法律監管之下智慧城軌數據安全建設思考

文：余家歡丨北京京港地鐵有限公司

數據是國家基礎戰略性資源和重要生產要素，國際態勢嚴峻的當下，我國在2021年密集發布了多項數據安全法律和標準，數據安全的重要性在各行業領域愈加突出。近兩年，智慧城軌業務全面創新和發展，但智慧城軌采集、應用的海量數據的安全卻容易被忽視。本文從國家數據安全監管要求出發，結合智慧城軌業務特點和安全現狀，提出以“摸-分-評-預-控”為流程的智慧城軌的數據安全建設思路，為傳統城軌過渡階段和以及智慧城軌數據安全建設思路提供參考。

《中國城市軌道交通智慧城軌發展綱要》提出按照“1-8-1-1”的布局結構，鋪畫了一張智慧城軌發展藍圖。在5G、物聯網、云計算、大數據、區塊鏈等新技術的推動下，智慧城軌運營開啟數據分析智能化和生產智慧化的階段，并完成從運輸乘客到服務乘客的思路轉變。但業務規模的擴大，帶來了諸如人臉識別、個人支付、個人行為、乘客流量、車輛調度、綜合監控、信號數據、坐標軌跡等個人數據和重要數據的成倍增長，數據安全的重要性不言而喻，一旦出現因相關數據泄露或破壞導致的軌道停運，可能直接影響百萬、千萬人民的交通生活，損失不可估量。

我國于2021年陸續出臺《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等一系列法律法規對數據安全進行監管，捍衛國家數據安全。由此可見，智慧城軌的數據安全建設工作需高度重視，在建設中應遵循 “同時規劃、同時建設、同時運行”的原則，為智能系統驅動下的智慧城軌的運營生產保駕護航。

一、智慧城軌數據安全現狀

依據法律法規，從智慧城軌建設朝著智能化、智慧化方面高效發展考慮，本文從以下四個方面分析當前智慧城軌的數據安全現狀。

1.新架構新風險。智慧城軌所應用的新架構，引發新的數據安全風險隱患。建設過程中，為使各種信息有效融合、共享、使用，各軌道運行專業設備系統不再是單一封閉運轉的系統，目前城軌云與大數據平臺是實現智慧城軌的“基礎底座”，云計算應用已經模糊了傳統系統邊界的限定，大數據應用下的潛在數據安全泄露風險也與日劇增，物聯網設備、5G 設備的接入安全、授權認證等問題直接關系到城軌相關系統的數據安全，對建設工作帶來新的挑戰，基于種種風險，為確保列車運行和乘客人身安全，必須從相關法律入手研究、評估、應對新架構下的數據安全威脅。

2.數據資產管理。從數據資產范圍角度，要保障管理范圍的全面性。由于行業整體管理體制特征，傳統城軌普遍重生產網輕辦公網，數據資產管理工作大多向生產網傾斜，但辦公網同樣具有大量與軌道相關的國家重要數據，如設計圖、施工圖、地理信息、運營數據、安保措施、供應鏈數據等。因此在智慧城軌的建設中要對安全生產網、內部管理網、外部服務網中的數據資產進行全面管理。

從數據資產梳理角度，要杜絕落后管理方式。人工或系統登記制已經過時，智慧城軌背景下軌道業務更加復雜，數據類型復雜多樣，包括結構化數據，以及圖像、音頻、視頻、文本等非結構化數據。企業盡管已開展多次數據資產調研，但調研范圍不一致，資產底賬不清，經年累月后應下線資產、未認領資產普遍存在敏感數據，摸清資產才能摸清數據安全，無法形成完整的數據資產視圖，不利于智慧城軌轉型戰略落地。

