基于云计算的铁路工程管理平台数据安全研究

■ 刘阳学 王万齐 李平 秦健

基于云计算的铁路工程管理平台数据安全研究

■ 刘阳学 王万齐 李平 秦健

数据是企业的重要资产，但数据安全面临严峻挑战。根据铁路工程管理平台的安全建设要求，从平台安全风险和数据安全风险两方面做了全面而详细的分析，在此基础上提出平台数据安全防护体系，给出基于云计算的铁路工程管理平台数据安全技术实现方案，分别从数据区域划分、数据访问控制和容灾备份3方面进行论述，为铁路工程管理平台数据中心的安全方案设计提供依据。

铁路工程管理平台；数据安全；安全策略

1 概述

近年来，我国铁路建设取得了举世瞩目的成绩，高速铁路运营里程跃居世界第一，多条高速铁路、城际铁路的建设持续开展，从企业化管理视角对工程建设管理提出新的要求。综合考虑中国铁路总公司对工程建设全面管理，以及各铁路局、客专公司和参建单位的实际需求，需要建设一套涵盖设计、建设及运营的全生命周期管理的铁路工程管理平台（简称平台）。平台利用先进的云计算和虚拟化技术搭建，总体上采用数据集中管理，并应用分散部署的网络结构。平台具有涉及单位人员多、应用功能复杂、网络接入点多等特点，为保障平台安全稳定运行的要求，需要建设一套全面的数据安全保障体系。

2 平台数据安全需求分析

平台业务数据信息汇总全路大中型铁路建设项目各方面数据，包括项目工程设计、进度、质量、投资、安全风险等数据，以及工程建设调度指挥、教育和诚信记录、工程建设相关的规章制度等。大量的工程信息通过互联网进行传输，作为平台的承载主体，必须确保数据传输网络安全和数据存储安全，保障业务系统的完整性、机密性、可用性。

2.1 平台安全风险需求分析

平台业务覆盖面广，涉及多个参建单位及众多使用对象。各参建单位信息技术能力参差不齐，对数据具有较强的依赖性，缺乏相应的保护意识，尤其以互联网作为通信载体的情况下，来自互联网的攻击和大量的蠕虫病毒，对系统本身基础资源的攻击、占用、数据的破坏，导致系统可用性和数据可靠性降低，给整个系统的业务正常开展带来严重的影响。通过综合分析，平台所面临的主要安全风险见表1。

2.2 数据安全风险需求分析

数据是铁路工程管理平台的核心，也是铁路工程建设管理单位的重要资产。数据的丢失、泄露和损坏，将破坏数据的保密性、完整性和可用性，给企业带来无法估量的损失，因此有必要根据数据的安全性要求分析数据安全风险。

结合建设信息公开需求和应用过程分析，将平台建设施工阶段的数据分为敏感数据和非敏感数据，其具体划分见图1。

2.2.1 敏感数据

敏感数据对数据安全性要求很高，主要包括：投资信息、质量信息、安全信息、工程量清单信息、验工计价信息、工程造价信息、竣工验收信息等。这些信息在施工过程中涉及资金、质量等相关信息，不利于全部向社会公开，在平台中定义为敏感数据。

2.2.2 非敏感数据

非敏感数据对安全要求低，在铁路建设信息公开文件中明确指出的工程建设的项目信息和信用信息等，在平台中定义为非敏感数据。

数据是企业的重要资源，平台应以数据安全为核心，不仅在传统的设备层面考虑安全，还要根据数据安全级别采取严格的防护措施，保护好企业的重要资产，避免造成损失。

综上所述，平台安全在设计上要增强安全保障措施，选用高可靠性的软硬件平台，采用严密的身份认证、授权管理和数据加密等措施，并建立完整的安全管理规范和制度，建立完整的铁路工程管理平台的安全保障体系，满足平台的信息安全要求。

3 平台数据安全防护体系

平台数据安全防护体系分为7个方面：基础设施安全、网络安全、主机安全、数据安全、应用安全、安全管理平台及信息安全管理制度（见图2）。

（1）基础设施安全：主要指环境安全、设备和介质的防盗窃防破坏等。平台的基础设施安全应考虑供配电系统、综合布线系统、空调通风系统、机房环境监控系统、安全防护系统、消防报警系统等方面，为平台的运行提供安全可靠的稳定运行环境。

