王紅偉，陳 勛，殷頌棋，祁振亞，胡 俠

（1. 中國鐵道科學(xué)研究院集團(tuán)有限公司 電子計算技術(shù)研究所，北京 100081；2. 中國鐵路南昌局集團(tuán)有限公司 信息技術(shù)所，南昌 330002）

網(wǎng)絡(luò)安全漏洞（簡稱：漏洞）是信息技術(shù)、信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的脆弱性，這些脆弱性以不同形式存在于信息系統(tǒng)各個層次和環(huán)節(jié)之中，能夠被惡意主體所利用，從而影響信息系統(tǒng)及其服務(wù)的正常運(yùn)行[1]。漏洞的大量出現(xiàn)和加速增長是目前網(wǎng)絡(luò)安全問題嚴(yán)峻的重要原因之一。

隨著鐵路信息化建設(shè)進(jìn)入高速發(fā)展階段，大批鐵路信息系統(tǒng)投入運(yùn)行，其網(wǎng)絡(luò)安全保障的壓力逐年加大。由于鐵路行業(yè)信息系統(tǒng)覆蓋面大、互聯(lián)程度高、涉及單位與設(shè)備數(shù)量眾多，短期內(nèi)無法及時掌握孤島資產(chǎn)及新接入資產(chǎn)的漏洞。這些漏洞一旦被黑客利用，將造成嚴(yán)重影響。當(dāng)前，鐵路企業(yè)在漏洞管理方面主要存在的問題有：（1）業(yè)務(wù)系統(tǒng)覆蓋面大、互聯(lián)程度高，缺少對漏洞生命周期管理的有效手段；（2）缺少漏洞處置方案和預(yù)警機(jī)制；（3）業(yè)務(wù)系統(tǒng)中發(fā)現(xiàn)的漏洞問題一直以文檔的形式保存，缺少統(tǒng)一的漏洞分析平臺，無法對漏洞進(jìn)行匯總分析。

目前，針對漏洞管理的相關(guān)研究已取得一定成果。婁宇[2]分析了漏洞管理的問題，提出了漏洞閉環(huán)管理理念；溫海英等人[3]在深入研究網(wǎng)絡(luò)安全數(shù)智化管理的基礎(chǔ)上，設(shè)計并實現(xiàn)了漏洞自動化管理方法，提高了安全運(yùn)行維護(hù)（簡稱：運(yùn)維）人員的漏洞分析效率；沈伍強(qiáng)等人[4]從電力企業(yè)漏洞管理現(xiàn)狀入手，研究防御與風(fēng)險監(jiān)控管理要求，針對性地給出了電力企業(yè)的漏洞管理流程。上述研究中，對結(jié)合資產(chǎn)、威脅情報進(jìn)行漏洞預(yù)警并建立漏洞解決方案庫的研究還存在不足。

本文在借鑒上述研究的基礎(chǔ)上，結(jié)合鐵路行業(yè)漏洞管理的實際需求，對異構(gòu)漏洞數(shù)據(jù)標(biāo)準(zhǔn)化、漏洞處置優(yōu)先級評估及漏洞風(fēng)險預(yù)警進(jìn)行深入研究，建立了漏洞解決方案庫，完善了漏洞全生命周期的管理流程，設(shè)計了鐵路網(wǎng)絡(luò)安全漏洞管理平臺（簡稱：平臺），實現(xiàn)對鐵路網(wǎng)絡(luò)安全漏洞的閉環(huán)管理，提高鐵路漏洞管理水平和效率。

1 平臺總體架構(gòu)

平臺總體架構(gòu)可分為：數(shù)據(jù)資源層、接口與數(shù)據(jù)處理層、數(shù)據(jù)存儲層、應(yīng)用服務(wù)層、業(yè)務(wù)展示層，以及為平臺提供漏洞處置功能的外部系統(tǒng)。平臺的總體架構(gòu)如圖1所示。

圖1 平臺總體架構(gòu)

1.1 數(shù)據(jù)資源層

數(shù)據(jù)資源層為平臺提供基礎(chǔ)數(shù)據(jù)的來源，主要包括資產(chǎn)數(shù)據(jù)、漏洞數(shù)據(jù)和威脅情報數(shù)據(jù)等。其中，漏洞數(shù)據(jù)包括中國國家信息安全漏洞庫（CNNVD ，China National Vulnerability Database of Information Security）、通用漏洞披露（CVE ，Common Vulnerabilities Exposures）的標(biāo)準(zhǔn)漏洞數(shù)據(jù)，通過漏洞掃描探針和離線漏洞獲取的漏洞數(shù)據(jù)，以及來自國家相關(guān)部門、網(wǎng)絡(luò)安全廠商的威脅情報數(shù)據(jù)。數(shù)據(jù)采集的方式包括自動化采集和人工導(dǎo)入。

