基于安全管理控制平臺的鐵路旅客隱私信息保護技術架構*

戚建淮 ，彭 華 ，唐 敏 ，劉建輝 ，胡金華 ，鄭偉范

（1.深圳市永達電子信息股份有限公司，廣東 深圳 518055；2.城市軌道交通系統安全保障技術國家工程實驗室，廣東 深圳 518055）

0 引 言

中國鐵路建設始于清朝末年，經過一個多世紀的建設和發展，截至2017年年底[1-2］，中國鐵路營業總里程達12.7萬公里，規模居世界第二；其中高速鐵路2.5萬公里，位居世界第一，全國鐵路復線率和電氣化率分別達到54.9%和64.8%。

隨著我國高速鐵路的發展，鐵路出行成為我國的主要客運途徑之一。據統計，僅2018年上半年，中國鐵路總公司累計發送旅客15.91億人次。全國鐵路客票預訂與發售系統[3］（簡稱客票系統）支持窗口、代理點、移動終端、網絡等多種售票方式，作為鐵路運輸的主要營收系統，成為全國最大的網上交易系統。由于鐵路系統的分布式、跨地域、覆蓋全國的特點，服務旅客范圍覆蓋全國13億民眾，具有典型的大數據特征。因此，全國鐵路客票預訂與發售系統涵蓋海量旅客信息數據收集、傳輸、存儲、管理、分析、發布、使用、銷毀的大數據生命周期全過程。

隱私[4］是指與用戶個人相關的特定信息，譬如身份證號，電子郵箱，手機號，銀行賬戶，活動軌跡和居住地址等，這些都是用戶不愿透露的敏感信息。海量的鐵路旅客登記、注冊與購票等形成的隱私信息廣泛存在于全國鐵路客票預訂與發售系統中，對鐵路旅客隱私信息的處理涉及整個鐵路客票系統的生命周期全過程。如果這些隱私信息被泄露，會對旅客造成極大的威脅，而對這些信息和數據進行分析，甚至可以推測出旅客的生活模式、資產狀況等更多的隱私信息。如果大量旅客的隱私信息被不法團伙獲取，將極大的威脅旅客的人身、財產安全，也將威脅到社會公共安全。隨著鐵路客票預訂與發售系統由專用網絡逐漸發展為公網、互聯網的開放式網絡，支持網絡售票、移動終端售、電話售票等多種方式，鐵路旅客隱私信息面臨諸多的信息安全和隱私保護問題。

在大數據環境下，由于大數據數據量大、處理挖掘處理等發展趨勢，單純隱私數據的加密等手段不能達到安全保護的目的，對隱私保護提出了新的挑戰，需要新型的防護技術體系。目前，已有大量的研究成果報道出來。呂欣等[5］提出了基于大數據全生命周期的隱私保護技術體系。馮登國[6］等分析和總結了大數據環境下隱私保護涉及的技術內容。曹珍富等[7］在醫療大數據隱私保護體系研究的基礎上，分析和綜述了大數據安全與隱私保護技術的研究進展。

針對鐵路客票系統[3］實際情況和鐵路大數據系統[8］總體特點，戚建淮[9-12］等在全國鐵路客票安全系統實際研發和運維的基礎上，提出了統一安全管理控制平臺。具有統一的資源管理、事件管理、威脅管理、風險管理、策略管理等功能，解決了復雜網絡環境的信息安全保障問題，具有分布式大數據環境下的整體信息安全保障優勢。

本文在全國鐵路客票安全系統研發、工程實施、實際運維十余年的經驗基礎上，借鑒安全管理控制平臺的優勢，提出一種基于安全管理控制平臺的鐵路旅客隱私信息保護的技術框架體系。該框架體系具有分布式，多層級的防護特點，適合我國鐵路旅客信息大數據安全保護場景。

1 鐵路旅客信息數據的組成與交互

鐵路旅客信息主要包含在全國鐵路客票預訂與發售系統中，鐵路旅客隱私信息的安全主要表現為該系統的旅客信息數據的安全、系統安全、通信安全和客票系統業務安全等方面。因此，客票系統中旅客信息的組成與數據交互情況直接影響安全保護策略、技術、方案等選擇和構建。

（1）旅客信息組成

旅客的姓名、出生日期、身份證編號、手機號、郵箱地址、旅客身份、單位、購票方式、出行路線、出行時間、以及車票信息等，這些信息及相關延伸信息如購票時間、購票地點、支付方式等，共同構成了旅客信息。

