鐵路信息化資產(chǎn)知識圖譜測繪工作的構(gòu)想

李 琪，孫宇寧

（1.中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081；2. 中國標(biāo)準(zhǔn)化研究院，北京 100191）

鐵路網(wǎng)絡(luò)安全工作的重點是保護鐵路網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施的安全，近年來鐵路網(wǎng)絡(luò)安全工作基本上是圍繞鐵路信息化資產(chǎn)來開展，如加強落實網(wǎng)絡(luò)安全等級保護制度、開展網(wǎng)絡(luò)安全隱患排查整改等專項工作。然而，鐵路信息化資產(chǎn)保護工作當(dāng)前仍面臨著安全問題難以溯源、資產(chǎn)管理底賬不明、異構(gòu)網(wǎng)絡(luò)邊緣不清、標(biāo)準(zhǔn)建設(shè)尚未統(tǒng)一等問題與挑戰(zhàn)。

2019年國家標(biāo)準(zhǔn)化管理委員重新修訂網(wǎng)絡(luò)安全等級保護制度，更加強調(diào)網(wǎng)絡(luò)安全工作的核心就是對信息化資產(chǎn)的保護。針對網(wǎng)絡(luò)信息科學(xué)發(fā)展和網(wǎng)絡(luò)安全保障的應(yīng)用需求，利用知識圖譜技術(shù)開展網(wǎng)絡(luò)空間資產(chǎn)測繪研究，既體現(xiàn)信息資產(chǎn)在網(wǎng)絡(luò)環(huán)境中的重要地位，也是資產(chǎn)管理部門開展網(wǎng)絡(luò)安全工作的一項重要任務(wù)。

鐵路信息化資產(chǎn)的測繪描述與認知表達是開展網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)事件分析與決策工作的前提和基礎(chǔ)，對鐵路信息化資產(chǎn)的管理與組織具有重要意義，有助于網(wǎng)絡(luò)研究和管理人員更及時、準(zhǔn)確地探測網(wǎng)絡(luò)資源，精確感知網(wǎng)絡(luò)態(tài)勢。

1 知識圖譜與網(wǎng)絡(luò)空間資產(chǎn)測繪的概念

1.1 知識圖譜的構(gòu)建

知識圖譜是一種語義網(wǎng)絡(luò)，采用可視化技術(shù)描述知識資源及其載體，挖掘、分析、構(gòu)建、繪制和顯示知識及它們之間的相互聯(lián)系。知識圖譜的構(gòu)建一般可分為數(shù)據(jù)獲取、信息抽取、知識融合和知識加工4個步驟，如圖1所示。

在數(shù)據(jù)獲取階段，由于數(shù)據(jù)來源的多樣性，知識圖譜構(gòu)建的數(shù)據(jù)來源既包含結(jié)構(gòu)化數(shù)據(jù)，也包含半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)；在信息抽取階段，結(jié)構(gòu)化數(shù)據(jù)可自動抽取，非結(jié)構(gòu)化數(shù)據(jù)則要提取實體、屬性關(guān)系等信息。在知識融合階段，主要進行知識的糾錯與補全；在知識加工階段，重點是對知識進行更新與精化，形成知識圖譜及知識應(yīng)用[1-2]。

針對海量資產(chǎn)信息管理與資源分配，構(gòu)建信息化資產(chǎn)的知識圖譜能夠解決孤立、零散的資產(chǎn)管理問題，并通過對信息化資產(chǎn)進行分類，全面增強網(wǎng)絡(luò)安全防控能力[3]。隨著網(wǎng)絡(luò)資產(chǎn)信息的不斷積累與擴展，將形成一個包含海量數(shù)據(jù)且動態(tài)變化的龐大資源庫，其知識圖譜的構(gòu)建是一個浩大的工程。

圖1 知識圖譜構(gòu)建過程

1.2 網(wǎng)絡(luò)空間資產(chǎn)測繪的概念

信息化資產(chǎn)的知識圖譜測繪研究將以信息化資產(chǎn)為對象，以計算機科學(xué)、網(wǎng)絡(luò)科學(xué)、測繪科學(xué)、信息科學(xué)為基礎(chǔ)，利用網(wǎng)絡(luò)探測、網(wǎng)絡(luò)分析、實體定位、地理測繪和地理信息等技術(shù)，獲得資產(chǎn)設(shè)備在網(wǎng)絡(luò)空間內(nèi)的位置、屬性及拓撲結(jié)構(gòu)，并將其映射至地理空間，最終以地圖形式或其它可視化形式進行展現(xiàn)。

