鐵路網絡安全威脅及漏洞管理平臺研究

祝詠升，陳春雷

（1.中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2.中國鐵道科學研究院集團有限公司 基礎設施檢測研究所，北京 100081）

隨著網絡安全形勢的日益復雜，鐵路重要信息系統(tǒng)面臨著遭受國內外勢力多元化網絡攻擊的危險。主要原因是鐵路的重要信息系統(tǒng)多運行于內網，日常的網絡安全運維機制不健全、體系不完善[1]，存在多類安全威脅及高危漏洞。這些潛在的網絡安全風險時刻威脅著系統(tǒng)的業(yè)務安全[2]，一旦發(fā)生網絡安全事件，將造成嚴重影響。通過對近幾年鐵路信息系統(tǒng)網絡安全等級保護測評及風險評估測試情況進行總結分析，發(fā)現(xiàn)鐵路系統(tǒng)各類型資產均存在不同等級的安全威脅和漏洞，且缺乏有效的流程化、閉環(huán)式管理手段。

本文從鐵路網絡安全防護現(xiàn)狀和需求入手，深入分析系統(tǒng)網絡安全威脅及漏洞管理存在的痛點問題，基于鐵路信息網絡整體安全策略和安全保障體系現(xiàn)狀，設計符合鐵路行業(yè)特性的鐵路網絡安全威脅及漏洞管理平臺，實現(xiàn)集中規(guī)范化管理，以滿足國家及行業(yè)網絡安全等級保護相關要求。

1 設計原則及目標

1.1 設計原則

（1）體系化原則

基于鐵路信息網絡的層次關系，平臺應遵循“兩級部署、三級應用”的網絡體系設計和安全框架，平臺功能設計應符合信息技術發(fā)展新形勢，滿足未來各種應用分析軟件對平臺的要求。

（2）擴展性原則

平臺設計應具有良好的擴展性，能夠快速響應需求的擴展，滿足鐵路各單位用戶的個性化需要，并預留與其它外部應用系統(tǒng)的數據擴展接口能力，提供針對各種已有數據源的接口支持。

（3）開放兼容性原則

平臺應能實現(xiàn)與不同廠商采集設備的兼容。同時，確保與鐵路網絡安全一體化保障工程的各子系統(tǒng)實現(xiàn)有效聯(lián)動和數據共享。

（4）安全性原則

平臺設計應綜合考慮代碼安全、數據保密、系統(tǒng)安全防護措施，實現(xiàn)用戶權限、身份、帳號與信息加密管理，并與其它安全管理系統(tǒng)或平臺進行統(tǒng)一身份認證管理和集中安全管控，以保證系統(tǒng)和數據安全。

1.2 設計目標

鐵路網絡安全威脅及漏洞管理平臺主要實現(xiàn)以下幾個具體目標。

（1）建立鐵路行業(yè)與國家漏洞管理機構及安全廠商的信息共享機制，及時獲取威脅情報和漏洞信息，結合系統(tǒng)資產實際情況，精確分析漏洞影響，對系統(tǒng)資產進行預警，形成完善的漏洞響應及處置機制。

（2）建立中國國家鐵路集團有限公司（簡稱：國鐵集團）及鐵路局集團有限公司（簡稱：鐵路局）“兩級管理、三級聯(lián)動”機制，實現(xiàn)鐵路行業(yè)統(tǒng)一的網絡安全威脅及漏洞閉環(huán)管理，完善鐵路網絡安全管理協(xié)同聯(lián)動防御體系。

（3）建立高效的系統(tǒng)運維管控機制，實現(xiàn)對系統(tǒng)網絡安全威脅及漏洞等級的科學判定，建立系統(tǒng)修復優(yōu)先級策略模型，滿足系統(tǒng)精準運維需要，提升工作效率。

（4）建立鐵路行業(yè)漏洞知識庫和補丁庫共享機制，實現(xiàn)網絡安全威脅及漏洞管理有制可依、有規(guī)可循、有據可查。

2 平臺設計

2.1 平臺總體架構

鐵路網絡安全威脅及漏洞管理平臺采用面向服務（SOA，Service-Oriented Architecture）、跨平臺、分布式、分層、模塊化、可伸縮的體系架構，各功能模塊之間的通訊采用標準通訊接口，保證平臺部署的靈活性和穩(wěn)定、可靠、高性能運行[3]。平臺總體架構設計如圖1所示。

圖1 平臺總體架構

平臺由數據資源層、數據處理層、數據支撐層、應用服務層、業(yè)務展示層5層結構組成[4]。

（1）數據資源層接入平臺的各種數據采集設備，包括漏洞掃描、網站掃描、配置核查、專屬資產采集探針等設備，以及來自國家信息安全漏洞庫(CNNVD，China National Vulnerability Database of Information Security)的數據和資產管理系統(tǒng)等外部系統(tǒng)的資產數據。

（2）數據處理層負責部署大數據處理引擎，對數據資源層采集的各類數據進行規(guī)范化、格式化、標準化處理。包括CNNVD數據、資產數據、漏掃設備數據的規(guī)范化，自收漏洞數據、回傳數據、情報數據的標準化處理。

