鐵路網絡安全漏洞管理平臺建設與關鍵技術研究

王紅偉，陳 勛，殷頌棋，祁振亞，胡 俠

（1. 中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2. 中國鐵路南昌局集團有限公司 信息技術所，南昌 330002）

網絡安全漏洞（簡稱：漏洞）是信息技術、信息產品和信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的脆弱性，這些脆弱性以不同形式存在于信息系統各個層次和環節之中，能夠被惡意主體所利用，從而影響信息系統及其服務的正常運行[1]。漏洞的大量出現和加速增長是目前網絡安全問題嚴峻的重要原因之一。

隨著鐵路信息化建設進入高速發展階段，大批鐵路信息系統投入運行，其網絡安全保障的壓力逐年加大。由于鐵路行業信息系統覆蓋面大、互聯程度高、涉及單位與設備數量眾多，短期內無法及時掌握孤島資產及新接入資產的漏洞。這些漏洞一旦被黑客利用，將造成嚴重影響。當前，鐵路企業在漏洞管理方面主要存在的問題有：（1）業務系統覆蓋面大、互聯程度高，缺少對漏洞生命周期管理的有效手段；（2）缺少漏洞處置方案和預警機制；（3）業務系統中發現的漏洞問題一直以文檔的形式保存，缺少統一的漏洞分析平臺，無法對漏洞進行匯總分析。

目前，針對漏洞管理的相關研究已取得一定成果。婁宇[2]分析了漏洞管理的問題，提出了漏洞閉環管理理念；溫海英等人[3]在深入研究網絡安全數智化管理的基礎上，設計并實現了漏洞自動化管理方法，提高了安全運行維護（簡稱：運維）人員的漏洞分析效率；沈伍強等人[4]從電力企業漏洞管理現狀入手，研究防御與風險監控管理要求，針對性地給出了電力企業的漏洞管理流程。上述研究中，對結合資產、威脅情報進行漏洞預警并建立漏洞解決方案庫的研究還存在不足。

本文在借鑒上述研究的基礎上，結合鐵路行業漏洞管理的實際需求，對異構漏洞數據標準化、漏洞處置優先級評估及漏洞風險預警進行深入研究，建立了漏洞解決方案庫，完善了漏洞全生命周期的管理流程，設計了鐵路網絡安全漏洞管理平臺（簡稱：平臺），實現對鐵路網絡安全漏洞的閉環管理，提高鐵路漏洞管理水平和效率。

1 平臺總體架構

平臺總體架構可分為：數據資源層、接口與數據處理層、數據存儲層、應用服務層、業務展示層，以及為平臺提供漏洞處置功能的外部系統。平臺的總體架構如圖1所示。

圖1 平臺總體架構

1.1 數據資源層

數據資源層為平臺提供基礎數據的來源，主要包括資產數據、漏洞數據和威脅情報數據等。其中，漏洞數據包括中國國家信息安全漏洞庫（CNNVD ，China National Vulnerability Database of Information Security）、通用漏洞披露（CVE ，Common Vulnerabilities Exposures）的標準漏洞數據，通過漏洞掃描探針和離線漏洞獲取的漏洞數據，以及來自國家相關部門、網絡安全廠商的威脅情報數據。數據采集的方式包括自動化采集和人工導入。

1.2 接口與數據處理層

通過HTTP/HTTPS和配置管理數據庫（CMDB，Configuration Management Database）接口方式獲取資產數據、威脅情報數據[5]、漏洞掃描探針的掃描結果數據，以人工導入方式獲取CNNVD、CVE及離線漏洞數據。將獲取的數據經過數據解析、數據清洗、數據去重、數據標準化及數據關聯等一系列處理過程，轉換為規范的、平臺可識別的數據。

1.3 數據存儲層

通過MySQL和Elasticsearch為平臺運行所需要的數據提供統一存儲服務，為平臺數據檢索、統計分析提供數據支撐，包括資產庫、標準漏洞庫、關聯規則庫、威脅情報庫、漏洞知識庫（包括鐵路漏洞庫和解決方案庫）。

1.4 應用服務層

為平臺各類管理功能提供服務，主要包括資產管理、漏洞管理、檢測任務管理、威脅預警分析、工單管理、解決方案管理、統計報表和數據安全服務等功能。

1.5 業務展示

通過數據列表、圖形報表、大屏等不同的數據可視化方式，直觀展示各類數據信息，為各類用戶提供資產數據展示、漏洞數據展示、威脅情報展示、數據統計分析、處置進度展示等功能。

1.6 外部系統

對一些無法通過修復及常用安全策略達到緩解效果的漏洞，平臺通過與終端安全防護系統、主機安全防護系統、數據庫防火墻、入侵防御系統進行集成，實現安全策略下發功能，達到降低漏洞安全風險的目的。

2 平臺功能

平臺基于服務化、模塊化的設計思想，采用B/S架構進行設計，應用Spring Boot框架、Redis數據緩存、Elasticsearch分布式檢索與分析等技術實現資產管理、漏洞管理、統計報表等功能。

2.1 資產管理

資產是漏洞威脅的作用對象，主要包括主機、數據庫、中間件、網絡設備、安全設備等。資產管理是平臺的基礎功能，可通過接口、人工錄入及導入等方式獲取資產信息，提供資產信息維護、資產變更監測、資產屬性管理、資產數據查詢等功能，實現對資產的全方位管理，幫助用戶保持資產動態更新、監控資產運行狀態、理清資產業務關系。

2.2 漏洞管理

漏洞管理是平臺的核心功能，通過漏洞發現、漏洞評估[6]、漏洞處置、漏洞復測等4個階段，對漏洞進行全生命周期的可視化管理和分析，根據漏洞不同階段的狀態，實現精細化管理。

