一种轨道列车车载通信系统信息安全风险评估方法

阎士奇

（中车青岛四方车辆研究所有限公司，山东青岛 266000）

1 概述

近年来，随着铁路行业信息化、数字化程度的逐步提高，铁路运营公司在借助信息化技术提高系统安全性、可靠性的同时，也在承担着极高的信息安全事件带来的风险。在铁路物联网（Railway Internet of Things，RIoT）概念下，信息系统的信息安全扮演着与功能安全同样重要的角色，信息系统缺陷可能会直接导致列车功能缺失、数据丢失甚至服务中断，并最终导致直接的财产损失。通过信息安全风险评估活动来识别系统或产品的信息安全等级是铁路信息安全基础工作。信息安全风险评估是对信息在产生、存储、处理、传输等过程中的保密性、完整性、可用性，产生破坏的可能性以及对信息系统产生的后果所做的评价或估计。通过开展信息安全风险评估，对信息系统的资产价值、潜在的安全威胁、系统缺陷和防护措施等进行分析，可以发现信息系统中存在的主要风险，并找到解决系统风险的方法，有针对性地对系统进行风险控制。

本文结合实际项目，提出一种基于通用漏洞评价系统（Common Vulnerability Scoring System，CVSS）的列车车载通信系统信息安全评估方法。对其风险评估方法、CVSS 方法、信息安全等级划分进行深入研究，并展望其应用前景。

2 基于CVSS的列车车载通信系统信息安全风险评估方法简介

基于CVSS 的列车车载通信系统信息安全风险评估方法（简称简化方法）的关键因素之一是减少风险评估活动中使用的枚举大量威胁情景，将威胁场景划分为几个主要领域，实现能够轻松估计危害发生的可能性及其影响，使风险评估活动的逻辑性和整体性更强。

简化方法的另一个优点是能够将威胁领域的结果直接映射到信息安全国际标准IEC 62443-4-2 规定的工业控制系统信息安全实现的基本要求（Fundamental Requirements，FR），因为这些直接涉及到网络安全标准的一般领域（完整性、真实性、可用性和保密性等）。以划分这些主要威胁域的方式进行风险评估，这种简化的风险评估方法属于定量风险评估方法。

简化方法的信息安全评估流程如下。

1）为了获得一个潜在威胁清单，简化方法使用MS STRIDE 方法列出在列车车载通信系统的组件和信息交互层面上的威胁种类。

2）进一步，在潜在的威胁种类中，通过评估它们对车载通信系统的适用性以及与项目的相关性，得到最终的威胁清单。

3）然后，基于CVSS 方法来计算威胁的严重程度。它为潜在的漏洞提供一个系统的严重性评估分数，并在一个固定的范围内得出数字量。

4）将威胁的严重性评估分数映射成标准IEC 62443 规定的信息安全等级，实现对威胁的量化评估活动。

3 威胁种类划分

3.1 MS STRIDE威胁模型

完整的风险评估方法根据MS STRIDE 威胁模型分为6 个领域。STRIDE 是微软的一个模型，用于分析通信软件组件的安全性。威胁将被归入不同的类别，以获得关于整个系统安全的系统性概述。如表1 所示，对这些类别进行简单的总结。

表1 MS STRIDE威胁模型Tab.1 MS STRIDE threat model

3.2 工业控制系统信息安全实现的基本要求

在IEC 62443 标准中一共定义了7 类工业控制系统信息安全实现的基本要求，具体要求分别如下。

FR1- 身份和授权控制（Identification and Authentication Control，IAC）：识别和鉴别所有用户（人员、过程和设备），并允许他们访问系统或资产，保护未授权的访问。

FR2-使用控制（Use Control，UC）：授权用户（人员、过程和设备）根据分配的优先级执行对系统或资产的访问，保护对设备未授权的操作。

FR3-数据完整性（Data Integrity，DI）：确保信道和数据库中的信息完整性，保护防止篡改数据。

FR4-数据保密性（Data Confidentiality， DC）：确保信息和数据库数据的保密性，防止数据泄露。

FR5-受限数据流（Restrict Data Flow，RDF）：利用区域和管道将系统分段，以限制不必要的数据流在区域间传输，保护信息。

FR6-事件的实时响应（Timely Response to an Event，TRE）：直接向权威机构响应发生的信息安全事件，提供确凿的证据，原因确定后能够及时采取正确的行为，将对信息安全的侵害通知权威部门，并报告相关的证据。

FR7-资源可用性（Resource Availability，RA）：确保系统或资产的可用性，保护整个网络资源免遭DoS 攻击。

3.3 STRIDE模型到FRs的映射关系

基于STRIDE 威胁模型的威胁分类与FR 的定义，可以得到STRIDE 模型到FR 的映射关系，如表2 所示。

表2 STRIDE威胁模型与FRs的映射关系Tab.2 Mapping relationship between STRIDE threat model and FRs

