铁路数据安全与隐私保护技术体系研究

张维真，任 爽

（1.北京交通大学 计算机与信息技术学院，北京 100044；2.中国铁路济南局集团有限公司 济南站，济南 250001）

随着移动互联网、大数据、人工智能等新兴技术的应用和传播，数据的演变和发展为人们生产生活带来了巨大便利。与此同时，隐私泄露、数据买卖、网络攻击等数据安全问题也日益凸显，给个人、社会和国家造成了严重的安全隐患。近年来，国家高度重视数据安全和隐私保护，先后颁布了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》，完善了数据治理体系的顶层设计，提供了解决数据安全问题的具体思路。上述法律明确了面向生命周期的数据安全原则，提出了数据的分类分级保护，完善了个人信息保护应遵循的原则，是保障国家安全和社会稳定、促进我国数字化转型的有力保障。

近年来，随着云计算、数字技术与铁路业务的深度融合，铁路行业也愈加重视网络信息安全管控，铁路数据安全是保障铁路信息系统安全稳定运行的基础，在《“十四五”铁路网络安全和信息化规划》中也提到加强数据安全保护。由于铁路业务场景的复杂性和特殊性，铁路行业面临网络数据的泄露、违规传输和滥用、新技术应用被攻击、供应链管理等数据安全风险，因此，对铁路数据安全和隐私保护提出了更高的要求。本文结合铁路业务场景，分析了铁路数据安全与隐私保护需求，针对铁路数据安全风险，结合铁路数据服务平台，构建铁路数据安全与隐私保护技术体系，实现对铁路数据进行分类分级和全生命周期的安全保护[1]。

1 铁路数据安全与隐私保护需求分析

铁路数据服务平台可以获取铁路内、外数据、对数据进行集中管理，包括数据集成、共享、存储等功能。本文以其为研究对象分析铁路数据安全与隐私保护需求。

1.1 数据源分类分级保护

铁路数据来源广泛且数据类型复杂，不仅包括铁路内部的业务数据，还包括来自铁路外部的相关数据，同时，铁路数据还存在内部不同业务系统之间的相互调用。对于处理不规范的数据容易造成数据丢失、数据泄露等数据安全风险。因此，需要在对其进行数据收集开始前，采用数据分类、分级办法，有针对性地对数据源进行敏感性划分，确定数据重要性和敏感度[2]。根据划分的敏感程度结果，对不同类型的数据进行分级分类管理，制订不同安全等级的数据安全保护策略，对敏感型的数据重点保护。

1.2 数据各生命周期风险防护

铁路数据隐私泄露风险出现在铁路数据服务平台数据生命周期管理的各个阶段，主要体现在数据的集成、共享、存储、传输和分析等阶段。

（1）在数据集成阶段，需要对已经分类分级的敏感数据进行数据集成、加密处理和匿名化处理，否则会出现信息泄露等问题[3]。

（2）在数据共享阶段，铁路数据服务平台可实现不同业务系统跨平台的数据共享，并对不同数据加入不同权限进行管理，在此过程中可能出现非法访问、数据泄露等风险。因此，需要建立严格的身份认证和访问控制机制，实施细粒度的权限管理，保证用户只能访问自己被授权的数据，使用加密技术，保证数据共享的安全性。

（3）在数据存储阶段，由于铁路数据服务平台涉及业务种类繁多，经营开发、运输生产、资源管理等不同系统的大量数据在存储过程中可能存在存储数据丢失或数据被盗取、病毒入侵等问题，为防止存储数据被泄露，保证关键业务的隐私性，需要对铁路数据定期进行备份管理，并在存储中进行加密处理，强化数据安全。

（4）在数据传输阶段，可能出现窃听者窃听铁路各部门的通信数据，非法访问关键的业务信息，从而对数据进行篡改等，导致敏感数据泄露或受损。为保证铁路数据传输的保密性和完整性，需要对传输数据加以访问控制，对其进行身份限制等操作。

（5）在数据分析阶段，可能存在数据集再识别、属性推断、不当使用等风险问题。攻击者可能对铁路中已发布或共享的匿名化数据集进行交叉分析、关联分析，使得敏感信息被重新识别出来，因此，需要采取更强的隐私计算方法对铁路个人、业务等敏感数据进行保护。

