祝詠升，陳春雷

（1.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081；2.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 基礎(chǔ)設(shè)施檢測(cè)研究所，北京 100081）

隨著網(wǎng)絡(luò)安全形勢(shì)的日益復(fù)雜，鐵路重要信息系統(tǒng)面臨著遭受國(guó)內(nèi)外勢(shì)力多元化網(wǎng)絡(luò)攻擊的危險(xiǎn)。主要原因是鐵路的重要信息系統(tǒng)多運(yùn)行于內(nèi)網(wǎng)，日常的網(wǎng)絡(luò)安全運(yùn)維機(jī)制不健全、體系不完善[1]，存在多類安全威脅及高危漏洞。這些潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)刻威脅著系統(tǒng)的業(yè)務(wù)安全[2]，一旦發(fā)生網(wǎng)絡(luò)安全事件，將造成嚴(yán)重影響。通過(guò)對(duì)近幾年鐵路信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估測(cè)試情況進(jìn)行總結(jié)分析，發(fā)現(xiàn)鐵路系統(tǒng)各類型資產(chǎn)均存在不同等級(jí)的安全威脅和漏洞，且缺乏有效的流程化、閉環(huán)式管理手段。

本文從鐵路網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀和需求入手，深入分析系統(tǒng)網(wǎng)絡(luò)安全威脅及漏洞管理存在的痛點(diǎn)問(wèn)題，基于鐵路信息網(wǎng)絡(luò)整體安全策略和安全保障體系現(xiàn)狀，設(shè)計(jì)符合鐵路行業(yè)特性的鐵路網(wǎng)絡(luò)安全威脅及漏洞管理平臺(tái)，實(shí)現(xiàn)集中規(guī)范化管理，以滿足國(guó)家及行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求。

1 設(shè)計(jì)原則及目標(biāo)

1.1 設(shè)計(jì)原則

（1）體系化原則

基于鐵路信息網(wǎng)絡(luò)的層次關(guān)系，平臺(tái)應(yīng)遵循“兩級(jí)部署、三級(jí)應(yīng)用”的網(wǎng)絡(luò)體系設(shè)計(jì)和安全框架，平臺(tái)功能設(shè)計(jì)應(yīng)符合信息技術(shù)發(fā)展新形勢(shì)，滿足未來(lái)各種應(yīng)用分析軟件對(duì)平臺(tái)的要求。

（2）擴(kuò)展性原則

平臺(tái)設(shè)計(jì)應(yīng)具有良好的擴(kuò)展性，能夠快速響應(yīng)需求的擴(kuò)展，滿足鐵路各單位用戶的個(gè)性化需要，并預(yù)留與其它外部應(yīng)用系統(tǒng)的數(shù)據(jù)擴(kuò)展接口能力，提供針對(duì)各種已有數(shù)據(jù)源的接口支持。

（3）開(kāi)放兼容性原則

平臺(tái)應(yīng)能實(shí)現(xiàn)與不同廠商采集設(shè)備的兼容。同時(shí)，確保與鐵路網(wǎng)絡(luò)安全一體化保障工程的各子系統(tǒng)實(shí)現(xiàn)有效聯(lián)動(dòng)和數(shù)據(jù)共享。

（4）安全性原則

平臺(tái)設(shè)計(jì)應(yīng)綜合考慮代碼安全、數(shù)據(jù)保密、系統(tǒng)安全防護(hù)措施，實(shí)現(xiàn)用戶權(quán)限、身份、帳號(hào)與信息加密管理，并與其它安全管理系統(tǒng)或平臺(tái)進(jìn)行統(tǒng)一身份認(rèn)證管理和集中安全管控，以保證系統(tǒng)和數(shù)據(jù)安全。

1.2 設(shè)計(jì)目標(biāo)