（3）數據支撐層為整個平臺提供數據支撐服務，包括資產庫、情報庫、知識庫、策略庫、漏洞庫和補丁庫。

（4）應用服務層是平臺的核心，為業(yè)務展示層提供功能支撐。主要包括資產管理、情報管理、知識庫管理、告警管理、漏洞消控管理、漏洞補丁管理功能模塊，以及平臺設備管理、任務管理、策略管理等基礎功能模塊。

（5）業(yè)務展示層是業(yè)務和流程的實際操作入口，用于執(zhí)行查看風險、管理資產、漏洞處置等業(yè)務，支持可視化圖表的關聯(lián)組合展示。該層提供各種數據的查詢顯示和分析展現(xiàn)，及針對漏洞數據基于語義的查詢、統(tǒng)計、展示等功能。

2.2 平臺網絡架構

平臺采取“兩級部署、三級應用”的網絡架構，國鐵集團、鐵路局及基層站段三級網絡之間通過鐵路內部服務網實現(xiàn)數據交互，外部威脅情報共享平臺通過鐵路外部服務網接入鐵路內部服務網，通過國鐵集團網絡安全接入平臺實現(xiàn)內外網安全隔離與數據交換，確保數據傳輸安全。將平臺應用服務器、數據庫服務器、數據分析服務器構建的服務器集群，部署在國鐵集團內部服務網應用類服務器區(qū)。PC端通過內部服務網終端實現(xiàn)平臺資源訪問?？傮w網絡架構如圖2所示。

圖2 平臺網絡結構

平臺采用分布式部署方式，國鐵集團服務器集群實現(xiàn)數據整合及全路網絡安全漏洞發(fā)現(xiàn)和處置態(tài)勢展現(xiàn)；鐵路局部署級聯(lián)服務器，實現(xiàn)全局信息資產的集中管理和網絡安全威脅及漏洞的全流程管控。同時，部署探針服務器，負責數據調度與管理，并將數據回傳至國鐵集團服務器集群。

2.3 平臺主要功能

網絡安全威脅及漏洞管理是安全風險管理體系必不可少的基石，是網絡安全管理工作投入產出比最高的基礎性流程[5]。網絡安全威脅及漏洞管理的目標不是根除威脅和漏洞，而是盡可能多地發(fā)現(xiàn)系統(tǒng)及網絡中存在的安全威脅和漏洞，并及時采取合理有效的處置措施，降低系統(tǒng)潛在安全風險，實現(xiàn)安全威脅及漏洞全生命周期的可視、可管、可控[6]。平臺功能結構如圖3所示。

（1）資產管理

資產管理的對象是資產的集合，功能主要包括視圖管理、標簽管理、資產稽查。通過資產管理系統(tǒng)接口導入或手工錄入數據等方式，逐步建立系統(tǒng)資產庫，持續(xù)跟蹤資產上線、變更、轉移、報廢等狀態(tài)的變化，并同步更新到資產庫，實現(xiàn)對資產變化的及時預警。

圖3 平臺功能結構

（2）情報管理

情報管理主要包括對威脅情報和漏洞情報的管理，提供情報檢索和數據共享的能力，通過加密通信接口與情報管理系統(tǒng)進行情報數據共享[7]。結合本地資產庫，分析受影響范圍，向相關人員推送漏洞風險預警信息，打通鐵路行業(yè)與外部機構或安全廠商間的情報傳輸渠道，建立完整的漏洞應急響應機制。

（3）知識庫管理

行業(yè)知識庫包括漏洞庫、補丁庫、資產庫、運維知識庫。通過將漏洞管理與知識管理流程相融合，進行情報數據和資產數據的整理分析，建立系統(tǒng)資產與漏洞、補丁間的對應關系，實現(xiàn)系統(tǒng)的隱性知識向顯性知識轉化[6]，推動運維知識庫的不斷積累和完善，為運維人員提供全面、有效的威脅及漏洞修復指導方案。

（4）威脅及漏洞處置管理

該功能通過分析引擎對資產的脆弱性、威脅及漏洞進行分析，對最新的漏洞信息、補丁信息、修復措施進行驗證，通過標準化的威脅及漏洞處置流程，進行漏洞預警、威脅處置、漏洞修復、漏洞消控審核管理。

（5）系統(tǒng)基礎管理

系統(tǒng)基礎管理包括工單管理、任務管理、報表管理、設備管理、用戶管理、配置管理6個管理功能。工單管理是任務操作的入口，可查看待處理的漏洞修復工單、漏洞預警工單及工單處理狀態(tài)；任務管理可配置系統(tǒng)掃描策略及掃描任務，支持各類漏洞掃描設備的接入，并按任務計劃自動或手工執(zhí)行；報表管理支持在線和離線風險評估報告的查詢及導出；設備管理對各類掃描設備及資產探針設備進行管理；用戶管理用于完成用戶賬號的添加、修改、刪除，并進行賬號權限管理；系統(tǒng)配置管理包含對系統(tǒng)運行基礎參數及策略配置的管理。