（6）在数据销毁阶段，若业务已完成或提前下线而敏感数据仍在系统中存在，会造成铁路重要数据的泄露，因此，需要注重数据生命周期闭环处理。

1.3 隐私数据保护

在铁路数据服务平台使用中，可能出现个人数据隐私泄露风险。数据隐私泄露的风险包括：滥用和扩散数据，侵犯个人隐私权；非法收集和传播，损害公民知情权和信息自决权；对实体生活造成侵害，威胁经济和基础设施安全；给个人生活带来困扰，加剧社会矛盾；危害国家安全和社会公共秩序。滥用和扩散旅客基础数据和职工信息、非法传播铁路业务关键数据，不仅侵害个人的隐私权利，还会造成铁路部门的经济损失，甚至威胁国家安全。因此，需要加强对隐私数据的保护。

2 铁路数据安全与隐私保护技术研究

数据匿名、数据加密、访问控制、隐私计算技术、区块链技术都是当前流行的数据隐私保护技术，作为技术补充，将其在铁路数据服务平台中进行应用，对解决铁路数据安全与隐私保护问题具有一定的现实意义。

2.1 数据匿名技术

数据匿名技术是将明文转换为非人类可读形式的技术[4]。k-匿名和l-多样性方法是该技术的经典方法，k-匿名方法对数据进行匿名处理，可以保证任意一条记录与其余k–1 条记录不可区分；l-多样性方法将数据集划分为不同的组，在匿名关系数据时确保每个等价类至少包含l个不同的敏感属性值，保证了敏感属性的多样性，但忽视了敏感属性的全局分布；t-closeness 算法要求等价类中敏感属性值的分布与全局分布实现一致性，解决了l-多样性的局限性问题。

2.2 数据加密技术

数据加密技术通过使用算法和密钥对数据进行转换，包括同态加密、安全多方计算等技术。Gentry 构造了第1 个可行的全同态加密，并提出了仅在整数上进行简单计算的全同态加密方案[5]；Brakerki 等人[6]提出了第2 代全同态加密方案，使用重线性化等技术，从速度、轻量级等方面提高了计算性能；第3 代全同态加密方案是Gentry 等人提出的[7]，基于近似特征向量技术，构造出一种不需要计算密钥的有限层次全同态加密。

安全多方计算最初由Yao 于1982 年提出[8]，是基于加密协议，用于分布式数据集的数据加密技术，常应用于数据挖掘领域。除了计算的最终结果，安全多方技术不应该向参与方透露任何新的信息。

2.3 访问控制技术

访问控制技术确保只有经过授权的用户可以访问数据资源[9]。近年来，基于访问控制技术出现了多种隐私保护技术，例如，强制访问控制（MAC，Mandatory Access Control）、基于自由访问控制（DAC，Discretionary Access Control）、基于角色的访问控制（RBAC，Role-Based Access Control）、基于新型面向网络空间的接入控制（ CoAC，Cyberspace-oriented Access Control）等。MAC 着重保护系统的机密性，该机制实现强制存取控制，以防止高安全级别的信息流入低安全级别的客体，可应用于铁路高度敏感数据的管理中；DAC 是主体对客体进行管理，由主体自己决定是否将客体访问权或部分访问权授予其他主体，这种控制方式是自主的；RBAC 是将权限与角色相关联，用户通过成为适当角色的成员而得到相应角色的权限；CoAC 技术致力于实现细粒度的网络资源和服务访问控制，根据用户、设备、网络条件等多个因素来决定对资源的访问权限。

2.4 隐私计算技术

隐私计算技术是一种通过在数据处理和分析过程中采取一系列的加密和隐私保护措施的技术，在统计学中主要包括联邦学习和差分隐私。联邦学习是2016 年由Google 提出的一种分布式机器学习方法，旨在解决多个数据持有方之间数据隐私和安全性的问题[10]。它能够让多个互不信任的训练数据提供方在不交换原始数据的情况下，通过交换梯度或参数等中间计算结果协同训练机器学习模型[11]。可以根据参与方相互之间的数据分布不同，一般把联邦学分为横向联邦、纵向联邦和联邦迁移3 种。

