登陆

轩辕实验室┃地铁站的威胁和脆弱性风险评估: TVRA方法

来源：上海控安

2021-03-01

2173

以下文章来源于关键基础设施安全应急响应中心，作者上海控安

国家互联网应急中心下属机构，专门致力于国家关键信息基础设施的网络安全应急保障工作，开展相关领域的关键技术研究、安全事件通报与应急响应。

摘要：人们在使用基础设施系统时，往往没有意识到这些系统的重要性，直到发生攻击或损坏，导致人员伤亡或引起不适或不便。尽管在文献中有许多关于关键基础设施保护的研究，但还没有任何发表的文献介绍现有地铁站的风险评估和保护的简化方法。基于此动机，本文旨在描述和总结一项针对某综合型地铁车站的威胁与脆弱性风险评估(TVRA)研究结果。其范围是以一种简化的方法，为现有的典型车站和典型资产提供TVRA过程的细节。该文件不仅介绍了TVRA程序，而且为有助于减少现有地铁站受到威胁的风险的缓解战略提出了建议。假设现有的地铁站位于一个相对较大的城市的市中心，因此靠近商业区，位于密集的商业建筑开发区内。虽然每个车站都有自己独特的特点，但这份手稿中分享的方法是通用的，可以用于世界上的任何一个车站。

一、简介

世界上有成千上万的公共地铁站，每天都有数百万乘客和吨货物通过这些地铁站运送。许多车站主要位于交通网络的关键十字路口。与交通基础设施的其他组成部分一样，地铁站也容易受到一系列威胁、漏洞和危害。拥挤的公共设施，尤其是地铁站，是恐怖分子袭击的诱人目标，因为:• 车站可以在高峰时间和其他可预测的时间容纳大量的人;• 地铁车站有限而紧凑的空间容纳了高密度的人群，为可能造成大量伤亡的爆炸事件提供了潜在的环境;• 地铁车站承载着人和重要货物，对人民和城市的财政实力、安全和稳定至关重要。恐怖袭击，例如发生在贝鲁特的美国大使馆(1983年);纽约世界贸易中心(1993年);俄克拉荷马州的默拉联邦大厦(1995年);美国驻肯尼亚大使馆(1998年);纽约的世界贸易中心(2001年);华盛顿五角大楼(2001年);西班牙的通勤列车(2004年);英国伦敦地铁(2005年);安卡拉的其他爆炸事件(2015);法国(2015);比利时(2016);伊斯坦布尔(2016);法国(2016);德国(2016)证明了民用基础设施，包括地下交通网络是非常关键的，敏感的和重要的人的安全和保障。交通设施防护设计包括三个要素:• 威胁、脆弱性和风险评估• 爆炸分析和爆炸后稳定性研究• 结构硬化和对策(如果需要)尽管文献中有关于地铁系统关键基础设施保护的研究，据作者所知，目前还没有任何发表的文件专门针对现有地铁站的威胁和脆弱性风险评估(TVRA)的简化方法。基于这一动机，本文对一个典型的地铁站进行了TVRA，并对结果进行了总结。该文件还就潜在的缓解策略提出建议，以帮助降低现有地铁站受到威胁的风险。本文所使用的样本数据是从几种不同的资源中收集的，既符合实际，又能同时反映一般地铁车站的标准。这样做是为了确保进行全面的风险评估。这项研究得出的结果是合理和合理的，可使决策者确定减轻措施对现有地铁站的影响。在这个手稿中解释的方法涉及到几个专业的信息，包括但不限于建筑师，结构工程师，土木工程师，爆炸工程师，电气工程师，机械工程师，系统安全和保障，操作和维护，和风险管理专业人员。应该强调的是，手稿显示的方法论是适用于一个位于城市中心的普通地铁站。市中心是吸引游客的地方，经常旅行或参观城市。大多数乘客不熟悉地铁站的细节，即使他们经常使用它们。该论文并没有提供建议，使电台防恐怖或无风险。它提供了一些缓解风险的建议，有助于减少对类似车站的设施、员工和客户的威胁风险。本研究中显示的信息的完整性和准确性应在其他地铁站的应用中进行调整和证明。表总结了本研究中考虑的资产。鼓励读者扩充、修改和/或重新排列表1所示的资产清单，以供自己研究地铁车站之用。本文讨论的TVRA研究包括以下几个阶段:• 确定项目资产地铁车站中的单个资产组件通过物理位置和功能进行识别。表1所列的项目是典型的资产，通常被认定为地铁车站。