從數據資產分類分級角度，國家法律提出重要數據和個人數據要分等級管理的要求。隨著公民出行數據、地理信息數據、經濟生產運行數據等數據的不斷歸集，相應的數據文件、庫、表、字段安全級別無標準可依，不是缺乏防護措施就是措施過度，并且人員崗位與數據之間未能實現業務操作的最小權限控制，導致“一個賬戶，走天下”。根據數據資產重要性進行分類分級，對數據資產進行全面清晰的分類分級，是實現數據規范化管控與有效防護的前提。

3.數據安全評估。《數據安全法》第十三條指出，“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等”。在監管下，評估工作一直都是減少風險行之有效的重要途徑，能夠幫助我們認知、排查、解決風險隱患，但目前缺乏數據安全專項評估工作，在發現數據安全風險上較為滯后。

4.數據安全防御?！霸拼笪镆啤钡刃录夹g使得智慧城軌向互聯網外延，數據暴露面增加，加大了數據被泄露、篡改、損毀的風險，目前智慧城軌安全建設還停留在傳統網絡安全的角度，重視邊界防御，普遍應用防病毒、防入侵、防火墻的“老三樣”，這將導致安全體系的全面潰敗。因為數據風險涉及從數據采集、數據傳輸、數據存儲、數據處理、數據使用到數據銷毀的全生命周期，數據采集要保證數據正當正確采集能力；數據傳輸要利用加密、簽名等認證機制保障傳輸數據安全能力；數據存儲要考慮對數據的存儲環境、容災備份、加密能力；數據處理和使用要保障人與數據之間的權限，具備數據防篡改和防泄露能力；最后階段，需要分等級進行去標識化或銷毀處理能力，因此以數據為核心考慮防御機制才是智慧城軌數據安全防御的必經之路。

二、智慧城軌數據安全建設思路

結合以上安全現狀，智慧城軌相關企業亟需落實國家相應的法律、標準和規范要求，嚴格保障智慧城軌數據的安全合規。本文提出以“摸-分-評-預-控”為流程的智慧城軌的數據安全建設思路（圖1），以供參考。

圖1 智慧城軌數據安全建設思路

1.摸清家底?！稊祿踩ā范粭l提出，各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

摸清家底的目標是對智慧城軌環境中的數據資產進行全面清查、摸排，有利于我們找出資產管理盲區，在此階段構建數據資產目錄，為數據安全合規使用提供基礎。目前智慧城軌企業的數據資產主要分布在城軌云、大數據平臺、數據庫、文件服務器、終端等載體中，數據形態包含：結構化數據(如RDD、SQL、JSON、NOSQL、表格數據等)、半結構化數據(如日志文件、XML文檔、JSON文檔、Email等)、非結構化數據(如辦公文檔、文本、圖片、XML、HTML、各類報表、圖像等)。隨著時間的積累企業的數據散布在各個載體，依靠人工可能無法摸清全部數據的數量、類型、分布等情況。摸清家底應是一個常態化工作，需要周密地做好工作計劃，工作可分為三個步驟，工作清單表見表1。

表1 工作清單表

數據資產目錄內容參考，相關內容見圖2。

圖2 數據資產目錄內容示例

2.分類分級?！稊祿踩ā返诙粭l提出，國家建立數據分類分級保護制度。

作為關鍵信息基礎設施，軌道交通行業也應該將數據分類分級作為智慧城軌數據安全保障的核心方法，目標在于對智慧城軌運營、運行、運維、分析等業務過程中的重要數據和個人數據分類別、分等級標識，通過標識指導企業等級進行數據保護，從而保障智慧城軌安全運營。

（1）智慧城軌數據分類方法參考

數據分類階段見圖3，智慧城軌具體數據分類路徑分為三個階段：第一階段，確定數據應用場景和業務；第二階段，確定數據項，劃分數據項集合；第三階段，依據子類劃分方法，確定數據項或數據項集合所屬數據子類。

圖3 數據分類路徑

線分法數據子類劃分見圖4，數據子類劃分可參考線分法為基礎進行子類劃分。首先按照業務活動、信息內容、獲取信息來源，將數據分為若干數據大類；然后按照數據大類內部邏輯聯系，分為若干層級；每個層級分為若干子類，同一分支同層級子類構成并列關系；建議最多分到四級之類，四級子類作為最小子類，建議關聯級別，便于實施分類和分級的同步進行。

