铁路网络安全漏洞管理平台建设与关键技术研究

王红伟，陈 勋，殷颂棋，祁振亚，胡 侠

（1. 中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081；2. 中国铁路南昌局集团有限公司 信息技术所，南昌 330002）

网络安全漏洞（简称：漏洞）是信息技术、信息产品和信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的脆弱性，这些脆弱性以不同形式存在于信息系统各个层次和环节之中，能够被恶意主体所利用，从而影响信息系统及其服务的正常运行[1]。漏洞的大量出现和加速增长是目前网络安全问题严峻的重要原因之一。

随着铁路信息化建设进入高速发展阶段，大批铁路信息系统投入运行，其网络安全保障的压力逐年加大。由于铁路行业信息系统覆盖面大、互联程度高、涉及单位与设备数量众多，短期内无法及时掌握孤岛资产及新接入资产的漏洞。这些漏洞一旦被黑客利用，将造成严重影响。当前，铁路企业在漏洞管理方面主要存在的问题有：（1）业务系统覆盖面大、互联程度高，缺少对漏洞生命周期管理的有效手段；（2）缺少漏洞处置方案和预警机制；（3）业务系统中发现的漏洞问题一直以文档的形式保存，缺少统一的漏洞分析平台，无法对漏洞进行汇总分析。

目前，针对漏洞管理的相关研究已取得一定成果。娄宇[2]分析了漏洞管理的问题，提出了漏洞闭环管理理念；温海英等人[3]在深入研究网络安全数智化管理的基础上，设计并实现了漏洞自动化管理方法，提高了安全运行维护（简称：运维）人员的漏洞分析效率；沈伍强等人[4]从电力企业漏洞管理现状入手，研究防御与风险监控管理要求，针对性地给出了电力企业的漏洞管理流程。上述研究中，对结合资产、威胁情报进行漏洞预警并建立漏洞解决方案库的研究还存在不足。

本文在借鉴上述研究的基础上，结合铁路行业漏洞管理的实际需求，对异构漏洞数据标准化、漏洞处置优先级评估及漏洞风险预警进行深入研究，建立了漏洞解决方案库，完善了漏洞全生命周期的管理流程，设计了铁路网络安全漏洞管理平台（简称：平台），实现对铁路网络安全漏洞的闭环管理，提高铁路漏洞管理水平和效率。

1 平台总体架构

平台总体架构可分为：数据资源层、接口与数据处理层、数据存储层、应用服务层、业务展示层，以及为平台提供漏洞处置功能的外部系统。平台的总体架构如图1所示。

图1 平台总体架构

1.1 数据资源层

数据资源层为平台提供基础数据的来源，主要包括资产数据、漏洞数据和威胁情报数据等。其中，漏洞数据包括中国国家信息安全漏洞库（CNNVD ，China National Vulnerability Database of Information Security）、通用漏洞披露（CVE ，Common Vulnerabilities Exposures）的标准漏洞数据，通过漏洞扫描探针和离线漏洞获取的漏洞数据，以及来自国家相关部门、网络安全厂商的威胁情报数据。数据采集的方式包括自动化采集和人工导入。

1.2 接口与数据处理层

通过HTTP/HTTPS和配置管理数据库（CMDB，Configuration Management Database）接口方式获取资产数据、威胁情报数据[5]、漏洞扫描探针的扫描结果数据，以人工导入方式获取CNNVD、CVE及离线漏洞数据。将获取的数据经过数据解析、数据清洗、数据去重、数据标准化及数据关联等一系列处理过程，转换为规范的、平台可识别的数据。

1.3 数据存储层

通过MySQL和Elasticsearch为平台运行所需要的数据提供统一存储服务，为平台数据检索、统计分析提供数据支撑，包括资产库、标准漏洞库、关联规则库、威胁情报库、漏洞知识库（包括铁路漏洞库和解决方案库）。

1.4 应用服务层

为平台各类管理功能提供服务，主要包括资产管理、漏洞管理、检测任务管理、威胁预警分析、工单管理、解决方案管理、统计报表和数据安全服务等功能。

1.5 业务展示

通过数据列表、图形报表、大屏等不同的数据可视化方式，直观展示各类数据信息，为各类用户提供资产数据展示、漏洞数据展示、威胁情报展示、数据统计分析、处置进度展示等功能。

1.6 外部系统

对一些无法通过修复及常用安全策略达到缓解效果的漏洞，平台通过与终端安全防护系统、主机安全防护系统、数据库防火墙、入侵防御系统进行集成，实现安全策略下发功能，达到降低漏洞安全风险的目的。

2 平台功能

平台基于服务化、模块化的设计思想，采用B/S架构进行设计，应用Spring Boot框架、Redis数据缓存、Elasticsearch分布式检索与分析等技术实现资产管理、漏洞管理、统计报表等功能。

2.1 资产管理

资产是漏洞威胁的作用对象，主要包括主机、数据库、中间件、网络设备、安全设备等。资产管理是平台的基础功能，可通过接口、人工录入及导入等方式获取资产信息，提供资产信息维护、资产变更监测、资产属性管理、资产数据查询等功能，实现对资产的全方位管理，帮助用户保持资产动态更新、监控资产运行状态、理清资产业务关系。

2.2 漏洞管理

漏洞管理是平台的核心功能，通过漏洞发现、漏洞评估[6]、漏洞处置、漏洞复测等4个阶段，对漏洞进行全生命周期的可视化管理和分析，根据漏洞不同阶段的状态，实现精细化管理。