（2）客票系統組成

目前的鐵路客票發售及預訂系統使用部級、地區（局）級和車站級三層結構并采取集中和分布結合的方案。

在中國鐵路總公司（原鐵道部）中心連接了鐵路客戶服務中心（部級中心）、鐵路電子支付平臺、站車無線交互平臺，部中心系統完成如下主要功能：

第一：編制與維護全路統一的基礎數據，為整個客票系統正常運行提供數據依據；

第二：管理與監控路局的各種關鍵性的業務數據，可提前發現并修正系統運行中出現的各類問題；

第三：實時了解全路席位的分配和發售情況，并進行相應的調控；

第四：匯總、統計、分析全路的營銷數據，提供不同內容、不同風格、不同角度的多種報表，為全路客運組織工作提供決策支持。

地區（局）中心負責車次信息維護，管理與監控本中心范圍內的各項業務及其產生的數據，根據票額分配，編制車次的長短期計劃，管理并調度本中心所管轄車次的席位。

車站以客票發售與預訂為主要業務，完成售、退、廢、預約預訂等客票營銷業務，管理和監控車站的各項業務及其產生的數據，管理本站的席位，完成財務統計、客運統計等分析工作，維護客票發售與預訂相關的業務數據，如票卷、經由等。

（3）旅客信息數據的交互

旅客信息數據的交互主要包括旅客通過售票窗口、代售點、網頁或APP進行系統購票、退票、系統注冊和注銷等的數據交互。在客票系統中，旅客在人工售票窗口時，基本身份信息：姓名、身份證號、家庭住址等，通過身份證識別設備寫入客票系統車站級部分，車站本站訪問部級中心系統，完成客票查詢操作，部級中心系統將查詢結果反饋到本站，本站根據部級中心系統的反饋信息進行售票或退票、改簽等操作，再次訪問部級中心系統進行數據庫存根、席位等關鍵數據的同步。部級中心系統完成數據存根后需向所有車站級系統進行關鍵信息同步，如果旅客購票信息為異地購票，本站還需訪問目標車站系統，進行信息確認后，再訪問部級中心系統進行購票等操作。購票成功后，本站打印車票，更新車票打印信息到部級中心系統進行存根。代售點售票時，通過專線連接到本地車站客票系統，其數據交互與窗口售票情況一致。

旅客通過網絡或移動終端等非窗口售票方式購票的數據交互。旅客通過互聯網或手機APP購買車票時，也需要預先錄入姓名、身份證號、聯系電話等基本信息，客票系統通過互聯網或手機APP獲取旅客基本信息，然后訪問部級中心系統，進行車票查詢，查詢結果反饋到對應互聯網平臺或手機APP，旅客在互聯網平臺或手機APP進行購票、退票或改簽等操作后，再次訪問部級中心系統進行相應操作，操作成功后進行數據庫存根和關鍵數據同步。購票成功后，購票結果反饋到互聯網平臺或手機APP，系統記錄未取票。旅客通過自助取票機進行取票操作時，自助取票機訪問部級中心系統，查詢取票信息，反饋到自助取票機，打印車票，更新車票打印信息，發送到部級中心系統進行存根。

旅客購票過程中，旅客信息主要由車站級售票系統或者互聯網平臺和手機APP售票軟件采集，與異地車站和部級中心系統進行多次交互。數據交互既包含從互聯網等公網售票模式發起的非內網數據傳輸和訪問，也包含車站級售票系統發起的內網數據傳輸和訪問，數據傳輸和訪問頻繁，數據流傳輸環節較多。

2 鐵路旅客信息面臨的安全問題

由于鐵路旅客在購票過程中，其信息數據傳輸頻繁，傳輸形式包括內網和互聯網，鐵路旅客信息所處環境較為復雜，由此帶來一些安全問題。

（1）區域邊界（包含終端、用戶）安全問題

根據新一代客票系統，部客票服務中心連接了互聯網/手機服務系統、電子支付前置系統以及站車無線交互平臺等外聯服務，客票交易中心連接了代售點互聯網通道接入，區域電話訂票系統與路內其他系統，以及售票終端（取消車站售票服務器）通過專線直接接入區域中心。主要面臨的風險如下：