圖4 線分法數據子類劃分

（2）智慧城軌數據分級方法參考

智慧城軌數據分級可按照三個維度，確定的該類數據的安全性遭到破壞后的影響對象、影響廣度、影響深度，并結合數據分類的最小子類對數據進行定級，數據分級矩陣表見表2。

表2 數據分級矩陣表

確定影響對象：確定需分級的城軌數據的安全性遭到破壞后可能影響的對象。如：國家安全、公眾利益、個人隱私、企業合法權益等。

確定影響廣度：確定該類數據的安全性遭到破壞后可能影響廣度。如：5000名至1萬名乘客或1條線路、1萬名至10萬名乘客或多條線路、城市全部乘客或全部線路。

確定影響深度：確定該類數據的安全性遭到破壞后可能影響深度。如：可能對較少乘客無法運營造成輕微影響、可能對多個站點乘客無法運營造成一般影響、可能對部分乘客人身安全或產生運營事故等造成嚴重影響。

3.評估風險?！稊祿踩ā啡畻l提出，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

智慧城軌由于基礎設施和業務架構復雜，導致比以往傳統城軌數據暴露面更多，因此應按照法律法規要求建立或引入真正有用的數據安全評估機制，堅決摒棄傳統風險評估工作以訪談和出通用文檔為主的模式，應在深度調研智慧城軌網絡整體架構、數據流轉生命周期，數據產品及策略、數據安全管理制度等維度后，大膽創新，以搜集行為記錄為主，結合專家經驗，通過分析工具全鏈條關聯和導出真實存在的風險，讓行為記錄“多跑路”，減少主觀的訪談性風險評價，量化數據安全問題，這樣形成的數據安全風險分析報告，才能為下一階段的數據安全整改工作打下基礎。

4.預測風險?！稊祿踩ā范l提出，國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。

在傳統城軌環境中，安全問題都是事后追溯被動防御，無法有效預測風險，在智慧城軌時代應提前布局數據安全風險預測技術措施，建議建立分析研判預測可視與一體的有效機制，對智慧城軌中的安全生產網、內部管理網、外部服務網數據安全風險實現動態預測。

利用安全分析技術對數據資產暴露面脆弱性進行驗證和利用性分析，并結合威脅源、數據安全分類分級建立正態分布、關聯分析等模型，根據設定的主體類型，例如業務系統、用戶、業務系統、數據資產等，基于歷史行為數據，對未來主體可能發現的安全風險狀態進行預測，盡最大可能預測可能影響軌道運營的安全事件的發生細節（時間、范圍和危害等），使得數據安全風險預測達到智慧化。見表3。

表3 風險預測舉例表

5.控制風險?！稊祿踩ā范邨l提出，采取相應的技術措施和其他必要措施，保障數據安全。智慧城軌數據安全建設的最關鍵一步是控制風險，結合上述得到的成果，以摸清家底為核心，數據分類分級為策略抓手，結合識別和預測的風險事件，聯動數據安全相關技術措施，展開數據分級管控，建立數據安全風險管控技術措施，將數據資產分類分級形成的數據資產目錄，對每個數據的擁有者，按數據等級防控策略進行初始化下發設置，針對已發生數據安全風險事件或預測風險事件，根據處置提示確定處置策略，經過審批后自動發布處置策略，實施應急聯動響應，聯動控制風險，從而保障智慧城軌數據安全風險的快速應對。

智慧城軌是交通強國建設的戰略突破口，而數據安全建設又是智慧城軌發展的關鍵，抓好數據安全建設，才能有效保障城軌技術高速發展、更新迭代。本文提出的智慧城軌的數據安全建設思路，可為傳統城軌過渡階段和以及智慧城軌今后進一步研究數據安全建設思路提供參考。