鐵路貨運數據安全體系構建及安全策略研究

米 麗，黃敏珍，馬志強，林曉蕾，李一丹

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

近年來，5G、大數據、人工智能等現代信息技術廣泛應用于鐵路領域[1-3]，鐵路貨物運輸（簡稱：貨運）多式聯運、中歐班列國際聯運、西部陸海新通道海鐵聯運等應用新一代信息技術，推動鐵路貨運呈現移動裝備高速化/智能化、運營維護一體化/少人化、運輸服務便利化/人性化等新的發展態勢。

信息技術的廣泛應用，產生了覆蓋鐵路貨運全過程的海量數據。通過分析這些鐵路貨運海量數據，挖掘數據價值，指導生產作業，提供貨物全程追蹤和預測到達等服務，給貨主接貨及后續生產安排帶來了極大的便利。與此同時，鐵路貨運海量數據的安全管理也迎來了新的挑戰，主要表現在以下方面：（1）中國鐵路95306 電子商務系統、貨運票據電子化等核心應用系統多為縱向單獨建設，鐵路貨運數據集中化程度不夠，缺乏統一的數據安全管理；（2）鐵路貨物運輸部門與貨物托運企業（簡稱：路企）信息交換、多式聯運、海關通關等信息共享不充分，存在數據重復提報，信息孤島未完全打通等問題；（3）在缺少統一安全防護情況下進行跨網段、穿內外網信息交互時，存在數據泄露等風險。

為改善上述鐵路貨運數據管理和使用過程中的數據安全現狀，本文基于數據安全能力成熟度模型（DSMM，Data Security Capability Maturity Model）[4]，結合鐵路貨運數據特點，構建了鐵路貨運數據安全管理模型，將安全能力成熟度等級布設于該管理模型三維軸線上，在展示數據安全能力及安全過程管理內容的同時，直觀傳遞當前數據安全能力成熟度級別和狀態信息。在該管理模型基礎上，研究、構建鐵路貨運數據安全策略架構，打造了可管理全數據、可防外部攻擊和內部風險、可審計全量行為、可協同各數據安全設備及可感知潛在風險的鐵路貨運數據安全體系。

1 鐵路貨運數據安全管理模型

參照DSMM，結合鐵路貨運數據量大、數據價值高、數據防泄漏等級高等特點，本文將通用安全管理與安全能力管理、數據全生命周期安全管理有機結合，構建鐵路貨運數據安全管理模型，如圖1所示。

圖1 鐵路貨運數據安全管理模型

1.1 鐵路貨運數據安全能力管理

（1）成立鐵路貨運數據安全管理組織。依據集團數據安全管理制度、規范和相關管理辦法，依托貨運網絡安全組織機構，組建了明確決策、管理、執行及審計各崗位職責的數據安全保障團隊。

（2）建立鐵路貨運數據全生命周期的安全管理規范及制度。制定鐵路貨運數據庫操作規范、用戶權限管理制度、數據保密管理制度、數據安全應急預案、第三方平臺接入規范、數據拷貝管理制度等體系化安全管理制度。

（3）使用安全工具和先進成熟技術，防止數據泄露，確保鐵路貨運信息系統應用和平臺的數據安全。

（4）定期對各崗位人員能力進行培訓和考核，確保滿足體系安全目標的要求。

1.2 鐵路貨運數據全生命周期安全管理

1.2.1 數據采集、傳輸安全管理

依托各應用微服務架構實現鐵路貨運業務數據的匯集、處理與整合；采用脫敏或加密技術，對商業機密、個人隱私等敏感數據進行源頭保護；采用數字證書認證技術，保障數據在傳輸過程中不被侵入，或即使受到侵入也無法查看數據內容。

對收集的數據進行分類分級管理，是實現數據安全有序共享的基礎保障[5]。依據《鐵路數據分類分級指南》對鐵路貨運所有類型數據進行梳理，形成鐵路貨運數據目錄基本信息表，便于提供更精準的數據服務和安全保障。目前，數據的采集傳輸安全管理已可通過關鍵字和正則表達式判定數據所屬類別和級別，后期通過構建智能自然語言處理模型，可實現對數據的分類分級自動標記、標記結果審核及發布。

1.2.2 數據存儲、處理安全管理

構建鐵路貨運數據中心，深入研究“一數一源”一體化數據結構體系、數據邏輯設計、物理存儲設計、貨運數據關系、數據去重設計等方向，按照“一數一源”的原則實現貨運全流程業務數據在鐵路貨運數據處理中心的集中存儲，形成貨運統一且唯一的數據中心。

