一種軌道列車車載通信系統信息安全風險評估方法

閻士奇

（中車青島四方車輛研究所有限公司，山東青島 266000）

1 概述

近年來，隨著鐵路行業信息化、數字化程度的逐步提高，鐵路運營公司在借助信息化技術提高系統安全性、可靠性的同時，也在承擔著極高的信息安全事件帶來的風險。在鐵路物聯網（Railway Internet of Things，RIoT）概念下，信息系統的信息安全扮演著與功能安全同樣重要的角色，信息系統缺陷可能會直接導致列車功能缺失、數據丟失甚至服務中斷，并最終導致直接的財產損失。通過信息安全風險評估活動來識別系統或產品的信息安全等級是鐵路信息安全基礎工作。信息安全風險評估是對信息在產生、存儲、處理、傳輸等過程中的保密性、完整性、可用性，產生破壞的可能性以及對信息系統產生的后果所做的評價或估計。通過開展信息安全風險評估，對信息系統的資產價值、潛在的安全威脅、系統缺陷和防護措施等進行分析，可以發現信息系統中存在的主要風險，并找到解決系統風險的方法，有針對性地對系統進行風險控制。

本文結合實際項目，提出一種基于通用漏洞評價系統（Common Vulnerability Scoring System，CVSS）的列車車載通信系統信息安全評估方法。對其風險評估方法、CVSS 方法、信息安全等級劃分進行深入研究，并展望其應用前景。

2 基于CVSS的列車車載通信系統信息安全風險評估方法簡介

基于CVSS 的列車車載通信系統信息安全風險評估方法（簡稱簡化方法）的關鍵因素之一是減少風險評估活動中使用的枚舉大量威脅情景，將威脅場景劃分為幾個主要領域，實現能夠輕松估計危害發生的可能性及其影響，使風險評估活動的邏輯性和整體性更強。

簡化方法的另一個優點是能夠將威脅領域的結果直接映射到信息安全國際標準IEC 62443-4-2 規定的工業控制系統信息安全實現的基本要求（Fundamental Requirements，FR），因為這些直接涉及到網絡安全標準的一般領域（完整性、真實性、可用性和保密性等）。以劃分這些主要威脅域的方式進行風險評估，這種簡化的風險評估方法屬于定量風險評估方法。

簡化方法的信息安全評估流程如下。

1）為了獲得一個潛在威脅清單，簡化方法使用MS STRIDE 方法列出在列車車載通信系統的組件和信息交互層面上的威脅種類。

2）進一步，在潛在的威脅種類中，通過評估它們對車載通信系統的適用性以及與項目的相關性，得到最終的威脅清單。

3）然后，基于CVSS 方法來計算威脅的嚴重程度。它為潛在的漏洞提供一個系統的嚴重性評估分數，并在一個固定的范圍內得出數字量。

4）將威脅的嚴重性評估分數映射成標準IEC 62443 規定的信息安全等級，實現對威脅的量化評估活動。

3 威脅種類劃分

3.1 MS STRIDE威脅模型

完整的風險評估方法根據MS STRIDE 威脅模型分為6 個領域。STRIDE 是微軟的一個模型，用于分析通信軟件組件的安全性。威脅將被歸入不同的類別，以獲得關于整個系統安全的系統性概述。如表1 所示，對這些類別進行簡單的總結。

表1 MS STRIDE威脅模型Tab.1 MS STRIDE threat model

3.2 工業控制系統信息安全實現的基本要求

在IEC 62443 標準中一共定義了7 類工業控制系統信息安全實現的基本要求，具體要求分別如下。

FR1- 身份和授權控制（Identification and Authentication Control，IAC）：識別和鑒別所有用戶（人員、過程和設備），并允許他們訪問系統或資產，保護未授權的訪問。

FR2-使用控制（Use Control，UC）：授權用戶（人員、過程和設備）根據分配的優先級執行對系統或資產的訪問，保護對設備未授權的操作。

FR3-數據完整性（Data Integrity，DI）：確保信道和數據庫中的信息完整性，保護防止篡改數據。

FR4-數據保密性（Data Confidentiality， DC）：確保信息和數據庫數據的保密性，防止數據泄露。

FR5-受限數據流（Restrict Data Flow，RDF）：利用區域和管道將系統分段，以限制不必要的數據流在區域間傳輸，保護信息。

FR6-事件的實時響應（Timely Response to an Event，TRE）：直接向權威機構響應發生的信息安全事件，提供確鑿的證據，原因確定后能夠及時采取正確的行為，將對信息安全的侵害通知權威部門，并報告相關的證據。

FR7-資源可用性（Resource Availability，RA）：確保系統或資產的可用性，保護整個網絡資源免遭DoS 攻擊。

3.3 STRIDE模型到FRs的映射關系

基于STRIDE 威脅模型的威脅分類與FR 的定義，可以得到STRIDE 模型到FR 的映射關系，如表2 所示。

表2 STRIDE威脅模型與FRs的映射關系Tab.2 Mapping relationship between STRIDE threat model and FRs

