铁路货运数据安全体系构建及安全策略研究

米 丽，黄敏珍，马志强，林晓蕾，李一丹

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

近年来，5G、大数据、人工智能等现代信息技术广泛应用于铁路领域[1-3]，铁路货物运输（简称：货运）多式联运、中欧班列国际联运、西部陆海新通道海铁联运等应用新一代信息技术，推动铁路货运呈现移动装备高速化/智能化、运营维护一体化/少人化、运输服务便利化/人性化等新的发展态势。

信息技术的广泛应用，产生了覆盖铁路货运全过程的海量数据。通过分析这些铁路货运海量数据，挖掘数据价值，指导生产作业，提供货物全程追踪和预测到达等服务，给货主接货及后续生产安排带来了极大的便利。与此同时，铁路货运海量数据的安全管理也迎来了新的挑战，主要表现在以下方面：（1）中国铁路95306 电子商务系统、货运票据电子化等核心应用系统多为纵向单独建设，铁路货运数据集中化程度不够，缺乏统一的数据安全管理；（2）铁路货物运输部门与货物托运企业（简称：路企）信息交换、多式联运、海关通关等信息共享不充分，存在数据重复提报，信息孤岛未完全打通等问题；（3）在缺少统一安全防护情况下进行跨网段、穿内外网信息交互时，存在数据泄露等风险。

为改善上述铁路货运数据管理和使用过程中的数据安全现状，本文基于数据安全能力成熟度模型（DSMM，Data Security Capability Maturity Model）[4]，结合铁路货运数据特点，构建了铁路货运数据安全管理模型，将安全能力成熟度等级布设于该管理模型三维轴线上，在展示数据安全能力及安全过程管理内容的同时，直观传递当前数据安全能力成熟度级别和状态信息。在该管理模型基础上，研究、构建铁路货运数据安全策略架构，打造了可管理全数据、可防外部攻击和内部风险、可审计全量行为、可协同各数据安全设备及可感知潜在风险的铁路货运数据安全体系。

1 铁路货运数据安全管理模型

参照DSMM，结合铁路货运数据量大、数据价值高、数据防泄漏等级高等特点，本文将通用安全管理与安全能力管理、数据全生命周期安全管理有机结合，构建铁路货运数据安全管理模型，如图1所示。

图1 铁路货运数据安全管理模型

1.1 铁路货运数据安全能力管理

（1）成立铁路货运数据安全管理组织。依据集团数据安全管理制度、规范和相关管理办法，依托货运网络安全组织机构，组建了明确决策、管理、执行及审计各岗位职责的数据安全保障团队。

（2）建立铁路货运数据全生命周期的安全管理规范及制度。制定铁路货运数据库操作规范、用户权限管理制度、数据保密管理制度、数据安全应急预案、第三方平台接入规范、数据拷贝管理制度等体系化安全管理制度。

（3）使用安全工具和先进成熟技术，防止数据泄露，确保铁路货运信息系统应用和平台的数据安全。

（4）定期对各岗位人员能力进行培训和考核，确保满足体系安全目标的要求。

1.2 铁路货运数据全生命周期安全管理

1.2.1 数据采集、传输安全管理

依托各应用微服务架构实现铁路货运业务数据的汇集、处理与整合；采用脱敏或加密技术，对商业机密、个人隐私等敏感数据进行源头保护；采用数字证书认证技术，保障数据在传输过程中不被侵入，或即使受到侵入也无法查看数据内容。

对收集的数据进行分类分级管理，是实现数据安全有序共享的基础保障[5]。依据《铁路数据分类分级指南》对铁路货运所有类型数据进行梳理，形成铁路货运数据目录基本信息表，便于提供更精准的数据服务和安全保障。目前，数据的采集传输安全管理已可通过关键字和正则表达式判定数据所属类别和级别，后期通过构建智能自然语言处理模型，可实现对数据的分类分级自动标记、标记结果审核及发布。

1.2.2 数据存储、处理安全管理

构建铁路货运数据中心，深入研究“一数一源”一体化数据结构体系、数据逻辑设计、物理存储设计、货运数据关系、数据去重设计等方向，按照“一数一源”的原则实现货运全流程业务数据在铁路货运数据处理中心的集中存储，形成货运统一且唯一的数据中心。

