铁路数据服务平台安全策略研究

2019-08-20武威马小宁刘彦军张晓栋

中国铁路 2019年8期

武威，马小宁，刘彦军，张晓栋

（中国铁道科学研究院集团有限公司铁路大数据研究与应用创新中心，北京 100081）

1 概述

近年来，信息技术的飞速发展带来社会的巨大变革，当前已由信息时代步入数据时代。数据的潜在价值不断被挖掘，发展好、利用好大数据已逐步上升为国家战略。“用数据说话、用数据决策、用数据管理、用数据创新”已经成为数据时代的发展方向。

铁路信息化水平的不断提升和数据处理分析技术的不断发展，使对铁路行业各业务系统积累的海量数据进行分析成为可能。这些数据具有量大、类型多样、产生频率高、价值性高等特点，对这些数据进行全面有效管理和深入分析挖掘，充分发挥数据的价值，对提高铁路运输生产效率、降低运输成本、提升客货运产品服务质量、提高运营管理水平等具有重要意义。

根据《铁路信息化总体规划》，面向铁路大数据的存储与分析，建设了包含数据集成、数据存储、数据分析、数据可视化的一站式铁路数据服务平台[1]。铁路数据服务平台一站式处理流程见图1。该平台汇集铁路运输生产、经营开发、战略决策、资源管理、建设管理、综合协同六大业务领域海量数据，提供统一资产视图和数据共享。基于铁路数据服务平台，采用“平台+应用”的服务模式，利用铁路数据服务平台的数据存储共享和分析计算能力，支撑大数据应用的创新发展[2]。

铁路数据服务平台汇集与存储了海量业务数据，保障其安全是大数据存储分析和大数据应用建设的前提和基础。因此，迫切需要全面分析铁路数据服务平台的安全风险和需求，构建铁路数据服务平台安全架构，制定相应安全策略，保障平台的安全性。

2 安全风险

铁路数据服务平台集中存储铁路海量业务数据，需应对来自基础环境、数据管理、平台管理等方面的复杂风险，在保障平台数据安全方面面临严峻的挑战。因此，需要系统梳理平台面临的安全风险，全面把控平台的安全需求。

2.1 基础环境风险

（1）硬件安全风险。铁路数据服务平台作为分布式部署的大数据平台，面临通用的物理机房安全风险、硬件稳定性安全风险等基础环境风险，其分布式部署和管理方式增加了节点通信、网络配置、域名配置等基础环境配置和维护的复杂性，对DNS、DDOS等网络攻击的防范提出了更高要求。

（2）软件安全风险。铁路数据服务平台整合和优化Hadoop组件，基于Linux操作系统进行安装部署。Linux操作系统存在稳定性和漏洞风险，Hadoop组件之间存在兼容性和依赖性的问题及风险，组件之间的协调管理和认证也可能造成潜在的安全风险[3]。

2.2 数据管理风险

（1）数据集成风险。铁路数据服务平台数据集成过程中，处于传输过程的数据具有泄露、传输中断等传输风险，数据传输通道和数据传输协议的安全性也会形成数据管理的风险点。

（2）数据存储风险。铁路数据服务平台存储的海量业务数据往往具有保密性，甚至有一些敏感数据。数据在存储过程中存在数据丢失、泄露等风险。

（3）数据访问风险。铁路数据服务平台存储来自各业务系统的数据，不同的数据具有不同的访问权限，在多用户使用平台的情况下，具有越权访问数据的风险。

（4）数据共享风险。铁路数据服务平台具有多源异构数据接入平台的能力，也具有与其他业务系统共享数据的能力，在数据共享交换的过程中存在数据丢失、通道阻塞、数据拦截等安全风险[4]。

2.3 平台管理风险

（1）制度管控风险。铁路数据服务平台汇集了来自车务、机务、工务、电务、供电等不同专业业务信息系统的海量数据，这些数据在管理方式上需满足各业务部门共享和使用的需求，不完善、不规范的操作流程和管理制度会造成数据管理混乱等风险。

（2）人员管控风险。铁路数据服务平台的数据处理流程贯穿数据采集、存储、分析、共享等各阶段，人员的越权访问及不规范的访问等行为[5]，都会造成数据安全管理的风险。

3 安全需求

通过全面把握铁路数据服务平台在技术、管理等多方面的安全风险，梳理铁路数据服务平台的安全需求。

3.1 基础环境需求

（1）基础硬件、网络安全性需求。需提供安全的铁路数据服务平台部署环境和运行环境，包括稳定可靠的硬件配置、操作系统、杀毒软件及防火墙等网络安全设备，提供安全可靠的网络环境。

