铁路网络安全威胁及漏洞管理平台研究

祝咏升，陈春雷

（1.中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081；2.中国铁道科学研究院集团有限公司 基础设施检测研究所，北京 100081）

随着网络安全形势的日益复杂，铁路重要信息系统面临着遭受国内外势力多元化网络攻击的危险。主要原因是铁路的重要信息系统多运行于内网，日常的网络安全运维机制不健全、体系不完善[1]，存在多类安全威胁及高危漏洞。这些潜在的网络安全风险时刻威胁着系统的业务安全[2]，一旦发生网络安全事件，将造成严重影响。通过对近几年铁路信息系统网络安全等级保护测评及风险评估测试情况进行总结分析，发现铁路系统各类型资产均存在不同等级的安全威胁和漏洞，且缺乏有效的流程化、闭环式管理手段。

本文从铁路网络安全防护现状和需求入手，深入分析系统网络安全威胁及漏洞管理存在的痛点问题，基于铁路信息网络整体安全策略和安全保障体系现状，设计符合铁路行业特性的铁路网络安全威胁及漏洞管理平台，实现集中规范化管理，以满足国家及行业网络安全等级保护相关要求。

1 设计原则及目标

1.1 设计原则

（1）体系化原则

基于铁路信息网络的层次关系，平台应遵循“两级部署、三级应用”的网络体系设计和安全框架，平台功能设计应符合信息技术发展新形势，满足未来各种应用分析软件对平台的要求。

（2）扩展性原则

平台设计应具有良好的扩展性，能够快速响应需求的扩展，满足铁路各单位用户的个性化需要，并预留与其它外部应用系统的数据扩展接口能力，提供针对各种已有数据源的接口支持。

（3）开放兼容性原则

平台应能实现与不同厂商采集设备的兼容。同时，确保与铁路网络安全一体化保障工程的各子系统实现有效联动和数据共享。

（4）安全性原则

平台设计应综合考虑代码安全、数据保密、系统安全防护措施，实现用户权限、身份、帐号与信息加密管理，并与其它安全管理系统或平台进行统一身份认证管理和集中安全管控，以保证系统和数据安全。

1.2 设计目标

铁路网络安全威胁及漏洞管理平台主要实现以下几个具体目标。

（1）建立铁路行业与国家漏洞管理机构及安全厂商的信息共享机制，及时获取威胁情报和漏洞信息，结合系统资产实际情况，精确分析漏洞影响，对系统资产进行预警，形成完善的漏洞响应及处置机制。

（2）建立中国国家铁路集团有限公司（简称：国铁集团）及铁路局集团有限公司（简称：铁路局）“两级管理、三级联动”机制，实现铁路行业统一的网络安全威胁及漏洞闭环管理，完善铁路网络安全管理协同联动防御体系。

（3）建立高效的系统运维管控机制，实现对系统网络安全威胁及漏洞等级的科学判定，建立系统修复优先级策略模型，满足系统精准运维需要，提升工作效率。

（4）建立铁路行业漏洞知识库和补丁库共享机制，实现网络安全威胁及漏洞管理有制可依、有规可循、有据可查。

2 平台设计

2.1 平台总体架构

铁路网络安全威胁及漏洞管理平台采用面向服务（SOA，Service-Oriented Architecture）、跨平台、分布式、分层、模块化、可伸缩的体系架构，各功能模块之间的通讯采用标准通讯接口，保证平台部署的灵活性和稳定、可靠、高性能运行[3]。平台总体架构设计如图1所示。

图1 平台总体架构

平台由数据资源层、数据处理层、数据支撑层、应用服务层、业务展示层5层结构组成[4]。

（1）数据资源层接入平台的各种数据采集设备，包括漏洞扫描、网站扫描、配置核查、专属资产采集探针等设备，以及来自国家信息安全漏洞库(CNNVD，China National Vulnerability Database of Information Security)的数据和资产管理系统等外部系统的资产数据。

（2）数据处理层负责部署大数据处理引擎，对数据资源层采集的各类数据进行规范化、格式化、标准化处理。包括CNNVD数据、资产数据、漏扫设备数据的规范化，自收漏洞数据、回传数据、情报数据的标准化处理。