網(wǎng)絡(luò)空間信息化資產(chǎn)測繪可劃分為探測層、映射層和繪制層，其技術(shù)架構(gòu)如圖2所示[4]。

探測層：根據(jù)探測對象劃分為實體資源探測和虛擬資源探測。實體資源探測包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施探測、拓撲探測、IP地址探測；虛擬資源探測包括服務(wù)探測、內(nèi)容探測、屬性探測和用戶探測。

映射層：利用探測層匯集的數(shù)據(jù)，利用地標(biāo)挖掘與采集、實體定位、軌跡發(fā)現(xiàn)、關(guān)系挖掘等技術(shù)，將網(wǎng)絡(luò)資產(chǎn)及其屬性信息映射到地理空間。

繪制層：將多維度的網(wǎng)絡(luò)空間虛實資源及其屬性和關(guān)系描述展示在低維度的可視化空間，構(gòu)建分層次、可變粒度的網(wǎng)絡(luò)空間地圖，實現(xiàn)對各種網(wǎng)絡(luò)資源的查詢與展現(xiàn)。

圖2 網(wǎng)絡(luò)空間信息化資產(chǎn)測繪技術(shù)架構(gòu)

2 信息化資產(chǎn)知識圖譜測繪的關(guān)鍵技術(shù)

信息化資產(chǎn)知識圖譜探測技術(shù)能夠為網(wǎng)絡(luò)空間測繪提供詳細的資產(chǎn)設(shè)備分布信息，通過主動探測和被動探測兩種方式，繪制網(wǎng)絡(luò)空間資產(chǎn)圖譜。在此基礎(chǔ)上，結(jié)合大數(shù)據(jù)特征分析與挖掘技術(shù)、網(wǎng)絡(luò)威脅情報融合技術(shù)，建立網(wǎng)絡(luò)安全知識譜圖高效檢索機制，為網(wǎng)絡(luò)安全風(fēng)險預(yù)測、安全事件預(yù)警提供基礎(chǔ)支撐。

2.1 網(wǎng)絡(luò)自動化拓撲發(fā)現(xiàn)與構(gòu)建技術(shù)

根據(jù)信息化資產(chǎn)在網(wǎng)絡(luò)覆蓋范圍內(nèi)的分布情況，結(jié)合地理和社會空間信息，利用軟件或硬件工具，以邏輯圖和地理信息圖的形式，實時繪制信息化資產(chǎn)的分布與層次性拓撲關(guān)系，為信息化資產(chǎn)測繪提供基礎(chǔ)技術(shù)支撐。結(jié)合不同的鐵路業(yè)務(wù)應(yīng)用場景，需要采用不同的拓撲測量方法，包括基于網(wǎng)絡(luò)管理協(xié)議的拓撲測量方法、基于 Traceroute的網(wǎng)絡(luò)拓撲測量方法、基于路由協(xié)議的拓撲發(fā)現(xiàn)方法等。

2.2 信息化資產(chǎn)探測技術(shù)

對網(wǎng)絡(luò)覆蓋范圍內(nèi)的資產(chǎn)及其屬性進行探測、融合分析和繪制，通過繪制信息化資產(chǎn)全息地圖，全面描述和展示網(wǎng)絡(luò)信息化資產(chǎn)信息，為各類應(yīng)用（如網(wǎng)絡(luò)資產(chǎn)評估、設(shè)備漏洞發(fā)現(xiàn)等）提供數(shù)據(jù)和技術(shù)支持，對網(wǎng)絡(luò)空間內(nèi)資產(chǎn)存在的威脅進行檢測和確認，及時發(fā)出通知，提供修復(fù)建議，提高計算機系統(tǒng)和網(wǎng)絡(luò)的安全性。

2.3 網(wǎng)絡(luò)信息化資產(chǎn)特征數(shù)據(jù)與網(wǎng)絡(luò)威脅情報融合技術(shù)

從數(shù)據(jù)類型和存儲方式、知識圖譜構(gòu)建、多類型數(shù)據(jù)采集、實體抽取、屬性抽取、關(guān)系抽取、知識融合、實體鏈接、共指消解、知識合并、知識加工、知識推理、知識質(zhì)量評估、知識更新和圖形數(shù)據(jù)庫等方面，研究知識圖譜構(gòu)建全過程，構(gòu)建面向威脅情報應(yīng)用的網(wǎng)絡(luò)安全知識圖譜，為事件溯源、威脅趨勢研判和預(yù)測提供數(shù)據(jù)支持。

2.4 基于網(wǎng)絡(luò)空間威脅圖譜的安全事件預(yù)警與分析技術(shù)

