■ 劉陽學(xué) 王萬齊 李平 秦健

基于云計算的鐵路工程管理平臺數(shù)據(jù)安全研究

■ 劉陽學(xué) 王萬齊 李平 秦健

數(shù)據(jù)是企業(yè)的重要資產(chǎn)，但數(shù)據(jù)安全面臨嚴(yán)峻挑戰(zhàn)。根據(jù)鐵路工程管理平臺的安全建設(shè)要求，從平臺安全風(fēng)險和數(shù)據(jù)安全風(fēng)險兩方面做了全面而詳細(xì)的分析，在此基礎(chǔ)上提出平臺數(shù)據(jù)安全防護(hù)體系，給出基于云計算的鐵路工程管理平臺數(shù)據(jù)安全技術(shù)實(shí)現(xiàn)方案，分別從數(shù)據(jù)區(qū)域劃分、數(shù)據(jù)訪問控制和容災(zāi)備份3方面進(jìn)行論述，為鐵路工程管理平臺數(shù)據(jù)中心的安全方案設(shè)計提供依據(jù)。

鐵路工程管理平臺；數(shù)據(jù)安全；安全策略

1 概述

近年來，我國鐵路建設(shè)取得了舉世矚目的成績，高速鐵路運(yùn)營里程躍居世界第一，多條高速鐵路、城際鐵路的建設(shè)持續(xù)開展，從企業(yè)化管理視角對工程建設(shè)管理提出新的要求。綜合考慮中國鐵路總公司對工程建設(shè)全面管理，以及各鐵路局、客專公司和參建單位的實(shí)際需求，需要建設(shè)一套涵蓋設(shè)計、建設(shè)及運(yùn)營的全生命周期管理的鐵路工程管理平臺（簡稱平臺）。平臺利用先進(jìn)的云計算和虛擬化技術(shù)搭建，總體上采用數(shù)據(jù)集中管理，并應(yīng)用分散部署的網(wǎng)絡(luò)結(jié)構(gòu)。平臺具有涉及單位人員多、應(yīng)用功能復(fù)雜、網(wǎng)絡(luò)接入點(diǎn)多等特點(diǎn)，為保障平臺安全穩(wěn)定運(yùn)行的要求，需要建設(shè)一套全面的數(shù)據(jù)安全保障體系。

2 平臺數(shù)據(jù)安全需求分析

平臺業(yè)務(wù)數(shù)據(jù)信息匯總?cè)反笾行丸F路建設(shè)項(xiàng)目各方面數(shù)據(jù)，包括項(xiàng)目工程設(shè)計、進(jìn)度、質(zhì)量、投資、安全風(fēng)險等數(shù)據(jù)，以及工程建設(shè)調(diào)度指揮、教育和誠信記錄、工程建設(shè)相關(guān)的規(guī)章制度等。大量的工程信息通過互聯(lián)網(wǎng)進(jìn)行傳輸，作為平臺的承載主體，必須確保數(shù)據(jù)傳輸網(wǎng)絡(luò)安全和數(shù)據(jù)存儲安全，保障業(yè)務(wù)系統(tǒng)的完整性、機(jī)密性、可用性。

2.1 平臺安全風(fēng)險需求分析

平臺業(yè)務(wù)覆蓋面廣，涉及多個參建單位及眾多使用對象。各參建單位信息技術(shù)能力參差不齊，對數(shù)據(jù)具有較強(qiáng)的依賴性，缺乏相應(yīng)的保護(hù)意識，尤其以互聯(lián)網(wǎng)作為通信載體的情況下，來自互聯(lián)網(wǎng)的攻擊和大量的蠕蟲病毒，對系統(tǒng)本身基礎(chǔ)資源的攻擊、占用、數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)可用性和數(shù)據(jù)可靠性降低，給整個系統(tǒng)的業(yè)務(wù)正常開展帶來嚴(yán)重的影響。通過綜合分析，平臺所面臨的主要安全風(fēng)險見表1。

2.2 數(shù)據(jù)安全風(fēng)險需求分析

數(shù)據(jù)是鐵路工程管理平臺的核心，也是鐵路工程建設(shè)管理單位的重要資產(chǎn)。數(shù)據(jù)的丟失、泄露和損壞，將破壞數(shù)據(jù)的保密性、完整性和可用性，給企業(yè)帶來無法估量的損失，因此有必要根據(jù)數(shù)據(jù)的安全性要求分析數(shù)據(jù)安全風(fēng)險。

