Railway sensitive data circulation security management and control system
-
摘要:
针对铁路敏感数据流通过程中流转情况不清晰、安全保护难的问题,结合目前铁路行业主要面临的数据安全风险及研究现状,提出了铁路敏感数据流通安全管控体系。通过数据资产梳理、身份资产管理和动态风险评估等技术,结合数据标识、访问控制、数据加密和脱敏等措施,建立了跨安全域和跨网络边界的数据流转监测与管控机制。通过在不同业务场景的应用,验证了该体系架构在复杂环境下的灵活性和扩展性,为铁路行业的数据安全技术应用提供了实践参考。
Abstract:In response to the problem of unclear circulation situation and difficult security protection in the process of railway sensitive data circulation, this paper proposed a railway sensitive data circulation security management and control system based on the main data security risks and research status currently faced by the railway industry. Through technologies such as data asset sorting, identity asset management, and dynamic risk evaluation, combined with measures such as data identification, access control, data encryption and desensitization, the paper established a data flow monitoring and management and control mechanism across security domains and network boundaries. Through its application in different business scenarios, the paper verified the flexibility and scalability of the system architecture in complex environments, provided practical reference for the application of data security technology in the railway industry.
-
随着铁路行业信息化和智慧化进程的推进,线上业务比重不断增加,海量数据被分散存储在不同的介质中,通过各种渠道在不同单位和机构之间频繁流动,容易造成数据泄露、数据滥用等风险[1]。如何通过管理和技术手段保障铁路敏感数据的安全,已成为铁路行业安全领域的重要课题。
目前,国内外已有较多关于数据安全模型、技术创新及应用试点的研究[2-3]。但由于数据安全与业务关联性大,且各行业标准完善程度、实践难度不一,其应用情况也不尽相同。
(1)数据全生命周期体系研究方面: 魏长水等人[4]探讨了铁路业务系统积累的大量网络数据在收集、存储、传输、应用和销毁各环节中的安全风险,并提出了应对措施;李平等人[5]分析了铁路大数据平台的安全需求,建立了从数据集成到分析各阶段的安全架构,涵盖基础环境、数据管理和平台管理,保障数据全生命周期安全。
(2) 数据分类分级及应用验证方面:应用验证方面主要集中在数据识别、脱敏、隐私保护等技术的初步验证。如彭剑峰等人[6]以铁路货运数据为研究对象,细化了分类分级标准,并通过数据安全平台实现了敏感数据的识别与脱敏保护,运用机器学习提升了敏感数据识别准确率,降低了人工成本。
(3) 数据共享及流通安全技术验证方面:在铁路数据共享和流动环节,区块链和隐私计算技术的应用较为集中[7]。如张骁等人[8]概述了铁路行业中敏感数据的隐私保护策略和技术路线,提出通过应用程序编程接口(API,Application Programming Interface)网关提供统一的数据服务,并按需进行数据脱敏和匿名处理的数据流通安全保障方式。
可以看出,目前针对铁路敏感数据流通环节中的安全风险识别、安全措施验证还缺乏深入研究。基于此,本文提出面向铁路敏感数据流通的安全管控体系,对铁路行业敏感数据流通过程中的风险进行监测,并对数据安全技术在具体业务场景中的效果进行验证。
1 铁路敏感数据流通安全管控体系构建
铁路敏感数据流通安全管控体系(简称:管控体系)架构如图1所示。该体系根据铁路敏感数据流转的业务场景,通过数据资产梳理、身份梳理、流量和日志采集,实现对监测域内的数据资产、用户身份、行为进行画像分析,构建内部资产和身份的知识图谱,通过对风险模型的优化和动态分析,描绘数据流转路径并预警高危的数据安全风险,建立敏感数据在跨安全域、跨网络边界的流转监测和数据安全管控能力。
管控体系架构设计上参考安全业内的零信任理念[9],将策略控制平面和策略执行平面进行分离。策略控制平面负责分析和决策,多个策略执行点负责执行,确保只有合理的经过授权的身份才能访问并操作敏感数据资源,使数据安全策略得到有效执行,并大幅度提高了体系的灵活性和可扩展性。