通过分库、分表，将相关数据分类进行分布式存储，依托各应用微服务完成对应库表数据的写入操作。通过实时同步等方式将业务数据、系统日志等在数据处理中心进行汇聚，为数据分析、多维报表、数据挖掘及辅助决策等提供支撑。

1.2.3 数据交换安全管理

各种货运数据均存储在同一个货运数据处理中心，通过数据授权和服务调用完成数据之间的读取访问，通过数据读写分离设计提升数据访问和操作的安全度，通过货运数据权限的定义维护和访问控制，保证外部客户、内部用户在相应的功能权限内，可以办理、查询业务和数据范围为自身相关的内容，避免越权访问和信息泄露。

依据铁路货运数据不同的类别和级别，实施不同的共享方式和流程[6]，加强对用户身份认证和访问行为监控；根据相关安全等级的要求，定期对货运信息数据安全管理策略进行检测，及时发现安全漏洞，持续改进数据安全管理体系。

深入研究基于区块链的铁路物流多方协作平台和物流平台，分析铁路货运流程改进、货物多主体协同、货物全程跟踪及安全保障等场景应用[7]，保证数据交换、共享安全的同时，提升铁路整体物流综合服务水平，为提升物流效率、降低物流成本提供新思路。

1.2.4 数据销毁安全管理

在铁路货运数据生命周期结束时，需要对其及时销毁。数据销毁技术主要分为硬销毁和软销毁 [8] 。采用物理、化学、热力学或光照等方法直接销毁存储设备的硬销毁主要适用于重复利用性价比较低的残旧设备和保密等级较高的场所；基于覆写或加密的软销毁主要适用于重复利用性价比高的设备和保密等级不太高的场所，其中，基于密码学的数据销毁效率高，且能对数据安全提供一定保障，尤其适用于云端存储数据。

采用恰当的数据销毁技术，将服务器、终端、磁盘、硬盘等需要销毁的铁路货运作业数据彻底删除，且无法复原，维护铁路货运数据安全。规范销毁方式，制定完善的数据销毁管理制度，强化数据安全意识，明确数据安全责任人，形成铁路货运数据安全管理闭环。

1.3 铁路货运数据通用安全管理

（1）规划：主要包括需求分析和数据安全策略规划。根据铁路货运数据特点，明确铁路货运数据安全方针和目标，确立数据安全的基本原则，对业务的数据安全进行需求分析，识别面临的威胁和短板，分析评估全生命周期数据安全风险及应对措施，从权限管理、数据库服务器、重要通道安全套接层（SSL，Security Socket Layer）加密传输[9]、数据备份与恢复等方面制定铁路货运数据安全策略规划。

（2）控制：执行铁路货运数据安全策略规划的过程中，对数据授权访问的申请、评估、审批、授权和记录全流程进行控制，对访问者进行口令、加密智能卡、生物特征等方式进行身份鉴别，同时在数据全生命周期的各阶段开展数据安全监控和审计，对铁路货运数据安全风险进行防控。

（3）安全：通过铁路货运数据安全策略规划和安全风险防控等控制措施，实现铁路货运终端数据和数据供应链安全。对数据安全潜在风险进行梳理，制定应急预案和处理流程，每年组织1～2 次应急演练。

（4）管理：铁路货运数据安全领导小组，总体负责数据安全工作的统筹组织，并明确数据安全管理机构和岗位，与关键岗位人员签署岗位责任协议和数据安全保密协议。

根据不同数据来源及数据类型，调整收集模式和授权条款，确保数据来源合规。选取差分隐私、联邦学习等多种前沿技术，加强隐私数据、敏感数据和跨境数据的合规使用及共享[10]，确保铁路货运信息系统业务发展合规。