（3）数据支撑层为整个平台提供数据支撑服务，包括资产库、情报库、知识库、策略库、漏洞库和补丁库。

（4）应用服务层是平台的核心，为业务展示层提供功能支撑。主要包括资产管理、情报管理、知识库管理、告警管理、漏洞消控管理、漏洞补丁管理功能模块，以及平台设备管理、任务管理、策略管理等基础功能模块。

（5）业务展示层是业务和流程的实际操作入口，用于执行查看风险、管理资产、漏洞处置等业务，支持可视化图表的关联组合展示。该层提供各种数据的查询显示和分析展现，及针对漏洞数据基于语义的查询、统计、展示等功能。

2.2 平台网络架构

平台采取“两级部署、三级应用”的网络架构，国铁集团、铁路局及基层站段三级网络之间通过铁路内部服务网实现数据交互，外部威胁情报共享平台通过铁路外部服务网接入铁路内部服务网，通过国铁集团网络安全接入平台实现内外网安全隔离与数据交换，确保数据传输安全。将平台应用服务器、数据库服务器、数据分析服务器构建的服务器集群，部署在国铁集团内部服务网应用类服务器区。PC端通过内部服务网终端实现平台资源访问。总体网络架构如图2所示。

图2 平台网络结构

平台采用分布式部署方式，国铁集团服务器集群实现数据整合及全路网络安全漏洞发现和处置态势展现；铁路局部署级联服务器，实现全局信息资产的集中管理和网络安全威胁及漏洞的全流程管控。同时，部署探针服务器，负责数据调度与管理，并将数据回传至国铁集团服务器集群。

2.3 平台主要功能

网络安全威胁及漏洞管理是安全风险管理体系必不可少的基石，是网络安全管理工作投入产出比最高的基础性流程[5]。网络安全威胁及漏洞管理的目标不是根除威胁和漏洞，而是尽可能多地发现系统及网络中存在的安全威胁和漏洞，并及时采取合理有效的处置措施，降低系统潜在安全风险，实现安全威胁及漏洞全生命周期的可视、可管、可控[6]。平台功能结构如图3所示。

（1）资产管理

资产管理的对象是资产的集合，功能主要包括视图管理、标签管理、资产稽查。通过资产管理系统接口导入或手工录入数据等方式，逐步建立系统资产库，持续跟踪资产上线、变更、转移、报废等状态的变化，并同步更新到资产库，实现对资产变化的及时预警。

图3 平台功能结构

（2）情报管理

情报管理主要包括对威胁情报和漏洞情报的管理，提供情报检索和数据共享的能力，通过加密通信接口与情报管理系统进行情报数据共享[7]。结合本地资产库，分析受影响范围，向相关人员推送漏洞风险预警信息，打通铁路行业与外部机构或安全厂商间的情报传输渠道，建立完整的漏洞应急响应机制。

（3）知识库管理

行业知识库包括漏洞库、补丁库、资产库、运维知识库。通过将漏洞管理与知识管理流程相融合，进行情报数据和资产数据的整理分析，建立系统资产与漏洞、补丁间的对应关系，实现系统的隐性知识向显性知识转化[6]，推动运维知识库的不断积累和完善，为运维人员提供全面、有效的威胁及漏洞修复指导方案。

（4）威胁及漏洞处置管理

该功能通过分析引擎对资产的脆弱性、威胁及漏洞进行分析，对最新的漏洞信息、补丁信息、修复措施进行验证，通过标准化的威胁及漏洞处置流程，进行漏洞预警、威胁处置、漏洞修复、漏洞消控审核管理。

（5）系统基础管理

系统基础管理包括工单管理、任务管理、报表管理、设备管理、用户管理、配置管理6个管理功能。工单管理是任务操作的入口，可查看待处理的漏洞修复工单、漏洞预警工单及工单处理状态；任务管理可配置系统扫描策略及扫描任务，支持各类漏洞扫描设备的接入，并按任务计划自动或手工执行；报表管理支持在线和离线风险评估报告的查询及导出；设备管理对各类扫描设备及资产探针设备进行管理；用户管理用于完成用户账号的添加、修改、删除，并进行账号权限管理；系统配置管理包含对系统运行基础参数及策略配置的管理。

