鐵路數據安全與隱私保護技術體系研究

張維真，任 爽

（1.北京交通大學 計算機與信息技術學院，北京 100044；2.中國鐵路濟南局集團有限公司 濟南站，濟南 250001）

隨著移動互聯網、大數據、人工智能等新興技術的應用和傳播，數據的演變和發展為人們生產生活帶來了巨大便利。與此同時，隱私泄露、數據買賣、網絡攻擊等數據安全問題也日益凸顯，給個人、社會和國家造成了嚴重的安全隱患。近年來，國家高度重視數據安全和隱私保護，先后頒布了《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》，完善了數據治理體系的頂層設計，提供了解決數據安全問題的具體思路。上述法律明確了面向生命周期的數據安全原則，提出了數據的分類分級保護，完善了個人信息保護應遵循的原則，是保障國家安全和社會穩定、促進我國數字化轉型的有力保障。

近年來，隨著云計算、數字技術與鐵路業務的深度融合，鐵路行業也愈加重視網絡信息安全管控，鐵路數據安全是保障鐵路信息系統安全穩定運行的基礎，在《“十四五”鐵路網絡安全和信息化規劃》中也提到加強數據安全保護。由于鐵路業務場景的復雜性和特殊性，鐵路行業面臨網絡數據的泄露、違規傳輸和濫用、新技術應用被攻擊、供應鏈管理等數據安全風險，因此，對鐵路數據安全和隱私保護提出了更高的要求。本文結合鐵路業務場景，分析了鐵路數據安全與隱私保護需求，針對鐵路數據安全風險，結合鐵路數據服務平臺，構建鐵路數據安全與隱私保護技術體系，實現對鐵路數據進行分類分級和全生命周期的安全保護[1]。

1 鐵路數據安全與隱私保護需求分析

鐵路數據服務平臺可以獲取鐵路內、外數據、對數據進行集中管理，包括數據集成、共享、存儲等功能。本文以其為研究對象分析鐵路數據安全與隱私保護需求。

1.1 數據源分類分級保護

鐵路數據來源廣泛且數據類型復雜，不僅包括鐵路內部的業務數據，還包括來自鐵路外部的相關數據，同時，鐵路數據還存在內部不同業務系統之間的相互調用。對于處理不規范的數據容易造成數據丟失、數據泄露等數據安全風險。因此，需要在對其進行數據收集開始前，采用數據分類、分級辦法，有針對性地對數據源進行敏感性劃分，確定數據重要性和敏感度[2]。根據劃分的敏感程度結果，對不同類型的數據進行分級分類管理，制訂不同安全等級的數據安全保護策略，對敏感型的數據重點保護。

1.2 數據各生命周期風險防護

鐵路數據隱私泄露風險出現在鐵路數據服務平臺數據生命周期管理的各個階段，主要體現在數據的集成、共享、存儲、傳輸和分析等階段。

（1）在數據集成階段，需要對已經分類分級的敏感數據進行數據集成、加密處理和匿名化處理，否則會出現信息泄露等問題[3]。

（2）在數據共享階段，鐵路數據服務平臺可實現不同業務系統跨平臺的數據共享，并對不同數據加入不同權限進行管理，在此過程中可能出現非法訪問、數據泄露等風險。因此，需要建立嚴格的身份認證和訪問控制機制，實施細粒度的權限管理，保證用戶只能訪問自己被授權的數據，使用加密技術，保證數據共享的安全性。

（3）在數據存儲階段，由于鐵路數據服務平臺涉及業務種類繁多，經營開發、運輸生產、資源管理等不同系統的大量數據在存儲過程中可能存在存儲數據丟失或數據被盜取、病毒入侵等問題，為防止存儲數據被泄露，保證關鍵業務的隱私性，需要對鐵路數據定期進行備份管理，并在存儲中進行加密處理，強化數據安全。

（4）在數據傳輸階段，可能出現竊聽者竊聽鐵路各部門的通信數據，非法訪問關鍵的業務信息，從而對數據進行篡改等，導致敏感數據泄露或受損。為保證鐵路數據傳輸的保密性和完整性，需要對傳輸數據加以訪問控制，對其進行身份限制等操作。

（5）在數據分析階段，可能存在數據集再識別、屬性推斷、不當使用等風險問題。攻擊者可能對鐵路中已發布或共享的匿名化數據集進行交叉分析、關聯分析，使得敏感信息被重新識別出來，因此，需要采取更強的隱私計算方法對鐵路個人、業務等敏感數據進行保護。