1.1 策略控制平面
管控体系具备统一的策略控制平面,根据数据源信息采集、日志收集,结合全流量分析、安全信息和事件管理、用户和实体行为分析等技术,对资产、身份、风险进行智能建模分析。
策略控制平面包含策略引擎和策略管理器,其中,策略引擎内置资产识别引擎、身份识别引擎及风险分析引擎,可持续对数据访问主体身份、客体(数据资源)及行为动作风险大小进行动态评估;策略管理器根据策略引擎评估的结果进行策略生成,并与策略执行平面进行通信,实现策略下发。
1.1.1 资产识别引擎
铁路行业的数据资产规模大、容量大、分散存储且加工使用频繁,在海量数据资产中结合业务要求识别出敏感数据,并对敏感数据进行分类定级,是后续进行安全风险管控的基础。在策略控制平面中嵌入资产识别引擎,使用自动探测、流量捕获等方式,对数据源信息梳理,持续感知敏感数据资产全动态,实现敏感数据识别、敏感分类分级自适应调整。资产识别引擎工作流程如图2所示。
资产识别引擎具备对数据源的接入和管理能力,可对梳理完的数据源元数据进行自动获取;对识别数据源进行数据抽样,获取样本数据,样本数据用于后续人员比对自动匹配类型的准确性;结合预定义的语义包、特征工程、内置规则等解析数据含义,对其中的敏感数据进行业务类型匹配,标记敏感数据,并对敏感数据进行归类梳理;以树形结构清晰展示敏感资产及其分布。引入机器学习和深度学习,持续对字段含义识别规则、业务类型匹配规则进行学习,提高准确率和识别效率。
1.1.2 身份识别引擎
在数据跨界、跨安全域的流转过程中,多因素认证(MFA,Multi-Factor Authentication)可提高攻击者窃取数据的难度,提高数据安全的保护能力[10]。故本文在控制策略平面中嵌入身份识别引擎,对访问数据的主体身份进行多维度描述、识别和管理,其构建过程如图3所示。
身份识别过程中,对于主体身份采集的信息包括客户端IP、端口、账号、终端等,将身份从IP单属性升级到由人、设备、应用、账号组成的多因子身份体系,共同描述谁、用什么工具和账号、在哪个终端和账号下访问了数据。
身份识别引擎具备身份分析检测和动态身份评估能力。身份分析检测可提取身份指纹信息,并采用聚类算法进行动态的身份信息更新与管理[11];动态身份评估过程中会参照安全三要素(身份、行为、资产)对不同身份的行为进行建模,形成对应的身份行为基线,并利用异常检测、随机森林等算法深度分析访问上下文、访问行为等因素,对绘制身份画像进行自适应调整,对各类身份访问行为进行全局关联分析,提高对敏感数据异常访问行为的检出率。
1.1.3 风险分析引擎
敏感数据在流通过程中会涉及跨平台、跨系统、跨安全域的数据交互,需要能够从上述环节的海量数据中自动抽取与风险态势感知相关的知识。在策略控制平面中嵌入风险分析引擎,通过建设以业务场景为主的知识图谱[12],将资产识别的风险结果、身份识别风险结果与业务场景相结合,形成高质量的风险感知知识库,进而构建对敏感数据流通风险感知的能力。
构建图谱的源信息存在异构数据,故选用的知识图谱结构为异构图谱,可整合不同数据源的数据,同时可保存数据结构信息和特征信息。构建和分析异构图谱有多种方式[13],本文主要基于元路径、子图和链接表示,更适用于面向不同数据安全风险的复杂场景的查询和分析。面向敏感数据流通安全,基于动态异构图谱的知识图谱构建流程如图4所示。
(1)标准化事件信息,去除噪声,将相似事件聚类为知识图谱中的节点;
(2)通过行为分析提取关键信息,并与身份、资产和行为关系关联分析后得到节点之间的路径表述,完善知识图谱作为基线;
(3)新事件加入后,经过标准化、特征提取和聚类,更新知识图谱并重新计算风险。
每个新事件生成时都重复1次上述步骤,如果有人工进行二次核验,对核验后的事件再重复1次上述步骤,即可动态更新、维护图谱节点,得到面向数据流通安全风险感知场景的知识图谱。
1.1.4 策略管理器
基于资产识别引擎、身份识别引擎、风险分析引擎的结果呈现,安全人员可以通过风险来源、风险类型、风险内容等多个维度来智能研判后续的响应措施。管控体系需要能够针对不同的数据安全风险进行数据安全防护策略的下发,形成策略管理平面与策略执行平面的协同联动。策略管理器为内置在策略控制平面中的功能模块,主要负责与策略执行平面中的各策略执行组件之间进行通信,并下发策略到不同的策略执行组件中,进行安全任务配置与调度,同时具备监控调度执行状态的能力,实现对敏感数据的脱敏、水印、加密、权限管控等数据安全管控。
1.2 策略执行平面
管控体系中的策略执行平面由多个策略执行点构成,策略执行点为多个具备不同功能的组件,实现数据标识、访问控制、数据加密、脱敏等技术处理。通过将数据安全防护能力组件化、原子化,使不同的数据安全防护能力策略配置统一收缩至策略控制平面,策略执行分布在各个执行组件节点上,实现数据安全防护能力按需灵活扩容。
1.2.1 数据脱敏组件
数据脱敏组件提供数据脱敏能力,通过策略控制平面推送的脱敏端点组件,采用内置的随机映射、遮盖、半遮盖、格式保留加密(FPE,Format Preserving Encryption)[14]等算法,对不同场景的数据进行脱敏处理,以满足业务用户访问、运营维护访问等频繁数据交互的简单脱敏场景。考虑到铁路大数据对业务处理过程中,需要对敏感个人信息进行去隐私化处理但保留数据一致性、业务关联性,故采用FPE算法实现在不改变数据格式前提下,对数据进行脱敏处理,以应对批量数据使用的场景。
