而對于工業控制系統來說，風險評估必須是一個整體考慮、充分規劃、持續運作的過程，從系統結構方面，評估整個工業控制網絡的各個邏輯層；從評估要素方面，評估包括技術、管理、運行等各個層面。列控中心風險評估流程如圖1所示，整個流程包括評估準備、要素識別，風險分析和匯報驗收4個階段。一般使用層次分析法對系統進行風險評估，層次分析法對每個因素的結果進行量化分析，解決一致性問題。

圖1 信息安全風險評估流程圖Fig.1 Information Security Risk Assessment Flow Chart

本文在第二層和第三層中間采取模糊矩陣的方式，這樣可以解決專家打分主觀性問題，提高整個分析結果的客觀性。

2 列控中心安全風險評估方法

2.1 列控中心介紹

列控中心（TCC）主要實現車站/區間軌道電路編碼、臨時限速報文實時組幀、有源應答器控制、區間方向控制等功能，并通過聯鎖設備向RBC提供軌道電路狀態信息。根據其管轄范圍內軌道電路狀態、聯鎖進路及邊界條件等信息，通過軌道電路和應答器向工作在CTCS-2級的列車提供行車許可。列控中心主要有以下功能。

1）軌道電路編碼

列控中心設備控制站內和區間的軌道電路編碼，并通過聯鎖設備把軌道電路狀態信息傳送給RBC，作為生成MA的依據。同時把軌道電路狀態信息傳送給TSRS和CTC，作為臨時限速下達時機的判斷依據和CTC列車位置顯示的依據。

2）臨時限速報文實時組幀

列控中心根據臨時限速命令，結合進路信息，實時組幀，生成應答器報文，通過LEU和有源應答器發給車載設備。

3）閉塞方向控制

列控中心設備通過信號系統安全數據網，與聯鎖設備以及相鄰車站列控中心間通信，實現站間閉塞方向的控制，并把區間狀態和方向信息傳送給聯鎖設備，聯鎖設備根據閉塞方向狀態信息實現進路的開放和關閉。

2.2 構造層次結構

層次分析法是將決策問題按總目標、各層子目標、評價準則直至具體備投方案的順序分解為不同層次結構，然后用求解判斷矩陣特征向量的辦法，求得每一層次的各元素對上一層次某元素的優先權重，最后再加權和的方法遞階歸并各備擇方案對總目標的最終權重，此最終權重最大者即為最優方案。

根據信息安全風險評估標準，對其中包含的威脅識別來進行風險評估，按照網絡結構，系統軟件，應用中間件，操作系統對列控中心可能遇到的風險進行分類并組建第二層。然后在第二層每個因素之下再進行分類，將網絡結構下面劃分為邊界保護、內部訪問策略，外部訪問策略，網絡設備安全配置4個因素。系統軟件劃分為口令策略、事件審計、物理保護、訪問控制4個因素。應用中間件劃分為協議安全、通信完整性、數據完整性3個因素。操作系統劃分為漏洞利用、訪問控制、數據審計、密碼管理、鑒別控制5個因素，如圖2所示。下文將對這些因素進行風險評估。

圖2 安全風險層次圖Fig.2 Security Risk hierarchy Chart

3 FAHP方法介紹

來對特征向量進行歸一化得到權向量

W=(w1,w2,w3,……wn)，其中

然后來計算最大特征根

通過對比n階指標即可判斷一致性是否通過。

得到相對權重Wb=(wb1,wb2,wb3,……,wbn)，然后歸一化后和第一層權向量相乘可得第三層權值。

4 計算舉例

4.1 風險評估計算方法

然后利用式（3）求得最大特征根為4.17，利用式（4）求得一致性指標為0.05小于0.1,說明矩陣一致性沒有問題。

下面計算第三層權重,令U=(u1,u2,u3,u4)分別對應邊界防護，內部防偽策略，外部訪問策略，網絡設備安全配置4個風險因素，采用7個等級來構造評判集V=(v1,v2,v3,v4,v5,v6,v7)，依次代表可忽略，很低，低，中等，高，很高，非常高，確定其權重分別為1/28, 2/28, 3/28, 4/28, 5/28,6/28, 7/28，結合專家意見，讓專家針對風險因素和評判集打分形成隸屬度矩陣

通過式（5）得到的相對權重為[0.12 0.15 0.16 0.15]，通過式（6）對其歸一化后再和第一層權值相乘之后得到的第三層權值為[0.015 0.020 0.020 0.018]。

類似的對于應用層中間件和操作系統，分別得到第三層的權值為[0.079 0.097 0.073]和[0.032 0.027 0.037 0.030]。

5 結語

本文利用FAHP方法對列控中心的各種組成要素進行定量的風險評估，降低了直接利用AHP方法所產生的主觀性。利用所得的結果可以有針對性的對列控中心各種要素進行風險分析，對重點對象進行特殊防護，從而降低整個列控中心的風險值，保證列車正常安全運行。