• 识别威胁:利用执法部门和情报部门的持续投入，制定适当的项目犯罪概况，识别潜在的犯罪行为。在确定威胁时，国际病例史也被考虑在内。• 风险评估根据联邦应急管理局(FEMA) 426(建筑和基础设施保护系列参考手册来减轻潜在的恐怖袭击的建筑物)(426年联邦应急管理局,2011),为了量化临界,脆弱,和后果(影响),风险评估协议集成威胁发生的可能性在攻击成功的概率会导致一定的大小,目标的漏洞。该程序为每种类型的威胁提供了一个相对的风险概要。这些风险概况有助于确定优先次序和更有效地分配资源以实施保护措施。• 风险计算:为计算各资产威胁对的风险，以及各资产所有相关威胁的总风险，本文所讨论的一般地铁站考虑以下资产:• 主要和次要车站设施• 流通元素、出入口• 建筑服务系统，如照明、电梯、自动扶梯和电站电源• 抵押资产(为抵押资产提供缓解策略超出了本文的范围，将是另一篇论文的主题)本研究提供了一个完整的TVRA应用程序在现有地铁站的研究人员和实习工程师，使他们可以使用相同的程序在其他现有地铁站。本研究旨在提供安全及保安指引，以识别:• 资产对各种风险和威胁的主要脆弱性• 结构性加强措施• 需要系统治疗• 可部署的集成系统，用于应急相关的指挥、控制、通信和信息。此外，本文所分享的材料将为在必要时用于后续缓解研究的输入数据提供一个示例，这些数据以威胁地点、设计基础威胁和可容忍的性能水平表示。

二、现有条件为通用地铁车站

具有代表性的地铁车站主要组成部分的总体描述如下:车站内有一条主要的地铁线路，有一个中心岛平台，方向相反，可供单独装卸地铁车辆。该综合体有零售摊贩、售货亭、公共厕所和由楼梯、电梯和自动扶梯组成的垂直流通。该站的视图如图1所示。表1列出了本文将要评估的资产。表1中列出的资产几乎适用于所有地铁站。这个名单可以缩短或扩大其他TVRA研究。

三、威胁的场景

在FEMA452 (Risk Assessment: a howto Guide to reduce Potential Terrorist Attacksagainst Buildings) (FEMA 452, 2005)中，“自然灾害”一词通常指飓风、地震和洪水等自然事件。恐怖主义不同于自然灾害，它源于人类活动。在本文中，只有恐怖威胁才会被视为地铁车站威胁的相关安全考虑因素。对于民用基础设施，威胁通常定义为任何可能对资产造成损害的事件。恐怖袭击威胁识别是一项艰巨的任务，因为与自然灾害不同，历史数据和概率不能用于预测恐怖袭击。事实上，恐怖袭击的地点、规模和复发性几乎是不可预测的。然而，可以认为有些地点和资产比其他地方更有吸引力，更容易发生恐怖袭击。任何类型的基础设施的威胁评估方案可以从一般的威胁方案到广泛详细的结构评估，需要设计以防御(FEMA 452, 2005)。本文讨论的地铁车站的威胁和风险概况非常广泛，足以包括提升安全计划的要求，包括特殊的反恐设计措施。这是针对针对人和基础设施的传统犯罪的常规安全应对措施的设计规定，需要常规应对和安全管理。地铁站点的发展特征和影响站点概况的威胁评估考虑因素将在以下章节中进行总结。由于其关键的交通功能、位置、占用和连接，这些特征在本研究中是必不可少的。

威胁发展信息基础和可信度

对于正在研究的地铁站，必须收集大量的背景信息。信息不仅需要从建筑师和工程师那里收集，还需要从执法部门、情报部门和车站所在城市和国家的轨道交通社区收集。如果存在这样的研究，以前的威胁和风险评估工作应该进行调查。此外，在物理和操作安全程序和防护设计的开发方面具有重要经验的设计专业人员也应该参与进来，提供有价值的信息。这些专业人员包括但不限于建筑师、结构工程师、爆破工程师和其他大量具有广泛保护和运输设施设计经验的人。通过分析犯罪和恐怖主义历史事件数据库，将这些知识资源与以往的威胁和风险评估经验结合起来;审查过境和其他联邦机构的安全设计准则;并组织设计团队圆桌会议。在这一地铁TVRA研究中，利用先前研究和评估的资产安全问题活动，确定了一份适合缓解考虑的可信和合理威胁清单。