（2）Hadoop组件安全性需求。铁路数据服务平台作为分布式系统进行部署，需保证各组件的安全稳定

运行，同时平台和组件需具备安全认证的措施和策略，保障平台稳定运行。

3.2 数据管理需求

（1）数据集成安全需求。铁路数据服务平台需提供可靠的数据集成通道，采用数据传输中间件、加密传输等方式保证数据采集过程的安全性，做到完整准确地采集数据。

（2）数据存储安全需求。铁路数据服务平台需提供数据备份、数据加密、数据脱敏等安全可靠的存储方式，防止敏感数据泄露。

（3）数据访问安全需求。铁路数据服务平台管理的各类业务数据中，数据的特性不尽相同，需构建数据分类分级管理体系和方法，根据数据的不同保密级别，设置不同的安全策略，满足数据分类分级安全管理的需求。

（4）数据共享安全需求。铁路数据服务平台需提供操作用户间的数据共享和业务应用系统的数据共享。对于在线使用和操作的平台用户，在满足不同用户管控各自数据的数据隔离基础上，通过数据申请审批的权限管理方式，使不同用户之间能够通过授权使用数据；对于业务应用系统，在调用平台数据接口时，平台需提供加密的数据传输方式和可靠的数据传输通道，满足数据共享的安全需求。

3.3 平台管理需求

（1）制度及人员管控需求。铁路数据服务平台汇集运输生产、经营开发、战略决策、资源管理、建设管理、综合协同六大业务领域海量数据，这些海量数据的安全管控要求铁路数据服务平台不仅要从技术上保证数据安全，还要在管理方式上满足各业务部门共享和使用数据的需求。因此应建立完善的平台安全管理制度和操作规程，满足数据安全管理需求。

（2）技术保障需求。针对标准化业务管理流程，铁路数据服务平台需提供相应的技术保障，从事前、事中、事后3个方面对安全进行管理和防控。事前防控需满足多租户管理的需求，基于多租户构建严格的数据权限、资源权限、功能权限体系，并通过数据加密、数据脱敏等安全管控技术保障安全；事中防控需以预警和告警的方式进行防范，针对数据泄露、流量异常、节点告警等异常状态进行实时监控，及时发现数据安全异常问题；事后防控需建立全面的行为监控和日志审计，详细记录用户操作行为和平台运行日志，全面监控影响数据流转的各类操作状态。

4 安全架构

通过对铁路数据服务平台面临的安全风险进行综合分析，形成以安全需求为导向，以保障平台安全为目标的铁路数据服务平台安全架构（见图2），涵盖数据集成、存储、共享、分析等数据流转的各阶段，从基础环境、数据管理、平台管理3方面保障铁路数据服务平台的安全。

图2 铁路数据服务平台安全架构

铁路数据服务平台安全架构描述了整体的安全管控方式。由数据库、消息队列、数据仓库、FTP服务器等接入结构化数据、半结构化数据和非结构化数据，通过平台的基础环境、数据管理、平台管理相关安全策略保证平台的安全性，并为客运、货运等业务应用提供安全、稳定、可靠的数据接口支持。其中基础环境包括软件安全和硬件安全，软件安全包括操作系统安全、大数据组件安全、集群认证安全和数据库安全；硬件安全包括机房安全、网络安全、物理机安全和虚拟化安全。数据管理包括数据采集、数据存储、数据访问和数据共享的安全策略。平台管理包括身份验证、功能授权、资源授权、日志审计、用户管理、角色管理等安全策略。通过对基础环境、数据管理、平台管理设置相应的安全策略，能够有效保障平台的安全性。

5 安全策略

5.1 基础环境

5.1.1 基础设施安全策略

基础设施包括机房、网络、物理机等[6]。铁路数据服务平台的部署机房需满足机房建设标准，在电源、通风、空调、供电、机架等方面应满足服务器部署要求。铁路数据服务平台的部署应满足内外网隔离的要求[7]，并在网络边界处部署网络防火墙，严格保证网络安全。同时，在网络边界出入口等安全关键位置，还需通过入侵检测、网络异常流量监控等安全管控措施进行防范，保证网络层设备的运行安全。

5.1.2 软件安全策略

软件安全策略中，操作系统安全要求铁路数据服务平台集群的主机需安装正版操作系统，及时更新系统版本和补丁，并定期备份操作系统，全面防控安全漏洞和病毒，在故障出现时快速修复操作系统问题。大数据组件安全涉及Hadoop组件相关配置，要求HDFS、Hbase、Hive、Spark等大数据组件进行有机结合，保证版本的兼容性，不同组件之间需进行用户同步，保证组件间的权限配置一致。组件需具有高可用性，保证组件节点的宕机不会影响平台正常运转，宕机节点在恢复后可以实现备份数据恢复。需对Hadoop组件进行安全审计，监控对Hadoop组件的操作和访问记录。集群认证安全遵循Kerberos网络认证协议，保证铁路数据服务平台的大数据组件之间安全地互相访问。Kerberos为不同的组件用户生成具有时效性的不同访问票据，具有不同操作权限的用户根据授予的相应票据实现对组件的安全访问。数据库安全要求与铁路数据服务平台相关的关系型数据库、Postgresql数据库也应提供数据备份、恢复等安全机制，保证数据库的安全稳定运行。