以關(guān)鍵系統(tǒng)網(wǎng)站、重保單位的出入站流量/日志為數(shù)據(jù)基礎(chǔ)，利用網(wǎng)絡(luò)空間與威脅情報融合的知識圖譜、機器學(xué)習(xí)模型、深度學(xué)習(xí)算法等大數(shù)據(jù)與人工智能相關(guān)技術(shù)，重點研究在城域網(wǎng)威脅發(fā)現(xiàn)、取證定位、追蹤溯源方面的應(yīng)用，將網(wǎng)絡(luò)空間認知表達、威脅情報等技術(shù)應(yīng)用于網(wǎng)絡(luò)安全事件預(yù)警與分析。

3 鐵路信息化資產(chǎn)知識圖譜測繪工作的構(gòu)想

3.1 鐵路信息化資產(chǎn)知識圖譜測繪工作的內(nèi)涵

鐵路信息化資產(chǎn)知識圖譜測繪是指通過主動探測抓取和信息上報等措施，收集各鐵路局聯(lián)網(wǎng)的設(shè)備、系統(tǒng)、平臺等重要的信息化資產(chǎn)的相關(guān)信息，利用融合分析、全息繪制等技術(shù)，全面掌握鐵路企業(yè)重要的聯(lián)網(wǎng)信息化資產(chǎn)現(xiàn)狀及其面臨的安全威脅，建立行業(yè)級信息化資產(chǎn)測繪平臺[5-6]，提高鐵路網(wǎng)絡(luò)安全風(fēng)險監(jiān)測、風(fēng)險預(yù)警、損害評估等主動防御能力。在鐵路今后的網(wǎng)絡(luò)安全規(guī)劃中，應(yīng)將信息化資產(chǎn)測繪平臺作為信息檢索與情報分析的基礎(chǔ)平臺，在對鐵路資產(chǎn)數(shù)據(jù)分層、分級的基礎(chǔ)上，實現(xiàn)海量網(wǎng)絡(luò)測繪數(shù)據(jù)的動態(tài)展示、查詢與分析。

3.2 鐵路網(wǎng)絡(luò)空間中信息化資產(chǎn)分類

網(wǎng)絡(luò)空間資產(chǎn)測繪通過探測網(wǎng)絡(luò)空間中的資產(chǎn)，獲取其分布狀況和網(wǎng)絡(luò)關(guān)系索引，并對網(wǎng)絡(luò)資產(chǎn)的安全情況進行建模分析，使虛擬網(wǎng)絡(luò)空間與真實地理空間相互映射與融合，實現(xiàn)資產(chǎn)的可查、可定位、操作可識別，解決未知聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)不及時與防護不到位的問題[7-8]。

如圖3所示，鐵路網(wǎng)絡(luò)空間中信息化資產(chǎn)可劃分為8個類別：服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、外部設(shè)備、商用軟件、軟件組件、工業(yè)設(shè)備和通訊設(shè)備。

3.3 信息化資產(chǎn)測繪工作的階段劃分及其目標(biāo)

圖3 鐵路網(wǎng)絡(luò)空間信息化資產(chǎn)分類構(gòu)成

按照應(yīng)用發(fā)展程度，鐵路網(wǎng)絡(luò)空間中信息化資產(chǎn)測繪工作可劃分為3個階段，圖4列出測繪工作各階段目標(biāo)。

圖4 鐵路網(wǎng)絡(luò)空間中資產(chǎn)測繪工作的階段劃分

（1）資產(chǎn)快速發(fā)現(xiàn)階段：資產(chǎn)發(fā)現(xiàn)是信息測繪的第1步。近幾年鐵路信息系統(tǒng)投產(chǎn)、變更頻繁，業(yè)務(wù)交易規(guī)模快速增長，網(wǎng)絡(luò)信息化資產(chǎn)急劇變化，需要將其納入網(wǎng)絡(luò)空間測繪體系，以快速識別上線和下線資產(chǎn)，掌握資產(chǎn)對外服務(wù)、自身配置等情況；資產(chǎn)發(fā)現(xiàn)應(yīng)具有較強可擴展性，能基于多種規(guī)則，對新增的資產(chǎn)類型進行匹配擴展。

（2）資產(chǎn)可定位階段：鐵路行業(yè)內(nèi)部網(wǎng)絡(luò)已規(guī)劃IP地址，網(wǎng)絡(luò)空間測繪需要支持內(nèi)部網(wǎng)絡(luò)IP地址的精確定位和IP地址物理位置自定義，通過IP地址定位設(shè)備的物理位置，以便快速對設(shè)備進行應(yīng)急處置。