2.2.1 漏洞发现

分为主动发现和被动发现，主动发现以接口方式调动漏洞扫描探针，扫描类型包括系统漏洞扫描、Web应用漏洞扫描、代码审计等；被动发现主要包括网络安全等级保护测评、渗透测试、网络安全检查等过程中发现的漏洞信息，以离线漏洞数据文件的形式导入平台。

2.2.2 漏洞评估

根据资产重要性、漏洞可利用性、资产活跃度等因素，结合实际业务场景对漏洞处置优先级进行评估，制定漏洞处置优先级排序表，为漏洞处置提供决策支持。

2.2.3 漏洞处置

根据资产库、漏洞知识库中的数据进行数据关联分析，给出漏洞打补丁、网络层加固策略、主机层加固策略等多种处置方案。运维人员可根据实际需求进行参考。还可共享成功的漏洞处置方案，完善漏洞知识库。

2.2.4 漏洞复测

漏洞处置完成后，运维人员可通过调度漏洞扫描探针对漏洞进行复检，检查漏洞处置情况，确认漏洞是否得到有效处置。

2.3 检测任务管理

平台通过API接口实现与国内主流漏洞扫描探针的联动集成和管理，实现统一派发检测任务、统一配置检测策略、检测数据自动回传等功能，可对资产进行快速的漏洞扫描。支持派发单次检测任务和周期检测任务，可对多类型、多数量漏洞扫描探针的扫描和检测事务进行统一管理。

2.4 工单管理

漏洞的处置环节可通过派发工单的形式进行管理，由安全管理员创建工单，选择需要处置的漏洞，设定处置优先级和计划完成时间并指定处理人。运维人员接收到工单后，按要求进行漏洞处置工作，安全管理员可全程跟踪工单处置情况。

2.5 解决方案管理

解决方案管理主要包括补丁管理和安全规则管理。补丁管理实现对补丁信息和补丁包的维护功能，通过建立补丁与漏洞的关联关系，为用户提供漏洞对应的补丁下载功能；安全规则管理通过安全规则库对漏洞的攻击方式、攻击路径等进行分析，给出在网络层面、主机层面的安全加固策略，通过将策略下发给终端安全防护系统、主机安全防护系统和数据库防火墙等，实现减小漏洞风险的目的。

2.6 统计报表

提供对资产漏洞、资产风险、漏洞分布等数据的同比、环比、多维度的统计分析功能，支持生成月度、季度、年度报表。

2.7 数据安全服务

为平台IP地址、漏洞与资产关联数据等重要敏感数据提供数据加解密、签名、验签、数据脱敏等数据安全防护功能，保障数据在传输、应用、存储过程中的安全。

3 关键技术研究

3.1 异构漏洞数据标准化

平台获取的原始漏洞数据标准不统一，无法直接进行汇总管理和安全风险分析，因此，需要对异构的原始漏洞数据进行标准化处理，形成标准、有效的业务数据，用于数据统计与分析。平台构建了以CNNVD和CVE为基础的标准漏洞库和关联规则库，用于存储异构漏洞数据与标准漏洞库漏洞数据的关联关系[7]。

在获取原始漏洞数据后，对异构漏洞数据进行解析，得到统一的数据格式，再将解析的数据进行标准化处理。数据的标准化处理方法有2种：（1）利用CNNVD或CVE编号进行关联，将解析后的漏洞数据与标准漏洞库进行自动匹配，完成对异构漏洞数据的标准化处理；（2）对不具有CNNVD或CVE编号的漏洞数据，通过提取漏洞数据唯一标识，与关联规则库进行匹配，匹配成功后再与标准漏洞库进行关联匹配，完成漏洞数据的标准化处理。通过对异构漏洞数据的标准化处理，可有效解决人工分析方式存在的高误报、高漏报、高成本、低效率等问题。

3.2 漏洞处置优先级评估

在实际环境中，不是所有的漏洞都能立即得到处置，需要在海量漏洞数据中找出安全风险高、威胁大的漏洞优先进行处置。针对这一问题，本文采用漏洞优先级技术（VPT，Vulnerability Prioritization Technology），在通用漏洞评分系统（CVSS，Common Vulnerability Scoring System）评分基础上，综合参考资产重要程度、漏洞级别、漏洞利用代码成熟度、漏洞攻击途径，并根据漏洞本身的超危、高危、中危、低危分支映射及漏洞暴漏天数做平滑曲线，进行数据分析[8]，同时，结合威胁情报数据，对漏洞在公网上的漏洞利用代码的暴漏情况、武器化程度进行数据分析，计算出平衡因子。

漏洞处置优先级评估模型为：漏洞处置优先级=CVSS评分 × 资产重要程度 × 漏洞级别 × 漏洞利用代码成熟度 × 漏洞攻击难易程度 × 平衡因子 。

按照漏洞处置优先级推荐处置漏洞，可最大程度减少风险，提高漏洞处置效率。

4 结束语

本文设计并建立了一套自动化、流程化、可视化的铁路网络安全漏洞管理平台，实现了漏洞检测工具的协同调度和检测任务的统一派发，对漏洞进行全生命周期管理，并有效提升网络安全预警能力。该平台已于2023年4月在中国铁路客票发售与预定系统补强项目中上线运行，为项目提供资产管理、漏洞管控等服务，提升了项目的基础安全运营能力、漏洞处置效率和网络安全防护水平。

后续还将对补丁验证、漏洞挖掘与分析、漏洞自动化处置等方面进行深入研究。