AMIS數據安全技術應用研究

劉大為，李 科

（1. 中國鐵路信息科技集團有限公司，北京 100844；2. 中國鐵道科學研究院集團有限公司 通信信號研究所，北京 100081）

云計算、物聯網、移動通信等技術在近幾年被廣泛應用于我國鐵路建設中。為在對鐵路數據進行更廣泛而深入的應用的同時保障數據安全，《鐵路信息化總體規劃》[1]等相關文件陸續出臺。在鐵路數據被挖掘和應用的過程中，如何保護數據安全，已成為業內人士的關注焦點[2]。鐵路數據是中國國家鐵路集團有限公司（簡稱：國鐵集團）的重要無形資產，是國家基礎戰略資源中不可缺少的一部分。《中華人民共和國網絡安全法》提出要對網絡安全執行等級保護制度。網絡安全等級保護制度2.0系列標準[3]（簡稱：等級保護2.0）中提出網絡安全工作要注重精準性、整體性、動態性和主動性，且在重要、敏感數據的防護上，就其傳輸、保存、使用、消除、運維等環節提出嚴謹、詳細的標準。

鐵路網絡安全是國家網絡安全的重要組成部分。列車自動防護（ATP，Automatic Train Protection）車載設備是保證高速列車安全、高效運行的關鍵技術裝備[4-5]，其運維過程中的網絡安全極為重要。以運維管理為核心的ATP車載設備管理信息系統（AMIS，ATP On-board Equipment Management Information System）已建設完成包括國鐵集團在內的10個本地數據中心，形成了全路統一的電務運維數據網絡安全體系和大數據服務平臺，全天候服務全路所有高速列車車載設備的運維作業，肩負著保障高速列車正常運轉的重任。AMIS實行二級部署、三級應用。在國鐵集團和鐵路局集團公司兩級部署，為國鐵集團、鐵路局集團公司、電務段（含車間、工區）三級提供應用服務。AMIS已于2019年7月完成等級保護二級定級工作。該系統中存儲大量諸如設備履歷、設備故障、運維作業流程等重要敏感數據，其數據安全問題日益重要，對該部分數據進行安全技術處理有其必要性。