1.2 接口與數(shù)據(jù)處理層

通過HTTP/HTTPS和配置管理數(shù)據(jù)庫（CMDB，Configuration Management Database）接口方式獲取資產(chǎn)數(shù)據(jù)、威脅情報數(shù)據(jù)[5]、漏洞掃描探針的掃描結(jié)果數(shù)據(jù)，以人工導(dǎo)入方式獲取CNNVD、CVE及離線漏洞數(shù)據(jù)。將獲取的數(shù)據(jù)經(jīng)過數(shù)據(jù)解析、數(shù)據(jù)清洗、數(shù)據(jù)去重、數(shù)據(jù)標(biāo)準(zhǔn)化及數(shù)據(jù)關(guān)聯(lián)等一系列處理過程，轉(zhuǎn)換為規(guī)范的、平臺可識別的數(shù)據(jù)。

1.3 數(shù)據(jù)存儲層

通過MySQL和Elasticsearch為平臺運(yùn)行所需要的數(shù)據(jù)提供統(tǒng)一存儲服務(wù)，為平臺數(shù)據(jù)檢索、統(tǒng)計分析提供數(shù)據(jù)支撐，包括資產(chǎn)庫、標(biāo)準(zhǔn)漏洞庫、關(guān)聯(lián)規(guī)則庫、威脅情報庫、漏洞知識庫（包括鐵路漏洞庫和解決方案庫）。

1.4 應(yīng)用服務(wù)層

為平臺各類管理功能提供服務(wù)，主要包括資產(chǎn)管理、漏洞管理、檢測任務(wù)管理、威脅預(yù)警分析、工單管理、解決方案管理、統(tǒng)計報表和數(shù)據(jù)安全服務(wù)等功能。

1.5 業(yè)務(wù)展示

通過數(shù)據(jù)列表、圖形報表、大屏等不同的數(shù)據(jù)可視化方式，直觀展示各類數(shù)據(jù)信息，為各類用戶提供資產(chǎn)數(shù)據(jù)展示、漏洞數(shù)據(jù)展示、威脅情報展示、數(shù)據(jù)統(tǒng)計分析、處置進(jìn)度展示等功能。

1.6 外部系統(tǒng)

對一些無法通過修復(fù)及常用安全策略達(dá)到緩解效果的漏洞，平臺通過與終端安全防護(hù)系統(tǒng)、主機(jī)安全防護(hù)系統(tǒng)、數(shù)據(jù)庫防火墻、入侵防御系統(tǒng)進(jìn)行集成，實現(xiàn)安全策略下發(fā)功能，達(dá)到降低漏洞安全風(fēng)險的目的。

2 平臺功能

平臺基于服務(wù)化、模塊化的設(shè)計思想，采用B/S架構(gòu)進(jìn)行設(shè)計，應(yīng)用Spring Boot框架、Redis數(shù)據(jù)緩存、Elasticsearch分布式檢索與分析等技術(shù)實現(xiàn)資產(chǎn)管理、漏洞管理、統(tǒng)計報表等功能。

2.1 資產(chǎn)管理

資產(chǎn)是漏洞威脅的作用對象，主要包括主機(jī)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。資產(chǎn)管理是平臺的基礎(chǔ)功能，可通過接口、人工錄入及導(dǎo)入等方式獲取資產(chǎn)信息，提供資產(chǎn)信息維護(hù)、資產(chǎn)變更監(jiān)測、資產(chǎn)屬性管理、資產(chǎn)數(shù)據(jù)查詢等功能，實現(xiàn)對資產(chǎn)的全方位管理，幫助用戶保持資產(chǎn)動態(tài)更新、監(jiān)控資產(chǎn)運(yùn)行狀態(tài)、理清資產(chǎn)業(yè)務(wù)關(guān)系。

2.2 漏洞管理

漏洞管理是平臺的核心功能，通過漏洞發(fā)現(xiàn)、漏洞評估[6]、漏洞處置、漏洞復(fù)測等4個階段，對漏洞進(jìn)行全生命周期的可視化管理和分析，根據(jù)漏洞不同階段的狀態(tài)，實現(xiàn)精細(xì)化管理。

