Worldwide

面向全生命周期的 铁路大数据安全保障技术体系研究

2018-09-03来源:中国铁路

路大数据是国家大数据?#35797;?#30340;重要组成部分,在国民经济和社会发展中具有极为重要的作用,围绕大数据的采集、共享、存储、分析等全生命周期数据流程进行铁路大数据安全保障工作,具有积极的应用价值。在此,针对铁路大数据服务总体框架、全生命周期安全保障需求分析、全生命周期安全保障技术体系等相关工作进行论述。

1大数据安全?#38382;?/h3>

随着全球数据爆炸式的增长和大数据时代的来临,被誉为21世纪新石油的大数据已成为国?#19968;?#30784;性战略?#35797;础?#21508;国政府相?#22363;?#21488;一系列旨在促进大数据发展的相关政策,在大数据基础设施、数据开放共享、数据分析应用?#30830;?#38754;给予大量?#24335;?#21644;项目支持 [1] 。在此背景下,互联网、电信、金融、能源、交通等各领域大数据创新应用取得显著成效。然而,随着企业数据资产的不断汇集、数据共享交换的愈加广泛以及数据价值的日益凸显,在大数据采集、传输、存储、共享、应用等?#26041;?#38754;临的安全风险也更加严峻。根据国际权威安全分析机构统计,近3年来全球数据泄露事件的数量和丢失记录的数量呈现出快速增长趋势。2015年全球数据泄露事件1?673起,数据泄?#37117;?#24405;数为7.07亿条;2016年全球数据泄露事件1?800起,数据泄?#37117;?#24405;数达到14亿条;2017年上半年全球数据泄露事件多达918起,数据泄?#37117;?#24405;数高达19亿条 [2] 。由此可见,在发掘大数据价值的同时构建大数据安全保障体系刻不容缓。

我国政府在积极推进大数据创新应用的同时,高度重视大数据安全保障工作,近3年连续发布了多项大数据安全相关的法律法规和政策措施,并作为国家战略予以推动 [3] 。2015年8月国务院发布的《促进大数据发展行动纲要》(国发〔2015〕50?号)中明确指出:“建立健全大数据安全保障体系,加强信息安全与隐私保护等领域关键技术攻关,形成安全可靠的大数据技术体系,探索完善安全保密管理规范措施,切实保障数据安全。”2016年3月发布的《中华人民共和国国民经济和社会发展第十三个五年规划纲要》中强调指出:“建立大数据安全管理制度,实行数据?#35797;?#20998;类分级管理,实施大数据安全保障工程,加强数据?#35797;?#22312;采集、存储、应用和开放等?#26041;?#30340;安全保护,加强 各类公共数据?#35797;?#22312;公开共享等?#26041;?#30340;安全评估与保护。”2016年11月第十二届全国人民代表大会常务委员会通过的《中华人民共和国网络安全法》中规定:“网络运营者采取数据分类、重要数据备份和?#29992;?#31561;措施,防止网络数据被窃取或者篡?#27169;?#21152;强对公民个人信息的保护,防止公民个人信息被非法获取、泄露或者非法使用,要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据,网络数据确实需要跨境传输时,需要经过安全评估和审批。”2016年12月国?#19968;?#32852;网信息办公室发布的《国家网络空间安全战略》中提出:“要实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用,为保障国家网络安全夯实产业基础。”随着相关政策与法规的落实,保障大数据安全的理念将在更多行业领域应用中获得重视。

铁路是国民经济大动脉、关键基础设施和重要民生工程,是综合交通运输体系的骨干和主要交通运输方式之一,在我国经济和社会发展中的地位和作用至关重要。铁路信息化历经近40年的建设,围绕运输生产、经营开发、?#35797;?#31649;理、建设管理、战略决策、综合协同等业务领域构建了多个覆盖全路的业务信息系统,在长达12万km的铁路网和近百万台套的移动装备?#21916;?#35774;了大量检测监测装备,产生和积累了海量的旅?#32479;?#34892;、货运物流、安全监测、工程建设等相关数据。预计到2020年,我国铁路将建成以“八纵八横”为骨架的高速铁路网,路网总规模将达到15万km,其中高速铁路3万km。路网规模的扩大、技术含量的增加、环境因素的变化,对铁路运输生产、经营管理、安全保障、客户服务都提出了更新更高的要求。充分利用大数据相关技术,深入分析和解决铁路建设和发展面临的难题,发挥大数据在提高效率、提升效益、确保安全、优化服务?#30830;?#38754;的技术性促进作用,已成为新时期铁路发展的必然选择。大数据安全是确保铁路大数据应用“可管、可控、可信”的前提和基础,因此,迫切需要从大数据保密性、完整性、可用性、可溯源等?#23884;?#20986;发,构建完整的铁路大数据安全保障 技术体系。