通過分庫、分表，將相關數據分類進行分布式存儲，依托各應用微服務完成對應庫表數據的寫入操作。通過實時同步等方式將業務數據、系統日志等在數據處理中心進行匯聚，為數據分析、多維報表、數據挖掘及輔助決策等提供支撐。

1.2.3 數據交換安全管理

各種貨運數據均存儲在同一個貨運數據處理中心，通過數據授權和服務調用完成數據之間的讀取訪問，通過數據讀寫分離設計提升數據訪問和操作的安全度，通過貨運數據權限的定義維護和訪問控制，保證外部客戶、內部用戶在相應的功能權限內，可以辦理、查詢業務和數據范圍為自身相關的內容，避免越權訪問和信息泄露。

依據鐵路貨運數據不同的類別和級別，實施不同的共享方式和流程[6]，加強對用戶身份認證和訪問行為監控；根據相關安全等級的要求，定期對貨運信息數據安全管理策略進行檢測，及時發現安全漏洞，持續改進數據安全管理體系。

深入研究基于區塊鏈的鐵路物流多方協作平臺和物流平臺，分析鐵路貨運流程改進、貨物多主體協同、貨物全程跟蹤及安全保障等場景應用[7]，保證數據交換、共享安全的同時，提升鐵路整體物流綜合服務水平，為提升物流效率、降低物流成本提供新思路。

1.2.4 數據銷毀安全管理

在鐵路貨運數據生命周期結束時，需要對其及時銷毀。數據銷毀技術主要分為硬銷毀和軟銷毀 [8] 。采用物理、化學、熱力學或光照等方法直接銷毀存儲設備的硬銷毀主要適用于重復利用性價比較低的殘舊設備和保密等級較高的場所；基于覆寫或加密的軟銷毀主要適用于重復利用性價比高的設備和保密等級不太高的場所，其中，基于密碼學的數據銷毀效率高，且能對數據安全提供一定保障，尤其適用于云端存儲數據。

采用恰當的數據銷毀技術，將服務器、終端、磁盤、硬盤等需要銷毀的鐵路貨運作業數據徹底刪除，且無法復原，維護鐵路貨運數據安全。規范銷毀方式，制定完善的數據銷毀管理制度，強化數據安全意識，明確數據安全責任人，形成鐵路貨運數據安全管理閉環。

1.3 鐵路貨運數據通用安全管理

（1）規劃：主要包括需求分析和數據安全策略規劃。根據鐵路貨運數據特點，明確鐵路貨運數據安全方針和目標，確立數據安全的基本原則，對業務的數據安全進行需求分析，識別面臨的威脅和短板，分析評估全生命周期數據安全風險及應對措施，從權限管理、數據庫服務器、重要通道安全套接層（SSL，Security Socket Layer）加密傳輸[9]、數據備份與恢復等方面制定鐵路貨運數據安全策略規劃。

（2）控制：執行鐵路貨運數據安全策略規劃的過程中，對數據授權訪問的申請、評估、審批、授權和記錄全流程進行控制，對訪問者進行口令、加密智能卡、生物特征等方式進行身份鑒別，同時在數據全生命周期的各階段開展數據安全監控和審計，對鐵路貨運數據安全風險進行防控。

（3）安全：通過鐵路貨運數據安全策略規劃和安全風險防控等控制措施，實現鐵路貨運終端數據和數據供應鏈安全。對數據安全潛在風險進行梳理，制定應急預案和處理流程，每年組織1～2 次應急演練。

（4）管理：鐵路貨運數據安全領導小組，總體負責數據安全工作的統籌組織，并明確數據安全管理機構和崗位，與關鍵崗位人員簽署崗位責任協議和數據安全保密協議。

根據不同數據來源及數據類型，調整收集模式和授權條款，確保數據來源合規。選取差分隱私、聯邦學習等多種前沿技術，加強隱私數據、敏感數據和跨境數據的合規使用及共享[10]，確保鐵路貨運信息系統業務發展合規。