与车站有关的安全考虑事项

有几种方法可以在地铁进出站对个人和/或他们的货物进行体面、合理和全面的安全检查。然而，目前还有其他技术、政策和程序正在考虑和发展中。在编写这篇论文期间，存在一些试点项目。这些项目旨在帮助检查货物和发现个人携带的非法物品。这些方案的数据还没有在地铁网络中投入商业实践，以减少不存在的威胁水平。联邦应急管理局459 (Incremental Rehabilitation to Improve Security in Buildings) (FEMA459, 2008)文件为任何公共设施的运营商提供了一份关于使用炸药以及其他方法所带来的安全威胁的摘要。有一些表格向用户提供了交付方法和可考虑用于任何项目(如果认为有必要)的炸药质量范围。因此，本文所考虑的具体威胁如下所述。

3.2.1 车载炸弹

根据执法部门和情报机构的说法，车载炸弹构成了可信的威胁，因此也被包括在本文中。现有的上一级车站入口为本文研究的普通地铁车站的安全漏洞和/或恐怖袭击创造了机会。这些威胁危及了一级资产。

3.2.2 人携带炸弹

随身携带的炸弹也构成可信的威胁;因此，它们已列入本报告。背包式手提箱炸弹、货运代理投递、邮差投递以及存储和零售空间地点都被考虑为这种类型的威胁。

3.2.3 纵火

使用现成的、易于运输的传统助燃剂的纵火事件构成了特别具有挑战性的威胁，因为即使是很小的液化剂或压缩气体的设计威胁也难以检测。即使是非常小的数量，当与新的阻燃轨道车固有的可燃物相结合时，这些燃料在存在氧气和火源的情况下，会产生令人生畏的兆瓦级火灾、烟雾和有毒气体。这些后点火事件产品，当与产生的烟雾和烟雾结合时;阻碍疏散、救援和恢复操作。纵火事件的后果由于受到限制的环境而被放大;长期旅行的距离;提供早期火警探测和快速反应抑制的困难;困难在于实现人口的划分和居住区域的大规模避难。有鉴于此，本报告包括了纵火威胁和事件缓解。

3.2.4 武装袭击

手枪和自动武器/长枪对地铁乘客构成的威胁是基于若干因素，包括所使用的武器类型、事件地点、肇事者人数和压制部队到达所需的时间。由于使用地铁站的人口中有很大比例是低于等级的，因此人们显然担心能否在大规模伤亡发生之前迅速作出反应并部署足够的资源来减轻威胁。因此，本文探讨了减轻枪支威胁的问题。

3.2.5 铁路破坏

对铁路运营的破坏仍然是地铁站的一个担忧。相对较小和不成熟的犯罪行为，即使在对轨道交通基础设施了解有限的情况下执行，也会在较长时间内严重扰乱列车运行。严重的破坏可能导致列车脱轨和/或碰撞，危及生命安全。此外，这些行为可能是唯一的来源努力或更大计划的一部分，目的是将大批人口监禁在一条隧道内，以便随后对这些人口进行有针对性的攻击。因此，认为对铁路运营的破坏是适当的，可以加以缓解。

3.2.6 传统的犯罪

在交通运输部门，针对人身和财产的传统犯罪是司空见惯的，大量的人力资源、视频监控、电子入侵检测系统和公共形象维护都致力于将流浪、破坏、盗窃、袭击和其他犯罪行为减少到最低限度。虽然通常认为特别犯罪行为是适宜在威胁和风险评估中加以考虑的，但重要的是考虑在统计上更可能和更普遍的减轻犯罪的传统要求。

资产和威胁场景

每个资产和相应的通用评估威胁场景和得分的一部分TVRA过程中标识Asset-Threat矩阵(表2)。这张桌子是由单独评估每个资产的基础上,其位置在地铁站内,程序使用,相邻结构,入住率和活动。决定是否每个威胁都可以被认为是对资产的可信攻击手段。同时，评估了预期的保护缓和策略和措施，如围栏、强行进入建筑和加固结构。缓解措施是限制成功交付表2所述威胁的机会的手段。一般来说，可访问性、方法的易用性、功能的识别和许多其他因素是这些评价的基础。与成功交付此威胁相关的风险降低在本报告后面的章节中得到了确认。表2的威胁资产矩阵提供了一种全面而紧凑的方式，以说明哪些资产会受到哪些威胁的影响。这个矩阵的目的是在一个资产一个资产的基础上识别每个资产的特定威胁。本演示支持针对特定威胁的资产脆弱性的后续决策。它还支持关于选择缓解策略的决策。要使用威胁资产矩阵，首先要在矩阵的左侧识别出感兴趣的特定资产。对该资产的特定威胁由矩阵单元中的“x”标识，用于本研究中考虑的每个单个威胁。