2铁路大数据服务的总体框架与数据流程

铁路大数据是指以容量大、类型多、存取速度快、应用价值高为主要特征的铁路数据集合,是铁路企业各类数据的总称。铁路大数据是国?#19968;?#30784;行业信息,是国家大数据?#35797;?#30340;重要组成部分,在国民经济和社会发展中具有极为重要的作用。围绕大数据的采集、共享、存储、分析等全生命周期数据流程,铁路大数据服务可分为数据集成服务、数据共享服务和数据存储与分析服务(见图1) [4] 。

(1)数据集成服务:针对来自铁路业务系统、物联网、互联网、外部相关机构和企业的各类数据源,提供批量导入和实时同步的方式实现结构化数据和非结构化数据的采集,对采集到的原始数据进行数据清?#30784;?#21152;工、转换、标注等规范化处理后,形成结构化数据集成和非结构化数据集成服务。

(2)数据共享服务:构建适应铁路大数据环境的操作型数据存储和非结构化数据存储,并统一通过直接访问、数据文件、数据复制、应用服务接口、消息中间件等技术为各业务信息系?#31243;?#20379;结构化和非结构化2类数据的共享。

(3)数据存储与分析服务:采取基于Hadoop的大数据分析框架和数据仓库技术相结合的融合架构,面向结构化数据构建企业数据仓库和数据集市,开展统计分析、多维报表、交互分析等。面向非结构化数据,采用流分布式批量计算框架、流计算框架、深度学习计算框架和图计算框架等实现非结构化数据的分析。构建历史数据区实现全量结构化和非结构化数据的统一存储,并实现结构化分析和非结构化分析结果的统一融合。

360截图20180830144721920.jpg

图1 铁路大数据服务的总体框架和全生命周期数据流程

在数据流向上可分为结构化数据和非结构化数据(如文本、视频、?#35745;?#31561;)2条主线。结构化数据经批量导入或实时同步后,采用ETL技术进行数据的清?#30784;?#36716;换、加工,建立操作型数据存储和共享,然后构建数据仓库和面向不同主题的数据集市,进行多维统计、多维报表等结构化数据分析。非结构化数据通过文件数据采集接口等进行批量导入或实时同步,经过数据标注、特征提取和预处理后提供非结构化数据存储和共享,采用大数据分析挖掘算法实现非结构化的数据分析。所有分析结果统一通过直接访问、数据文件、数据复制?#30830;?#24335;对外提供给各业务信息系统使用。

3铁路大数据全生命周期安全保障需求分析

铁路大数据安全在传统的物理安全、设备安全、网络安全、数据库安全、系统安全等铁路信息化安全保障措施之上,更强化数据在集成、共享、存储、应用等全过程的数据安全防护。铁路大数据在全生命周期各阶段面临的安全保障需求如下。

3.1 数据集成阶段

铁路大数据需集成来自铁路内外部的海量多源异构异域信息,数据来源广?#28023;?#26082;包括来自于铁路内部服务网、外部服务网、安全生产网的各类业务信息系统数据,也包括部分来自互联网的相关数据;数据类?#22836;?#26434;,既包括结构化数据,也包括语音、文本、图形图像、日志?#30830;?#32467;构化数据;数据的准确性、一致性、及时性、唯一性等会对数据分析结果产生决定性影响。因此,在数据集成阶段需要采用?#29992;?#20256;输技术,并对采集途径的可靠性、数据的合规性和真实性等进行验证。

3.2 数据共享阶段

铁路大数据在共享交换过程中会被车、机、工、电、辆等多个业务部门的不同角色使用,必需进行严格的身份认证和细粒度的授权控制,避免数据非授权或越权共享。此外,跨业务部门、跨组织机构共享导致数据源多?#25509;?#29992;,易出现数据所有权和使用权分离的情况,从而带来数据泄漏或滥用、权属不明确、安全监管责任不清晰等安全风险,需严格执行数据脱敏、重要数据?#29992;?#20256;输等要求,制定职责权利明确的数据管理办法,保证数据不被窃取、劫持和篡改。

3.3 数据存储和分析阶段

铁路行业运输组织、经营管理、战略决策、建设管理、?#35797;?#31649;理、客货运用户信息等数据的集中存储对数据安全提出了更高要求,需解决异构数据集中存储的分等级保密问题,避免明文存储造成泄漏。数据分析阶段需要对不同角色的用户进行细粒度访问控制和数据全生命周期管理,根据不同用户对数据的需求以及使用场景分配不同的访问权限,并开展多组件、多维?#21462;?#22810;用户的审计,以便事后检测和风险溯源。

4 铁路大数据全生命周期安全保障技术体系

铁路大数据具有存储周期长、多次访问、频繁使用等特点,为满足铁路大数据在集成、共享、存储和分析阶段面临的安全保障需求,应从铁路大数据的保密性、完整性、可用性、可信性、可追溯性等?#23884;?#20986;发,从访问安全、数据安全、传输安全、综合安全4个层面构建完善的铁路大数据安全保障技术体系(见图2)。