鐵路網(wǎng)絡(luò)安全威脅及漏洞管理平臺(tái)主要實(shí)現(xiàn)以下幾個(gè)具體目標(biāo)。

（1）建立鐵路行業(yè)與國(guó)家漏洞管理機(jī)構(gòu)及安全廠商的信息共享機(jī)制，及時(shí)獲取威脅情報(bào)和漏洞信息，結(jié)合系統(tǒng)資產(chǎn)實(shí)際情況，精確分析漏洞影響，對(duì)系統(tǒng)資產(chǎn)進(jìn)行預(yù)警，形成完善的漏洞響應(yīng)及處置機(jī)制。

（2）建立中國(guó)國(guó)家鐵路集團(tuán)有限公司（簡(jiǎn)稱：國(guó)鐵集團(tuán)）及鐵路局集團(tuán)有限公司（簡(jiǎn)稱：鐵路局）“兩級(jí)管理、三級(jí)聯(lián)動(dòng)”機(jī)制，實(shí)現(xiàn)鐵路行業(yè)統(tǒng)一的網(wǎng)絡(luò)安全威脅及漏洞閉環(huán)管理，完善鐵路網(wǎng)絡(luò)安全管理協(xié)同聯(lián)動(dòng)防御體系。

（3）建立高效的系統(tǒng)運(yùn)維管控機(jī)制，實(shí)現(xiàn)對(duì)系統(tǒng)網(wǎng)絡(luò)安全威脅及漏洞等級(jí)的科學(xué)判定，建立系統(tǒng)修復(fù)優(yōu)先級(jí)策略模型，滿足系統(tǒng)精準(zhǔn)運(yùn)維需要，提升工作效率。

（4）建立鐵路行業(yè)漏洞知識(shí)庫(kù)和補(bǔ)丁庫(kù)共享機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅及漏洞管理有制可依、有規(guī)可循、有據(jù)可查。

2 平臺(tái)設(shè)計(jì)

2.1 平臺(tái)總體架構(gòu)

鐵路網(wǎng)絡(luò)安全威脅及漏洞管理平臺(tái)采用面向服務(wù)（SOA，Service-Oriented Architecture）、跨平臺(tái)、分布式、分層、模塊化、可伸縮的體系架構(gòu)，各功能模塊之間的通訊采用標(biāo)準(zhǔn)通訊接口，保證平臺(tái)部署的靈活性和穩(wěn)定、可靠、高性能運(yùn)行[3]。平臺(tái)總體架構(gòu)設(shè)計(jì)如圖1所示。

圖1 平臺(tái)總體架構(gòu)

平臺(tái)由數(shù)據(jù)資源層、數(shù)據(jù)處理層、數(shù)據(jù)支撐層、應(yīng)用服務(wù)層、業(yè)務(wù)展示層5層結(jié)構(gòu)組成[4]。

（1）數(shù)據(jù)資源層接入平臺(tái)的各種數(shù)據(jù)采集設(shè)備，包括漏洞掃描、網(wǎng)站掃描、配置核查、專屬資產(chǎn)采集探針等設(shè)備，以及來(lái)自國(guó)家信息安全漏洞庫(kù)(CNNVD，China National Vulnerability Database of Information Security)的數(shù)據(jù)和資產(chǎn)管理系統(tǒng)等外部系統(tǒng)的資產(chǎn)數(shù)據(jù)。

（2）數(shù)據(jù)處理層負(fù)責(zé)部署大數(shù)據(jù)處理引擎，對(duì)數(shù)據(jù)資源層采集的各類數(shù)據(jù)進(jìn)行規(guī)范化、格式化、標(biāo)準(zhǔn)化處理。包括CNNVD數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、漏掃設(shè)備數(shù)據(jù)的規(guī)范化，自收漏洞數(shù)據(jù)、回傳數(shù)據(jù)、情報(bào)數(shù)據(jù)的標(biāo)準(zhǔn)化處理。

（3）數(shù)據(jù)支撐層為整個(gè)平臺(tái)提供數(shù)據(jù)支撐服務(wù)，包括資產(chǎn)庫(kù)、情報(bào)庫(kù)、知識(shí)庫(kù)、策略庫(kù)、漏洞庫(kù)和補(bǔ)丁庫(kù)。