①典型外部攻擊：攻擊者利用非法輸入、SQL注入、跨站腳本攻擊等方式，盜取用戶賬號信息、獲取敏感數據。

②常見內部威脅：內部用戶的身份假冒、合法用戶的越權訪問等。

③故障對數據完整性、一致性的威脅。

④惡意攻擊：最常見的是使用緩沖區溢出方式獲得管理員權限，從而任意修改核心區域數據庫內容和竊取信息。

⑤對財務、審計的威脅：“重放”、篡改、抵賴與存儲數據出錯。

（2）計算環境安全問題

主機系統由于存在著操作系統、數據庫、應用系統等軟件方面的安全問題，包括非法使用資源、系統安全漏洞利用、網絡阻塞、網絡病毒、越權訪問、非法控制系統、黑客攻擊、拒絕服務攻擊、軟件質量差、系統崩潰等。

這些安全問題可能導致旅客信息泄露、賬號被盜或者用戶信息被篡改等風險。

（3）網絡通信安全問題

通信方面安全風險，對可用帶寬的攻擊，網絡阻塞攻擊，洪流攻擊和服務竊取和占有,從而竊取鐵路旅客信息。

（4）票務系統業務安全問題

票務系統業務作業應該持續可用，滿足以下要求：身份鑒別確認、訪問控制、業務流控制、路由選擇控制和審計跟蹤等，使攻擊者不能占用所有的資源而阻礙合法用戶的工作。主要安全問題如下：

①外聯系統（12306、電子支付）等接入，可能伴隨著非法外聯，惡意攻擊導致系統癱瘓。

②部中心、地區中心設置數據庫服務器，車站不設置數據庫服務器后，峰值期增加巨大訪問量，造成系統滿負荷而拒絕響應和網絡癱瘓，以及軟件可靠性問題導致的系統癱瘓等安全問題。

③業務管理人員對售票交易、席位管理、數據維護等核心業務流程的誤操作，也有可能導致對客票數據的篡改、丟失、盜用。

3 鐵路旅客隱私安全保護框架體系

針對鐵路旅客信息面臨的多重安全問題，客票系統的組成以及鐵路旅客信息在客票系統中進行的數據交互特點，結合安全管理控制平臺的優勢以及全國鐵路客票安全系統的安全防護體系，提出一種基于安全管理控制平臺的鐵路旅客隱私信息保護的技術框架體系。該框架體系具有分布式，多層級防護的特點。

3.1 總體邏輯框架

根據全國鐵路客票預訂與發售系統的組成，以及系統安全分級劃域情況，總體隱私安全防護體系基于安全管理控制中心平臺，從車站窗口售票終端、代售點終端、12306網站、移動終端、電話訂票等安全區域邊界安全防護，旅客信息存儲數據庫系統、主機系統等計算環境安全防護，跨域通信安全防護，以及旅客信息處理的票務業務安全防護等方面，協同配合，統一安全管控，實現隱私數據的終端輸入采集、數據存儲、數據傳輸、數據業務處理等全生命周期過程的安全防護。

總體框架體系如圖1所示，主要組成如下：

圖1 鐵路旅客隱私保護總體邏輯結構圖

（1）商用密碼子系統

采用自主研發的SQY20商用密碼管理子系統，作為客票系統安全管理控制的支撐平臺，基于PKI技術體系，在定制CA支撐下，使用數字證書等技術和硬件密碼設備，為鐵路客票安全提供了密鑰和證書的管理，安全通信，簽名和認證，加密和解密等密碼應用的支持。為了有效降低和控制客票系統的風險，從實體安全、平臺安全、數據安全、通信安全和應用安全等層次來保證售票系統的安全性，保證交易的可靠性，完整性和不可抵賴性，從而保障鐵路旅客隱私信息的安全。

（2）互聯網安全接入管控器

采用安全終端/安全接入設備實現終端本地安全管控。提供非內網終端準入與認證服務，為工作終端的授權節點（包含角色、管理權限、接入設備以及過程）進行標識，完成身份鑒別與認證服務，以及為業務應用提供簽字、驗簽接口。同時，提供可控、可信和安全的網絡運行環境，包含操作人員身份認證、終端認證，最小權限控制，實現售票作業的授權訪問控制、驗簽、內容過濾、安全監測、安全審計，并為通信數據提供簽字驗簽功能。