(1)访问安全技术用于确保用户对平台、接口、操作、?#35797;础?#25968;据等都具有相应的访问权限,避免越权访问。主要包括身份认证和数据访问、字段访问、组件访问、目录访问、文件访问等授权技术。身份认证是指为用户配置访问账号,只有通过认证的用户才能访问铁路大数据服务,常用的认证机制有Kerberos认证机制、基于公告密钥的认证机制、基于动态口令的认证机制和基于生物识别技术的认证机制。访问控制是指对用户级和数据级的权限管控,对用户级的组件访问权限进行配置和管控,对用户访问的目录、文件权限等进行管控。

(2)数据安全技术主要包括数据一致性校验、数据合法性校验、数据?#29992;?#23384;储、数据脱敏、数据复制备份、多租户用户数据隔离存储等。一致性校验是指根据数据采集接口协议的要求,源系统数据与采集层数据必须进行数据一致性检查,确保数据采集的?#23548;?#20869;容与接口协议的一致性;合法性校验是确保端到端的数据安全保障能力,如源端提供数据文件的同时,提供校验文件(包括记录、大小、校验码等);数据?#29992;?#23384;储是指对于铁路行业核心和敏?#34892;?#24687;进行?#29992;?#22788;理并存储,利用对称密钥系统进行密钥分配,利用非对称密钥?#29992;?#31639;法进行数据的?#29992;埽?#25968;据脱敏是指对?#25215;?#25935;?#34892;?#24687;通过脱敏规则进行数据的变形,实?#32622;?#24863;隐私数据的可靠保护,脱敏规则包括隐藏、替换、混淆等手段;数据复制备份主要利用Hadoop分布式文件系统本身的数据复制功能实现,避免由于单机?#25910;?#25110;者存储介质损坏导致的数据不可用;多租户用 户数据隔离存储是指采取多租户的?#35797;?#23457;批分配、?#35797;?#22238;收、账号与角色、功能权限等管理,对多租户的用户数据实现隔离存储,防止未授权用户访问未经授权的数据。

(3)传输安全技术主要包括连接限制、传输?#29992;?#31561;。连接限制是指在进行批量或实时数据集成、数据共享、分析结果发布时限制访问连接范围,在网络侧配置访问路由,限定授权的客户端IP地址访问服务器IP和端口,在应用侧配置访问列表,设置授权访问白名单IP地址列表和账号列表;传输?#29992;?#26159;指由发送端对数据?#29992;?#21518;进行数据传输,由接收端对数据进行解密处理。

(4)综合安全技术主要包括安全审计、数据溯源、数据分级管理、安全态?#32856;?#30693;、数据安全监测预警等。安全审计是指记录一切与系统安全有关活动的数据,在权限管理、数据使用、操作行为等多个 维 度 对 其 进 行 分 析 处理,查找安全隐患,对系统安全进行审核、稽查,追查事?#35797;?#22240;并进一步处理。常用的审计技术有基于日志的审计技术、基于网络监听的审计技术、基于网关的审计技术和基于代理的审计技术;数据溯源就是对大数据全生命周期各?#26041;?#30340;操作进行标记和定位,在发生数据安全问题时,可及时准确地定位到出现问题的?#26041;?#21644;责任人,可采用数字水印技术用于数据溯源;数据分级管理根据敏感度对数据进行分级,对不同级别的数据提供差异化的流程、权限、审批要求等管理措施,数据安全等级越高,管理越严格;安全态?#32856;?#30693;是指利用大数据技术,基于海量网络流量及日志信息,挖掘基础网络及系统安全威胁及APT事件等;数据安全监测预警是指根据海量网络行为、数据操作日志等,基于大数据分析手段,实时监测发现数据泄漏等异常行为,保障敏感数据安全。

5 结束语

数据安全是确保铁路大数据应用的前提和基础,为保障铁路大数据应用“可管、可控、可信?#20445;?#20174;保密性、完整性、可用性、可溯源等?#23884;?#20986;发,开展大数据应用安全保障技术体系的研究极为必要。铁路大数据安全在传统的物理安全、设备安全、网络安全、数据库安全、系统安全等铁路信息化安全保障措施之上,更强化数据在集成、共享、存储、应用等全过程的数据安全防护,设计了涵盖“数据集成、数据共享和大数据存储与分析?#22791;?#38454;段的铁路大数据服务总体框架和数据流程,提出了铁路大数据在采集、传输、共享、存储、分析等全生命周期各阶段面临的安全保障需求,构建了由访问安全、数据安全、传输安全、综合安全4个层面组成的铁路大数据安全保障技术体 系,可为铁路以及相关行业大数据安全保障技术体?#21040;?#35774;提供借鉴。

360截图20180830150151834.jpg

图1 铁路大数据服务的总体框架和全生命周期数据流程

亿客隆彩票
猴子先生免费试玩 韩国男子足球队 3d火影忍者ol 广西快乐双彩开奖结果查询 大圣捕鱼游戏视频 新疆时时时彩开浆结果 sk国际彩票秒速飞艇 网球冠军男中国 广州水晶宫有特别服务 银狼走势图
0.5156s