2 铁路货运数据安全策略

在构建的铁路货运数据安全管理模型基础上，结合业务实际情况，形成铁路货运数据安全策略架构，如图2 所示。

图2 铁路货运数据安全策略架构

2.1 铁路货运数据安全能力策略

根据集团数据安全目标，进行数据安全策略规划，明确各部门、岗位、人员的工作职责，促进数据安全落实在实际工作中；依据《数据安全法》和铁路数据安全相关规定，结合铁路货运数据安全治理实践，从立项、需求分析、设计研发、测试、运行维护（简称：运维）各阶段，围绕数据全生命周期，开展数据安全管理制度、技术规范建设，制定数据安全总体策略；采用Crypto、数据泄露防护（DLP，Data Leakage Prevention）、云访问安全代理（CASB，Cloud Access Security Broker）等技术工具，以数据为中心进行审计和安全防护，在技术层面进一步加固数据安全能力，为数据安全工作的开展提供可靠支撑；通过数据安全教育培训，建立人力资源全流程制度，设置权限最小化、多人负责联控及行为安全审计等举措，提升人员在数据安全检测、评估及执行等方面的能力。

整个世界都在跟他作对，挣扎也是徒劳。还能抓住什么？没有一丝让人留念的东西，一直在考虑的问题，现在都想清楚了。原本要向父亲交待的话，看来已经没有必要。当活着成为痛苦的时候，死未尝不是一种解脱。

2.2 铁路货运数据全生命周期安全策略

按照最小化采集策略，对数据源进行鉴别、记录和完整性校验，依据类别界定规则，自动标记数据类别级别；在传输前进行脱敏处理，采用双向加密传输、专业隧道传输和安全套接层（SSL，Secure Socket Layer）加密传输通道；对数据库访问认证授权，敏感数据存储加解密，对敏感数据在不同场景进行动态脱敏；对运维操作进行审批，对数据处理进行监控，对数据库、表或字段添加水印等安全处理；对不同级别数据交换时分别采用访问控制、虚拟桌面（VDI，Virtual Desktop Infrastructure）、透明加密等策略防止数据泄露；按数据级别实施格式化、覆盖、消磁等销毁策略。

2.3 铁路货运数据通用安全策略

从规划、控制、安全、管理等4 个方面，形成持续改进的铁路货运数据通用安全策略。通过对风险现状、基本原则、发展规划及安全需求流程等进行分析，制定切实可行的铁路货运数据通用安全策略规划；通过双因子身份鉴别、强制访问控制（MAC，Mandatory Access Control）、风险防控、数据安全审计等措施，控制安全策略规划的完整准确执行；重点关注数据供应链安全、终端数据安全及数据安全事件应急响应等过程，通过制定数据流入安全控制、数据流出安全控制、准入控制、行为管控等风险应对方案，确保安全贯穿策略全过程；按照数据合规管理要求，持续检查改进；加强元数据管理，对数据资产采用风险动态监控和防护、敏感数据扩散边界控制等措施。

随着技术发展、法规更替和业务需求变化，定期评估现有安全策略是否适用，依据最新的数据安全风险级别和安全需求，动态调整安全策略，持续监控并不断改进，适应不断变化的环境和需求。

3 铁路货运数据安全体系

通过铁路货运安全管理模型和安全策略深度融合和互相促进，打造可管控、可防护、可审计、可协同、可感知的铁路货运数据安全体系，为铁路货运数据处理中心全数据安全提供保障，如图3 所示。

图3 铁路货运数据安全体系

3.1 数据安全可控

（1）数据资产及供应链安全可控。铁路货运业务数据量庞大，通过数据梳理技术结合智能自然语言处理模型，对数据中心全域数据智能挖掘和自动化扫描，依据数据资产价值、敏感度界定规则，能够清晰展示数据资产及敏感数据情况，采用敏感数据扩散边界控制、风险动态监测和防护等策略确保数据资产安全可控；依据数据流入和流出安全控制等策略，确保数据供应链安全可控。

（2）数据全生命周期安全及合规可控。以数据采集、传输、存储、使用、共享、销毁等数据全生命周期各个环节为切入点，识别数据全生命周期所涉及的数据安全技术与管理措施，分级、分类分析各种数据流转环节特性及特点，制定相应的管控点、管理流程及安全策略，保证数据的机密性、完整性和可用性，适应在铁路货运需求提报、计划兑现、组织发运、途中作业、到站作业、内勤交付、取货出站等铁路内部业务，以及路企交接、多式联运、中欧班列国际联运等业务场景中进行组合复用。