結(jié)合建設(shè)信息公開需求和應(yīng)用過程分析，將平臺建設(shè)施工階段的數(shù)據(jù)分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)，其具體劃分見圖1。

2.2.1 敏感數(shù)據(jù)

敏感數(shù)據(jù)對數(shù)據(jù)安全性要求很高，主要包括：投資信息、質(zhì)量信息、安全信息、工程量清單信息、驗(yàn)工計價信息、工程造價信息、竣工驗(yàn)收信息等。這些信息在施工過程中涉及資金、質(zhì)量等相關(guān)信息，不利于全部向社會公開，在平臺中定義為敏感數(shù)據(jù)。

2.2.2 非敏感數(shù)據(jù)

非敏感數(shù)據(jù)對安全要求低，在鐵路建設(shè)信息公開文件中明確指出的工程建設(shè)的項(xiàng)目信息和信用信息等，在平臺中定義為非敏感數(shù)據(jù)。

數(shù)據(jù)是企業(yè)的重要資源，平臺應(yīng)以數(shù)據(jù)安全為核心，不僅在傳統(tǒng)的設(shè)備層面考慮安全，還要根據(jù)數(shù)據(jù)安全級別采取嚴(yán)格的防護(hù)措施，保護(hù)好企業(yè)的重要資產(chǎn)，避免造成損失。

綜上所述，平臺安全在設(shè)計上要增強(qiáng)安全保障措施，選用高可靠性的軟硬件平臺，采用嚴(yán)密的身份認(rèn)證、授權(quán)管理和數(shù)據(jù)加密等措施，并建立完整的安全管理規(guī)范和制度，建立完整的鐵路工程管理平臺的安全保障體系，滿足平臺的信息安全要求。

3 平臺數(shù)據(jù)安全防護(hù)體系

平臺數(shù)據(jù)安全防護(hù)體系分為7個方面：基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全、安全管理平臺及信息安全管理制度（見圖2）。

（1）基礎(chǔ)設(shè)施安全：主要指環(huán)境安全、設(shè)備和介質(zhì)的防盜竊防破壞等。平臺的基礎(chǔ)設(shè)施安全應(yīng)考慮供配電系統(tǒng)、綜合布線系統(tǒng)、空調(diào)通風(fēng)系統(tǒng)、機(jī)房環(huán)境監(jiān)控系統(tǒng)、安全防護(hù)系統(tǒng)、消防報警系統(tǒng)等方面，為平臺的運(yùn)行提供安全可靠的穩(wěn)定運(yùn)行環(huán)境。

（2）網(wǎng)絡(luò)安全：從網(wǎng)絡(luò)結(jié)構(gòu)、邊界控制、入侵檢測和防護(hù)、路由與交換等方面，利用防火墻、VLan等技術(shù)將平臺劃分成敏感、非敏感、數(shù)據(jù)交換、管理等多個安全隔離區(qū)域，根據(jù)不同安全區(qū)域的重要程度，采取不同級別的安全策略，實(shí)現(xiàn)多層次的網(wǎng)絡(luò)安全防護(hù)。

（3）主機(jī)安全：主要通過虛擬防火墻、防病毒系統(tǒng)保證數(shù)據(jù)中心環(huán)境下各虛擬機(jī)的安全；通過漏洞掃描對局域網(wǎng)、Web站點(diǎn)、主機(jī)操作系統(tǒng)、平臺應(yīng)用服務(wù)及防火墻系統(tǒng)本身的安全漏洞進(jìn)行掃描，分析并修復(fù)安全漏洞，降低系統(tǒng)安全風(fēng)險。

（4）數(shù)據(jù)安全：根據(jù)對應(yīng)用和數(shù)據(jù)的分級，在進(jìn)行敏感操作時，防火墻通過SSL協(xié)議進(jìn)行加密，同時采用用戶名、口令、證書、動態(tài)口令等認(rèn)證方式進(jìn)行身份認(rèn)證，只有通過身份認(rèn)證的用戶方可進(jìn)入敏感數(shù)據(jù)區(qū)進(jìn)行操作；當(dāng)用戶進(jìn)行非敏感業(yè)務(wù)和數(shù)據(jù)操作時，防火墻采取策略是直接進(jìn)入非敏感區(qū)，進(jìn)行非敏感數(shù)據(jù)的操作，同時還應(yīng)制定相應(yīng)的備份計劃，采用多種備份策略，對數(shù)據(jù)進(jìn)行備份與恢復(fù)等。

