基于云計算的鐵路工程管理平臺數據安全研究

■ 劉陽學 王萬齊 李平 秦健

基于云計算的鐵路工程管理平臺數據安全研究

■ 劉陽學 王萬齊 李平 秦健

數據是企業的重要資產，但數據安全面臨嚴峻挑戰。根據鐵路工程管理平臺的安全建設要求，從平臺安全風險和數據安全風險兩方面做了全面而詳細的分析，在此基礎上提出平臺數據安全防護體系，給出基于云計算的鐵路工程管理平臺數據安全技術實現方案，分別從數據區域劃分、數據訪問控制和容災備份3方面進行論述，為鐵路工程管理平臺數據中心的安全方案設計提供依據。

鐵路工程管理平臺；數據安全；安全策略

1 概述

近年來，我國鐵路建設取得了舉世矚目的成績，高速鐵路運營里程躍居世界第一，多條高速鐵路、城際鐵路的建設持續開展，從企業化管理視角對工程建設管理提出新的要求。綜合考慮中國鐵路總公司對工程建設全面管理，以及各鐵路局、客專公司和參建單位的實際需求，需要建設一套涵蓋設計、建設及運營的全生命周期管理的鐵路工程管理平臺（簡稱平臺）。平臺利用先進的云計算和虛擬化技術搭建，總體上采用數據集中管理，并應用分散部署的網絡結構。平臺具有涉及單位人員多、應用功能復雜、網絡接入點多等特點，為保障平臺安全穩定運行的要求，需要建設一套全面的數據安全保障體系。

2 平臺數據安全需求分析

平臺業務數據信息匯總全路大中型鐵路建設項目各方面數據，包括項目工程設計、進度、質量、投資、安全風險等數據，以及工程建設調度指揮、教育和誠信記錄、工程建設相關的規章制度等。大量的工程信息通過互聯網進行傳輸，作為平臺的承載主體，必須確保數據傳輸網絡安全和數據存儲安全，保障業務系統的完整性、機密性、可用性。

2.1 平臺安全風險需求分析

平臺業務覆蓋面廣，涉及多個參建單位及眾多使用對象。各參建單位信息技術能力參差不齊，對數據具有較強的依賴性，缺乏相應的保護意識，尤其以互聯網作為通信載體的情況下，來自互聯網的攻擊和大量的蠕蟲病毒，對系統本身基礎資源的攻擊、占用、數據的破壞，導致系統可用性和數據可靠性降低，給整個系統的業務正常開展帶來嚴重的影響。通過綜合分析，平臺所面臨的主要安全風險見表1。

2.2 數據安全風險需求分析

數據是鐵路工程管理平臺的核心，也是鐵路工程建設管理單位的重要資產。數據的丟失、泄露和損壞，將破壞數據的保密性、完整性和可用性，給企業帶來無法估量的損失，因此有必要根據數據的安全性要求分析數據安全風險。

結合建設信息公開需求和應用過程分析，將平臺建設施工階段的數據分為敏感數據和非敏感數據，其具體劃分見圖1。

2.2.1 敏感數據

敏感數據對數據安全性要求很高，主要包括：投資信息、質量信息、安全信息、工程量清單信息、驗工計價信息、工程造價信息、竣工驗收信息等。這些信息在施工過程中涉及資金、質量等相關信息，不利于全部向社會公開，在平臺中定義為敏感數據。

2.2.2 非敏感數據

非敏感數據對安全要求低，在鐵路建設信息公開文件中明確指出的工程建設的項目信息和信用信息等，在平臺中定義為非敏感數據。

數據是企業的重要資源，平臺應以數據安全為核心，不僅在傳統的設備層面考慮安全，還要根據數據安全級別采取嚴格的防護措施，保護好企業的重要資產，避免造成損失。

綜上所述，平臺安全在設計上要增強安全保障措施，選用高可靠性的軟硬件平臺，采用嚴密的身份認證、授權管理和數據加密等措施，并建立完整的安全管理規范和制度，建立完整的鐵路工程管理平臺的安全保障體系，滿足平臺的信息安全要求。

3 平臺數據安全防護體系

平臺數據安全防護體系分為7個方面：基礎設施安全、網絡安全、主機安全、數據安全、應用安全、安全管理平臺及信息安全管理制度（見圖2）。

（1）基礎設施安全：主要指環境安全、設備和介質的防盜竊防破壞等。平臺的基礎設施安全應考慮供配電系統、綜合布線系統、空調通風系統、機房環境監控系統、安全防護系統、消防報警系統等方面，為平臺的運行提供安全可靠的穩定運行環境。