（6）數據查詢與展示

該功能可提供不同維度的資源統(tǒng)計表、威脅及漏洞統(tǒng)計表、威脅及漏洞處置表，并支持按照威脅及漏洞類型、危險等級、關聯(lián)資產等條件進行精確查詢、模糊查詢和批量查詢，支持采用單一字段或多個字段實現(xiàn)可視化圖表的任意關聯(lián)、組合展示。

3 平臺關鍵技術

3.1 漏洞修復優(yōu)先級算法

漏洞修復優(yōu)先級算法根據實時情報數據及漏洞安全等級，對漏洞進行綜合分析，計算漏洞的響應級別。平臺綜合考慮資產重要性、漏洞安全等級、漏洞活躍度等因素，給出修復優(yōu)先級建議。利用通用漏洞評分系統(tǒng)（CVSS，Common Vulnerability Scoring System）的評分，評估漏洞風險，計算風險值，并將系統(tǒng)資產與威脅及漏洞情報結合，對系統(tǒng)資產關聯(lián)屬性進行歸一化處理，結合漏洞活躍度情報等數據，代入漏洞處置優(yōu)先級計算模型：漏洞修復緊急度分值=漏洞的CVSS評分×時間因子×環(huán)境風險因子×資產重要性因子×修正因子。其中，修正因子由資產脆弱性、系統(tǒng)網絡架構、安全配置策略等因素確定。系統(tǒng)依據漏洞修復緊急度分值給出漏洞修復優(yōu)先級，結合系統(tǒng)運維工作實際情況進行優(yōu)化調整。

3.2 威脅及漏洞動態(tài)更新技術

通過漏洞的CVSS評分值建立資產和漏洞關聯(lián)規(guī)則，充分挖掘系統(tǒng)資產更新變化可能帶來的新風險，結合外部威脅情報與傳統(tǒng)漏洞共享信息，及時、高效感知系統(tǒng)資產存在的變化，以及資產變化帶來的威脅及漏洞情況的變化，實現(xiàn)系統(tǒng)資產與安全威脅及漏洞之間的實時聯(lián)動和動態(tài)更新。

4 平臺應用場景

4.1 漏洞全生命周期閉環(huán)管理

漏洞全生命周期閉環(huán)管理是對漏洞進行檢測、分類、修復和消解的一種周期性活動。平臺從漏洞發(fā)現(xiàn)、漏洞確認、漏洞整改、漏洞消除4個步驟實現(xiàn)對漏洞的全生命周期閉環(huán)管理，推動日常安全漏洞全生命周期的可視和加固工作的可管可控[8-9]。在漏洞全生命周期閉環(huán)管理的基礎上增加更加人性化的管理環(huán)節(jié)，漏洞確認階段提供人員確認的環(huán)境，漏洞整改階段增加整改有效期管理和有效期延時管理。

4.2 準確及時關聯(lián)資產漏洞信息

平臺可驅動系統(tǒng)漏掃、基線掃描設備獲取漏洞信息或離線導入漏洞掃描結果，準確及時關聯(lián)資產漏洞信息，建立漏洞和資產間的動態(tài)關聯(lián)關系，方便管理人員查詢并變更資產狀態(tài)，跟蹤漏洞處置進程。

4.3 公網漏洞智能檢測與更新

平臺能夠通過內部機制及時、快速地從多個互聯(lián)網安全平臺（如中國國家信息安全漏洞庫、補天漏洞響應平臺等）獲取漏洞信息，并第一時間同步到系統(tǒng)，供管理人員使用，彌補了傳統(tǒng)漏洞掃描系統(tǒng)的不足，使得漏洞信息的獲取更加及時、可靠。平臺通過對系統(tǒng)資產、漏洞及補丁進行歸并整合，逐步建立鐵路行業(yè)自有漏洞庫[10]。

4.4 主動化的弱點管理與預警

平臺能夠對漏洞掃描、基線引擎的結果進行自動同步，收集掃描結果，統(tǒng)一進行漏洞關聯(lián)分析預警，從而實現(xiàn)弱點管理的主動化和自動化。當有新的安全漏洞出現(xiàn)時，可對漏洞掃描插件進行在線升級，通過主動反向掃描，找到網絡中存在此安全隱患的設備，快速定位存在安全漏洞隱患的資產，并及時采取有效處置措施。

5 結束語

鐵路網絡安全威脅及漏洞管理平臺可實現(xiàn)與國家及其它行業(yè)漏洞威脅情報庫的信息共享，逐步構建鐵路行業(yè)漏洞庫和補丁庫，形成運維知識庫，建立有效的知識共享和積累機制，提高鐵路網絡安全威脅及漏洞管理和處置能力，實現(xiàn)系統(tǒng)資產網絡安全風險的持續(xù)監(jiān)測和漏洞的全流程管控，提高安全威脅及漏洞處置效率，提升鐵路網絡安全運維管理能力。該平臺建成后，將產生大量系統(tǒng)資產信息，以及與資產關聯(lián)的安全威脅和漏洞信息等敏感數據，這些敏感數據將給鐵路業(yè)務系統(tǒng)帶來一定的安全風險。在系統(tǒng)運維過程中，如何確保平臺相關敏感數據的安全，有待進一步研究和解決。