智慧城际铁路数据安全治理体系及其关键技术研究

基金项目: 中铁科（北京）信息工程设计咨询有限公司科研项目（DZYF21-66）

Research on data security governance system of intelligent intercity railway and its key technologies

1.
China Railway Science (Beijing) Information Engineering Design Consulting Co., Ltd, Beijing　100081, China
2.
Institute of Computing Technologies, China Academy of Railway Sciences Corporation Limited, Beijing　100081, China
3.
School of Electronic Information Engineering, Beijing Jiaotong University, Beijing　100044, China

摘要: 为有效应对网络攻击，在确保数据安全的前提下满足智慧城际铁路数据共享需求，结合当前主流的零信任架构、软件定义边界技术、隐私计算技术及微服务技术，提出基于云端的智慧城际铁路数据治理体系架构，包括数据基座、数据共享平台、数据管控平台和应用服务，能够实现动态的细粒度数据访问控制，满足不同应用场景下差异化数据安全及隐私保护的需求。
- 智慧城际铁路 /
- 数据安全 /
- 零信任 /
- 软件定义边界 /
- 微隔离 /
- 隐私计算
Abstract: In order to effectively cope with network attacks and meet the data sharing requirements of smart intercity railway on the premise of ensuring data security, the architecture of a cloud-based data governance system of smart intercity railway is proposed by combining the current mainstream zero-trust architecture, software-defined boundary technology, privacy computing technology and micro-service technology. This system is composed of a data base, a data sharing platform, a data management and control platform and application services and can achieve dynamic and fine-grained data access control to meet differentiated data security and privacy protection requirements in application scenarios.
- intelligent intercity railway /
- data security /
- zero trust /
- SDP /
- micro isolation /
- privacy computation.

图 1 城际铁路数据分类分级树状图

下载: 全尺寸图片幻灯片

图 2 智慧城际铁路数据安全治理体系总体架构

下载: 全尺寸图片幻灯片

图 3 基于SDP的数据共享架构

下载: 全尺寸图片幻灯片

图 4 动态信任评估算法流程

下载: 全尺寸图片幻灯片

图 5 基于SDP的数据访问会话建立过程

下载: 全尺寸图片幻灯片

图 6 ABAC数据访问控制模型示意

下载: 全尺寸图片幻灯片

图 7 多级访问控制矩阵及数据访问模式示意

下载: 全尺寸图片幻灯片

表 1 城际铁路数据安全分级准则

安全级别	数据安全事件负面影响及相关的安全管理要求
L4数据	一旦丢失、泄露、被篡改或损坏后对国家、城际铁路运营和个人造成特别严重影响的数据，需要被执行最高要求的安全管控
L2数据	一旦丢失、泄露、被篡改或损坏后对国家、城际铁路运营和个人造成严重影响的数据，需要被执行较强的安全管控
L3数据	一旦丢失、泄露、被篡改或损坏后对国家、城际铁路运营和个人造成一定程度影响的数据，需要被执行基本的安全管控
L1数据	一旦丢失、泄露、被篡改或损坏后对国家、城际铁路运营和个人造成较小或无影响的数据，对其安全管控不做要求

下载: 导出CSV

[1]	国家发展改革委. 国家发展改革委关于粤港澳大湾区城际铁路建设规划的批复[EB/OL]. （2020-07-30）. https://zfxxgk.ndrc.gov.cn/web/iteminfo.jsp?id=17203.
[2]	European Union Agency for Cybersecurity. Railway cybersecurity[EB/OL]. (2020-11-13). [2022-11-16]. https://www.enisa.europa.eu/publications/railway-cybersecurity.
[3]	Mohurle S, Patil M. A brief study of wannacry threat: ransomware attack 2017 [J]. International Journal of Advanced Research in Computer Science, 2017, 8(5): 1938-1940.
[4]	王健,高朝晖,张宁,等. 南京轨道交通线网AFC系统的数据传输 [J]. 都市快轨交通,2008,21(5):85-88.
[5]	王超,赵英明,陈勋,等. 铁路关键信息基础设施安全防护框架设计 [J]. 铁路计算机应用,2022,31(5):7-11.
[6]	冯凯亮,陈勋,张德栋,等. 铁路行业关键信息基础设施数据安全防护平台研究 [J]. 铁路计算机应用,2021,30(11):73-76.
[7]	杨帅锋,李俊. 工业领域数据安全管理体系思考 [J]. 中国信息安全,2022(4):48-50.
[8]	Thönes J. Microservices [J]. IEEE Software, 2015, 32(1): 116. doi: 10.1109/MS.2015.11
[9]	Rose S W, Borchert O, Mitchell S, et al. Zero trust architecture[R]. Gaithersburg: National Institute of Standards and Technology, 2020.
[10]	李晓峰,冯登国,陈朝武,等. 基于属性的访问控制模型 [J]. 通信学报,2008,29(4):90-98.
[11]	闫树,吕艾临. 隐私计算发展综述 [J]. 信息通信技术与政策,2021,47(6):1-11.