（2）網絡安全：從網絡結構、邊界控制、入侵檢測和防護、路由與交換等方面，利用防火墻、VLan等技術將平臺劃分成敏感、非敏感、數據交換、管理等多個安全隔離區域，根據不同安全區域的重要程度，采取不同級別的安全策略，實現多層次的網絡安全防護。

（3）主機安全：主要通過虛擬防火墻、防病毒系統保證數據中心環境下各虛擬機的安全；通過漏洞掃描對局域網、Web站點、主機操作系統、平臺應用服務及防火墻系統本身的安全漏洞進行掃描，分析并修復安全漏洞，降低系統安全風險。

（4）數據安全：根據對應用和數據的分級，在進行敏感操作時，防火墻通過SSL協議進行加密，同時采用用戶名、口令、證書、動態口令等認證方式進行身份認證，只有通過身份認證的用戶方可進入敏感數據區進行操作；當用戶進行非敏感業務和數據操作時，防火墻采取策略是直接進入非敏感區，進行非敏感數據的操作，同時還應制定相應的備份計劃，采用多種備份策略，對數據進行備份與恢復等。

（5）應用安全：構建身份認證、應用系統訪問控制、用戶管理等系統，提高系統接入用戶身份安全鑒別能力以及關鍵業務辦理的抗抵賴效果，對平臺使用人員以“用戶名+口令”、“數字證書”或多種認證方式的任意組合方式登錄，為用戶提供較高安全等級接入機制認證，保證系統接入人員的身份高可靠性，同時應嚴格監管人員身份，對敏感數據操作嵌入完整性校驗及抗抵賴技術。

（6）安全管理平臺：通過統一部署的平臺管理軟件實現對數據中心內部資源和網絡安全的防護和管理；通過對各類安全設備統一配置，實現對內部終端的集中安全保護和監控、統一的云平臺的集中安全策略管理、網絡的安全審計及多級協同的安全管理模式。

（7）信息安全管理制度：包括管理制度、技術規范、管理要求、人員要求、項目建設管理要求、系統運維規范等。

4 平臺數據安全技術方案

平臺的數據安全主要涉及數據區域劃分、數據訪問控制、數據容災備份與恢復3個方面。

4.1 數據區域劃分

數據區域劃分是指根據數據的敏感程度對數據進行分區域存儲。

平臺數據分為敏感數據和非敏感數據，對數據的訪問操作應分為敏感數據操作和非敏感數據操作。因此，在網絡層根據數據和業務的敏感性劃分為敏感子網區和非敏感子網區；在應用層劃分為敏感應用區和非敏感應用區，對敏感應用和非敏感應用應分別部署在不同的服務器上；在數據存儲層應將數據按敏感和非敏感數據劃分不同的存儲區域，進行分別存儲。

平臺根據業務訪問的敏感程度，針對不同敏感性數據采取不同的安全策略，實現分級分類的訪問控制（見圖3）。

4.2 數據訪問控制

4.2.1 數據加密

當用戶進行敏感業務和敏感數據操作時，應對數據進行IPSEC VPN或SSL VPN加密。

當應用進行非敏感業務和數據操作時，數據可不通過加密傳輸，在出口防火墻安全策略應是讓訪問直接進入非敏感子網進行非敏感數據的操作。

4.2.2 訪問控制策略

訪問控制策略是在防護、檢測、響應和恢復的動態安全模型的控制和指導下，通過綜合運用防火墻、系統身份認證和加密等手段等防護工具，以及漏洞掃描評估、入侵檢測等檢測工具評估平臺的安全狀態，將平臺調整到“最安全”和“風險最低”的安全狀態。

訪問控制的安全策略考慮采用2種方式實現：（1）基于身份的安全策略。通過認證系統過濾對平臺數據或應用的訪問，只有能通過認證的用戶才能對平臺敏感數據或敏感應用進行訪問和操作。（2）基于規則的安全策略。根據數據的敏感性，對數據或資源進行安全標注。在具體實現上，系統通過比較用戶的安全級別和所訪問數據的安全級別來判斷是否允許訪問。

平臺數據訪問控制應具備訪問控制表（ACL）、訪問控制矩陣、訪問控制能力列表、訪問控制安全標簽列表等多種形式，具體實現形式應根據應用系統的實際情況確定；平臺數據訪問控制應具備通過數據庫管理器建立的訪問控制表進行授權和身份認證，只有具有權限且通過身份認證的應用可以進行敏感數據的操作。