（5）應(yīng)用安全：構(gòu)建身份認(rèn)證、應(yīng)用系統(tǒng)訪問控制、用戶管理等系統(tǒng)，提高系統(tǒng)接入用戶身份安全鑒別能力以及關(guān)鍵業(yè)務(wù)辦理的抗抵賴效果，對平臺使用人員以“用戶名+口令”、“數(shù)字證書”或多種認(rèn)證方式的任意組合方式登錄，為用戶提供較高安全等級接入機(jī)制認(rèn)證，保證系統(tǒng)接入人員的身份高可靠性，同時應(yīng)嚴(yán)格監(jiān)管人員身份，對敏感數(shù)據(jù)操作嵌入完整性校驗(yàn)及抗抵賴技術(shù)。

（6）安全管理平臺：通過統(tǒng)一部署的平臺管理軟件實(shí)現(xiàn)對數(shù)據(jù)中心內(nèi)部資源和網(wǎng)絡(luò)安全的防護(hù)和管理；通過對各類安全設(shè)備統(tǒng)一配置，實(shí)現(xiàn)對內(nèi)部終端的集中安全保護(hù)和監(jiān)控、統(tǒng)一的云平臺的集中安全策略管理、網(wǎng)絡(luò)的安全審計及多級協(xié)同的安全管理模式。

（7）信息安全管理制度：包括管理制度、技術(shù)規(guī)范、管理要求、人員要求、項(xiàng)目建設(shè)管理要求、系統(tǒng)運(yùn)維規(guī)范等。

4 平臺數(shù)據(jù)安全技術(shù)方案

平臺的數(shù)據(jù)安全主要涉及數(shù)據(jù)區(qū)域劃分、數(shù)據(jù)訪問控制、數(shù)據(jù)容災(zāi)備份與恢復(fù)3個方面。

4.1 數(shù)據(jù)區(qū)域劃分

數(shù)據(jù)區(qū)域劃分是指根據(jù)數(shù)據(jù)的敏感程度對數(shù)據(jù)進(jìn)行分區(qū)域存儲。

平臺數(shù)據(jù)分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)，對數(shù)據(jù)的訪問操作應(yīng)分為敏感數(shù)據(jù)操作和非敏感數(shù)據(jù)操作。因此，在網(wǎng)絡(luò)層根據(jù)數(shù)據(jù)和業(yè)務(wù)的敏感性劃分為敏感子網(wǎng)區(qū)和非敏感子網(wǎng)區(qū)；在應(yīng)用層劃分為敏感應(yīng)用區(qū)和非敏感應(yīng)用區(qū)，對敏感應(yīng)用和非敏感應(yīng)用應(yīng)分別部署在不同的服務(wù)器上；在數(shù)據(jù)存儲層應(yīng)將數(shù)據(jù)按敏感和非敏感數(shù)據(jù)劃分不同的存儲區(qū)域，進(jìn)行分別存儲。

平臺根據(jù)業(yè)務(wù)訪問的敏感程度，針對不同敏感性數(shù)據(jù)采取不同的安全策略，實(shí)現(xiàn)分級分類的訪問控制（見圖3）。

4.2 數(shù)據(jù)訪問控制

4.2.1 數(shù)據(jù)加密

當(dāng)用戶進(jìn)行敏感業(yè)務(wù)和敏感數(shù)據(jù)操作時，應(yīng)對數(shù)據(jù)進(jìn)行IPSEC VPN或SSL VPN加密。

當(dāng)應(yīng)用進(jìn)行非敏感業(yè)務(wù)和數(shù)據(jù)操作時，數(shù)據(jù)可不通過加密傳輸，在出口防火墻安全策略應(yīng)是讓訪問直接進(jìn)入非敏感子網(wǎng)進(jìn)行非敏感數(shù)據(jù)的操作。

4.2.2 訪問控制策略

訪問控制策略是在防護(hù)、檢測、響應(yīng)和恢復(fù)的動態(tài)安全模型的控制和指導(dǎo)下，通過綜合運(yùn)用防火墻、系統(tǒng)身份認(rèn)證和加密等手段等防護(hù)工具，以及漏洞掃描評估、入侵檢測等檢測工具評估平臺的安全狀態(tài)，將平臺調(diào)整到“最安全”和“風(fēng)險最低”的安全狀態(tài)。