2 鐵路貨運數據安全策略

在構建的鐵路貨運數據安全管理模型基礎上，結合業務實際情況，形成鐵路貨運數據安全策略架構，如圖2 所示。

圖2 鐵路貨運數據安全策略架構

2.1 鐵路貨運數據安全能力策略

根據集團數據安全目標，進行數據安全策略規劃，明確各部門、崗位、人員的工作職責，促進數據安全落實在實際工作中；依據《數據安全法》和鐵路數據安全相關規定，結合鐵路貨運數據安全治理實踐，從立項、需求分析、設計研發、測試、運行維護（簡稱：運維）各階段，圍繞數據全生命周期，開展數據安全管理制度、技術規范建設，制定數據安全總體策略；采用Crypto、數據泄露防護（DLP，Data Leakage Prevention）、云訪問安全代理（CASB，Cloud Access Security Broker）等技術工具，以數據為中心進行審計和安全防護，在技術層面進一步加固數據安全能力，為數據安全工作的開展提供可靠支撐；通過數據安全教育培訓，建立人力資源全流程制度，設置權限最小化、多人負責聯控及行為安全審計等舉措，提升人員在數據安全檢測、評估及執行等方面的能力。

整個世界都在跟他作對，掙扎也是徒勞。還能抓住什么？沒有一絲讓人留念的東西，一直在考慮的問題，現在都想清楚了。原本要向父親交待的話，看來已經沒有必要。當活著成為痛苦的時候，死未嘗不是一種解脫。

2.2 鐵路貨運數據全生命周期安全策略

按照最小化采集策略，對數據源進行鑒別、記錄和完整性校驗，依據類別界定規則，自動標記數據類別級別；在傳輸前進行脫敏處理，采用雙向加密傳輸、專業隧道傳輸和安全套接層（SSL，Secure Socket Layer）加密傳輸通道；對數據庫訪問認證授權，敏感數據存儲加解密，對敏感數據在不同場景進行動態脫敏；對運維操作進行審批，對數據處理進行監控，對數據庫、表或字段添加水印等安全處理；對不同級別數據交換時分別采用訪問控制、虛擬桌面（VDI，Virtual Desktop Infrastructure）、透明加密等策略防止數據泄露；按數據級別實施格式化、覆蓋、消磁等銷毀策略。

2.3 鐵路貨運數據通用安全策略

從規劃、控制、安全、管理等4 個方面，形成持續改進的鐵路貨運數據通用安全策略。通過對風險現狀、基本原則、發展規劃及安全需求流程等進行分析，制定切實可行的鐵路貨運數據通用安全策略規劃；通過雙因子身份鑒別、強制訪問控制（MAC，Mandatory Access Control）、風險防控、數據安全審計等措施，控制安全策略規劃的完整準確執行；重點關注數據供應鏈安全、終端數據安全及數據安全事件應急響應等過程，通過制定數據流入安全控制、數據流出安全控制、準入控制、行為管控等風險應對方案，確保安全貫穿策略全過程；按照數據合規管理要求，持續檢查改進；加強元數據管理，對數據資產采用風險動態監控和防護、敏感數據擴散邊界控制等措施。

隨著技術發展、法規更替和業務需求變化，定期評估現有安全策略是否適用，依據最新的數據安全風險級別和安全需求，動態調整安全策略，持續監控并不斷改進，適應不斷變化的環境和需求。

3 鐵路貨運數據安全體系

通過鐵路貨運安全管理模型和安全策略深度融合和互相促進，打造可管控、可防護、可審計、可協同、可感知的鐵路貨運數據安全體系，為鐵路貨運數據處理中心全數據安全提供保障，如圖3 所示。

圖3 鐵路貨運數據安全體系

3.1 數據安全可控

（1）數據資產及供應鏈安全可控。鐵路貨運業務數據量龐大，通過數據梳理技術結合智能自然語言處理模型，對數據中心全域數據智能挖掘和自動化掃描，依據數據資產價值、敏感度界定規則，能夠清晰展示數據資產及敏感數據情況，采用敏感數據擴散邊界控制、風險動態監測和防護等策略確保數據資產安全可控；依據數據流入和流出安全控制等策略，確保數據供應鏈安全可控。

（2）數據全生命周期安全及合規可控。以數據采集、傳輸、存儲、使用、共享、銷毀等數據全生命周期各個環節為切入點，識別數據全生命周期所涉及的數據安全技術與管理措施，分級、分類分析各種數據流轉環節特性及特點，制定相應的管控點、管理流程及安全策略，保證數據的機密性、完整性和可用性，適應在鐵路貨運需求提報、計劃兌現、組織發運、途中作業、到站作業、內勤交付、取貨出站等鐵路內部業務，以及路企交接、多式聯運、中歐班列國際聯運等業務場景中進行組合復用。

