董 寧 王 劍，2，3 蔡伯根，2，3

（1.北京交通大學(xué) 電子信息工程學(xué)院，北京 100044；2.北京交通大學(xué) 軌道交通控制與安全國家重點(diǎn)實(shí)驗(yàn)室，北京 100044；3.北京交通大學(xué) 北京市軌道交通電磁兼容與衛(wèi)星導(dǎo)航工程技術(shù)研究中心，北京 100044）

列控中心是鐵路信號系統(tǒng)中的核心部件，其安全性影響著鐵路行車安全這個鐵路運(yùn)輸中最關(guān)鍵部分。文獻(xiàn)[1]分析了風(fēng)險評估的基本流程和屬性，介紹了如何對一個系統(tǒng)進(jìn)行風(fēng)險評估。文獻(xiàn)[2]介紹了使用AHP方法對信息系統(tǒng)進(jìn)行安全性風(fēng)險評估，文獻(xiàn)[3]～[6]介紹了AHP方法如何調(diào)整比較矩陣一致性的問題，使得矩陣一致性符合要求。

1 風(fēng)險評估流程

文獻(xiàn)[7]介紹了模糊風(fēng)險評估模型，通過對風(fēng)險因素建立評判集的方式通過矩陣運(yùn)算獲得最終權(quán)值。文獻(xiàn)[8]介紹了通過云模型和DS證據(jù)理論對列控中心進(jìn)行風(fēng)險評估的方法。文獻(xiàn)[9]介紹了基于組件和VIKOR方法決策的列控中心風(fēng)險評估。本文利用FAHP方法對列控中心進(jìn)行風(fēng)險評估，降低AHP放在在評估中的主觀因素。

風(fēng)險評估是組織確定信息安全風(fēng)險需求的過程，包括資產(chǎn)識別與評價，威脅和弱點(diǎn)評估，控制措施評估，風(fēng)險認(rèn)定在內(nèi)的一系列活動。相比于普通信息系統(tǒng)，列控中心屬于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)一般包括許多現(xiàn)場控制設(shè)備，這些設(shè)備的差異性比較大。而對于工業(yè)控制系統(tǒng)來說，風(fēng)險評估必須是一個整體考慮、充分規(guī)劃、持續(xù)運(yùn)作的過程，從系統(tǒng)結(jié)構(gòu)方面，評估整個工業(yè)控制網(wǎng)絡(luò)的各個邏輯層；從評估要素方面，評估包括技術(shù)、管理、運(yùn)行等各個層面。列控中心風(fēng)險評估流程如圖1所示，整個流程包括評估準(zhǔn)備、要素識別，風(fēng)險分析和匯報(bào)驗(yàn)收4個階段。一般使用層次分析法對系統(tǒng)進(jìn)行風(fēng)險評估，層次分析法對每個因素的結(jié)果進(jìn)行量化分析，解決一致性問題。

圖1 信息安全風(fēng)險評估流程圖Fig.1 Information Security Risk Assessment Flow Chart

本文在第二層和第三層中間采取模糊矩陣的方式，這樣可以解決專家打分主觀性問題，提高整個分析結(jié)果的客觀性。

2 列控中心安全風(fēng)險評估方法

2.1 列控中心介紹

列控中心（TCC）主要實(shí)現(xiàn)車站/區(qū)間軌道電路編碼、臨時限速報(bào)文實(shí)時組幀、有源應(yīng)答器控制、區(qū)間方向控制等功能，并通過聯(lián)鎖設(shè)備向RBC提供軌道電路狀態(tài)信息。根據(jù)其管轄范圍內(nèi)軌道電路狀態(tài)、聯(lián)鎖進(jìn)路及邊界條件等信息，通過軌道電路和應(yīng)答器向工作在CTCS-2級的列車提供行車許可。列控中心主要有以下功能。

1）軌道電路編碼

列控中心設(shè)備控制站內(nèi)和區(qū)間的軌道電路編碼，并通過聯(lián)鎖設(shè)備把軌道電路狀態(tài)信息傳送給RBC，作為生成MA的依據(jù)。同時把軌道電路狀態(tài)信息傳送給TSRS和CTC，作為臨時限速下達(dá)時機(jī)的判斷依據(jù)和CTC列車位置顯示的依據(jù)。

2）臨時限速報(bào)文實(shí)時組幀

列控中心根據(jù)臨時限速命令，結(jié)合進(jìn)路信息，實(shí)時組幀，生成應(yīng)答器報(bào)文，通過LEU和有源應(yīng)答器發(fā)給車載設(shè)備。