2.2.1 漏洞發(fā)現(xiàn)

分為主動發(fā)現(xiàn)和被動發(fā)現(xiàn)，主動發(fā)現(xiàn)以接口方式調(diào)動漏洞掃描探針，掃描類型包括系統(tǒng)漏洞掃描、Web應(yīng)用漏洞掃描、代碼審計等；被動發(fā)現(xiàn)主要包括網(wǎng)絡(luò)安全等級保護(hù)測評、滲透測試、網(wǎng)絡(luò)安全檢查等過程中發(fā)現(xiàn)的漏洞信息，以離線漏洞數(shù)據(jù)文件的形式導(dǎo)入平臺。

2.2.2 漏洞評估

根據(jù)資產(chǎn)重要性、漏洞可利用性、資產(chǎn)活躍度等因素，結(jié)合實際業(yè)務(wù)場景對漏洞處置優(yōu)先級進(jìn)行評估，制定漏洞處置優(yōu)先級排序表，為漏洞處置提供決策支持。

2.2.3 漏洞處置

根據(jù)資產(chǎn)庫、漏洞知識庫中的數(shù)據(jù)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析，給出漏洞打補(bǔ)丁、網(wǎng)絡(luò)層加固策略、主機(jī)層加固策略等多種處置方案。運(yùn)維人員可根據(jù)實際需求進(jìn)行參考。還可共享成功的漏洞處置方案，完善漏洞知識庫。

2.2.4 漏洞復(fù)測

漏洞處置完成后，運(yùn)維人員可通過調(diào)度漏洞掃描探針對漏洞進(jìn)行復(fù)檢，檢查漏洞處置情況，確認(rèn)漏洞是否得到有效處置。

2.3 檢測任務(wù)管理

平臺通過API接口實現(xiàn)與國內(nèi)主流漏洞掃描探針的聯(lián)動集成和管理，實現(xiàn)統(tǒng)一派發(fā)檢測任務(wù)、統(tǒng)一配置檢測策略、檢測數(shù)據(jù)自動回傳等功能，可對資產(chǎn)進(jìn)行快速的漏洞掃描。支持派發(fā)單次檢測任務(wù)和周期檢測任務(wù)，可對多類型、多數(shù)量漏洞掃描探針的掃描和檢測事務(wù)進(jìn)行統(tǒng)一管理。

2.4 工單管理

漏洞的處置環(huán)節(jié)可通過派發(fā)工單的形式進(jìn)行管理，由安全管理員創(chuàng)建工單，選擇需要處置的漏洞，設(shè)定處置優(yōu)先級和計劃完成時間并指定處理人。運(yùn)維人員接收到工單后，按要求進(jìn)行漏洞處置工作，安全管理員可全程跟蹤工單處置情況。

2.5 解決方案管理

解決方案管理主要包括補(bǔ)丁管理和安全規(guī)則管理。補(bǔ)丁管理實現(xiàn)對補(bǔ)丁信息和補(bǔ)丁包的維護(hù)功能，通過建立補(bǔ)丁與漏洞的關(guān)聯(lián)關(guān)系，為用戶提供漏洞對應(yīng)的補(bǔ)丁下載功能；安全規(guī)則管理通過安全規(guī)則庫對漏洞的攻擊方式、攻擊路徑等進(jìn)行分析，給出在網(wǎng)絡(luò)層面、主機(jī)層面的安全加固策略，通過將策略下發(fā)給終端安全防護(hù)系統(tǒng)、主機(jī)安全防護(hù)系統(tǒng)和數(shù)據(jù)庫防火墻等，實現(xiàn)減小漏洞風(fēng)險的目的。

2.6 統(tǒng)計報表

提供對資產(chǎn)漏洞、資產(chǎn)風(fēng)險、漏洞分布等數(shù)據(jù)的同比、環(huán)比、多維度的統(tǒng)計分析功能，支持生成月度、季度、年度報表。

2.7 數(shù)據(jù)安全服務(wù)

為平臺IP地址、漏洞與資產(chǎn)關(guān)聯(lián)數(shù)據(jù)等重要敏感數(shù)據(jù)提供數(shù)據(jù)加解密、簽名、驗簽、數(shù)據(jù)脫敏等數(shù)據(jù)安全防護(hù)功能，保障數(shù)據(jù)在傳輸、應(yīng)用、存儲過程中的安全。