（6）数据查询与展示

该功能可提供不同维度的资源统计表、威胁及漏洞统计表、威胁及漏洞处置表，并支持按照威胁及漏洞类型、危险等级、关联资产等条件进行精确查询、模糊查询和批量查询，支持采用单一字段或多个字段实现可视化图表的任意关联、组合展示。

3 平台关键技术

3.1 漏洞修复优先级算法

漏洞修复优先级算法根据实时情报数据及漏洞安全等级，对漏洞进行综合分析，计算漏洞的响应级别。平台综合考虑资产重要性、漏洞安全等级、漏洞活跃度等因素，给出修复优先级建议。利用通用漏洞评分系统（CVSS，Common Vulnerability Scoring System）的评分，评估漏洞风险，计算风险值，并将系统资产与威胁及漏洞情报结合，对系统资产关联属性进行归一化处理，结合漏洞活跃度情报等数据，代入漏洞处置优先级计算模型：漏洞修复紧急度分值=漏洞的CVSS评分×时间因子×环境风险因子×资产重要性因子×修正因子。其中，修正因子由资产脆弱性、系统网络架构、安全配置策略等因素确定。系统依据漏洞修复紧急度分值给出漏洞修复优先级，结合系统运维工作实际情况进行优化调整。

3.2 威胁及漏洞动态更新技术

通过漏洞的CVSS评分值建立资产和漏洞关联规则，充分挖掘系统资产更新变化可能带来的新风险，结合外部威胁情报与传统漏洞共享信息，及时、高效感知系统资产存在的变化，以及资产变化带来的威胁及漏洞情况的变化，实现系统资产与安全威胁及漏洞之间的实时联动和动态更新。

4 平台应用场景

4.1 漏洞全生命周期闭环管理

漏洞全生命周期闭环管理是对漏洞进行检测、分类、修复和消解的一种周期性活动。平台从漏洞发现、漏洞确认、漏洞整改、漏洞消除4个步骤实现对漏洞的全生命周期闭环管理，推动日常安全漏洞全生命周期的可视和加固工作的可管可控[8-9]。在漏洞全生命周期闭环管理的基础上增加更加人性化的管理环节，漏洞确认阶段提供人员确认的环境，漏洞整改阶段增加整改有效期管理和有效期延时管理。

4.2 准确及时关联资产漏洞信息

平台可驱动系统漏扫、基线扫描设备获取漏洞信息或离线导入漏洞扫描结果，准确及时关联资产漏洞信息，建立漏洞和资产间的动态关联关系，方便管理人员查询并变更资产状态，跟踪漏洞处置进程。

4.3 公网漏洞智能检测与更新

平台能够通过内部机制及时、快速地从多个互联网安全平台（如中国国家信息安全漏洞库、补天漏洞响应平台等）获取漏洞信息，并第一时间同步到系统，供管理人员使用，弥补了传统漏洞扫描系统的不足，使得漏洞信息的获取更加及时、可靠。平台通过对系统资产、漏洞及补丁进行归并整合，逐步建立铁路行业自有漏洞库[10]。

4.4 主动化的弱点管理与预警

平台能够对漏洞扫描、基线引擎的结果进行自动同步，收集扫描结果，统一进行漏洞关联分析预警，从而实现弱点管理的主动化和自动化。当有新的安全漏洞出现时，可对漏洞扫描插件进行在线升级，通过主动反向扫描，找到网络中存在此安全隐患的设备，快速定位存在安全漏洞隐患的资产，并及时采取有效处置措施。

5 结束语

铁路网络安全威胁及漏洞管理平台可实现与国家及其它行业漏洞威胁情报库的信息共享，逐步构建铁路行业漏洞库和补丁库，形成运维知识库，建立有效的知识共享和积累机制，提高铁路网络安全威胁及漏洞管理和处置能力，实现系统资产网络安全风险的持续监测和漏洞的全流程管控，提高安全威胁及漏洞处置效率，提升铁路网络安全运维管理能力。该平台建成后，将产生大量系统资产信息，以及与资产关联的安全威胁和漏洞信息等敏感数据，这些敏感数据将给铁路业务系统带来一定的安全风险。在系统运维过程中，如何确保平台相关敏感数据的安全，有待进一步研究和解决。