2.2.1 漏洞發現

分為主動發現和被動發現，主動發現以接口方式調動漏洞掃描探針，掃描類型包括系統漏洞掃描、Web應用漏洞掃描、代碼審計等；被動發現主要包括網絡安全等級保護測評、滲透測試、網絡安全檢查等過程中發現的漏洞信息，以離線漏洞數據文件的形式導入平臺。

2.2.2 漏洞評估

根據資產重要性、漏洞可利用性、資產活躍度等因素，結合實際業務場景對漏洞處置優先級進行評估，制定漏洞處置優先級排序表，為漏洞處置提供決策支持。

2.2.3 漏洞處置

根據資產庫、漏洞知識庫中的數據進行數據關聯分析，給出漏洞打補丁、網絡層加固策略、主機層加固策略等多種處置方案。運維人員可根據實際需求進行參考。還可共享成功的漏洞處置方案，完善漏洞知識庫。

2.2.4 漏洞復測

漏洞處置完成后，運維人員可通過調度漏洞掃描探針對漏洞進行復檢，檢查漏洞處置情況，確認漏洞是否得到有效處置。

2.3 檢測任務管理

平臺通過API接口實現與國內主流漏洞掃描探針的聯動集成和管理，實現統一派發檢測任務、統一配置檢測策略、檢測數據自動回傳等功能，可對資產進行快速的漏洞掃描。支持派發單次檢測任務和周期檢測任務，可對多類型、多數量漏洞掃描探針的掃描和檢測事務進行統一管理。

2.4 工單管理

漏洞的處置環節可通過派發工單的形式進行管理，由安全管理員創建工單，選擇需要處置的漏洞，設定處置優先級和計劃完成時間并指定處理人。運維人員接收到工單后，按要求進行漏洞處置工作，安全管理員可全程跟蹤工單處置情況。

2.5 解決方案管理

解決方案管理主要包括補丁管理和安全規則管理。補丁管理實現對補丁信息和補丁包的維護功能，通過建立補丁與漏洞的關聯關系，為用戶提供漏洞對應的補丁下載功能；安全規則管理通過安全規則庫對漏洞的攻擊方式、攻擊路徑等進行分析，給出在網絡層面、主機層面的安全加固策略，通過將策略下發給終端安全防護系統、主機安全防護系統和數據庫防火墻等，實現減小漏洞風險的目的。

2.6 統計報表

提供對資產漏洞、資產風險、漏洞分布等數據的同比、環比、多維度的統計分析功能，支持生成月度、季度、年度報表。

2.7 數據安全服務

為平臺IP地址、漏洞與資產關聯數據等重要敏感數據提供數據加解密、簽名、驗簽、數據脫敏等數據安全防護功能，保障數據在傳輸、應用、存儲過程中的安全。

3 關鍵技術研究

3.1 異構漏洞數據標準化

平臺獲取的原始漏洞數據標準不統一，無法直接進行匯總管理和安全風險分析，因此，需要對異構的原始漏洞數據進行標準化處理，形成標準、有效的業務數據，用于數據統計與分析。平臺構建了以CNNVD和CVE為基礎的標準漏洞庫和關聯規則庫，用于存儲異構漏洞數據與標準漏洞庫漏洞數據的關聯關系[7]。

在獲取原始漏洞數據后，對異構漏洞數據進行解析，得到統一的數據格式，再將解析的數據進行標準化處理。數據的標準化處理方法有2種：（1）利用CNNVD或CVE編號進行關聯，將解析后的漏洞數據與標準漏洞庫進行自動匹配，完成對異構漏洞數據的標準化處理；（2）對不具有CNNVD或CVE編號的漏洞數據，通過提取漏洞數據唯一標識，與關聯規則庫進行匹配，匹配成功后再與標準漏洞庫進行關聯匹配，完成漏洞數據的標準化處理。通過對異構漏洞數據的標準化處理，可有效解決人工分析方式存在的高誤報、高漏報、高成本、低效率等問題。

3.2 漏洞處置優先級評估

在實際環境中，不是所有的漏洞都能立即得到處置，需要在海量漏洞數據中找出安全風險高、威脅大的漏洞優先進行處置。針對這一問題，本文采用漏洞優先級技術（VPT，Vulnerability Prioritization Technology），在通用漏洞評分系統（CVSS，Common Vulnerability Scoring System）評分基礎上，綜合參考資產重要程度、漏洞級別、漏洞利用代碼成熟度、漏洞攻擊途徑，并根據漏洞本身的超危、高危、中危、低危分支映射及漏洞暴漏天數做平滑曲線，進行數據分析[8]，同時，結合威脅情報數據，對漏洞在公網上的漏洞利用代碼的暴漏情況、武器化程度進行數據分析，計算出平衡因子。

漏洞處置優先級評估模型為：漏洞處置優先級=CVSS評分 × 資產重要程度 × 漏洞級別 × 漏洞利用代碼成熟度 × 漏洞攻擊難易程度 × 平衡因子 。

按照漏洞處置優先級推薦處置漏洞，可最大程度減少風險，提高漏洞處置效率。

4 結束語

本文設計并建立了一套自動化、流程化、可視化的鐵路網絡安全漏洞管理平臺，實現了漏洞檢測工具的協同調度和檢測任務的統一派發，對漏洞進行全生命周期管理，并有效提升網絡安全預警能力。該平臺已于2023年4月在中國鐵路客票發售與預定系統補強項目中上線運行，為項目提供資產管理、漏洞管控等服務，提升了項目的基礎安全運營能力、漏洞處置效率和網絡安全防護水平。

后續還將對補丁驗證、漏洞挖掘與分析、漏洞自動化處置等方面進行深入研究。