3 關(guān)鍵技術(shù)研究

3.1 異構(gòu)漏洞數(shù)據(jù)標(biāo)準(zhǔn)化

平臺獲取的原始漏洞數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一，無法直接進(jìn)行匯總管理和安全風(fēng)險分析，因此，需要對異構(gòu)的原始漏洞數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，形成標(biāo)準(zhǔn)、有效的業(yè)務(wù)數(shù)據(jù)，用于數(shù)據(jù)統(tǒng)計與分析。平臺構(gòu)建了以CNNVD和CVE為基礎(chǔ)的標(biāo)準(zhǔn)漏洞庫和關(guān)聯(lián)規(guī)則庫，用于存儲異構(gòu)漏洞數(shù)據(jù)與標(biāo)準(zhǔn)漏洞庫漏洞數(shù)據(jù)的關(guān)聯(lián)關(guān)系[7]。

在獲取原始漏洞數(shù)據(jù)后，對異構(gòu)漏洞數(shù)據(jù)進(jìn)行解析，得到統(tǒng)一的數(shù)據(jù)格式，再將解析的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理。數(shù)據(jù)的標(biāo)準(zhǔn)化處理方法有2種：（1）利用CNNVD或CVE編號進(jìn)行關(guān)聯(lián)，將解析后的漏洞數(shù)據(jù)與標(biāo)準(zhǔn)漏洞庫進(jìn)行自動匹配，完成對異構(gòu)漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化處理；（2）對不具有CNNVD或CVE編號的漏洞數(shù)據(jù)，通過提取漏洞數(shù)據(jù)唯一標(biāo)識，與關(guān)聯(lián)規(guī)則庫進(jìn)行匹配，匹配成功后再與標(biāo)準(zhǔn)漏洞庫進(jìn)行關(guān)聯(lián)匹配，完成漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化處理。通過對異構(gòu)漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化處理，可有效解決人工分析方式存在的高誤報、高漏報、高成本、低效率等問題。

3.2 漏洞處置優(yōu)先級評估

在實際環(huán)境中，不是所有的漏洞都能立即得到處置，需要在海量漏洞數(shù)據(jù)中找出安全風(fēng)險高、威脅大的漏洞優(yōu)先進(jìn)行處置。針對這一問題，本文采用漏洞優(yōu)先級技術(shù)（VPT，Vulnerability Prioritization Technology），在通用漏洞評分系統(tǒng)（CVSS，Common Vulnerability Scoring System）評分基礎(chǔ)上，綜合參考資產(chǎn)重要程度、漏洞級別、漏洞利用代碼成熟度、漏洞攻擊途徑，并根據(jù)漏洞本身的超危、高危、中危、低危分支映射及漏洞暴漏天數(shù)做平滑曲線，進(jìn)行數(shù)據(jù)分析[8]，同時，結(jié)合威脅情報數(shù)據(jù)，對漏洞在公網(wǎng)上的漏洞利用代碼的暴漏情況、武器化程度進(jìn)行數(shù)據(jù)分析，計算出平衡因子。

漏洞處置優(yōu)先級評估模型為：漏洞處置優(yōu)先級=CVSS評分 × 資產(chǎn)重要程度 × 漏洞級別 × 漏洞利用代碼成熟度 × 漏洞攻擊難易程度 × 平衡因子 。

按照漏洞處置優(yōu)先級推薦處置漏洞，可最大程度減少風(fēng)險，提高漏洞處置效率。

4 結(jié)束語

本文設(shè)計并建立了一套自動化、流程化、可視化的鐵路網(wǎng)絡(luò)安全漏洞管理平臺，實現(xiàn)了漏洞檢測工具的協(xié)同調(diào)度和檢測任務(wù)的統(tǒng)一派發(fā)，對漏洞進(jìn)行全生命周期管理，并有效提升網(wǎng)絡(luò)安全預(yù)警能力。該平臺已于2023年4月在中國鐵路客票發(fā)售與預(yù)定系統(tǒng)補(bǔ)強(qiáng)項目中上線運(yùn)行，為項目提供資產(chǎn)管理、漏洞管控等服務(wù)，提升了項目的基礎(chǔ)安全運(yùn)營能力、漏洞處置效率和網(wǎng)絡(luò)安全防護(hù)水平。

后續(xù)還將對補(bǔ)丁驗證、漏洞挖掘與分析、漏洞自動化處置等方面進(jìn)行深入研究。