鐵路數據服務平臺安全策略研究

武威，馬小寧，劉彥軍，張曉棟

（中國鐵道科學研究院集團有限公司 鐵路大數據研究與應用創新中心，北京 100081）

1 概述

近年來，信息技術的飛速發展帶來社會的巨大變革，當前已由信息時代步入數據時代。數據的潛在價值不斷被挖掘，發展好、利用好大數據已逐步上升為國家戰略。“用數據說話、用數據決策、用數據管理、用數據創新”已經成為數據時代的發展方向。

鐵路信息化水平的不斷提升和數據處理分析技術的不斷發展，使對鐵路行業各業務系統積累的海量數據進行分析成為可能。這些數據具有量大、類型多樣、產生頻率高、價值性高等特點，對這些數據進行全面有效管理和深入分析挖掘，充分發揮數據的價值，對提高鐵路運輸生產效率、降低運輸成本、提升客貨運產品服務質量、提高運營管理水平等具有重要意義。

根據《鐵路信息化總體規劃》，面向鐵路大數據的存儲與分析，建設了包含數據集成、數據存儲、數據分析、數據可視化的一站式鐵路數據服務平臺[1]。鐵路數據服務平臺一站式處理流程見圖1。該平臺匯集鐵路運輸生產、經營開發、戰略決策、資源管理、建設管理、綜合協同六大業務領域海量數據，提供統一資產視圖和數據共享。基于鐵路數據服務平臺，采用“平臺+應用”的服務模式，利用鐵路數據服務平臺的數據存儲共享和分析計算能力，支撐大數據應用的創新發展[2]。

鐵路數據服務平臺匯集與存儲了海量業務數據，保障其安全是大數據存儲分析和大數據應用建設的前提和基礎。因此，迫切需要全面分析鐵路數據服務平臺的安全風險和需求，構建鐵路數據服務平臺安全架構，制定相應安全策略，保障平臺的安全性。

2 安全風險

鐵路數據服務平臺集中存儲鐵路海量業務數據，需應對來自基礎環境、數據管理、平臺管理等方面的復雜風險，在保障平臺數據安全方面面臨嚴峻的挑戰。因此，需要系統梳理平臺面臨的安全風險，全面把控平臺的安全需求。

2.1 基礎環境風險

（1）硬件安全風險。鐵路數據服務平臺作為分布式部署的大數據平臺，面臨通用的物理機房安全風險、硬件穩定性安全風險等基礎環境風險，其分布式部署和管理方式增加了節點通信、網絡配置、域名配置等基礎環境配置和維護的復雜性，對DNS、DDOS等網絡攻擊的防范提出了更高要求。

（2）軟件安全風險。鐵路數據服務平臺整合和優化Hadoop組件，基于Linux操作系統進行安裝部署。Linux操作系統存在穩定性和漏洞風險，Hadoop組件之間存在兼容性和依賴性的問題及風險，組件之間的協調管理和認證也可能造成潛在的安全風險[3]。

2.2 數據管理風險

（1）數據集成風險。鐵路數據服務平臺數據集成過程中，處于傳輸過程的數據具有泄露、傳輸中斷等傳輸風險，數據傳輸通道和數據傳輸協議的安全性也會形成數據管理的風險點。

（2）數據存儲風險。鐵路數據服務平臺存儲的海量業務數據往往具有保密性，甚至有一些敏感數據。數據在存儲過程中存在數據丟失、泄露等風險。

（3）數據訪問風險。鐵路數據服務平臺存儲來自各業務系統的數據，不同的數據具有不同的訪問權限，在多用戶使用平臺的情況下，具有越權訪問數據的風險。

（4）數據共享風險。鐵路數據服務平臺具有多源異構數據接入平臺的能力，也具有與其他業務系統共享數據的能力，在數據共享交換的過程中存在數據丟失、通道阻塞、數據攔截等安全風險[4]。

2.3 平臺管理風險

（1）制度管控風險。鐵路數據服務平臺匯集了來自車務、機務、工務、電務、供電等不同專業業務信息系統的海量數據，這些數據在管理方式上需滿足各業務部門共享和使用的需求，不完善、不規范的操作流程和管理制度會造成數據管理混亂等風險。

（2）人員管控風險。鐵路數據服務平臺的數據處理流程貫穿數據采集、存儲、分析、共享等各階段，人員的越權訪問及不規范的訪問等行為[5]，都會造成數據安全管理的風險。

3 安全需求

通過全面把握鐵路數據服務平臺在技術、管理等多方面的安全風險，梳理鐵路數據服務平臺的安全需求。

3.1 基礎環境需求

（1）基礎硬件、網絡安全性需求。需提供安全的鐵路數據服務平臺部署環境和運行環境，包括穩定可靠的硬件配置、操作系統、殺毒軟件及防火墻等網絡安全設備，提供安全可靠的網絡環境。