1 數據安全風險分析

本文依照等級保護2.0的要求，分別從安全通信網絡、安全區域邊界和安全計算環境3個方面分析系統數據安全面臨的風險點。

1.1 安全通信網絡

（1）系統尚未采用密碼技術或數據校驗技術，因此會存在系統內部或與外部通信時關鍵數據的缺失。

（2）當前系統在數據通信時未做加密，需采用密碼技術針對雙端進行加密，確保傳輸數據的真實有效性。

1.2 安全區域邊界

（1）系統的內外訪問控制未做卡控，需制訂合理的訪問控制方案，在網絡邊界、區域之間設置訪問控制規則，不符合規則的受控接口一律不得接入通信口。

（2）需對訪問控制列表進行優化，將不合理的、冗余的訪問控制規則刪除。

（3）需定期檢查更新系統中的源地址、源端口、目的地址、目的端口、協議等，嚴格規范數據包進出。

（4）應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力。

1.3 安全計算環境

1.3.1 身份鑒別

（1）需要判斷登錄系統用戶的合法性，定期更換身份標識，身份標識要具備唯一屬性，具體的鑒別信息不得過于簡單。

（2）需要設置登錄失敗的處理方式，設置結束會話措施，登錄連接超時自動退出措施和非法登錄限制措施。

（3）遠程設置中，要設置反竊聽措施，避免信息在網絡傳播過程中被不法分子竊聽。

（4）在用戶身份鑒定識別中，要選擇不少于2種的技術，如口令技術、密碼技術、生物技術等，且所選擇的技術中，必須包含密碼技術。

1.3.2 數據完整性

在數據傳輸和保存過程中，對于重要數據，要通過密碼技術等保障數據的完整性和保密性。這些重要數據包括鑒別數據、審計數據、視頻數據、個人數據等。

1.3.3 剩余信息保護

敏感信息在被釋放或被重新分配時，要保證其原本保存空間中的信息被徹底清除。

1.3.4 個人信息保護

（1）用戶信息采集時，只采集系統必需的信息。

（2）用戶個人信息保護方面，要設置權限，只允許權限內的人員進行訪問。

1.3.5 數據備份恢復

（1）重要數據要進行異地備份、恢復操作。

（2）設置重要數據處理的熱冗余，強化系統的高可用性。

2 數據安全保障關鍵技術

要以針對性的防范技術和措施，對AMIS的客戶端/移動端與服務端之間不同的數據安全風險展開行動。

2.1 數據完整性技術

所謂數字簽名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和數據單元的完整性并保護數據，防止被偽造。

數據完整性是指通過數字簽名或密碼技術判斷傳輸中的數據是否完整、安全。AMIS采用基于哈希算法的數字簽名與驗證，來保證由客戶端向服務端傳送數據的完整性。

2.2 數據加密技術

AMIS在數據存儲、傳輸過程中，可通過數據加密技術保障其安全性，應用該技術，黑客在突破邊界后，依然可以被阻攔在外，也可避免內部高管通過權限竊取數據，讓每個訪客通過合法應用系統進行數據庫的訪問，為明文存儲中的數據安全性提供保障，避免其外泄。

數據加密技術包括透明加解密、動態加解密、細粒度加密控制、密文索引、加密算法與密鑰技術等[6]。AMIS采用動態加解密方法，其優點是對存儲在數據庫中的數據進行實時、靈活地自動化動態加解密，不需要人為干涉，即可實現對數據的安全存儲和使用，防止信息涉密。既節省用戶時間，也達到了保護文件的目的。只要用戶對加密數據進行操作，加密數據就會被自動加密或解密，用戶感覺不到加解密的過程。

2.3 身份認證和管理技術

AMIS中用戶身份鑒別依靠身份認證和管理技術，根據鑒權規則，分析使用者發出、提交的請求是否合規，即使用者匹配的權限是否對應，若對應，則允許其操作，否則拒絕其操作。允許操作的情況下，系統會再次根據鑒權規則進行其可訪問數據的匹配辨別，通過細粒度權限控制，根據具體權限，開放相應的數據庫供使用者訪問。

在數據訪問權限的分析判斷上，系統可通過業務范圍界定、時間范圍界定、查詢條件過濾、數據敏感度控制和數據訪問頻度等方式，進行數據訪問權限的分析判斷，對于不合法的數據訪問請求，需第一時間阻斷、預警、審計，避免超越權限訪問的行為發生；實時監控動態網絡流轉數據，保證終端數據被合法、安全地使用。

在美術課堂教學中，通過各種媒材的交互運用，把信息技術與小學美術課有效整合，實現了教師與學生、學生與學生、師生與資源之間真正意義上的互動式教學模式，使學生不自覺地在更廣泛的空間里學習，讓美術課堂教學在生動有趣、動靜結合、視聽觸覺等互換的環境中有序進行，學生接受的內容與傳遞知識的效率變得更豐富、更高效，徹底實現了信息技術與美術課堂教學的有效融合，提高了學習興趣，演繹了課堂精彩。在美術課堂教學中，創設有效的教學情境，能激發學生興趣，誘發、啟迪學生的好奇心，豐富學生的想象力，培養學生的創造力。

2.4 數據防恢復技術

AMIS客戶端/移動端在更新應用或設備時，會先將存儲于系統中的數據刪除或格式化，但需提防敏感數據2次泄露的情況。數據防恢復技術可將之前刪除的數據直接覆蓋重寫，或通過專業性更強的數據銷毀工具擦除邏輯層面的數據，實現數據的真正清零，永久性刪除數據，從而避免發生刪除的數據被恢復的情況。

2.5 數據匿名技術

為達到敏感數據不被泄露的目的，AMIS對原始數據通過一系列的匿名操作進行修改，如圖1所示。數據收集階段，數據發布者對終端用戶的原始數據進行收集；數據發布階段，將數據通過數據匿名化處理后，再發布給數據使用者進行分析和應用[7]。