（3）安全通信子系統

提供底層分布式應用的通信中間件模塊，建立可信連接安全通信信道，為各個子系統提供了安全、可靠、靈活、易用的支撐平臺。提供的通信安全包括信息的秘密性傳輸，信息的抗抵賴性保護，信息的完整性保證，支持SM1、SM2、SM3等國密算法[13］。

（4）安全隔離與信息交換系統

主要用來隔離Windows應用系統和其他部分，以確保系統安全部件TCB連接的無縫性。特別采用強制訪問控制隔離外部網連接及中心之間及中心與鐵道部或中心與車站之間的網絡。

（5）統一安全管理平臺

以統一信息安全管理為目標，以等級保護和分級保護為核心，基于大數據智能分析組件，實現對用戶、用戶權限、信息資產、網絡資產、業務資產狀態全面安全管理，實現多目標、多策略、多等級信息安全保障。具有統一的資源管理、事件管理、威脅管理、風險管理、策略管理等功能。

3.2 關鍵技術

實現本框架體系，主要涉及如下幾方面的安全保護關鍵技術：

（1）PKI應用技術

采用PKI技術，用來實現基于公鑰密碼體制的密鑰和證書的產生、管理、存儲、分發和撤銷等功能，提供身份認證、數據完整性、數據保密性、數據公正性、不可抵賴性和時間戳六種安全服務。

（2）安全標記技術

采用了客票業務信息數據包的安全標記技術，由客票程序和安全管控終端代理程序通過完成標記添加，標記好的業務交易數據包分發，互聯網接入管控器對數據包進行安全標記驗證，確保業務信息的合法性及不可否認性。

（3）數據庫加密技術

數據庫安全技術主要包括：數據庫漏掃、數據庫加密、數據庫防火墻、數據脫敏、數據庫安全審計系統。采用數據庫加密的方式保護數據庫安全，增強普通關系數據庫管理系統的安全性，對數據庫存儲的內容實施有效保護。通過數據庫存儲加密和多級密鑰管理等安全方法，實現數據庫數據存儲保密和完整性要求，使得數據庫以密文方式存儲并在密態方式下工作，確保了旅客隱私數據以及客票業務數據的安全。

（4）強制訪問控制技術

采用陣列式的安全隔離與信息交換，實現協議剝離與數據擺渡的功能，采用完全格式化的專有數據格式，不借助任何通用協議作為基本媒介，實現7層數據隔離，徹底剝離通用TCP/IP協議。可實現7層數據結構化保護，只允許客票系統與其他各互聯系統的基于數據結構化保護的數據通過。

（5）統一安全管控技術

所有網絡通信設備必須配置網絡管控器，通過網絡管控器收集網絡設備的事件，并通過管理中心進行監控管理。所有服務器設備必須配置主機管控器，通過主機管控器收集主機事件信息，并通過管理中心進行監控管理。

3.3 框架特點

（1）符合國家商用密碼要求。采用自主研發的SQY20商用密碼管理子系統，基于PKI技術體系，在定制CA支撐下，提供了密鑰和證書的管理服務，符合國家商密要求。

（2）總體上符合可信要求?；阼F路客票系統的分布式組成特點，整體保護對象分級劃域進行保護。主要從區域邊界（終端、用戶）、計算環境、通信安全、業務安全等方面保證隱私信息數據的安全。

（3）基于安全管理控制平臺進行統一安全管控。整體系統以統一信息安全管理為目標，以等級保護和分級保護為核心，實現對用戶、用戶權限、信息資產、網絡資產、業務資產狀態進行全面安全管理，實現多目標、多策略、多等級信息安全保障。

（4）達到信息安全保護四級要求。保護框架體系符合客票系統部級中心系統四級要求。通過分級劃域層層保護，全方位保護鐵路旅客隱私信息安全。

4 結 語

本文針對鐵路旅客信息面臨的多重安全問題，結合客票系統的組成以及鐵路旅客信息在客票系統中進行的數據交互情況，提出了一種基于安全管理控制平臺的鐵路旅客隱私信息保護的技術框架體系。該框架體系基于安全管理控制平臺，通過數據庫加密、PKI、強制訪問控制、終端設備與用戶安全接入、跨域安全互聯互通、統一安全管控等技術，從旅客隱私信息處理系統的區域邊界、計算環境、網絡通信和業務應用等多個方面進行全生命周期的隱私信息安全防護。具有分布式，多層級的防護特點，適合我國鐵路旅客信息大數據安全保護場景。