1.2.2 数据水印组件
数据水印组件提供数据水印标识能力,是对数据文件中的敏感数据进行高级别仿真水印标识,广泛应用于解决敏感数据发生泄露事件后,泄漏主体不明确、无法追溯等难题。根据数据载体形式不同,有明水印、暗水印、混合水印等多种方式。通过在对外发送(简称:外发)或共享敏感数据的过程中对数据库、文件、API接口使用特定的算法,将隐藏信息嵌入到数据包中,实现水印的嵌入。一旦发生数据安全泄露事件,可通过检测算法,提取出隐藏的信息,用于验证数据的完整性或确认数据的所有权。
1.2.3 API管控组件
API管控组件提供在数据通过API接口调用时管控的能力,是在原本的对流量进行分析API调用敏感数据类型、频次基础之上,通过Agent的方式,提供接口的请求访问控制能力,确保API的数据流通途径安全。 特别是当敏感数据通过API提供给未经授权的数据使用方时可进行阻断,降低数据流通后的不受控风险。
1.2.4 审计溯源组件
审计溯源组件提供数据行为的监控、回溯能力,主要是通过对业务、运维、远程等各类渠道的所有数据库登陆和访问操作进行实时、完整地监控和记录。为了能够在数据安全事件发生后,定位到具体的用户人,在审计溯源能力组件中加入3层审计的能力,用户通过HTTP、HTTPS进行业务访问数据等操作行为,都可以快速、精确审计前端业务账号。同时,审计数据返回包,当敏感数据泄漏后,可方便根据返回内容进行事件判定、追根溯源。
1.2.5 数据加密组件
数据加密组件提供面向存储层的数据加/解密能力,可避免明文数据泄漏。铁路行业的大部分业务数据不能停机,故在数据加密组件中引入透密加密模式,提供业务不停机的加/解密服务,实现数据密文存储,对业务完全透明,提高数据加/解密能力在实际业务场景中的适配性和易用性。
1.2.6 动态控权组件
动态控权组件提供数据访问过程中数据权限管控能力。围绕数据库登陆及访问全会话的数据资产,提供最小化权控能力;通过控制平面安全防护规则和模型,及时发现诸如拖库、撞库、洗库、失陷主机、陌生人闯入等高风险行为,并提供数据权限管控和安全防御过滤,避免出现越权操作、意外删除、账号共享等各类异常风险行为,减少数据流向不可信的安全域后的泄露、破坏风险。
2 敏感数据流通安全管控体系应用
2.1 数据流转水印链
通过数据水印组件和API管控组件,可解决数据在2个数据节点之间流转的溯源问题,以及多个节点数据流转的问题。当敏感数据在不同节点之间流转时,通过水印标识进行溯源。而API管控组件会通过在数据流转交换的各个应用节点部署轻量级探针,探针通过对流量进行转发、阻断、放行等处理,全面识别、梳理业务应用及API接口,并利用策略控制平面的身份识别引擎、风险分析引擎,实现对数据流通节点的可信身份和可信执行环境持续性评估,动态维护可信流动网络。数据水印链管控流程如图5所示。
通过策略执行平面对水印记录进行同步,利用API管控组件能力、数据水印组件能力,在API调用的返回包内容中添加数据水印,以便进行后续溯源,并实现对于数据流通向低安全域的阻断或访问授权,保障数据有序合规的流转。
当非授权应用服务器调用API接口获取数据时,探针将识别不同来源访问的应用流量,并根据策略控制平面中的身份情况进行判断,若应用既不属于身份白名单,也不匹配过滤策略,则进行流量阻断处理,将获取数据的请求包丢包,使得非授权应用无法调用数据。
2.2 数据流转脱敏复敏
在传统数据脱敏基础之上,数据脱敏组件内置了高保真的FPE算法,并通过密钥管理、数据水印组件能力,实现对已脱敏的数据进行复敏,确保数据在共享流转过程中安全合规。通过数据加/解密能力,采用可逆算法对待复敏的数据进行加密,保证加密前后的数据格式完全相同,且数据可通过密钥还原成原始数据。管理平面对身份信息进行详细评估,通过数据水印能力为复敏成为真实数据后的数据外发、共享提供可溯源机制,确保数据流通安全。敏感数据流转脱敏、复敏流程如图6所示。
(1) 铁路安全人员在策略控制平面下发数据加密和数据脱敏策略,对需要外发的敏感数据进行去标识化处理。加密和脱敏后的数据会被推送至外发的备份库。
(2) 执行数据同步任务,将经过加密和脱敏处理后的数据推送至其他单位的前置库中,确保数据的安全传输和共享。
(3) 接收数据的人员提交数据复敏申请,详细说明需要真实数据的原因、用途,并进行备案登记。
(4) 敏感数据的业务相关人员对复敏申请进行合理性审批。申请通过后,审批结果会告知铁路内部安全人员。
(5) 安全人员将FPE密钥、数据字典发送给相关单位的办公人员。
(6) 办公人员将收到的密钥和脱敏数据文件上传至数据解密组件。解密组件自动执行数据复敏操作,并在复敏数据内容上加注水印信息,以便未来溯源和追踪。
3 结束语
本文提出了铁路敏感数据流通安全管控体系,通过数据资产的全面梳理、身份资产的严格管理和动态风险的实时评估,结合数据标识、访问控制、加密和脱敏技术,构建了一个全面的监测和管控机制,并在实际业务场景中应用测试,进一步验证了其有效性和实用性,为铁路行业乃至其他行业的数据安全管理提供了可供参考的解决方案。
-