（3）数据干系人安全可管控。通过安全教育培训、录用离岗人力资源全流程制度、操作权限最小化、多人复核授权、访问资源方式及时间约束、行为审计等策略确保内部组织管理人员安全可控；结合铁路货运站点多、用户多的特点，采取双因子身份鉴别策略；基于结构化标准查询语句（SQL，tructured Query Language）协议进行解析，采取独立于数据库权限体系外的主体访问控制、客体访问控制等多粒度访问控制策略。

3.2 全面安全防护

（1）在网络层面。互联网访问利用虚拟专用网（VPN，Virtual Private Network）加密和认证技术，建立相对封闭的、逻辑专用网络，利用公共通信网络设施访问专用信息，通过一次访问一次授权、定期动态更换登录指令等方式，控制网络流量的流向，使其不被非法用户获取，以达到防范铁路货运数据安全策略目标；在铁路内/外服务网，通过堡垒机静态口令、动态口令、数字证书等多种认证方式及密码强度检查、密码有效期、口令尝试死锁、IP 访问授权、用户激活等认证管理制定统一、标准、可信赖的用户帐号安全策略，实现访问铁路货运数据安全管理体系主体与目标设备分离，保障网络和数据不受来自外部和内部用户的入侵和破坏。

（2）在数据操作层面。规避违规操作，对批量导出、修改或删除数据、全表更新或删除等常见违规操作行为设置防御规则；对数据库行数超出阈值行为进行拦截或阻断，防止高危操作可能引发的数据泄露；通过缓冲区溢出、拒绝服务等多种默认补丁，在数据库外层构建漏洞攻击的专项防护，防止数据库漏洞攻击。

（3）在应用监测方面。记录用户从登录至登出全过程操作功能及日志，在分析用户操作偏好、使用功能选择、操作时间基础上，比对检查用户上网行为，实时监控异常流量，分析涵盖本体系应用功能的所有细节，通过日报、周报、月报的标准报表、环比同步报表、趋势分析等多种报表分析应用情况，防护应用操作级安全。

3.3 全量行为审计

建立数据库审计体系，对内/外部操作、运营维护及管理等全过程行为进行分析审计，利用数据解析智能关联技术识别发现数据访问过程中违规行为、恶意行为等风险操作，通过钉钉、简单网络管理协议等方式向审计及管理人员发出告警，提升货运数据安全保障能力，并详细记录所有访问数据库的行为，做到数据安全事件可追溯。

3.4 全局协同联动

铁路货运业务流程长，协同环节多，针对铁路货运数据来源范围广、生命周期长、交换频繁等特点，建立人防、物防、技防“三位一体”全局协同防控体系，通过统一接口对接各数据安全设备，形成双数据中心一体化防护网，对数据全生命周期过程中所涉及的安全设备进行统一管理、策略统一获取及分发、异常处置，实现数据整体精准防护，补短板强弱项，最大化提升全局协同防控能力。

3.5 风险态势感知

通过Kafka 技术实时收集数据库审计、应用、全流量等各类日志，进行集中清洗、加工和分析；利用大数据和机器学习等技术，形成动态数据流向、用户行为等分析能力和溯源能力，感知数据异常流向、缓慢泄露、疑似囤积数据及其他隐蔽性潜在风险，帮助管理人员提前发现数据违规访问、异常操作、误操作等威胁，超前综合预警，及时排除风险。

4 结束语

本文构建铁路货运数据安全管理模型，融入适用于铁路货运的安全策略，打造了数据安全可控、全面安全防护、全量行为审计、全局协同联动、风险态势感知的铁路货运数据安全体系，保障了铁路货运数据处理中心的全数据安全。该体系已应用于中国铁路95306 电子商务系统，在营销服务场景中，可助力于客户注册、需求提报、支付、领货等全流程数据的保密、完整和安全；在多式联运、国际联运、路企交接等跨行业、跨国际协同场景中，可助力于统一运单、国际铁路货物联运协定运单和口岸作业等数据共享和交换安全。此外，该体系还应用于自主研发的货运生产作业管控平台，在货运组织流程场景中，可助力于各作业环节数据的全流程贯通和流转安全；在跨专业协同场景中，可助力于滚动计划编制与动态调整、生产数据校验互控的传输和交换安全。

综上，本文研究可为相关人员了解数据安全状况和精准决策提供依据，更好地服务于铁路货运数据的共享和流通，促进铁路货运向信息化、数字化、智能化方向发展。