訪問控制的安全策略考慮采用2種方式實(shí)現(xiàn)：（1）基于身份的安全策略。通過認(rèn)證系統(tǒng)過濾對平臺數(shù)據(jù)或應(yīng)用的訪問，只有能通過認(rèn)證的用戶才能對平臺敏感數(shù)據(jù)或敏感應(yīng)用進(jìn)行訪問和操作。（2）基于規(guī)則的安全策略。根據(jù)數(shù)據(jù)的敏感性，對數(shù)據(jù)或資源進(jìn)行安全標(biāo)注。在具體實(shí)現(xiàn)上，系統(tǒng)通過比較用戶的安全級別和所訪問數(shù)據(jù)的安全級別來判斷是否允許訪問。

平臺數(shù)據(jù)訪問控制應(yīng)具備訪問控制表（ACL）、訪問控制矩陣、訪問控制能力列表、訪問控制安全標(biāo)簽列表等多種形式，具體實(shí)現(xiàn)形式應(yīng)根據(jù)應(yīng)用系統(tǒng)的實(shí)際情況確定；平臺數(shù)據(jù)訪問控制應(yīng)具備通過數(shù)據(jù)庫管理器建立的訪問控制表進(jìn)行授權(quán)和身份認(rèn)證，只有具有權(quán)限且通過身份認(rèn)證的應(yīng)用可以進(jìn)行敏感數(shù)據(jù)的操作。

平臺數(shù)據(jù)訪問控制示意見圖4。

4.3 數(shù)據(jù)容災(zāi)備份與恢復(fù)

數(shù)據(jù)的容災(zāi)備份與恢復(fù)是數(shù)據(jù)安全的重要環(huán)節(jié)，也是數(shù)據(jù)中心能力的重要指標(biāo)和核心，關(guān)系到最終實(shí)現(xiàn)數(shù)據(jù)的可用性、機(jī)密性和完整性。

平臺的容災(zāi)備份從應(yīng)用的角度考慮，包括數(shù)據(jù)級容災(zāi)和應(yīng)用級容災(zāi)。數(shù)據(jù)級容災(zāi)是為了保證數(shù)據(jù)的完整性、可靠性和安全性；應(yīng)用級容災(zāi)是指提供不間斷的應(yīng)用服務(wù)，實(shí)現(xiàn)應(yīng)用的高可用性和連續(xù)性，保證平臺提供的應(yīng)用服務(wù)完整、可靠和安全。數(shù)據(jù)級容災(zāi)是數(shù)據(jù)安全的基礎(chǔ)，在數(shù)據(jù)完整、可靠和安全的基礎(chǔ)上才能實(shí)現(xiàn)應(yīng)用級別的容災(zāi)。

在平臺中，對非敏感應(yīng)用采用數(shù)據(jù)級容災(zāi)，同時也降低了成本。異地數(shù)據(jù)備份中心應(yīng)分階段建設(shè)，初期可建設(shè)針對敏感數(shù)據(jù)的數(shù)據(jù)級容災(zāi)中心。根據(jù)平臺的業(yè)務(wù)和功能需求，再考慮建設(shè)應(yīng)用級容災(zāi)中心。

4.3.1 數(shù)據(jù)級容災(zāi)

平臺應(yīng)通過在異地建立數(shù)據(jù)備份中心，當(dāng)本地數(shù)據(jù)在災(zāi)難性事件中被損壞或不可恢復(fù)時，異地數(shù)據(jù)備份中心即可提供可用的數(shù)據(jù)。數(shù)據(jù)級容災(zāi)是容災(zāi)備份的基礎(chǔ)形式，只需要考慮數(shù)據(jù)的備份和存儲，實(shí)現(xiàn)起來相對簡單，投資成本相對較低。數(shù)據(jù)級容災(zāi)的安全策略主要考慮以下3方面。

（1）平臺應(yīng)采用在線模式。由于平臺的數(shù)據(jù)實(shí)時性和業(yè)務(wù)連續(xù)性要求高，應(yīng)通過定時、增量、全備份、差分備份等策略對數(shù)據(jù)進(jìn)行備份。

（2）在遠(yuǎn)程數(shù)據(jù)復(fù)制技術(shù)方面，平臺可根據(jù)實(shí)際情況，采用服務(wù)器邏輯卷、基于存儲備份軟件或基于智能存儲設(shè)備等備份方式。

（3）平臺根據(jù)數(shù)據(jù)敏感性的劃分，對敏感數(shù)據(jù)采用同步數(shù)據(jù)備份的方式，而對非敏感數(shù)據(jù)應(yīng)采用異步數(shù)據(jù)備份方式。

4.3.2 應(yīng)用級容災(zāi)