（3）數據干系人安全可管控。通過安全教育培訓、錄用離崗人力資源全流程制度、操作權限最小化、多人復核授權、訪問資源方式及時間約束、行為審計等策略確保內部組織管理人員安全可控；結合鐵路貨運站點多、用戶多的特點，采取雙因子身份鑒別策略；基于結構化標準查詢語句（SQL，tructured Query Language）協議進行解析，采取獨立于數據庫權限體系外的主體訪問控制、客體訪問控制等多粒度訪問控制策略。

3.2 全面安全防護

（1）在網絡層面。互聯網訪問利用虛擬專用網（VPN，Virtual Private Network）加密和認證技術，建立相對封閉的、邏輯專用網絡，利用公共通信網絡設施訪問專用信息，通過一次訪問一次授權、定期動態更換登錄指令等方式，控制網絡流量的流向，使其不被非法用戶獲取，以達到防范鐵路貨運數據安全策略目標；在鐵路內/外服務網，通過堡壘機靜態口令、動態口令、數字證書等多種認證方式及密碼強度檢查、密碼有效期、口令嘗試死鎖、IP 訪問授權、用戶激活等認證管理制定統一、標準、可信賴的用戶帳號安全策略，實現訪問鐵路貨運數據安全管理體系主體與目標設備分離，保障網絡和數據不受來自外部和內部用戶的入侵和破壞。

（2）在數據操作層面。規避違規操作，對批量導出、修改或刪除數據、全表更新或刪除等常見違規操作行為設置防御規則；對數據庫行數超出閾值行為進行攔截或阻斷，防止高危操作可能引發的數據泄露；通過緩沖區溢出、拒絕服務等多種默認補丁，在數據庫外層構建漏洞攻擊的專項防護，防止數據庫漏洞攻擊。

（3）在應用監測方面。記錄用戶從登錄至登出全過程操作功能及日志，在分析用戶操作偏好、使用功能選擇、操作時間基礎上，比對檢查用戶上網行為，實時監控異常流量，分析涵蓋本體系應用功能的所有細節，通過日報、周報、月報的標準報表、環比同步報表、趨勢分析等多種報表分析應用情況，防護應用操作級安全。

3.3 全量行為審計

建立數據庫審計體系，對內/外部操作、運營維護及管理等全過程行為進行分析審計，利用數據解析智能關聯技術識別發現數據訪問過程中違規行為、惡意行為等風險操作，通過釘釘、簡單網絡管理協議等方式向審計及管理人員發出告警，提升貨運數據安全保障能力，并詳細記錄所有訪問數據庫的行為，做到數據安全事件可追溯。

3.4 全局協同聯動

鐵路貨運業務流程長，協同環節多，針對鐵路貨運數據來源范圍廣、生命周期長、交換頻繁等特點，建立人防、物防、技防“三位一體”全局協同防控體系，通過統一接口對接各數據安全設備，形成雙數據中心一體化防護網，對數據全生命周期過程中所涉及的安全設備進行統一管理、策略統一獲取及分發、異常處置，實現數據整體精準防護，補短板強弱項，最大化提升全局協同防控能力。

3.5 風險態勢感知

通過Kafka 技術實時收集數據庫審計、應用、全流量等各類日志，進行集中清洗、加工和分析；利用大數據和機器學習等技術，形成動態數據流向、用戶行為等分析能力和溯源能力，感知數據異常流向、緩慢泄露、疑似囤積數據及其他隱蔽性潛在風險，幫助管理人員提前發現數據違規訪問、異常操作、誤操作等威脅，超前綜合預警，及時排除風險。

4 結束語

本文構建鐵路貨運數據安全管理模型，融入適用于鐵路貨運的安全策略，打造了數據安全可控、全面安全防護、全量行為審計、全局協同聯動、風險態勢感知的鐵路貨運數據安全體系，保障了鐵路貨運數據處理中心的全數據安全。該體系已應用于中國鐵路95306 電子商務系統，在營銷服務場景中，可助力于客戶注冊、需求提報、支付、領貨等全流程數據的保密、完整和安全；在多式聯運、國際聯運、路企交接等跨行業、跨國際協同場景中，可助力于統一運單、國際鐵路貨物聯運協定運單和口岸作業等數據共享和交換安全。此外，該體系還應用于自主研發的貨運生產作業管控平臺，在貨運組織流程場景中，可助力于各作業環節數據的全流程貫通和流轉安全；在跨專業協同場景中，可助力于滾動計劃編制與動態調整、生產數據校驗互控的傳輸和交換安全。

綜上，本文研究可為相關人員了解數據安全狀況和精準決策提供依據，更好地服務于鐵路貨運數據的共享和流通，促進鐵路貨運向信息化、數字化、智能化方向發展。