（6）在數據銷毀階段，若業務已完成或提前下線而敏感數據仍在系統中存在，會造成鐵路重要數據的泄露，因此，需要注重數據生命周期閉環處理。

1.3 隱私數據保護

在鐵路數據服務平臺使用中，可能出現個人數據隱私泄露風險。數據隱私泄露的風險包括：濫用和擴散數據，侵犯個人隱私權；非法收集和傳播，損害公民知情權和信息自決權；對實體生活造成侵害，威脅經濟和基礎設施安全；給個人生活帶來困擾，加劇社會矛盾；危害國家安全和社會公共秩序。濫用和擴散旅客基礎數據和職工信息、非法傳播鐵路業務關鍵數據，不僅侵害個人的隱私權利，還會造成鐵路部門的經濟損失，甚至威脅國家安全。因此，需要加強對隱私數據的保護。

2 鐵路數據安全與隱私保護技術研究

數據匿名、數據加密、訪問控制、隱私計算技術、區塊鏈技術都是當前流行的數據隱私保護技術，作為技術補充，將其在鐵路數據服務平臺中進行應用，對解決鐵路數據安全與隱私保護問題具有一定的現實意義。

2.1 數據匿名技術

數據匿名技術是將明文轉換為非人類可讀形式的技術[4]。k-匿名和l-多樣性方法是該技術的經典方法，k-匿名方法對數據進行匿名處理，可以保證任意一條記錄與其余k–1 條記錄不可區分；l-多樣性方法將數據集劃分為不同的組，在匿名關系數據時確保每個等價類至少包含l個不同的敏感屬性值，保證了敏感屬性的多樣性，但忽視了敏感屬性的全局分布；t-closeness 算法要求等價類中敏感屬性值的分布與全局分布實現一致性，解決了l-多樣性的局限性問題。

2.2 數據加密技術

數據加密技術通過使用算法和密鑰對數據進行轉換，包括同態加密、安全多方計算等技術。Gentry 構造了第1 個可行的全同態加密，并提出了僅在整數上進行簡單計算的全同態加密方案[5]；Brakerki 等人[6]提出了第2 代全同態加密方案，使用重線性化等技術，從速度、輕量級等方面提高了計算性能；第3 代全同態加密方案是Gentry 等人提出的[7]，基于近似特征向量技術，構造出一種不需要計算密鑰的有限層次全同態加密。

安全多方計算最初由Yao 于1982 年提出[8]，是基于加密協議，用于分布式數據集的數據加密技術，常應用于數據挖掘領域。除了計算的最終結果，安全多方技術不應該向參與方透露任何新的信息。

2.3 訪問控制技術

訪問控制技術確保只有經過授權的用戶可以訪問數據資源[9]。近年來，基于訪問控制技術出現了多種隱私保護技術，例如，強制訪問控制（MAC，Mandatory Access Control）、基于自由訪問控制（DAC，Discretionary Access Control）、基于角色的訪問控制（RBAC，Role-Based Access Control）、基于新型面向網絡空間的接入控制（ CoAC，Cyberspace-oriented Access Control）等。MAC 著重保護系統的機密性，該機制實現強制存取控制，以防止高安全級別的信息流入低安全級別的客體，可應用于鐵路高度敏感數據的管理中；DAC 是主體對客體進行管理，由主體自己決定是否將客體訪問權或部分訪問權授予其他主體，這種控制方式是自主的；RBAC 是將權限與角色相關聯，用戶通過成為適當角色的成員而得到相應角色的權限；CoAC 技術致力于實現細粒度的網絡資源和服務訪問控制，根據用戶、設備、網絡條件等多個因素來決定對資源的訪問權限。

2.4 隱私計算技術

隱私計算技術是一種通過在數據處理和分析過程中采取一系列的加密和隱私保護措施的技術，在統計學中主要包括聯邦學習和差分隱私。聯邦學習是2016 年由Google 提出的一種分布式機器學習方法，旨在解決多個數據持有方之間數據隱私和安全性的問題[10]。它能夠讓多個互不信任的訓練數據提供方在不交換原始數據的情況下，通過交換梯度或參數等中間計算結果協同訓練機器學習模型[11]?？梢愿鶕⑴c方相互之間的數據分布不同，一般把聯邦學分為橫向聯邦、縱向聯邦和聯邦遷移3 種。