（2）网络安全：从网络结构、边界控制、入侵检测和防护、路由与交换等方面，利用防火墙、VLan等技术将平台划分成敏感、非敏感、数据交换、管理等多个安全隔离区域，根据不同安全区域的重要程度，采取不同级别的安全策略，实现多层次的网络安全防护。

（3）主机安全：主要通过虚拟防火墙、防病毒系统保证数据中心环境下各虚拟机的安全；通过漏洞扫描对局域网、Web站点、主机操作系统、平台应用服务及防火墙系统本身的安全漏洞进行扫描，分析并修复安全漏洞，降低系统安全风险。

（4）数据安全：根据对应用和数据的分级，在进行敏感操作时，防火墙通过SSL协议进行加密，同时采用用户名、口令、证书、动态口令等认证方式进行身份认证，只有通过身份认证的用户方可进入敏感数据区进行操作；当用户进行非敏感业务和数据操作时，防火墙采取策略是直接进入非敏感区，进行非敏感数据的操作，同时还应制定相应的备份计划，采用多种备份策略，对数据进行备份与恢复等。

（5）应用安全：构建身份认证、应用系统访问控制、用户管理等系统，提高系统接入用户身份安全鉴别能力以及关键业务办理的抗抵赖效果，对平台使用人员以“用户名+口令”、“数字证书”或多种认证方式的任意组合方式登录，为用户提供较高安全等级接入机制认证，保证系统接入人员的身份高可靠性，同时应严格监管人员身份，对敏感数据操作嵌入完整性校验及抗抵赖技术。

（6）安全管理平台：通过统一部署的平台管理软件实现对数据中心内部资源和网络安全的防护和管理；通过对各类安全设备统一配置，实现对内部终端的集中安全保护和监控、统一的云平台的集中安全策略管理、网络的安全审计及多级协同的安全管理模式。

（7）信息安全管理制度：包括管理制度、技术规范、管理要求、人员要求、项目建设管理要求、系统运维规范等。

4 平台数据安全技术方案

平台的数据安全主要涉及数据区域划分、数据访问控制、数据容灾备份与恢复3个方面。

4.1 数据区域划分

数据区域划分是指根据数据的敏感程度对数据进行分区域存储。

平台数据分为敏感数据和非敏感数据，对数据的访问操作应分为敏感数据操作和非敏感数据操作。因此，在网络层根据数据和业务的敏感性划分为敏感子网区和非敏感子网区；在应用层划分为敏感应用区和非敏感应用区，对敏感应用和非敏感应用应分别部署在不同的服务器上；在数据存储层应将数据按敏感和非敏感数据划分不同的存储区域，进行分别存储。

平台根据业务访问的敏感程度，针对不同敏感性数据采取不同的安全策略，实现分级分类的访问控制（见图3）。

4.2 数据访问控制

4.2.1 数据加密

当用户进行敏感业务和敏感数据操作时，应对数据进行IPSEC VPN或SSL VPN加密。

当应用进行非敏感业务和数据操作时，数据可不通过加密传输，在出口防火墙安全策略应是让访问直接进入非敏感子网进行非敏感数据的操作。

4.2.2 访问控制策略

访问控制策略是在防护、检测、响应和恢复的动态安全模型的控制和指导下，通过综合运用防火墙、系统身份认证和加密等手段等防护工具，以及漏洞扫描评估、入侵检测等检测工具评估平台的安全状态，将平台调整到“最安全”和“风险最低”的安全状态。

访问控制的安全策略考虑采用2种方式实现：（1）基于身份的安全策略。通过认证系统过滤对平台数据或应用的访问，只有能通过认证的用户才能对平台敏感数据或敏感应用进行访问和操作。（2）基于规则的安全策略。根据数据的敏感性，对数据或资源进行安全标注。在具体实现上，系统通过比较用户的安全级别和所访问数据的安全级别来判断是否允许访问。

平台数据访问控制应具备访问控制表（ACL）、访问控制矩阵、访问控制能力列表、访问控制安全标签列表等多种形式，具体实现形式应根据应用系统的实际情况确定；平台数据访问控制应具备通过数据库管理器建立的访问控制表进行授权和身份认证，只有具有权限且通过身份认证的应用可以进行敏感数据的操作。