（4）應(yīng)用服務(wù)層是平臺(tái)的核心，為業(yè)務(wù)展示層提供功能支撐。主要包括資產(chǎn)管理、情報(bào)管理、知識(shí)庫(kù)管理、告警管理、漏洞消控管理、漏洞補(bǔ)丁管理功能模塊，以及平臺(tái)設(shè)備管理、任務(wù)管理、策略管理等基礎(chǔ)功能模塊。

（5）業(yè)務(wù)展示層是業(yè)務(wù)和流程的實(shí)際操作入口，用于執(zhí)行查看風(fēng)險(xiǎn)、管理資產(chǎn)、漏洞處置等業(yè)務(wù)，支持可視化圖表的關(guān)聯(lián)組合展示。該層提供各種數(shù)據(jù)的查詢顯示和分析展現(xiàn)，及針對(duì)漏洞數(shù)據(jù)基于語(yǔ)義的查詢、統(tǒng)計(jì)、展示等功能。

2.2 平臺(tái)網(wǎng)絡(luò)架構(gòu)

平臺(tái)采取“兩級(jí)部署、三級(jí)應(yīng)用”的網(wǎng)絡(luò)架構(gòu)，國(guó)鐵集團(tuán)、鐵路局及基層站段三級(jí)網(wǎng)絡(luò)之間通過(guò)鐵路內(nèi)部服務(wù)網(wǎng)實(shí)現(xiàn)數(shù)據(jù)交互，外部威脅情報(bào)共享平臺(tái)通過(guò)鐵路外部服務(wù)網(wǎng)接入鐵路內(nèi)部服務(wù)網(wǎng)，通過(guò)國(guó)鐵集團(tuán)網(wǎng)絡(luò)安全接入平臺(tái)實(shí)現(xiàn)內(nèi)外網(wǎng)安全隔離與數(shù)據(jù)交換，確保數(shù)據(jù)傳輸安全。將平臺(tái)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)分析服務(wù)器構(gòu)建的服務(wù)器集群，部署在國(guó)鐵集團(tuán)內(nèi)部服務(wù)網(wǎng)應(yīng)用類服務(wù)器區(qū)。PC端通過(guò)內(nèi)部服務(wù)網(wǎng)終端實(shí)現(xiàn)平臺(tái)資源訪問(wèn)?？傮w網(wǎng)絡(luò)架構(gòu)如圖2所示。

圖2 平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)

平臺(tái)采用分布式部署方式，國(guó)鐵集團(tuán)服務(wù)器集群實(shí)現(xiàn)數(shù)據(jù)整合及全路網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)和處置態(tài)勢(shì)展現(xiàn)；鐵路局部署級(jí)聯(lián)服務(wù)器，實(shí)現(xiàn)全局信息資產(chǎn)的集中管理和網(wǎng)絡(luò)安全威脅及漏洞的全流程管控。同時(shí)，部署探針?lè)?wù)器，負(fù)責(zé)數(shù)據(jù)調(diào)度與管理，并將數(shù)據(jù)回傳至國(guó)鐵集團(tuán)服務(wù)器集群。

2.3 平臺(tái)主要功能

網(wǎng)絡(luò)安全威脅及漏洞管理是安全風(fēng)險(xiǎn)管理體系必不可少的基石，是網(wǎng)絡(luò)安全管理工作投入產(chǎn)出比最高的基礎(chǔ)性流程[5]。網(wǎng)絡(luò)安全威脅及漏洞管理的目標(biāo)不是根除威脅和漏洞，而是盡可能多地發(fā)現(xiàn)系統(tǒng)及網(wǎng)絡(luò)中存在的安全威脅和漏洞，并及時(shí)采取合理有效的處置措施，降低系統(tǒng)潛在安全風(fēng)險(xiǎn)，實(shí)現(xiàn)安全威脅及漏洞全生命周期的可視、可管、可控[6]。平臺(tái)功能結(jié)構(gòu)如圖3所示。