應(yīng)用級容災(zāi)的目的是保證業(yè)務(wù)的連續(xù)性。在實(shí)現(xiàn)數(shù)據(jù)級容災(zāi)的基礎(chǔ)上，建立應(yīng)用系統(tǒng)的備份和負(fù)載均衡機(jī)制。通過云計算平臺實(shí)現(xiàn)本地應(yīng)用故障時，備份應(yīng)用的自動接管，保證業(yè)務(wù)的連續(xù)性；當(dāng)本地應(yīng)用均出現(xiàn)故障時，系統(tǒng)能夠通過異地備份應(yīng)用系統(tǒng)接管，保證應(yīng)用不間斷提供服務(wù)。

應(yīng)用級容災(zāi)需要考慮的因素較多，包括數(shù)據(jù)復(fù)制的完整性、一致性，網(wǎng)絡(luò)的穩(wěn)定性，應(yīng)用軟件的適應(yīng)性，備份中心的物理環(huán)境，人員培訓(xùn)和管理制度等。

4.3.3 容災(zāi)恢復(fù)策略

在平臺中，將敏感數(shù)據(jù)和數(shù)據(jù)庫的備份作為日常運(yùn)行處理的一部分，以確保出現(xiàn)問題時及時恢復(fù)重要數(shù)據(jù)，保持業(yè)務(wù)的持續(xù)性。因此，高可靠性方案應(yīng)該考慮到應(yīng)用和數(shù)據(jù)的保護(hù)。

平臺數(shù)據(jù)備份應(yīng)以高可靠高性能的存儲系統(tǒng)為基礎(chǔ)，采用基于存儲備份軟件或智能存儲設(shè)備備份等技術(shù)，通過增量、全備份、差分備份等備份策略，制定備份時間計劃，實(shí)現(xiàn)敏感數(shù)據(jù)的本地備份與恢復(fù)，逐步構(gòu)建同城數(shù)據(jù)級容災(zāi)備份中心。

5 結(jié)束語

鐵路工程管理平臺數(shù)據(jù)安全方案在對平臺建設(shè)背景、數(shù)據(jù)安全需求、網(wǎng)絡(luò)結(jié)構(gòu)深入介紹與分析的基礎(chǔ)上，根據(jù)數(shù)據(jù)集中管理，應(yīng)用分散部署的網(wǎng)絡(luò)架構(gòu)，按照“數(shù)據(jù)為核心、分級分類、區(qū)域保護(hù)”等關(guān)鍵原則，將平臺應(yīng)用及數(shù)據(jù)劃分為敏感區(qū)與非敏感區(qū)，從平臺數(shù)據(jù)區(qū)域劃分、數(shù)據(jù)訪問控制和數(shù)據(jù)容災(zāi)備份與恢復(fù)等方面，構(gòu)建平臺數(shù)據(jù)安全防護(hù)體系，在重點(diǎn)考慮數(shù)據(jù)中心自身數(shù)據(jù)的備份和恢復(fù)能力的基礎(chǔ)上，形成多層次的縱深防御體系，確保整個平臺數(shù)據(jù)的保密性、完整性、可用性。

[1] 鄧亞平． 計算機(jī)網(wǎng)絡(luò)安全[M]． 北京：人民郵電出版社，2004．

[2] 周明全，呂林濤，李軍懷． 網(wǎng)絡(luò)信息安全技術(shù)[M]． 西安：西安電子科技大學(xué)出版社，2003．

[3] 何歡，何倩． 數(shù)據(jù)備份與恢復(fù)[M]． 北京：機(jī)械工業(yè)出版社，2010．

[4] 楊歡． 云數(shù)據(jù)中心構(gòu)建實(shí)戰(zhàn)[M]． 北京：機(jī)械工業(yè)出版社，2014．

[5] 邵國安． 云計算在電子政務(wù)和鐵路應(yīng)用中的安全要求[J]．中國鐵路，2015(5)：19-22．

劉陽學(xué)：中國鐵道科學(xué)研究院電子計算技術(shù)研究所，助理研究員，北京，100081

王萬齊：中國鐵路總公司工程管理中心，高級工程師，北京，100844

李 平：中國鐵道科學(xué)研究院電子計算技術(shù)研究所，研究員，北京，100081

秦 ?。褐袊F道科學(xué)研究院電子計算技術(shù)研究所，副研究員，北京，100081

責(zé)任編輯 苑曉蒙

TP392

A

1672-061X（2015）06-0051-05