平臺數據訪問控制示意見圖4。

4.3 數據容災備份與恢復

數據的容災備份與恢復是數據安全的重要環節，也是數據中心能力的重要指標和核心，關系到最終實現數據的可用性、機密性和完整性。

平臺的容災備份從應用的角度考慮，包括數據級容災和應用級容災。數據級容災是為了保證數據的完整性、可靠性和安全性；應用級容災是指提供不間斷的應用服務，實現應用的高可用性和連續性，保證平臺提供的應用服務完整、可靠和安全。數據級容災是數據安全的基礎，在數據完整、可靠和安全的基礎上才能實現應用級別的容災。

在平臺中，對非敏感應用采用數據級容災，同時也降低了成本。異地數據備份中心應分階段建設，初期可建設針對敏感數據的數據級容災中心。根據平臺的業務和功能需求，再考慮建設應用級容災中心。

4.3.1 數據級容災

平臺應通過在異地建立數據備份中心，當本地數據在災難性事件中被損壞或不可恢復時，異地數據備份中心即可提供可用的數據。數據級容災是容災備份的基礎形式，只需要考慮數據的備份和存儲，實現起來相對簡單，投資成本相對較低。數據級容災的安全策略主要考慮以下3方面。

（1）平臺應采用在線模式。由于平臺的數據實時性和業務連續性要求高，應通過定時、增量、全備份、差分備份等策略對數據進行備份。

（2）在遠程數據復制技術方面，平臺可根據實際情況，采用服務器邏輯卷、基于存儲備份軟件或基于智能存儲設備等備份方式。

（3）平臺根據數據敏感性的劃分，對敏感數據采用同步數據備份的方式，而對非敏感數據應采用異步數據備份方式。

4.3.2 應用級容災

應用級容災的目的是保證業務的連續性。在實現數據級容災的基礎上，建立應用系統的備份和負載均衡機制。通過云計算平臺實現本地應用故障時，備份應用的自動接管，保證業務的連續性；當本地應用均出現故障時，系統能夠通過異地備份應用系統接管，保證應用不間斷提供服務。

應用級容災需要考慮的因素較多，包括數據復制的完整性、一致性，網絡的穩定性，應用軟件的適應性，備份中心的物理環境，人員培訓和管理制度等。

4.3.3 容災恢復策略

在平臺中，將敏感數據和數據庫的備份作為日常運行處理的一部分，以確保出現問題時及時恢復重要數據，保持業務的持續性。因此，高可靠性方案應該考慮到應用和數據的保護。

平臺數據備份應以高可靠高性能的存儲系統為基礎，采用基于存儲備份軟件或智能存儲設備備份等技術，通過增量、全備份、差分備份等備份策略，制定備份時間計劃，實現敏感數據的本地備份與恢復，逐步構建同城數據級容災備份中心。

5 結束語

鐵路工程管理平臺數據安全方案在對平臺建設背景、數據安全需求、網絡結構深入介紹與分析的基礎上，根據數據集中管理，應用分散部署的網絡架構，按照“數據為核心、分級分類、區域保護”等關鍵原則，將平臺應用及數據劃分為敏感區與非敏感區，從平臺數據區域劃分、數據訪問控制和數據容災備份與恢復等方面，構建平臺數據安全防護體系，在重點考慮數據中心自身數據的備份和恢復能力的基礎上，形成多層次的縱深防御體系，確保整個平臺數據的保密性、完整性、可用性。

[1] 鄧亞平． 計算機網絡安全[M]． 北京：人民郵電出版社，2004．

[2] 周明全，呂林濤，李軍懷． 網絡信息安全技術[M]． 西安：西安電子科技大學出版社，2003．

[3] 何歡，何倩． 數據備份與恢復[M]． 北京：機械工業出版社，2010．

[4] 楊歡． 云數據中心構建實戰[M]． 北京：機械工業出版社，2014．

[5] 邵國安． 云計算在電子政務和鐵路應用中的安全要求[J]．中國鐵路，2015(5)：19-22．

劉陽學：中國鐵道科學研究院電子計算技術研究所，助理研究員，北京，100081

王萬齊：中國鐵路總公司工程管理中心，高級工程師，北京，100844

李 平：中國鐵道科學研究院電子計算技術研究所，研究員，北京，100081

秦 健：中國鐵道科學研究院電子計算技術研究所，副研究員，北京，100081

責任編輯 苑曉蒙

TP392

A

1672-061X（2015）06-0051-05