（1）資產(chǎn)管理

資產(chǎn)管理的對(duì)象是資產(chǎn)的集合，功能主要包括視圖管理、標(biāo)簽管理、資產(chǎn)稽查。通過(guò)資產(chǎn)管理系統(tǒng)接口導(dǎo)入或手工錄入數(shù)據(jù)等方式，逐步建立系統(tǒng)資產(chǎn)庫(kù)，持續(xù)跟蹤資產(chǎn)上線、變更、轉(zhuǎn)移、報(bào)廢等狀態(tài)的變化，并同步更新到資產(chǎn)庫(kù)，實(shí)現(xiàn)對(duì)資產(chǎn)變化的及時(shí)預(yù)警。

圖3 平臺(tái)功能結(jié)構(gòu)

（2）情報(bào)管理

情報(bào)管理主要包括對(duì)威脅情報(bào)和漏洞情報(bào)的管理，提供情報(bào)檢索和數(shù)據(jù)共享的能力，通過(guò)加密通信接口與情報(bào)管理系統(tǒng)進(jìn)行情報(bào)數(shù)據(jù)共享[7]。結(jié)合本地資產(chǎn)庫(kù)，分析受影響范圍，向相關(guān)人員推送漏洞風(fēng)險(xiǎn)預(yù)警信息，打通鐵路行業(yè)與外部機(jī)構(gòu)或安全廠商間的情報(bào)傳輸渠道，建立完整的漏洞應(yīng)急響應(yīng)機(jī)制。

（3）知識(shí)庫(kù)管理

行業(yè)知識(shí)庫(kù)包括漏洞庫(kù)、補(bǔ)丁庫(kù)、資產(chǎn)庫(kù)、運(yùn)維知識(shí)庫(kù)。通過(guò)將漏洞管理與知識(shí)管理流程相融合，進(jìn)行情報(bào)數(shù)據(jù)和資產(chǎn)數(shù)據(jù)的整理分析，建立系統(tǒng)資產(chǎn)與漏洞、補(bǔ)丁間的對(duì)應(yīng)關(guān)系，實(shí)現(xiàn)系統(tǒng)的隱性知識(shí)向顯性知識(shí)轉(zhuǎn)化[6]，推動(dòng)運(yùn)維知識(shí)庫(kù)的不斷積累和完善，為運(yùn)維人員提供全面、有效的威脅及漏洞修復(fù)指導(dǎo)方案。

（4）威脅及漏洞處置管理

該功能通過(guò)分析引擎對(duì)資產(chǎn)的脆弱性、威脅及漏洞進(jìn)行分析，對(duì)最新的漏洞信息、補(bǔ)丁信息、修復(fù)措施進(jìn)行驗(yàn)證，通過(guò)標(biāo)準(zhǔn)化的威脅及漏洞處置流程，進(jìn)行漏洞預(yù)警、威脅處置、漏洞修復(fù)、漏洞消控審核管理。

（5）系統(tǒng)基礎(chǔ)管理

系統(tǒng)基礎(chǔ)管理包括工單管理、任務(wù)管理、報(bào)表管理、設(shè)備管理、用戶管理、配置管理6個(gè)管理功能。工單管理是任務(wù)操作的入口，可查看待處理的漏洞修復(fù)工單、漏洞預(yù)警工單及工單處理狀態(tài)；任務(wù)管理可配置系統(tǒng)掃描策略及掃描任務(wù)，支持各類漏洞掃描設(shè)備的接入，并按任務(wù)計(jì)劃自動(dòng)或手工執(zhí)行；報(bào)表管理支持在線和離線風(fēng)險(xiǎn)評(píng)估報(bào)告的查詢及導(dǎo)出；設(shè)備管理對(duì)各類掃描設(shè)備及資產(chǎn)探針設(shè)備進(jìn)行管理；用戶管理用于完成用戶賬號(hào)的添加、修改、刪除，并進(jìn)行賬號(hào)權(quán)限管理；系統(tǒng)配置管理包含對(duì)系統(tǒng)運(yùn)行基礎(chǔ)參數(shù)及策略配置的管理。