差分隐私是通过在原始数据中添加噪声从而对数据进行加密的方法[12]，可以保证对数据集进行添加删除操作不会影响输出结果。实现差分隐私可通过指数机制、拉普拉斯机制等。

2.5 区块链技术

区块链在隐私保护方面的具体技术、工作机制和实现协议可以从身份隐私保护、数据隐私保护和网络隐私保护3 个方面进行分析[13]。

身份隐私保护技术主要通过信息混淆机制对可能威胁到用户身份隐私的事务数据进行混淆。数据混淆技术可以通过中心化混币或去中心化混币机制来实现。Maxwell[14]提出了基于去中心化思想的混币机制，采用用户约定的分布式共识机制，从根本上解决了中心化混币的潜在风险。

数据隐私保护技术主要是针对账本信息的隐私保护。传统的区块链交易过程中，交易信息被记录在账本中，可以通过账本信息获取用户账户地址、交易金额等隐私信息。为了隐藏相关信息，研究者们提出了零知识证明、环签名、承诺方案、基于属性的加密和可信硬件执行环境等技术。

网络隐私保护技术主要是针对区块链节点之间交易信息的匿名性和隐蔽性，包括网络数据隐藏技术和通道隔离技术等技术。为了防止攻击，需要对区块链的网络层数据进行隐藏。目前，有可信第三方转发、混合网络、洋葱路由和大蒜路由等方式可以实现网络层数据的匿名性和隐蔽性保护。

3 铁路数据安全与隐私保护技术体系

由于铁路数据生命周期中存在大量安全风险问题，根据需求分析和相关技术研究，本文结合现有铁路数据服务平台[15]，从铁路数据的安全性、系统性、兼容性、可用性等方面出发，针对数据生命周期前后各阶段，构建铁路数据安全与隐私保护技术体系，如图1 所示，为进一步保障铁路敏感数据及公民隐私信息的数据安全提供技术支撑。

图1 铁路数据安全与隐私保护技术体系

3.1 数据分类分级技术模块

在铁路数据集成前，应对业务数据、互联网数据、外部数据、物联网数据等不同数据进行分类分级划分。数据分类根据使用用途、铁路业务等进行划分。数据分级是在数据分类的基础上，根据数据的价值、重要程度、内容敏感程度不同将其划分为高度敏感、一般敏感、开放/公开数据。根据铁路现有网络数据分类分级规则可以实现人工对采集到的网络数据进行分类分级划分，也可使用K-Means、FP-Growth 等算法对敏感数据进行机器划分。

3.2 数据匿名技术模块

数据匿名技术可用于铁路数据集成阶段，通过删除、替换、扭曲、泛化、聚合等手段改变数据标识符，保护个人隐私数据。

数据匿名技术可以在数据收集阶段实现对隐私数据的匿名化，降低个人信息被滥用、盗窃或误用的风险，极大程度上保护铁路的隐私数据。此外，匿名化技术在保护隐私的前提下，尽可能保留数据的有用特征和统计信息，以便进行后续铁路数据分析、数据传输等工作。数据匿名技术有助于在保护个人隐私的同时，对大规模数据的有效利用。

3.3 数据加密技术模块

数据加密技术通常涉及铁路数据存储、处理、共享，以及对平台的可信度要求等。同态加密、安全多方计算是常见的加密方法。

同态加密可以保护用户的数据隐私，确保数据在进行计算时仍然保持加密状态。这对于铁路中涉及运输组织、经营管理等敏感信息业务在铁路数据服务平台的存储至关重要。同态加密允许数据拥有者控制其数据，并只将加密结果共享给需要的人。通过使用同态加密技术，可以在数据加密的状态下进行计算，不需要解密数据，确保数据在存储和处理过程中不被泄露或恶意使用。安全多方计算则可以实现多方之间的合作计算，保护各方输入数据的隐私。参与分布式数据挖掘的各方对其数据进行加密并发送给其他各方，这些加密数据用于计算属于联合数据集的聚合数据。促进了数据共享与合作，在保护铁路数据隐私的同时完成了计算任务。此外，在数据销毁中可以使用数据加密技术对数据进行加密后销毁，保障数据销毁后的安全性。