4 风险计算

对于每个STRIDE 威胁模型划分的领域，可以通过“威胁可能性”和“威胁影响”实现对威胁的风险计算，风险计算如公式（1）所示。

需要注意的是，每个威胁都将被计算风险；同样地，每个威胁都将计算其发生的可能性；然而，影响将按STRIDE 类别和设备来计算。由于每个威胁被分配到一个STRIDE 类别和一个设备上，相应的影响可以通过考虑STRIDE 类别、设备和影响之间的映射来找到。

4.1 “可能性”计算

在风险评估活动中，定义准确的“可能性”值总是一项困难的任务，因为它往往是基于评估者的经验估算。本文中的“可能性”计算基于CVSS 评分系统v3.1 版本。

CVSS 评分系统使用一个标准列表。在本文中，威胁可能性的计算包含4 个判断标准。

1）系统暴露；

2）攻击复杂性；

3）所需权限；

4）用户互动。

每个判断标准都可以分配一组固定的可能值。对于每个值，可以分配一个0.0 和1.0 之间的数字。一个高的数字对应于一个高的可能性，而一个低的数字对应于一个低的可能性。每个判断标准分配的权重如表3 所示。

表3 计算可能性的判断标准和相应的权重Tab.3 Judgment criteria and corresponding weights for calculating possibilities

如公式（2）所示，将权重之和归一化为0（所有参数都在最小值）到1（所有参数都在最大值）的尺度，就可以得到威胁可能性。

如果所有的权重都是最大值，那么产生的可能性（Likelihood）就是1.0；另一方面，如果所有的权重都是最小值，那么产生的Likelihood 是0.0。

4.2 “影响”计算

对于影响计算，本文采取与可能性计算类似的方法，即使用一套带有预定义值的判断标准，用于在计算过程中进行选择。给每个细分领域分配一个权重，也就是0.0 和1.0 之间的数字。需要注意的是，不同标准之间的权重可以有不同的大小。其原因是，在列车车载通信系统中，一些行车安全相关的判断标准更关键，应该被赋予更多的权重，本文赋予安全相关的判断标准4 倍的权重。权重越高，其对应的影响就越大。如表4 所示，总结了计算影响的判断标准和相应的权重。

表4 计算影响的判断标准和相应的权重Tab.4 Judgment criteria and corresponding weights for calculating impact

影响的计算与可能性的计算非常相似，在这种情况下，所有标准的最小值为0，计算如公式（3）所示。

5 信息安全等级映射

经过风险计算后，可以得到每个威胁对应的风险系数R风险，风险系数是一个0 ～1 之间的数字，数字越小意味着风险越低（因此相应的威胁也就越不重要），而数字越大意味着风险越高。

风险系数与IEC 62443 标准定义的安全等级（Security Level，SL）之间的映射如表5 所示定义。

表5 风险系数与安全等级之间的映射Tab.5 Mapping between risk coefficient and security level

唯一能产生0 安全级别（SL0）的风险级别是极低风险级别；可容忍的风险级别对应于低风险级别，它与安全级别SL1 有关，这意味着对偶然或巧合的侵犯的保护；中等风险级别和严重风险级别分别对应于安全级别SL2 和SL3；最高安全级别SL4 对应于最高风险级别，即高和非常高。

在轨道交通车载通信系统实际应用中，可容忍的风险可以被定义为低风险水平，即SL0 和SL1。在实际应用中，当威胁的风险评估结果属于SL0 和SL1 的范围时，该威胁就属于可以容忍的风险，属于评估终止的风险级别；当威胁的风险评估结果不属于可容忍的风险范围时，需要应用额外的信息安全对策对该威胁进行优化，直到该威胁的风险系数在0 ～0.20 之间为止。

6 结束语

随着工业信息安全在轨道交通领域重要程度的逐渐增长，欧洲电工标准化委员会技术委员会CENELEC TC9X 针对铁路应用制定了《铁路应用-信息安全》（TS 50701），定义了铁路应用场景下的信息安全需求和建议。轨道交通信息安全设计在国内处于起步阶段，目前还没有形成对轨道交通产品和系统的信息安全等级需求，如何高效地评估系统和应用存在的信息安全风险，将对产品信息安全优化和信息安全等级认证起到决定性作用，从根本上推动轨道交通领域信息安全建设的发展。

本文从出口海外的实际项目应用出发，针对既有车载通信系统产品平台，提出了一种基于漏洞评价系统的车载通信系统信息安全风险评估方法，未来可应用于轨道交通不同场景下的信息安全评估活动，通过科学、系统的方法对通信系统信息安全风险做出分析和评估，保证组织可以实施正确的管理和控制。