平台数据访问控制示意见图4。

4.3 数据容灾备份与恢复

数据的容灾备份与恢复是数据安全的重要环节，也是数据中心能力的重要指标和核心，关系到最终实现数据的可用性、机密性和完整性。

平台的容灾备份从应用的角度考虑，包括数据级容灾和应用级容灾。数据级容灾是为了保证数据的完整性、可靠性和安全性；应用级容灾是指提供不间断的应用服务，实现应用的高可用性和连续性，保证平台提供的应用服务完整、可靠和安全。数据级容灾是数据安全的基础，在数据完整、可靠和安全的基础上才能实现应用级别的容灾。

在平台中，对非敏感应用采用数据级容灾，同时也降低了成本。异地数据备份中心应分阶段建设，初期可建设针对敏感数据的数据级容灾中心。根据平台的业务和功能需求，再考虑建设应用级容灾中心。

4.3.1 数据级容灾

平台应通过在异地建立数据备份中心，当本地数据在灾难性事件中被损坏或不可恢复时，异地数据备份中心即可提供可用的数据。数据级容灾是容灾备份的基础形式，只需要考虑数据的备份和存储，实现起来相对简单，投资成本相对较低。数据级容灾的安全策略主要考虑以下3方面。

（1）平台应采用在线模式。由于平台的数据实时性和业务连续性要求高，应通过定时、增量、全备份、差分备份等策略对数据进行备份。

（2）在远程数据复制技术方面，平台可根据实际情况，采用服务器逻辑卷、基于存储备份软件或基于智能存储设备等备份方式。

（3）平台根据数据敏感性的划分，对敏感数据采用同步数据备份的方式，而对非敏感数据应采用异步数据备份方式。

4.3.2 应用级容灾

应用级容灾的目的是保证业务的连续性。在实现数据级容灾的基础上，建立应用系统的备份和负载均衡机制。通过云计算平台实现本地应用故障时，备份应用的自动接管，保证业务的连续性；当本地应用均出现故障时，系统能够通过异地备份应用系统接管，保证应用不间断提供服务。

应用级容灾需要考虑的因素较多，包括数据复制的完整性、一致性，网络的稳定性，应用软件的适应性，备份中心的物理环境，人员培训和管理制度等。

4.3.3 容灾恢复策略

在平台中，将敏感数据和数据库的备份作为日常运行处理的一部分，以确保出现问题时及时恢复重要数据，保持业务的持续性。因此，高可靠性方案应该考虑到应用和数据的保护。

平台数据备份应以高可靠高性能的存储系统为基础，采用基于存储备份软件或智能存储设备备份等技术，通过增量、全备份、差分备份等备份策略，制定备份时间计划，实现敏感数据的本地备份与恢复，逐步构建同城数据级容灾备份中心。

5 结束语

铁路工程管理平台数据安全方案在对平台建设背景、数据安全需求、网络结构深入介绍与分析的基础上，根据数据集中管理，应用分散部署的网络架构，按照“数据为核心、分级分类、区域保护”等关键原则，将平台应用及数据划分为敏感区与非敏感区，从平台数据区域划分、数据访问控制和数据容灾备份与恢复等方面，构建平台数据安全防护体系，在重点考虑数据中心自身数据的备份和恢复能力的基础上，形成多层次的纵深防御体系，确保整个平台数据的保密性、完整性、可用性。

[1] 邓亚平． 计算机网络安全[M]． 北京：人民邮电出版社，2004．

[2] 周明全，吕林涛，李军怀． 网络信息安全技术[M]． 西安：西安电子科技大学出版社，2003．

[3] 何欢，何倩． 数据备份与恢复[M]． 北京：机械工业出版社，2010．

[4] 杨欢． 云数据中心构建实战[M]． 北京：机械工业出版社，2014．

[5] 邵国安． 云计算在电子政务和铁路应用中的安全要求[J]．中国铁路，2015(5)：19-22．

刘阳学：中国铁道科学研究院电子计算技术研究所，助理研究员，北京，100081

王万齐：中国铁路总公司工程管理中心，高级工程师，北京，100844

李 平：中国铁道科学研究院电子计算技术研究所，研究员，北京，100081

秦 健：中国铁道科学研究院电子计算技术研究所，副研究员，北京，100081

责任编辑 苑晓蒙

TP392

A

1672-061X（2015）06-0051-05