[1] 李凤华,李 晖,牛 犇,等. 数据要素流通与安全的研究范畴与未来发展趋势[J]. 通信学报,2024,45(5):1-11. DOI: 10.11959/j.issn.1000-436x.2024106. [2] Zhang Y J, Liu H, Wang G W. Data sensitivity and classification management: a declarative approach[J]. International Journal of Information and Communication Sciences, 2021, 6(3): 62-65. DOI: 10.11648/j.ijics.20210603.12
[3] 王 卓,刘国伟,王 岩,等. 数据脱敏技术发展现状及趋势研究[J]. 信息通信技术与政策,2020(4):18-22. DOI: 10.3969/j.issn.1008-9217.2020.04.005. [4] 魏长水,杨轶杰,李 琪. 铁路网络数据安全风险分析及应对措施[J]. 铁路计算机应用,2022,31(11):33-36. DOI: 10.3969/j.issn.1005-8451.2022.11.08. [5] 李 平,赵 冰,刘艺飞. 面向全生命周期的铁路大数据安全保障技术体系研究[J]. 中国铁路,2018(2):32-36. [6] 彭剑峰,徐保民,张义祥. 基于等保2.0的铁路敏感数据安全关键技术及研究[J]. 网络安全技术与应用,2021(1):138-142. DOI: 10.3969/j.issn.1009-6833.2021.01.078 [7] 王红爱,朱建生,吕晓艳,等. 铁路客运电子票据数据共享安全性研究[J]. 铁道运输与经济,2021,43(1):65-70,76. [8] 张 骁. 铁路数据安全与隐私保护管理策略研究[J]. 铁路计算机应用,2021,30(11):43-46. DOI: 10.3969/j.issn.1005-8451.2021.11.09. [9] Balasubramanian A, Prabhu A. Zero trust architecture: components, principles and implementation[J]. Journal of Emerging Technologies and Innovative Research, 2024, 11(2): c756-c764.
[10] Henricks A, Kettani H. On data protection using multi-factor authentication[C]//Proceedings of the 2019 International Conference on Information System and System Management, 14-16 October, 2019, Rabat, Morocco. New York, USA: ACM, 2019 .
[11] Aamir M, Zaidi S M. Clustering based semi-supervised machine learning for DDoS attack classification[J]. Journal of King Saud University - Computer and Information Sciences, 2021, 33(4): 436-446. DOI: 10.1016/j.jksuci.2019.02.003
[12] Yan Z H, Liu J J. A review on application of knowledge graph in cybersecurity[C]//Proceedings of 2020 International Signal Processing, Communications and Engineering Management Conference, 27-29 November, 2020, Montreal, QC, Canada. New York, USA: IEEE, 2020: 240-243.
[13] Wu L, Hu J. A survey on knowledge graphs: representation, construction, and applications[J]. IEEE Transactions on Knowledge and Data Engineering, 2019, 32(11): 2202-2220.
[14] Gupta S, Jain S, Agarwal M. Ensuring data security in databases using format preserving encryption[C]//Proceedings of 2018 8th International Conference on Cloud Computing, Data Science & Engineering, 11-12 January, 2018, Noida, India. New York, USA: IEEE, 2018.
-
期刊类型引用(1)
1. 吕丁,刘怡. 城市占道施工区域自适应交通诱导系统设计. 自动化与仪器仪表. 2021(06): 136-140 . 
百度学术
其他类型引用(6)
下载:
计量
- 文章访问数: 57
- HTML全文浏览量: 25
- PDF下载量: 31
- 被引次数: 7