（3）資產(chǎn)操作可識別階段：實現(xiàn)資產(chǎn)的統(tǒng)一管理、統(tǒng)一檢索和統(tǒng)一展示，可隨需獲取網(wǎng)絡(luò)時空信息并實現(xiàn)全局共享，提高網(wǎng)絡(luò)安全信息資產(chǎn)數(shù)據(jù)的管理、分析和利用水平，滿足網(wǎng)絡(luò)安全監(jiān)管和公共服務(wù)需求。

3.4 鐵路網(wǎng)絡(luò)安全資產(chǎn)測繪工作的主要任務(wù)

通過地理信息和鐵路信息基礎(chǔ)設(shè)施的結(jié)合，借助地理信息學(xué)的理論方法，以網(wǎng)絡(luò)資源探測、網(wǎng)絡(luò)拓撲分析、實體定位、測繪描述為核心，通過探測、采集、處理、分析等技術(shù)手段，獲得鐵路信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)空間和地理空間的屬性關(guān)系，并將信息基礎(chǔ)設(shè)施的數(shù)據(jù)映射至地理空間，構(gòu)建鐵路信息化資產(chǎn)測繪平臺[9-10]。其具體工作任務(wù)如下。

（1）資產(chǎn)梳理探測：對鐵路行業(yè)現(xiàn)有資產(chǎn)進行全面梳理，探測鐵路綜合信息網(wǎng)內(nèi)存在的設(shè)備、協(xié)議、服務(wù)類型等各類信息。

（2）資產(chǎn)描繪定責(zé)：使用統(tǒng)一的空間測繪平臺與工具，對資產(chǎn)梳理結(jié)果按資產(chǎn)歸屬地、單位以及責(zé)任人等進行圖譜描繪與定責(zé)。

（3）動態(tài)監(jiān)測與響應(yīng)：實現(xiàn)資產(chǎn)操作可識別的能力，當(dāng)資產(chǎn)狀態(tài)發(fā)生變化時，可同步地動態(tài)識別具體變化情況，完成“IP+設(shè)備+位置+人”的全量網(wǎng)絡(luò)安全地理信息圖譜測繪，以實現(xiàn)全網(wǎng)安全態(tài)勢的動態(tài)監(jiān)測與響應(yīng)。

（4）風(fēng)險視圖可視化：通過直觀、交互式知識圖譜可視化方法，提供涵蓋網(wǎng)絡(luò)關(guān)系在內(nèi)的設(shè)備信息、位置信息等圖形化展示界面，滿足大數(shù)據(jù)環(huán)境下數(shù)據(jù)分析需求，提高資產(chǎn)安全風(fēng)險的可視化能力。

（5）構(gòu)建網(wǎng)絡(luò)安全空間測繪平臺：該信息圖譜應(yīng)覆蓋鐵路重要的聯(lián)網(wǎng)設(shè)備、系統(tǒng)、平臺等資產(chǎn)，通過主動探測、主動誘捕和流量分析等方式，全面掌握鐵路企業(yè)聯(lián)網(wǎng)的重要信息化資源狀況及其面臨的安全威脅，繪制鐵路信息化資產(chǎn)地圖，形成集安全風(fēng)險監(jiān)測、風(fēng)險預(yù)警、態(tài)勢感知等為一體的鐵路網(wǎng)絡(luò)安全全量地理信息圖譜，作為鐵路網(wǎng)絡(luò)安全資產(chǎn)的核心知識庫，將其與各類平臺對接，通過持續(xù)建模分析與畫像刻畫，實現(xiàn)可查、可定位、可操作和可識別。

4 結(jié)束語

構(gòu)建鐵路信息化資產(chǎn)測繪知識圖譜是整合鐵路聯(lián)網(wǎng)信息化資產(chǎn)信息的一項重要措施。文章結(jié)合鐵路網(wǎng)絡(luò)安全發(fā)展需要，闡述了鐵路信息化資產(chǎn)知識圖譜測繪工作的內(nèi)涵、信息化資產(chǎn)分類、知識圖譜測繪工作階段劃分及其目標(biāo)與主要任務(wù)。

隨著鐵路網(wǎng)絡(luò)安全保障工作的深化，鐵路信息化資產(chǎn)測繪知識圖譜將逐步顯現(xiàn)其應(yīng)用價值，對提升鐵路網(wǎng)絡(luò)安全主動防御能力具有現(xiàn)實意義，應(yīng)加快推進相關(guān)研究。