（6）數(shù)據(jù)查詢與展示

該功能可提供不同維度的資源統(tǒng)計(jì)表、威脅及漏洞統(tǒng)計(jì)表、威脅及漏洞處置表，并支持按照威脅及漏洞類型、危險(xiǎn)等級(jí)、關(guān)聯(lián)資產(chǎn)等條件進(jìn)行精確查詢、模糊查詢和批量查詢，支持采用單一字段或多個(gè)字段實(shí)現(xiàn)可視化圖表的任意關(guān)聯(lián)、組合展示。

3 平臺(tái)關(guān)鍵技術(shù)

3.1 漏洞修復(fù)優(yōu)先級(jí)算法

漏洞修復(fù)優(yōu)先級(jí)算法根據(jù)實(shí)時(shí)情報(bào)數(shù)據(jù)及漏洞安全等級(jí)，對(duì)漏洞進(jìn)行綜合分析，計(jì)算漏洞的響應(yīng)級(jí)別。平臺(tái)綜合考慮資產(chǎn)重要性、漏洞安全等級(jí)、漏洞活躍度等因素，給出修復(fù)優(yōu)先級(jí)建議。利用通用漏洞評(píng)分系統(tǒng)（CVSS，Common Vulnerability Scoring System）的評(píng)分，評(píng)估漏洞風(fēng)險(xiǎn)，計(jì)算風(fēng)險(xiǎn)值，并將系統(tǒng)資產(chǎn)與威脅及漏洞情報(bào)結(jié)合，對(duì)系統(tǒng)資產(chǎn)關(guān)聯(lián)屬性進(jìn)行歸一化處理，結(jié)合漏洞活躍度情報(bào)等數(shù)據(jù)，代入漏洞處置優(yōu)先級(jí)計(jì)算模型：漏洞修復(fù)緊急度分值=漏洞的CVSS評(píng)分×?xí)r間因子×環(huán)境風(fēng)險(xiǎn)因子×資產(chǎn)重要性因子×修正因子。其中，修正因子由資產(chǎn)脆弱性、系統(tǒng)網(wǎng)絡(luò)架構(gòu)、安全配置策略等因素確定。系統(tǒng)依據(jù)漏洞修復(fù)緊急度分值給出漏洞修復(fù)優(yōu)先級(jí)，結(jié)合系統(tǒng)運(yùn)維工作實(shí)際情況進(jìn)行優(yōu)化調(diào)整。

3.2 威脅及漏洞動(dòng)態(tài)更新技術(shù)

通過(guò)漏洞的CVSS評(píng)分值建立資產(chǎn)和漏洞關(guān)聯(lián)規(guī)則，充分挖掘系統(tǒng)資產(chǎn)更新變化可能帶來(lái)的新風(fēng)險(xiǎn)，結(jié)合外部威脅情報(bào)與傳統(tǒng)漏洞共享信息，及時(shí)、高效感知系統(tǒng)資產(chǎn)存在的變化，以及資產(chǎn)變化帶來(lái)的威脅及漏洞情況的變化，實(shí)現(xiàn)系統(tǒng)資產(chǎn)與安全威脅及漏洞之間的實(shí)時(shí)聯(lián)動(dòng)和動(dòng)態(tài)更新。

4 平臺(tái)應(yīng)用場(chǎng)景

4.1 漏洞全生命周期閉環(huán)管理

漏洞全生命周期閉環(huán)管理是對(duì)漏洞進(jìn)行檢測(cè)、分類、修復(fù)和消解的一種周期性活動(dòng)。平臺(tái)從漏洞發(fā)現(xiàn)、漏洞確認(rèn)、漏洞整改、漏洞消除4個(gè)步驟實(shí)現(xiàn)對(duì)漏洞的全生命周期閉環(huán)管理，推動(dòng)日常安全漏洞全生命周期的可視和加固工作的可管可控[8-9]。在漏洞全生命周期閉環(huán)管理的基礎(chǔ)上增加更加人性化的管理環(huán)節(jié)，漏洞確認(rèn)階段提供人員確認(rèn)的環(huán)境，漏洞整改階段增加整改有效期管理和有效期延時(shí)管理。

