[发明专利]一种信息物理融合的铁路信号控制系统威胁分析方法

权利要求书

1.一种信息物理融合的铁路信号控制系统威胁分析方法，其特征在于，包括以下步骤：

步骤1：事故与系统级危险关联：

针对铁路常见安全事故，结合具体运营场景定义系统的危险状态；

步骤2：危险行为辨识：

参考系统理论事故模型及其衍生分析方法，结合业务及其逻辑保护机制进行系统脆弱性分析；将抽象且不可控的安全事故细化为具体、可控的不安全控制行为，并利用约束进行过滤以构成“薄弱点”；

依据业务流程及相关系统单元剖析系统的控制结构，采用化繁为简的方法分离出每个最小的控制环路，并从中提取业务流程的关键控制行为CA；使用STPA方法对控制行为进行危险辨识；考虑控制层约束与网络威胁之间的对抗，分别从保密性、完整性与可用性角度抽象出一套网络威胁引导词，通过与危险情况结合以判断网络攻击能否直接或间接造成危险行为；

步骤3：系统威胁溯源：

基于控制关系构建系统组件层结构，结合脆弱性以系统组件为对象从网络攻击的角度设计威胁场景；

步骤4：威胁风险评估：

考虑铁路系统网络的特殊性，对TARA方法的TTP风险评分指标进行改进以作为风险评估依据；

采取计算风险分值的方式对威胁场景进行定量风险评估；假设威胁场景n包含m个UCA，其中第i个UCA可由j种TTP实现；若TTP间为“独立”关系，则UCA_i的风险值取其中最高的TTP风险值：若TTP间为“协同”关系，则UCA_i的风险值为所有TTP风险值的平均：威胁场景n的风险值为所有UCA风险值的平均：

步骤5：设计缓解措施：

通过前述分析得出的威胁场景与风险评估结果，未来系统建设者或维护者针对性检测或部署，使整个分析框架形成闭环结构。

2.根据权利要求1所述的一种信息物理融合的铁路信号控制系统威胁分析方法，其特征在于，所述步骤3具体为：

将控制层结构扩展为组件层结构，提取出该场景中的关键资产；设计“威胁场景表”来描述威胁场景，该表需分析人员站在攻击者角度，针对薄弱点和其涉及的系统资产，结合对应抽象网络威胁类型，从各类安全知识库中查找攻击模式进行填写。