差分隱私是通過在原始數據中添加噪聲從而對數據進行加密的方法[12]，可以保證對數據集進行添加刪除操作不會影響輸出結果。實現差分隱私可通過指數機制、拉普拉斯機制等。

2.5 區塊鏈技術

區塊鏈在隱私保護方面的具體技術、工作機制和實現協議可以從身份隱私保護、數據隱私保護和網絡隱私保護3 個方面進行分析[13]。

身份隱私保護技術主要通過信息混淆機制對可能威脅到用戶身份隱私的事務數據進行混淆。數據混淆技術可以通過中心化混幣或去中心化混幣機制來實現。Maxwell[14]提出了基于去中心化思想的混幣機制，采用用戶約定的分布式共識機制，從根本上解決了中心化混幣的潛在風險。

數據隱私保護技術主要是針對賬本信息的隱私保護。傳統的區塊鏈交易過程中，交易信息被記錄在賬本中，可以通過賬本信息獲取用戶賬戶地址、交易金額等隱私信息。為了隱藏相關信息，研究者們提出了零知識證明、環簽名、承諾方案、基于屬性的加密和可信硬件執行環境等技術。

網絡隱私保護技術主要是針對區塊鏈節點之間交易信息的匿名性和隱蔽性，包括網絡數據隱藏技術和通道隔離技術等技術。為了防止攻擊，需要對區塊鏈的網絡層數據進行隱藏。目前，有可信第三方轉發、混合網絡、洋蔥路由和大蒜路由等方式可以實現網絡層數據的匿名性和隱蔽性保護。

3 鐵路數據安全與隱私保護技術體系

由于鐵路數據生命周期中存在大量安全風險問題，根據需求分析和相關技術研究，本文結合現有鐵路數據服務平臺[15]，從鐵路數據的安全性、系統性、兼容性、可用性等方面出發，針對數據生命周期前后各階段，構建鐵路數據安全與隱私保護技術體系，如圖1 所示，為進一步保障鐵路敏感數據及公民隱私信息的數據安全提供技術支撐。

圖1 鐵路數據安全與隱私保護技術體系

3.1 數據分類分級技術模塊

在鐵路數據集成前，應對業務數據、互聯網數據、外部數據、物聯網數據等不同數據進行分類分級劃分。數據分類根據使用用途、鐵路業務等進行劃分。數據分級是在數據分類的基礎上，根據數據的價值、重要程度、內容敏感程度不同將其劃分為高度敏感、一般敏感、開放/公開數據。根據鐵路現有網絡數據分類分級規則可以實現人工對采集到的網絡數據進行分類分級劃分，也可使用K-Means、FP-Growth 等算法對敏感數據進行機器劃分。

3.2 數據匿名技術模塊

數據匿名技術可用于鐵路數據集成階段，通過刪除、替換、扭曲、泛化、聚合等手段改變數據標識符，保護個人隱私數據。

數據匿名技術可以在數據收集階段實現對隱私數據的匿名化，降低個人信息被濫用、盜竊或誤用的風險，極大程度上保護鐵路的隱私數據。此外，匿名化技術在保護隱私的前提下，盡可能保留數據的有用特征和統計信息，以便進行后續鐵路數據分析、數據傳輸等工作。數據匿名技術有助于在保護個人隱私的同時，對大規模數據的有效利用。

3.3 數據加密技術模塊

數據加密技術通常涉及鐵路數據存儲、處理、共享，以及對平臺的可信度要求等。同態加密、安全多方計算是常見的加密方法。

同態加密可以保護用戶的數據隱私，確保數據在進行計算時仍然保持加密狀態。這對于鐵路中涉及運輸組織、經營管理等敏感信息業務在鐵路數據服務平臺的存儲至關重要。同態加密允許數據擁有者控制其數據，并只將加密結果共享給需要的人。通過使用同態加密技術，可以在數據加密的狀態下進行計算，不需要解密數據，確保數據在存儲和處理過程中不被泄露或惡意使用。安全多方計算則可以實現多方之間的合作計算，保護各方輸入數據的隱私。參與分布式數據挖掘的各方對其數據進行加密并發送給其他各方，這些加密數據用于計算屬于聯合數據集的聚合數據。促進了數據共享與合作，在保護鐵路數據隱私的同時完成了計算任務。此外，在數據銷毀中可以使用數據加密技術對數據進行加密后銷毀，保障數據銷毀后的安全性。