3.4 访问控制技术模块

访问控制技术可以应用于铁路数据服务平台各个阶段的权限管理中，通过身份验证建立会话密钥，限制隐私数据传输至真实节点以确保数据安全。

MAC 着重保护系统的机密性，该机制实现强制存取控制，以防止高安全级别的信息流入低安全级别的客体，可应用于铁路高度敏感数据的管理中；RBAC 可以应用到铁路各个系统的角色管理中；CoAC 可以根据不同场景下的设备、使用需求和策略自适应地调整访问控制规则，以提供更有效的访问控制和资源管理。

访问控制技术在数据生命周期中起着重要的作用，保护数据的安全性、隐私性和完整性的同时，确保只有经过授权的人员或系统才能访问和处理数据。有助于提高铁路数据服务平台访问的可信度和可靠性，降低数据泄露和滥用的风险。

3.5 隐私计算技术模块

隐私计算技术可以用于铁路数据分析等阶段[16]，保护个人隐私、数据计算过程与结果的隐私，对数据进行脱敏。隐私计算技术方法在统计学中主要包括联邦学习和差分隐私方法。

联邦学习允许不同参与方共同训练模型，从而可以汇集多方的数据，提升模型的泛化性能和预测准确度，并保护各方数据的隐私，该方法主要运用在数据分析阶段；差分隐私方法通过在统计查询结果中引入噪声，保护个体数据的隐私，即使攻击者可以获取查询结果，也很难对特定个体的数据进行重建或推断，即相邻数据集经处理后的输出结果非常类似，攻击者很难通过操作汇聚的结果推测单条输入数据，很大程度上保证了隐私安全，该方法可以应用在数据收集、存储、分析阶段。

3.6 区块链技术模块

区块链技术可用于数据生命周期各个阶段，提高数据安全。

在数据集成铁路身份数据时，使用区块链身份隐私保护技术可以确保使用者的身份信息不被篡改或泄露，防止攻击者通过分析账本中的事务数据推测出地址之间、地址与用户身份之间，以及地址与事务隐私之间的关系。通过使用匿名化或伪匿名化技术，可以保护身份隐私，增强铁路数据隐私保护。在数据存储过程中，采用加密技术对敏感数据进行加密处理，只有获得授权的参与者能够解密和访问数据，确保数据的机密性和完整性。此外，使用区块链不可篡改的特性可以提高数据的可信度；采取网络隐私保护措施，如访问控制、入侵检测系统等，可以保护数据处理和分析过程中的网络隐私安全。

4 铁路数据安全与隐私保护技术体系应用

铁路数据安全与隐私保护技术体系可以应用于铁路数据服务平台及数据流转应用全过程，对其中可能出现的安全风险，可以采用相关技术进行解决，以下列举两种常见的应用场景。

4.1 基于数据匿名技术的旅客信息加密收集

旅客信息作为铁路数据的重要组成部分，需要严格按照相关法律和铁路数据安全规定对其进行收集、处理和使用。采集和处理个人敏感信息时，需要取得个人同意，因此应在数据集成前，先对其进行分类分级处理，再对之后的敏感数据进行匿名处理，并对其加密存储，有效防止个人信息泄露。

4.2 基于区块链技术的铁路业务数据共享

由于铁路业务系统众多，各部门数据仍以数据孤岛的形式分散在各个部门，部门间存在着难以打破的数据壁垒。构建基于区块链技术的铁路数据传输共享平台，能够保证数据操作的公开透明、不被篡改，在保证数据安全的前提下，促使调度、客票、动车组等平台的数据有效共享，促进多方交流。

5 结束语

在铁路信息化、数字化飞快发展的同时，铁路数据安全问题得到了越来越多的重视，在不泄露敏感数据、保证铁路业务运营安全的前提下，提高数据的利用率、降低数据安全风险是目前铁路各数据平台发展的关键。本文结合铁路数据服务平台，构建铁路数据安全与隐私保护技术体系，从数据生命周期前后的各阶段进行管理，基于数据匿名、数据加密、访问控制、隐私计算、区块链等技术，解决平台中出现的数据安全问题。目前，我国铁路行业数据安全和隐私保护的研究尚处于起步阶段，还有待进一步探索。