四、风险评估方法

计算风险评分在TVRA研究中非常重要。风险评分有助于决策者优先考虑保护措施，并确定最佳措施，将导致最高的效益-成本比。在安全缓解的背景下，地铁站内各种资产的风险被量化为三个因素的函数:价值，弱点，和影响(后果)。这种风险评估的过程如下图2所示。根据图2，逐步说明如下:步骤1：在这个过程中确定项目资产，本质上是本文前面描述的地铁系统的各个组成部分。步骤2：识别威胁场景，从而得到上面所示的资产威胁矩阵。步骤3：评估步骤1中定义的每个资产的关键性或重要性。步骤4：脆弱性的评估或每个威胁成功发生在每个资产的相对可能性。步骤5：对每种资产上成功发生每种威胁的后果的评估。步骤6：对地铁站内每一项资产的风险计算，将资产的临界性、资产对每一威胁进行攻击的脆弱性以及每一威胁在资产上成功发生的后果相结合。步骤2和步骤3通常是并行执行的，因为它们不相互依赖，由于相同的原因，步骤4和5也是如此。

用下式计算风险

其中：
C=资产的重要性V⁠i=资产受到威胁编号i的漏洞E⁠i=后果(用术语“效果”表示，以避免与临界性混淆)到威胁号i的资产n=该资产定义的威胁总数。所有威胁(从1到n)的总和。三个因素，重要性、脆弱性和后果，将在接下来的三个小节中讨论，就像为站内的资产量化每个因素(完成步骤3、4和5)的过程一样。第4节讨论了风险评估的结果。

重要性

重要性是指衡量资产对隧道所有者/运营商的重要性。在TVRA的安全缓解设计背景下，临界性根据以下资产属性确定隧道系统中哪些资产相对更重要，以保护免受攻击:• 暴露人口•对应急的重要性• 保护周围/附属结构的重要性• 对隧道系统运营的影响• 公众形象和安全意识• 重置成本根据表3总结的评分系统定义，对每项资产对这六个属性进行1-5的评分。对于每一项资产，将关键度的单一度量作为六个属性值或得分的未加权代数平均值。

脆弱性

脆弱性是对资产被给定威胁成功攻击的可能性的度量。在用于安全缓解设计的TVRA背景下，漏洞识别隧道系统内哪些资产相对更可能发生哪些威胁，可由下列资产属性确定:• 访问等级和防御系统的能力• 应对给定威胁的安全人员级别• 当威胁发生时的宣传（可发现）程度• 目标的能见度/吸引力攻击• 侵略者实施特定威胁的能力根据表4所示的评分系统定义，对每个资产和每个已识别的威胁对这五个属性进行1-5的评分。对于每一个资产-威胁组合，脆弱性的单一测度取五个属性值或得分的直线平均值。

后果/影响

后果是对特定威胁成功实施后资产所产生的影响或结果的一种度量。在用于安全缓解设计的TVRA背景下，“后果“确定隧道系统内资产的哪些威胁相对更有害，原因是下列资产属性:• 如果给定的威胁发生，预期的死亡人数• 如果给定的威胁发生，修理费用• 如果给定的威胁发生，资产停机根据表5所示的评分系统定义，对每个已识别威胁的资产对这三个属性进行1-5的评分。对于每一个资产-威胁组合，结果的单一度量作为三个属性值或分数的直线平均值。

五、风险评估结果

如前所述，风险表示为资产重要性的函数，资产对给定威胁的脆弱性，以及如果成功地用给定威胁攻击资产的后果。本节包括的第一组结果是属于地铁站的资产的初始或预缓解风险。下一组结果显示了对预期满足地铁站安全性能标准并因此将初始风险降低到可接受水平的缓解策略的评估。初始风险的评估集中于量化每个资产的重要性，然后量化每个资产上每个威胁的脆弱性和后果，如上所述。评估是在几次圆桌讲习班会议上进行的，这些会议最终就赋予每个属性的值达成了协商一致意见。

