铁路信息化资产知识图谱测绘工作的构想

2020-08-27孙宇宁

铁路计算机应用 2020年8期

李琪，孙宇宁

（1.中国铁道科学研究院集团有限公司电子计算技术研究所，北京 100081；2. 中国标准化研究院，北京 100191）

铁路网络安全工作的重点是保护铁路网络信息基础设施的安全，近年来铁路网络安全工作基本上是围绕铁路信息化资产来开展，如加强落实网络安全等级保护制度、开展网络安全隐患排查整改等专项工作。然而，铁路信息化资产保护工作当前仍面临着安全问题难以溯源、资产管理底账不明、异构网络边缘不清、标准建设尚未统一等问题与挑战。

2019年国家标准化管理委员重新修订网络安全等级保护制度，更加强调网络安全工作的核心就是对信息化资产的保护。针对网络信息科学发展和网络安全保障的应用需求，利用知识图谱技术开展网络空间资产测绘研究，既体现信息资产在网络环境中的重要地位，也是资产管理部门开展网络安全工作的一项重要任务。

铁路信息化资产的测绘描述与认知表达是开展网络安全保障、网络事件分析与决策工作的前提和基础，对铁路信息化资产的管理与组织具有重要意义，有助于网络研究和管理人员更及时、准确地探测网络资源，精确感知网络态势。

1 知识图谱与网络空间资产测绘的概念

1.1 知识图谱的构建

知识图谱是一种语义网络，采用可视化技术描述知识资源及其载体，挖掘、分析、构建、绘制和显示知识及它们之间的相互联系。知识图谱的构建一般可分为数据获取、信息抽取、知识融合和知识加工4个步骤，如图1所示。

在数据获取阶段，由于数据来源的多样性，知识图谱构建的数据来源既包含结构化数据，也包含半结构化和非结构化数据；在信息抽取阶段，结构化数据可自动抽取，非结构化数据则要提取实体、属性关系等信息。在知识融合阶段，主要进行知识的纠错与补全；在知识加工阶段，重点是对知识进行更新与精化，形成知识图谱及知识应用[1-2]。

针对海量资产信息管理与资源分配，构建信息化资产的知识图谱能够解决孤立、零散的资产管理问题，并通过对信息化资产进行分类，全面增强网络安全防控能力[3]。随着网络资产信息的不断积累与扩展，将形成一个包含海量数据且动态变化的庞大资源库，其知识图谱的构建是一个浩大的工程。

图1 知识图谱构建过程

1.2 网络空间资产测绘的概念

信息化资产的知识图谱测绘研究将以信息化资产为对象，以计算机科学、网络科学、测绘科学、信息科学为基础，利用网络探测、网络分析、实体定位、地理测绘和地理信息等技术，获得资产设备在网络空间内的位置、属性及拓扑结构，并将其映射至地理空间，最终以地图形式或其它可视化形式进行展现。

网络空间信息化资产测绘可划分为探测层、映射层和绘制层，其技术架构如图2所示[4]。

探测层：根据探测对象划分为实体资源探测和虚拟资源探测。实体资源探测包括网络基础设施探测、拓扑探测、IP地址探测；虚拟资源探测包括服务探测、内容探测、属性探测和用户探测。

映射层：利用探测层汇集的数据，利用地标挖掘与采集、实体定位、轨迹发现、关系挖掘等技术，将网络资产及其属性信息映射到地理空间。

绘制层：将多维度的网络空间虚实资源及其属性和关系描述展示在低维度的可视化空间，构建分层次、可变粒度的网络空间地图，实现对各种网络资源的查询与展现。

图2 网络空间信息化资产测绘技术架构

2 信息化资产知识图谱测绘的关键技术

信息化资产知识图谱探测技术能够为网络空间测绘提供详细的资产设备分布信息，通过主动探测和被动探测两种方式，绘制网络空间资产图谱。在此基础上，结合大数据特征分析与挖掘技术、网络威胁情报融合技术，建立网络安全知识谱图高效检索机制，为网络安全风险预测、安全事件预警提供基础支撑。

2.1 网络自动化拓扑发现与构建技术

根据信息化资产在网络覆盖范围内的分布情况，结合地理和社会空间信息，利用软件或硬件工具，以逻辑图和地理信息图的形式，实时绘制信息化资产的分布与层次性拓扑关系，为信息化资产测绘提供基础技术支撑。结合不同的铁路业务应用场景，需要采用不同的拓扑测量方法，包括基于网络管理协议的拓扑测量方法、基于 Traceroute的网络拓扑测量方法、基于路由协议的拓扑发现方法等。

2.2 信息化资产探测技术

对网络覆盖范围内的资产及其属性进行探测、融合分析和绘制，通过绘制信息化资产全息地图，全面描述和展示网络信息化资产信息，为各类应用（如网络资产评估、设备漏洞发现等）提供数据和技术支持，对网络空间内资产存在的威胁进行检测和确认，及时发出通知，提供修复建议，提高计算机系统和网络的安全性。