（2）Hadoop組件安全性需求。鐵路數據服務平臺作為分布式系統進行部署，需保證各組件的安全穩定

運行，同時平臺和組件需具備安全認證的措施和策略，保障平臺穩定運行。

3.2 數據管理需求

（1）數據集成安全需求。鐵路數據服務平臺需提供可靠的數據集成通道，采用數據傳輸中間件、加密傳輸等方式保證數據采集過程的安全性，做到完整準確地采集數據。

（2）數據存儲安全需求。鐵路數據服務平臺需提供數據備份、數據加密、數據脫敏等安全可靠的存儲方式，防止敏感數據泄露。

（3）數據訪問安全需求。鐵路數據服務平臺管理的各類業務數據中，數據的特性不盡相同，需構建數據分類分級管理體系和方法，根據數據的不同保密級別，設置不同的安全策略，滿足數據分類分級安全管理的需求。

（4）數據共享安全需求。鐵路數據服務平臺需提供操作用戶間的數據共享和業務應用系統的數據共享。對于在線使用和操作的平臺用戶，在滿足不同用戶管控各自數據的數據隔離基礎上，通過數據申請審批的權限管理方式，使不同用戶之間能夠通過授權使用數據；對于業務應用系統，在調用平臺數據接口時，平臺需提供加密的數據傳輸方式和可靠的數據傳輸通道，滿足數據共享的安全需求。

3.3 平臺管理需求

（1）制度及人員管控需求。鐵路數據服務平臺匯集運輸生產、經營開發、戰略決策、資源管理、建設管理、綜合協同六大業務領域海量數據，這些海量數據的安全管控要求鐵路數據服務平臺不僅要從技術上保證數據安全，還要在管理方式上滿足各業務部門共享和使用數據的需求。因此應建立完善的平臺安全管理制度和操作規程，滿足數據安全管理需求。

（2）技術保障需求。針對標準化業務管理流程，鐵路數據服務平臺需提供相應的技術保障，從事前、事中、事后3個方面對安全進行管理和防控。事前防控需滿足多租戶管理的需求，基于多租戶構建嚴格的數據權限、資源權限、功能權限體系，并通過數據加密、數據脫敏等安全管控技術保障安全；事中防控需以預警和告警的方式進行防范，針對數據泄露、流量異常、節點告警等異常狀態進行實時監控，及時發現數據安全異常問題；事后防控需建立全面的行為監控和日志審計，詳細記錄用戶操作行為和平臺運行日志，全面監控影響數據流轉的各類操作狀態。

4 安全架構

通過對鐵路數據服務平臺面臨的安全風險進行綜合分析，形成以安全需求為導向，以保障平臺安全為目標的鐵路數據服務平臺安全架構（見圖2），涵蓋數據集成、存儲、共享、分析等數據流轉的各階段，從基礎環境、數據管理、平臺管理3方面保障鐵路數據服務平臺的安全。

圖2 鐵路數據服務平臺安全架構

鐵路數據服務平臺安全架構描述了整體的安全管控方式。由數據庫、消息隊列、數據倉庫、FTP服務器等接入結構化數據、半結構化數據和非結構化數據，通過平臺的基礎環境、數據管理、平臺管理相關安全策略保證平臺的安全性，并為客運、貨運等業務應用提供安全、穩定、可靠的數據接口支持。其中基礎環境包括軟件安全和硬件安全，軟件安全包括操作系統安全、大數據組件安全、集群認證安全和數據庫安全；硬件安全包括機房安全、網絡安全、物理機安全和虛擬化安全。數據管理包括數據采集、數據存儲、數據訪問和數據共享的安全策略。平臺管理包括身份驗證、功能授權、資源授權、日志審計、用戶管理、角色管理等安全策略。通過對基礎環境、數據管理、平臺管理設置相應的安全策略，能夠有效保障平臺的安全性。

5 安全策略

5.1 基礎環境

5.1.1 基礎設施安全策略

基礎設施包括機房、網絡、物理機等[6]。鐵路數據服務平臺的部署機房需滿足機房建設標準，在電源、通風、空調、供電、機架等方面應滿足服務器部署要求。鐵路數據服務平臺的部署應滿足內外網隔離的要求[7]，并在網絡邊界處部署網絡防火墻，嚴格保證網絡安全。同時，在網絡邊界出入口等安全關鍵位置，還需通過入侵檢測、網絡異常流量監控等安全管控措施進行防范，保證網絡層設備的運行安全。

5.1.2 軟件安全策略

軟件安全策略中，操作系統安全要求鐵路數據服務平臺集群的主機需安裝正版操作系統，及時更新系統版本和補丁，并定期備份操作系統，全面防控安全漏洞和病毒，在故障出現時快速修復操作系統問題。大數據組件安全涉及Hadoop組件相關配置，要求HDFS、Hbase、Hive、Spark等大數據組件進行有機結合，保證版本的兼容性，不同組件之間需進行用戶同步，保證組件間的權限配置一致。組件需具有高可用性，保證組件節點的宕機不會影響平臺正常運轉，宕機節點在恢復后可以實現備份數據恢復。需對Hadoop組件進行安全審計，監控對Hadoop組件的操作和訪問記錄。集群認證安全遵循Kerberos網絡認證協議，保證鐵路數據服務平臺的大數據組件之間安全地互相訪問。Kerberos為不同的組件用戶生成具有時效性的不同訪問票據，具有不同操作權限的用戶根據授予的相應票據實現對組件的安全訪問。數據庫安全要求與鐵路數據服務平臺相關的關系型數據庫、Postgresql數據庫也應提供數據備份、恢復等安全機制，保證數據庫的安全穩定運行。