资产重要性

表6为地铁车站资产重要性评估样本结果。重要性并不能提供一个完整的风险度量。本措施不包括危害(安全威胁)、资产对危害的脆弱性或危险事件的影响。

资产-威胁的脆弱性和后果

评估包括许多资产，每一项都受到从1到5级的一系列威胁，导致许多资产-威胁组合，需要对脆弱性和后果进行量化。再次注意，为了使用一个与critical(重要性)不同的缩写(即E)，结果用术语“影响”来表示。表7为漏洞结果样本，即得出前5名漏洞得分的资产-威胁组合。表8显示了后果(或效应)的结果样本，即资产威胁组合(为了清晰起见，后果结果仅显示在列车车厢和乘客上)。

与重要性类似，脆弱性和后果的个项结果并不衡量风险，而是所有三个因素都有助于风险。这里列出个项结果的原因是为了说明评估的详细程度和严密性，以及评估数据在识别风险驱动因素方面的效用(即，有助于获得高风险评分并需要进一步评估以减轻风险的资产和/或威胁属性)。

资产风险

利用Eq.(1)，每种资产威胁组合所产生的风险如表9所示。请注意，风险因素是按照从高到低的顺序排列的，优先为每个资产制定特定的缓解措施。

安全性能标准确定每个资产类别的安全缓解目标，作为为最终缓解列表制定缓解策略的基础。建议的潜在缓解措施清单将降低风险指数，因为一旦成功部署就会降低某一威胁所造成的影响（后果）。

六、建议设计注意事项

TVRA程序的主要目标是确定对基础设施系统的有效和合理投资，如物理保护设计措施、电子安全系统、人员编制计划、政策和程序。这样做的目的是减少最关键资产的脆弱性，识别的威胁，被认为是对地铁车站的最大风险。本节将讨论推荐的安全设计注意事项。这些可以被认为是安全投资，作为实际项目基础设施的一部分实施，它们将阻止犯罪活动，最大限度地减少业务任务活动的中断和停工，保护生命和财产，并展现管理良好的公共交通项目的形象。保护性设计建议基本上是旨在降低风险的缓解策略。显然，几乎有无数的保护措施可以包括在这个物理范围的研究中，它的使命是有效地移动数百万的顾客。面临的挑战是有选择地采用缓解战略，为铁路管理所有权和公众用户提供最佳利益。利用风险评估的结果，为每种资产面临的每种威胁制定缓解战略。预计缓解战略将提供所需的保护，以满足规定的性能标准。这些策略通过减少脆弱性和/或本文前面定义的每个威胁的后果来减少每个资产的风险。作者提出了最常见的安全设计建议和最有效的降低风险的方法。表10中的缓解措施提供了保护资产的机会的清晰快照视图。

TVRA结果

在上一节中，提出了针对具体威胁的缓解战略。根据Eq.(1)，这些策略仅仅通过降低每个威胁的脆弱性和/或后果得分来降低资产风险得分。为了从减轻风险的能力方面评价建议的缓解战略，正在进行另一项TVRA研究，讨论在选定的通用火车站实施的战略。最后的风险评分如表11所示。该表显示了每个资产在缓解之前和之后的风险得分。可以观察到，采取缓解策略后的风险评分如预期的那样下降。缓解前的平均风险得分为145.9，缓解后的平均风险得分为130.0。这在风险评分中下降了约12%，从关键基础设施保护的角度来看，这是一个显著的下降。

七、摘要和结论

本文以一种简化的方法描述了具有典型资产的典型现有地铁站的TVRA过程的细节。该文件还为缓解战略提供了建议，有助于降低现有地铁站受到威胁的风险。假设地铁站位于一个相对较大的城市的市中心，因此靠近商业区，位于非常密集的商业建筑开发之下。首先，进行了TVRA研究，为全面、系统、合理地评估通用地铁站资产的风险，并确定降低风险的最有效手段提供了一个全面、系统、合理的依据。根据第一次TVRA研究的结果，考虑了一些建议的缓解措施，试图降低风险值。为了分析建议的缓解措施的效果，进行了另一项TVRA研究。这项缓解后的TVRA研究结果表明，平均风险评分下降了12%，从关键基础设施保护的角度来看，可以视为显著下降。虽然每个车站群都有自己独特的特点，但本文所分享的方法是通用的，可以在世界上任何一个车站实施。