4 風險計算

對于每個STRIDE 威脅模型劃分的領域，可以通過“威脅可能性”和“威脅影響”實現對威脅的風險計算，風險計算如公式（1）所示。

需要注意的是，每個威脅都將被計算風險；同樣地，每個威脅都將計算其發生的可能性；然而，影響將按STRIDE 類別和設備來計算。由于每個威脅被分配到一個STRIDE 類別和一個設備上，相應的影響可以通過考慮STRIDE 類別、設備和影響之間的映射來找到。

4.1 “可能性”計算

在風險評估活動中，定義準確的“可能性”值總是一項困難的任務，因為它往往是基于評估者的經驗估算。本文中的“可能性”計算基于CVSS 評分系統v3.1 版本。

CVSS 評分系統使用一個標準列表。在本文中，威脅可能性的計算包含4 個判斷標準。

1）系統暴露；

2）攻擊復雜性；

3）所需權限；

4）用戶互動。

每個判斷標準都可以分配一組固定的可能值。對于每個值，可以分配一個0.0 和1.0 之間的數字。一個高的數字對應于一個高的可能性，而一個低的數字對應于一個低的可能性。每個判斷標準分配的權重如表3 所示。

表3 計算可能性的判斷標準和相應的權重Tab.3 Judgment criteria and corresponding weights for calculating possibilities

如公式（2）所示，將權重之和歸一化為0（所有參數都在最小值）到1（所有參數都在最大值）的尺度，就可以得到威脅可能性。

如果所有的權重都是最大值，那么產生的可能性（Likelihood）就是1.0；另一方面，如果所有的權重都是最小值，那么產生的Likelihood 是0.0。

4.2 “影響”計算

對于影響計算，本文采取與可能性計算類似的方法，即使用一套帶有預定義值的判斷標準，用于在計算過程中進行選擇。給每個細分領域分配一個權重，也就是0.0 和1.0 之間的數字。需要注意的是，不同標準之間的權重可以有不同的大小。其原因是，在列車車載通信系統中，一些行車安全相關的判斷標準更關鍵，應該被賦予更多的權重，本文賦予安全相關的判斷標準4 倍的權重。權重越高，其對應的影響就越大。如表4 所示，總結了計算影響的判斷標準和相應的權重。

表4 計算影響的判斷標準和相應的權重Tab.4 Judgment criteria and corresponding weights for calculating impact

影響的計算與可能性的計算非常相似，在這種情況下，所有標準的最小值為0，計算如公式（3）所示。

5 信息安全等級映射

經過風險計算后，可以得到每個威脅對應的風險系數R風險，風險系數是一個0 ～1 之間的數字，數字越小意味著風險越低（因此相應的威脅也就越不重要），而數字越大意味著風險越高。

風險系數與IEC 62443 標準定義的安全等級（Security Level，SL）之間的映射如表5 所示定義。

表5 風險系數與安全等級之間的映射Tab.5 Mapping between risk coefficient and security level

唯一能產生0 安全級別（SL0）的風險級別是極低風險級別；可容忍的風險級別對應于低風險級別，它與安全級別SL1 有關，這意味著對偶然或巧合的侵犯的保護；中等風險級別和嚴重風險級別分別對應于安全級別SL2 和SL3；最高安全級別SL4 對應于最高風險級別，即高和非常高。

在軌道交通車載通信系統實際應用中，可容忍的風險可以被定義為低風險水平，即SL0 和SL1。在實際應用中，當威脅的風險評估結果屬于SL0 和SL1 的范圍時，該威脅就屬于可以容忍的風險，屬于評估終止的風險級別；當威脅的風險評估結果不屬于可容忍的風險范圍時，需要應用額外的信息安全對策對該威脅進行優化，直到該威脅的風險系數在0 ～0.20 之間為止。

6 結束語

隨著工業信息安全在軌道交通領域重要程度的逐漸增長，歐洲電工標準化委員會技術委員會CENELEC TC9X 針對鐵路應用制定了《鐵路應用-信息安全》（TS 50701），定義了鐵路應用場景下的信息安全需求和建議。軌道交通信息安全設計在國內處于起步階段，目前還沒有形成對軌道交通產品和系統的信息安全等級需求，如何高效地評估系統和應用存在的信息安全風險，將對產品信息安全優化和信息安全等級認證起到決定性作用，從根本上推動軌道交通領域信息安全建設的發展。

本文從出口海外的實際項目應用出發，針對既有車載通信系統產品平臺，提出了一種基于漏洞評價系統的車載通信系統信息安全風險評估方法，未來可應用于軌道交通不同場景下的信息安全評估活動，通過科學、系統的方法對通信系統信息安全風險做出分析和評估，保證組織可以實施正確的管理和控制。