圖1 數據匿名操作

在數據發布階段的數據匿名化處理中，數據脫敏技術[8-9]尤為重要，該技術將原始數據進行轉換、變形，將敏感數據暴露的概率降到最小。AMIS中包含各種私人、設備信息，可供相關人員查詢、獲取，為避免信息外泄，被不法分子濫用，系統需對重要人員、設備信息進行脫敏處理。敏感數據脫敏流程如圖2所示。

圖2 敏感數據脫敏流程

（1）敏感數據發現與確認

對原始數據進行全局掃描，將敏感數據識別出來，對其在數據庫中的存儲位置進行定位。AMIS中所有用戶數據及車載設備相關履歷原始數據被確定為敏感數據。

（2）定義脫敏規則

（3）敏感數據脫敏

通過脫敏工具advance-tool-datamask，按照脫敏規則進行敏感數據的脫敏，在脫敏過程中，不得降低數據的關聯性和高仿真性。

（4）敏感數據分發

對數據進行脫敏處理后，將其提供給需求者。AMIS采用固定映射方式進行有規則的脫敏數據分發。

2.6 數據備份技術

通過數據備份技術，可強化AMIS存儲的數據的安全性。數據備份是指系統中的全部或部分數據復制后，在其他設備中保存，避免操作者惡意或失誤操作及其他不可抗力而發生數據損壞、丟失等情況。常見的數據備份技術包括全量、增量、差分備份，可根據實際情況，選擇一種或幾種備份技術。系統數據要和備份數據保存在不同的設備中，或以不同的方式保存。

3 系統網絡架構優化

針對AMIS中存儲的各項關鍵數據，比對等級保護2.0的要求，應用上述各類數據安全技術，優化改造AMIS的架構，如圖3所示。

圖3中紅色字體標識的網絡安全防護設備部分為改造后新增或替換設備。采用超融合IT架構，可滿足AMIS數據定時、全量備份。顯著提升AMIS整體的災備功能。網絡架構具體改進措施有以下4點。

圖3 AMIS局級數據中心優化改造后網絡架構示意

（1）服務器上聯部署下一代防火墻，對服務器應用系統進行Web攻擊防護、實時漏洞分析、黑鏈檢測、網頁數據防篡改，同時具備阻擋大量互聯網攻擊并實現訪問控制、入侵防御、僵尸網絡檢測的能力，全面抵御新型威脅和網絡攻擊。

（2）在管理交換機下聯部署相關主機安全審計系統，通過監測、采集信息系統中的系統安全事件、用戶訪問行為、系統運行日志、系統運行狀態等信息，經過規范化、過濾、歸并和告警分析等處理后，以統一格式的日志形式進行集中存儲和管理，結合日志統計匯總及綜合分析功能，實現對系統整體安全狀況的審計。

（3）新加入的證書系統利用數據完整性技術和數據加密技術，保證端到端數據的完整性，確認數據來源，避免他人對數據的篡改。

（4）堡壘機及入侵檢測系統均采用身份認證和管理技術，通過對數據訪問權限的細分，及時阻斷、預警、審計，避免越權訪問行為發生，并迅速定位相關操作對象。

基于上述網絡架構的改造可有效降低AMIS的數據安全風險。

4 結束語

AMIS在建設、運行過程中，需要將數據安全落實到數據采集、傳輸、存儲、災備、消亡等各個環節，數據安全是AMIS運維中的一項重要工作。本文依照等級保護2.0的要求，從安全通信網絡、安全區域邊界、安全計算環境3方面分析了系統數據安全面臨的風險點；討論了6項有助于實現AMIS數據安全的關鍵技術；并提出了AMIS網絡架構的優化方法。今后應繼續從不同維度上深入分析AMIS數據的安全隱患，設計嚴謹、科學的安全部署方案，保障數據的采集、計算、傳輸、保存等環節中的安全性，避免其外泄、被篡改等的現象，保證AMIS在全路安全、穩定運行。

網絡安全不是靜態的，而是動態的，隨著相關法律法規的相繼出臺，AMIS的網絡安全防護措施還將不斷提升。應繼續堅持主動防御、綜合防范，不斷提升管理與技術水平。