5.2 數據管理

數據管理安全貫穿于鐵路數據服務平臺業務流程的每個階段，因此數據集成、存儲、訪問、共享的每個階段都需要制定相應的安全策略[8]。

（1）數據集成安全策略。在數據集成過程中，要保證數據集成全過程的安全性，并對傳輸數據進行加密，防止數據被竊取。在數據集成后需進行數據一致性、準確性、完整性檢驗。

（2）數據存儲安全策略。鐵路數據服務平臺的數據存儲需采用加密存儲的方式，防止由于底層硬件故障等因素造成數據泄露，并采用備份的方式，實現故障后及時恢復。同時，平臺需針對敏感數據和隱私數據制定相應的數據防泄漏策略，對敏感數據進行過濾，防止敏感數據泄露。

（3）數據訪問安全策略。為保證數據訪問的安全性，需制定嚴格的訪問權限。數據擁有者具有數據管控和數據流轉的審批權限，申請者根據需要進行數據申請。同時，對于敏感數據的安全管控，需采用數據脫敏[9]策略。根據不同敏感數據的特點，結合相應的數據脫敏算法設計脫敏策略，展示脫敏后的數據。

（4）數據共享安全策略。以鐵路數據服務平臺的存儲和計算能力為基礎，為各業務應用系統提供數據接口和計算接口，將鐵路數據服務平臺的服務能力以服務接口的方式對外提供。為保證數據服務的安全性，在提供服務接口時，需針對應用系統進行認證，應用系統需在平臺完成接口調用注冊和調用權限申請，權限審批通過并獲取安全密鑰后方可調用數據接口。

5.3 平臺管理

5.3.1 安全管理制度

鐵路數據服務平臺是一站式的DaaS平臺，需滿足各類型用戶開展數據采集、存儲、分析等工作，因此需針對用戶、用戶擁有的數據、用戶使用的資源等進行分類管理。鐵路數據服務平臺通過建立租戶來管理用戶，并做到數據隔離、資源隔離、用戶隔離，制定用戶管理相關規程。同時針對數據安全性的要求，根據不同數據的保密級別和公開特性，通過數據分類分級管理的方式，管理不同安全等級要求的數據，形成數據分類分級管理方案。在鐵路數據服務平臺運維過程中，需合理分配運維人員職責，通過安全終端進行系統運維，建立標準化運維管理機制。

基于鐵路數據服務平臺的數據安全管理規范、數據共享管理規范、系統運維管理規范等標準化管理方案，結合中國國家鐵路集團有限公司《鐵路數據管理暫行辦法》，形成統一的管理辦法和操作規程，約束平臺操作人員和管理人員，從管理手段的角度保證平臺的數據安全。

5.3.2 安全管理技術

安全管理技術包括多租戶管理技術、認證技術、授權技術、審計技術等。

多租戶管理技術[10]需保證數據隔離、資源隔離、用戶隔離。數據隔離要求存儲在鐵路數據服務平臺的數據按其原始歸屬者進行管理，沒有權限的用戶不能隨意查看其他用戶擁有的數據，如要查看需通過數據共享流程進行申請。鐵路數據服務平臺的硬件資源和計算資源作為平臺用戶共有的資源池，用戶可根據所需的資源進行申請，不同用戶之間的資源需做到隔離，用戶在自己資源池內進行數據分析。鐵路數據服務平臺的用戶之間互相隔離，需保證用戶擁有獨立工作空間，可以完成數據管理、存儲、分析等數據處理流程。

認證技術指采用用戶名、密碼的身份認證，確保登錄平臺的用戶已經進行了注冊。在應用系統接入鐵路數據服務平臺進行接口對接和數據共享時，必須要求應用系統經過認證。

授權技術主要分為用戶授權和應用系統授權。用戶授權為用戶賦予平臺操作的功能權限、菜單權限和數據權限；應用系統授權針對不同應用系統授予不同的接口調用權限和接口內容調用權限。

審計技術[11]主要針對操作行為進行審計，包括用戶行為審計、運維日志審計和Hadoop組件訪問日志審計。鐵路數據服務平臺針對用戶行為、運維日志和Hadoop組件的訪問日志進行詳細的審計，記錄用戶和運維人員每次操作行為的時間、內容等詳細信息，并且針對Hadoop組件的HDFS、HIVE等組件，設計詳細的操作行為審計，監控Hadoop組件訪問詳情。

6 結束語

通過分析鐵路數據服務平臺所面臨的安全風險，梳理平臺的安全需求，構建安全架構，制定基礎環境、數據管理和平臺管理3方面的安全策略，為鐵路數據服務平臺安全管理奠定基礎，對鐵路大數據的安全管控和應用具有重要意義。