[发明专利]一种信息物理融合的铁路信号控制系统威胁分析方法

说明书

本发明公开了一种信息物理融合的铁路信号控制系统威胁分析方法，具体为：先针对铁路系统常见安全事故，结合具体运营场景定义系统的危险状态；再参考系统理论事故模型及其衍生分析方法，结合业务及其逻辑保护机制进行系统脆弱性分析；然后基于控制关系构建系统组件层结构，结合脆弱性以系统组件为对象从网络攻击的角度设计威胁场景；根据针对性评估指标来定量表示威胁场景风险，未来系统建设者或维护者可根据分析评估结果实施针对性入侵检测、定点防御部署等安全提升方案。本发明提出了与系统业务过程深度结合的新理论分析思路，实现了对铁路系统“功能安全”与“网络安全”属性的一种融合。

技术领域

本发明属于铁路网络安全技术领域，尤其涉及一种信息物理融合的铁路信号控制系统威胁分析方法。

背景技术

历史上工业控制系统的网络安全研究并不受重视。因其网络环境相对封闭，信息化和智能化程度较低，且具备预设安保措施，一般被认为不会遭受网络入侵。然而传统工控安全建设成果在网络攻击面前可能不堪一击，使研究人员意识到工控网络安全研究的重要与必要性。高铁信号系统是一种复杂的工控系统，由行车调度指挥系统、列车运行控制系统、联锁系统组成。其作为安全苛求系统，一旦发生安全失效将会导致非常严重的行车事故。

威胁建模是系统安全学科的一个重要内容，其从威胁的视角研究系统的安全问题。该领域已有诸多工作成果，然而由于铁路信号系统所采用的技术特点，已有的针对信息物理系统的分析方法并不能很好地适用。一方面，以铁路系统为目标的高水平、有针对性的攻击必将逐渐深入系统业务控制逻辑和物理设施功能体系，系统建设者因此按照业务流程制定了诸多安防措施。而已有方法如“OCTAVE”与“TARA”等均从系统组件角度切入分析，忽略了分析对象的业务功能交互，从而降低了分析结果的有效性与可用性；另一方面，从攻击角度来看，黑客入侵铁路网络的目的多是为了进一步影响其功能安全从而引发安全事故造成严重危害，故铁路系统的安全分析应向“功能安全”与“网络安全”融合的方向发展。部分方法如“STPA-SafeSec”虽兼顾了这两种属性，但仅将两者视为独立的对象，而忽略了其关联性。

发明内容

针对上述问题，为提供一种跟随对象特定业务过程的分析框架，辨识系统功能层面的薄弱点以从更深的层次反映并评估铁路信号控制系统所面临的风险。本发明提供一种信息物理融合的铁路信号控制系统威胁分析方法。

本发明的一种信息物理融合的铁路信号控制系统威胁分析方法，包括以下步骤：

步骤1：事故与系统级危险关联：

危险是一种可能发生的事故，在系统可预见操作范围内遇到触发事件或条件，从而导致事故。该步骤针对铁路常见安全事故，结合具体运营场景定义系统的危险状态；又因铁路的系统危险往往和特定业务密切相关，故该步骤亦可为后续步骤提供“业务”对象。

步骤2：危险行为辨识：

参考系统理论事故模型及其衍生分析方法，结合业务及其逻辑保护机制进行系统脆弱性分析。在NIST SP 800-30中定义薄弱点为“能被威胁利用而导致安全破坏或违背安全方针的缺陷或弱点”，同时系统理论事故模型将工控系统的薄弱点分为“不安全交互”与“组件失效”。受上述资料启发，步骤2结合“业务过程”分析系统控制结构，将抽象且不可控的安全事故细化为具体、可控的不安全控制行为，并利用约束进行过滤以构成“薄弱点”。

步骤3：系统威胁溯源：

基于控制关系构建系统组件层结构，结合脆弱性以系统组件为对象从网络攻击的角度设计威胁场景；需分析攻击者可能通过何种方式利用上述系统薄弱点构成威胁进而引发事故。参考STPA-SafeSec方法将系统控制层结构映射为组件层，结合薄弱点以组件为对象从攻击的角度设计系统威胁场景，同时考虑“实施前提”等约束以滤除难以实现的攻击。

步骤4：威胁风险评估：

考虑铁路系统网络的特殊性，对TARA方法的TTP风险评分指标进行改进以作为风险评估依据。