2.3 网络信息化资产特征数据与网络威胁情报融合技术

从数据类型和存储方式、知识图谱构建、多类型数据采集、实体抽取、属性抽取、关系抽取、知识融合、实体链接、共指消解、知识合并、知识加工、知识推理、知识质量评估、知识更新和图形数据库等方面，研究知识图谱构建全过程，构建面向威胁情报应用的网络安全知识图谱，为事件溯源、威胁趋势研判和预测提供数据支持。

2.4 基于网络空间威胁图谱的安全事件预警与分析技术

以关键系统网站、重保单位的出入站流量/日志为数据基础，利用网络空间与威胁情报融合的知识图谱、机器学习模型、深度学习算法等大数据与人工智能相关技术，重点研究在城域网威胁发现、取证定位、追踪溯源方面的应用，将网络空间认知表达、威胁情报等技术应用于网络安全事件预警与分析。

3 铁路信息化资产知识图谱测绘工作的构想

3.1 铁路信息化资产知识图谱测绘工作的内涵

铁路信息化资产知识图谱测绘是指通过主动探测抓取和信息上报等措施，收集各铁路局联网的设备、系统、平台等重要的信息化资产的相关信息，利用融合分析、全息绘制等技术，全面掌握铁路企业重要的联网信息化资产现状及其面临的安全威胁，建立行业级信息化资产测绘平台[5-6]，提高铁路网络安全风险监测、风险预警、损害评估等主动防御能力。在铁路今后的网络安全规划中，应将信息化资产测绘平台作为信息检索与情报分析的基础平台，在对铁路资产数据分层、分级的基础上，实现海量网络测绘数据的动态展示、查询与分析。

3.2 铁路网络空间中信息化资产分类

网络空间资产测绘通过探测网络空间中的资产，获取其分布状况和网络关系索引，并对网络资产的安全情况进行建模分析，使虚拟网络空间与真实地理空间相互映射与融合，实现资产的可查、可定位、操作可识别，解决未知联网资产发现不及时与防护不到位的问题[7-8]。

如图3所示，铁路网络空间中信息化资产可划分为8个类别：服务器、网络设备、安全设备、外部设备、商用软件、软件组件、工业设备和通讯设备。

3.3 信息化资产测绘工作的阶段划分及其目标

图3 铁路网络空间信息化资产分类构成

按照应用发展程度，铁路网络空间中信息化资产测绘工作可划分为3个阶段，图4列出测绘工作各阶段目标。

图4 铁路网络空间中资产测绘工作的阶段划分

（1）资产快速发现阶段：资产发现是信息测绘的第1步。近几年铁路信息系统投产、变更频繁，业务交易规模快速增长，网络信息化资产急剧变化，需要将其纳入网络空间测绘体系，以快速识别上线和下线资产，掌握资产对外服务、自身配置等情况；资产发现应具有较强可扩展性，能基于多种规则，对新增的资产类型进行匹配扩展。

（2）资产可定位阶段：铁路行业内部网络已规划IP地址，网络空间测绘需要支持内部网络IP地址的精确定位和IP地址物理位置自定义，通过IP地址定位设备的物理位置，以便快速对设备进行应急处置。

（3）资产操作可识别阶段：实现资产的统一管理、统一检索和统一展示，可随需获取网络时空信息并实现全局共享，提高网络安全信息资产数据的管理、分析和利用水平，满足网络安全监管和公共服务需求。

3.4 铁路网络安全资产测绘工作的主要任务

通过地理信息和铁路信息基础设施的结合，借助地理信息学的理论方法，以网络资源探测、网络拓扑分析、实体定位、测绘描述为核心，通过探测、采集、处理、分析等技术手段，获得铁路信息基础设施在网络空间和地理空间的属性关系，并将信息基础设施的数据映射至地理空间，构建铁路信息化资产测绘平台[9-10]。其具体工作任务如下。

（1）资产梳理探测：对铁路行业现有资产进行全面梳理，探测铁路综合信息网内存在的设备、协议、服务类型等各类信息。

（2）资产描绘定责：使用统一的空间测绘平台与工具，对资产梳理结果按资产归属地、单位以及责任人等进行图谱描绘与定责。

（3）动态监测与响应：实现资产操作可识别的能力，当资产状态发生变化时，可同步地动态识别具体变化情况，完成“IP+设备+位置+人”的全量网络安全地理信息图谱测绘，以实现全网安全态势的动态监测与响应。

（4）风险视图可视化：通过直观、交互式知识图谱可视化方法，提供涵盖网络关系在内的设备信息、位置信息等图形化展示界面，满足大数据环境下数据分析需求，提高资产安全风险的可视化能力。

（5）构建网络安全空间测绘平台：该信息图谱应覆盖铁路重要的联网设备、系统、平台等资产，通过主动探测、主动诱捕和流量分析等方式，全面掌握铁路企业联网的重要信息化资源状况及其面临的安全威胁，绘制铁路信息化资产地图，形成集安全风险监测、风险预警、态势感知等为一体的铁路网络安全全量地理信息图谱，作为铁路网络安全资产的核心知识库，将其与各类平台对接，通过持续建模分析与画像刻画，实现可查、可定位、可操作和可识别。