5.2 数据管理

数据管理安全贯穿于铁路数据服务平台业务流程的每个阶段，因此数据集成、存储、访问、共享的每个阶段都需要制定相应的安全策略[8]。

（1）数据集成安全策略。在数据集成过程中，要保证数据集成全过程的安全性，并对传输数据进行加密，防止数据被窃取。在数据集成后需进行数据一致性、准确性、完整性检验。

（2）数据存储安全策略。铁路数据服务平台的数据存储需采用加密存储的方式，防止由于底层硬件故障等因素造成数据泄露，并采用备份的方式，实现故障后及时恢复。同时，平台需针对敏感数据和隐私数据制定相应的数据防泄漏策略，对敏感数据进行过滤，防止敏感数据泄露。

（3）数据访问安全策略。为保证数据访问的安全性，需制定严格的访问权限。数据拥有者具有数据管控和数据流转的审批权限，申请者根据需要进行数据申请。同时，对于敏感数据的安全管控，需采用数据脱敏[9]策略。根据不同敏感数据的特点，结合相应的数据脱敏算法设计脱敏策略，展示脱敏后的数据。

（4）数据共享安全策略。以铁路数据服务平台的存储和计算能力为基础，为各业务应用系统提供数据接口和计算接口，将铁路数据服务平台的服务能力以服务接口的方式对外提供。为保证数据服务的安全性，在提供服务接口时，需针对应用系统进行认证，应用系统需在平台完成接口调用注册和调用权限申请，权限审批通过并获取安全密钥后方可调用数据接口。

5.3 平台管理

5.3.1 安全管理制度

铁路数据服务平台是一站式的DaaS平台，需满足各类型用户开展数据采集、存储、分析等工作，因此需针对用户、用户拥有的数据、用户使用的资源等进行分类管理。铁路数据服务平台通过建立租户来管理用户，并做到数据隔离、资源隔离、用户隔离，制定用户管理相关规程。同时针对数据安全性的要求，根据不同数据的保密级别和公开特性，通过数据分类分级管理的方式，管理不同安全等级要求的数据，形成数据分类分级管理方案。在铁路数据服务平台运维过程中，需合理分配运维人员职责，通过安全终端进行系统运维，建立标准化运维管理机制。

基于铁路数据服务平台的数据安全管理规范、数据共享管理规范、系统运维管理规范等标准化管理方案，结合中国国家铁路集团有限公司《铁路数据管理暂行办法》，形成统一的管理办法和操作规程，约束平台操作人员和管理人员，从管理手段的角度保证平台的数据安全。

5.3.2 安全管理技术

安全管理技术包括多租户管理技术、认证技术、授权技术、审计技术等。

多租户管理技术[10]需保证数据隔离、资源隔离、用户隔离。数据隔离要求存储在铁路数据服务平台的数据按其原始归属者进行管理，没有权限的用户不能随意查看其他用户拥有的数据，如要查看需通过数据共享流程进行申请。铁路数据服务平台的硬件资源和计算资源作为平台用户共有的资源池，用户可根据所需的资源进行申请，不同用户之间的资源需做到隔离，用户在自己资源池内进行数据分析。铁路数据服务平台的用户之间互相隔离，需保证用户拥有独立工作空间，可以完成数据管理、存储、分析等数据处理流程。

认证技术指采用用户名、密码的身份认证，确保登录平台的用户已经进行了注册。在应用系统接入铁路数据服务平台进行接口对接和数据共享时，必须要求应用系统经过认证。

授权技术主要分为用户授权和应用系统授权。用户授权为用户赋予平台操作的功能权限、菜单权限和数据权限；应用系统授权针对不同应用系统授予不同的接口调用权限和接口内容调用权限。

审计技术[11]主要针对操作行为进行审计，包括用户行为审计、运维日志审计和Hadoop组件访问日志审计。铁路数据服务平台针对用户行为、运维日志和Hadoop组件的访问日志进行详细的审计，记录用户和运维人员每次操作行为的时间、内容等详细信息，并且针对Hadoop组件的HDFS、HIVE等组件，设计详细的操作行为审计，监控Hadoop组件访问详情。