3.4 訪問控制技術模塊

訪問控制技術可以應用于鐵路數據服務平臺各個階段的權限管理中，通過身份驗證建立會話密鑰，限制隱私數據傳輸至真實節點以確保數據安全。

MAC 著重保護系統的機密性，該機制實現強制存取控制，以防止高安全級別的信息流入低安全級別的客體，可應用于鐵路高度敏感數據的管理中；RBAC 可以應用到鐵路各個系統的角色管理中；CoAC 可以根據不同場景下的設備、使用需求和策略自適應地調整訪問控制規則，以提供更有效的訪問控制和資源管理。

訪問控制技術在數據生命周期中起著重要的作用，保護數據的安全性、隱私性和完整性的同時，確保只有經過授權的人員或系統才能訪問和處理數據。有助于提高鐵路數據服務平臺訪問的可信度和可靠性，降低數據泄露和濫用的風險。

3.5 隱私計算技術模塊

隱私計算技術可以用于鐵路數據分析等階段[16]，保護個人隱私、數據計算過程與結果的隱私，對數據進行脫敏。隱私計算技術方法在統計學中主要包括聯邦學習和差分隱私方法。

聯邦學習允許不同參與方共同訓練模型，從而可以匯集多方的數據，提升模型的泛化性能和預測準確度，并保護各方數據的隱私，該方法主要運用在數據分析階段；差分隱私方法通過在統計查詢結果中引入噪聲，保護個體數據的隱私，即使攻擊者可以獲取查詢結果，也很難對特定個體的數據進行重建或推斷，即相鄰數據集經處理后的輸出結果非常類似，攻擊者很難通過操作匯聚的結果推測單條輸入數據，很大程度上保證了隱私安全，該方法可以應用在數據收集、存儲、分析階段。

3.6 區塊鏈技術模塊

區塊鏈技術可用于數據生命周期各個階段，提高數據安全。

在數據集成鐵路身份數據時，使用區塊鏈身份隱私保護技術可以確保使用者的身份信息不被篡改或泄露，防止攻擊者通過分析賬本中的事務數據推測出地址之間、地址與用戶身份之間，以及地址與事務隱私之間的關系。通過使用匿名化或偽匿名化技術，可以保護身份隱私，增強鐵路數據隱私保護。在數據存儲過程中，采用加密技術對敏感數據進行加密處理，只有獲得授權的參與者能夠解密和訪問數據，確保數據的機密性和完整性。此外，使用區塊鏈不可篡改的特性可以提高數據的可信度；采取網絡隱私保護措施，如訪問控制、入侵檢測系統等，可以保護數據處理和分析過程中的網絡隱私安全。

4 鐵路數據安全與隱私保護技術體系應用

鐵路數據安全與隱私保護技術體系可以應用于鐵路數據服務平臺及數據流轉應用全過程，對其中可能出現的安全風險，可以采用相關技術進行解決，以下列舉兩種常見的應用場景。

4.1 基于數據匿名技術的旅客信息加密收集

旅客信息作為鐵路數據的重要組成部分，需要嚴格按照相關法律和鐵路數據安全規定對其進行收集、處理和使用。采集和處理個人敏感信息時，需要取得個人同意，因此應在數據集成前，先對其進行分類分級處理，再對之后的敏感數據進行匿名處理，并對其加密存儲，有效防止個人信息泄露。

4.2 基于區塊鏈技術的鐵路業務數據共享

由于鐵路業務系統眾多，各部門數據仍以數據孤島的形式分散在各個部門，部門間存在著難以打破的數據壁壘。構建基于區塊鏈技術的鐵路數據傳輸共享平臺，能夠保證數據操作的公開透明、不被篡改，在保證數據安全的前提下，促使調度、客票、動車組等平臺的數據有效共享，促進多方交流。

5 結束語

在鐵路信息化、數字化飛快發展的同時，鐵路數據安全問題得到了越來越多的重視，在不泄露敏感數據、保證鐵路業務運營安全的前提下，提高數據的利用率、降低數據安全風險是目前鐵路各數據平臺發展的關鍵。本文結合鐵路數據服務平臺，構建鐵路數據安全與隱私保護技術體系，從數據生命周期前后的各階段進行管理，基于數據匿名、數據加密、訪問控制、隱私計算、區塊鏈等技術，解決平臺中出現的數據安全問題。目前，我國鐵路行業數據安全和隱私保護的研究尚處于起步階段，還有待進一步探索。