4.2 準(zhǔn)確及時(shí)關(guān)聯(lián)資產(chǎn)漏洞信息

平臺(tái)可驅(qū)動(dòng)系統(tǒng)漏掃、基線掃描設(shè)備獲取漏洞信息或離線導(dǎo)入漏洞掃描結(jié)果，準(zhǔn)確及時(shí)關(guān)聯(lián)資產(chǎn)漏洞信息，建立漏洞和資產(chǎn)間的動(dòng)態(tài)關(guān)聯(lián)關(guān)系，方便管理人員查詢并變更資產(chǎn)狀態(tài)，跟蹤漏洞處置進(jìn)程。

4.3 公網(wǎng)漏洞智能檢測(cè)與更新

平臺(tái)能夠通過(guò)內(nèi)部機(jī)制及時(shí)、快速地從多個(gè)互聯(lián)網(wǎng)安全平臺(tái)（如中國(guó)國(guó)家信息安全漏洞庫(kù)、補(bǔ)天漏洞響應(yīng)平臺(tái)等）獲取漏洞信息，并第一時(shí)間同步到系統(tǒng)，供管理人員使用，彌補(bǔ)了傳統(tǒng)漏洞掃描系統(tǒng)的不足，使得漏洞信息的獲取更加及時(shí)、可靠。平臺(tái)通過(guò)對(duì)系統(tǒng)資產(chǎn)、漏洞及補(bǔ)丁進(jìn)行歸并整合，逐步建立鐵路行業(yè)自有漏洞庫(kù)[10]。

4.4 主動(dòng)化的弱點(diǎn)管理與預(yù)警

平臺(tái)能夠?qū)β┒磼呙?、基線引擎的結(jié)果進(jìn)行自動(dòng)同步，收集掃描結(jié)果，統(tǒng)一進(jìn)行漏洞關(guān)聯(lián)分析預(yù)警，從而實(shí)現(xiàn)弱點(diǎn)管理的主動(dòng)化和自動(dòng)化。當(dāng)有新的安全漏洞出現(xiàn)時(shí)，可對(duì)漏洞掃描插件進(jìn)行在線升級(jí)，通過(guò)主動(dòng)反向掃描，找到網(wǎng)絡(luò)中存在此安全隱患的設(shè)備，快速定位存在安全漏洞隱患的資產(chǎn)，并及時(shí)采取有效處置措施。

5 結(jié)束語(yǔ)

鐵路網(wǎng)絡(luò)安全威脅及漏洞管理平臺(tái)可實(shí)現(xiàn)與國(guó)家及其它行業(yè)漏洞威脅情報(bào)庫(kù)的信息共享，逐步構(gòu)建鐵路行業(yè)漏洞庫(kù)和補(bǔ)丁庫(kù)，形成運(yùn)維知識(shí)庫(kù)，建立有效的知識(shí)共享和積累機(jī)制，提高鐵路網(wǎng)絡(luò)安全威脅及漏洞管理和處置能力，實(shí)現(xiàn)系統(tǒng)資產(chǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)和漏洞的全流程管控，提高安全威脅及漏洞處置效率，提升鐵路網(wǎng)絡(luò)安全運(yùn)維管理能力。該平臺(tái)建成后，將產(chǎn)生大量系統(tǒng)資產(chǎn)信息，以及與資產(chǎn)關(guān)聯(lián)的安全威脅和漏洞信息等敏感數(shù)據(jù)，這些敏感數(shù)據(jù)將給鐵路業(yè)務(wù)系統(tǒng)帶來(lái)一定的安全風(fēng)險(xiǎn)。在系統(tǒng)運(yùn)維過(guò)程中，如何確保平臺(tái)相關(guān)敏感數(shù)據(jù)的安全，有待進(jìn)一步研究和解決。