3）閉塞方向控制

列控中心設(shè)備通過信號系統(tǒng)安全數(shù)據(jù)網(wǎng)，與聯(lián)鎖設(shè)備以及相鄰車站列控中心間通信，實(shí)現(xiàn)站間閉塞方向的控制，并把區(qū)間狀態(tài)和方向信息傳送給聯(lián)鎖設(shè)備，聯(lián)鎖設(shè)備根據(jù)閉塞方向狀態(tài)信息實(shí)現(xiàn)進(jìn)路的開放和關(guān)閉。

2.2 構(gòu)造層次結(jié)構(gòu)

層次分析法是將決策問題按總目標(biāo)、各層子目標(biāo)、評價準(zhǔn)則直至具體備投方案的順序分解為不同層次結(jié)構(gòu)，然后用求解判斷矩陣特征向量的辦法，求得每一層次的各元素對上一層次某元素的優(yōu)先權(quán)重，最后再加權(quán)和的方法遞階歸并各備擇方案對總目標(biāo)的最終權(quán)重，此最終權(quán)重最大者即為最優(yōu)方案。

根據(jù)信息安全風(fēng)險評估標(biāo)準(zhǔn)，對其中包含的威脅識別來進(jìn)行風(fēng)險評估，按照網(wǎng)絡(luò)結(jié)構(gòu)，系統(tǒng)軟件，應(yīng)用中間件，操作系統(tǒng)對列控中心可能遇到的風(fēng)險進(jìn)行分類并組建第二層。然后在第二層每個因素之下再進(jìn)行分類，將網(wǎng)絡(luò)結(jié)構(gòu)下面劃分為邊界保護(hù)、內(nèi)部訪問策略，外部訪問策略，網(wǎng)絡(luò)設(shè)備安全配置4個因素。系統(tǒng)軟件劃分為口令策略、事件審計(jì)、物理保護(hù)、訪問控制4個因素。應(yīng)用中間件劃分為協(xié)議安全、通信完整性、數(shù)據(jù)完整性3個因素。操作系統(tǒng)劃分為漏洞利用、訪問控制、數(shù)據(jù)審計(jì)、密碼管理、鑒別控制5個因素，如圖2所示。下文將對這些因素進(jìn)行風(fēng)險評估。

圖2 安全風(fēng)險層次圖Fig.2 Security Risk hierarchy Chart

3 FAHP方法介紹

來對特征向量進(jìn)行歸一化得到權(quán)向量

W=(w1,w2,w3,……wn)，其中

然后來計(jì)算最大特征根

通過對比n階指標(biāo)即可判斷一致性是否通過。

得到相對權(quán)重Wb=(wb1,wb2,wb3,……,wbn)，然后歸一化后和第一層權(quán)向量相乘可得第三層權(quán)值。

4 計(jì)算舉例

4.1 風(fēng)險評估計(jì)算方法

然后利用式（3）求得最大特征根為4.17，利用式（4）求得一致性指標(biāo)為0.05小于0.1,說明矩陣一致性沒有問題。

下面計(jì)算第三層權(quán)重,令U=(u1,u2,u3,u4)分別對應(yīng)邊界防護(hù)，內(nèi)部防偽策略，外部訪問策略，網(wǎng)絡(luò)設(shè)備安全配置4個風(fēng)險因素，采用7個等級來構(gòu)造評判集V=(v1,v2,v3,v4,v5,v6,v7)，依次代表可忽略，很低，低，中等，高，很高，非常高，確定其權(quán)重分別為1/28, 2/28, 3/28, 4/28, 5/28,6/28, 7/28，結(jié)合專家意見，讓專家針對風(fēng)險因素和評判集打分形成隸屬度矩陣

通過式（5）得到的相對權(quán)重為[0.12 0.15 0.16 0.15]，通過式（6）對其歸一化后再和第一層權(quán)值相乘之后得到的第三層權(quán)值為[0.015 0.020 0.020 0.018]。

類似的對于應(yīng)用層中間件和操作系統(tǒng)，分別得到第三層的權(quán)值為[0.079 0.097 0.073]和[0.032 0.027 0.037 0.030]。

5 結(jié)語

本文利用FAHP方法對列控中心的各種組成要素進(jìn)行定量的風(fēng)險評估，降低了直接利用AHP方法所產(chǎn)生的主觀性。利用所得的結(jié)果可以有針對性的對列控中心各種要素進(jìn)行風(fēng)險分析，對重點(diǎn)對象進(jìn)行特殊防護(hù)，從而降低整個列控中心的風(fēng)險值，保證列車正常安全運(yùn)行。