CASB技术的铁路行业关键信息数据的安全防护.pdf

1、2 0 2 4年2期1 1 1 2 0 2 4年第4 6卷第2期基于C A S B技术的铁路行业关键信息数据的安全防护李世春 刘 冰 马 玲 蒲 伟 廖晨玥作者简介:李世春(1 9 8 0-),本科,高级工程师,研究方向为软件研发。(中国铁路兰州局集团有限公司 兰州7 4 1 0 0 0)摘 要 针对铁路行业关键信息数据安全防护存在的不足,文中在详细分析了铁路数据安全防护平台的架构、特性和功能后,提出了一种融合了关键应用安全代理(C A S B)技术的创新性数据安全防护系统。该系统采用轻量级数据加密算法与安全传输协议集成技术,可以全面保障关键信息数据在其全生命周期内的安全性。另外,通过对实际应

2、用案例的深入分析,进一步验证了该系统架构和部署策略的有效性和必要性。关键词:铁路数据;数据安全;数据分级分类;加密;C A S B中图分类号 T P 3 0 9.2S e c u r i t yP r o t e c t i o no fK e yI n f o r m a t i o nD a t a i nt h eR a i l w a yI n d u s t r yB a s e do nC A S BT e c h n o l o g yL IS h i c h u n,L I UB i n g,MAL i n g,P U W e i a n dL I AOC h e n y u

3、e(C h i n aR a i l w a yL a n z h o uG r o u pC o.,L t d.,L a n z h o u7 4 1 0 0 0,C h i n a)A b s t r a c t A i m i n ga tt h es h o r t c o m i n g so ft h es e c u r i t yp r o t e c t i o no fk e yi n f o r m a t i o nd a t ai nt h er a i l w a yi n d u s t r y,a f t e ra n a l y z i n gt h ea r

4、 c h i t e c t u r e,c h a r a c t e r i s t i c sa n d f u n c t i o n so f t h e r a i l w a yd a t as e c u r i t yp r o t e c t i o np l a t f o r mi nd e t a i l,t h i sp a-p e rp r o p o s e sa ni n n o v a t i v ed a t as e c u r i t yp r o t e c t i o ns y s t e ma r c h i t e c t u r et h a

5、 t i n t e g r a t e sc r i t i c a la p p l i c a t i o ns e c u r i t ya g e n t(C A S B)t e c h n o l o g y.T h e s y s t e ma d o p t s l i g h t w e i g h t d a t a e n c r y p t i o na l g o r i t h ma n d s e c u r e t r a n s m i s s i o np r o t o c o l i n t e g r a t i o nt e c h n o l o

6、g y,w h i c hc a nc o m p r e h e n s i v e l ye n s u r et h es e c u r i t yo fk e yi n f o r m a t i o nd a t ai ni t sw h o l el i f ec y c l e.I na d d i t i o n,t h r o u g hi n-d e p t ha n a l y s i so fp r a c t i c a la p p l i c a t i o nc a s e s,t h ee f f e c t i v e n e s sa n dn e c

7、e s s i t yo ft h es y s t e ma r c h i t e c t u r ea n dd e p l o y m e n t s t r a t e g ya r e f u r t h e rv e r i f i e d.K e y w o r d s R a i l w a yd a t a,D a t as e c u r i t y,D a t ac l a s s i f i c a t i o na n dc l a s s i f i c a t i o n,E n c r y p t i o n,C A S B0 引言近年来,随着网络科技的快速发

8、展,全球的关键信息基础设施面临着复杂、频繁的网络威胁1。目前,针对关键信息基础设施的网络攻击越来越复杂,黑客活动不再局限于对系统的探测和侵入,更涉及重要数据的非法获取、篡改和传播。在此背景下,针对铁路数据的安全防护显得尤为重要,它已经成为铁路信息技术发展中的核心议题2。我国在“十四五”战略规划中,特别强调了构建并优化关键信息基础设施的安全框架,以增强网络防御能力,保障国家主权。铁路作为国家重要的基础设施,在综合交通运输体系中有着至关重要的作用。因此,铁路信息基础设施的数据安全防护是不容忽视的问题。1 铁路行业的数据特点及面临的安全挑战1.1 铁路行业的数据特点基于现有的相关研究文献,并通过深入

9、的分析和归纳,可以得出我国铁路行业数据具有以下三大核心特征。1.1.1 全方位多领域集成的数据经过多年的发展和应用,我国铁路信息系统已逐渐形成了一个综合性的数据池,其中涵盖了客货营销、运输组织、经营策略、基础设施、设备检测等多个维度的数据3。这些信息不仅反映了铁路行业的各业务段落,还贯穿了从项目规划设计、工程建设,到运营管理、后期维护的完整周期。1.1.2 时空分布广、地域特征强数据来源包括1 8个铁路局的信息系统和基础设施传感器、运行线路和车站的视频监控、设备设施的实时监测数据等,具有时空分布广、地域性明显的特点。1.1.3 更新速度快、时效性强在铁路领域,数据的采集和管理策略高度复杂化。尤

10、其是1 8个铁路局采用了高级的信息管理系统。同时,基于最新科技的传感器被广泛部署在各种基础设施中,用于捕获和传输实时数据。从宏观角度来看,这种深度集成的数据收集方法导致铁路行业的大数据呈现出独特的时空连续性和地域性特征,为进一步的学术研究和应用提供了坚实的基础。1 1 2 2 0 2 4年2期1.2 面临的安全挑战本文分析了铁路行业的关键信息基础设施及重要信息系统数据的全生命周期过程,并研究了关键信息基础设施及重要信息系统涉及的终端数据接入、传输和存储、共享使用、流动监测等4。1.2.1 数据管控难度大铁路行业数据的生成与管理涉及了复杂的系统结构。这些数据不仅综合了整个路网的人力资源配置、基础

11、设施维护状况、移动设备的操作历史,还记录了生产与运营中的日常活动和决策过程。然而,部分信息系统的管理部门并未充分认识到数据的重要性和潜在风险,往往对其进行随意的存储、使用或共享,导致数据的安全性被进一步削弱。1.2.2 信息加密技术普遍落后铁路行业信息系统规模庞大,系统安全建设通常根据各部门的需求进行。分散式的密码技术通常存在密钥管理不善、计算参数不合理等问题,容易引发安全隐患5。1.2.3 访问控制细粒度不足铁路数据具有多样性,并与连续的业务流程和庞大的用户群体紧密相连。在数据的实际应用中,其接触的用户角色极为丰富,数据在各类控制实体间流转,甚至在某些分析阶段就能产生派生数据。在数据的共享、

12、交易及交换过程中,容易出现数据的拥有者与管理者不一致的现象,导致数据所有权与使用权的分离6。考虑到数据资源并不受其所有者的完全控制,目前尚缺乏一种有效手段来对铁路行业内的数据访问行为进行严格的安全监管,难以实现细粒度、高可伸缩性和保密性的访问控制标准。1.2.4 流动过程安全状态不明关键信息基础设施数据在流动过程中的安全状态不清晰,缺少对关键基础设施数据的有效监测,无法把控数据在传输过程中是否被篡改、利用、窃取等。2 铁路行业数据安全防护的总体架构本文在参照与网络安全与数据安全相关的法律法规及标准的基础上,结合中国国家铁路集团有限公司的网络安全管理 办 法,针 对 关 键 信 息 基 础 设

13、施 数 据 的 全 生 命 周期 从采集、传输、存储到使用、共享、销毁的各个环节存在的潜在风险点,构建了一套基于关键应用安全代理(C r i t i-c a lA p p l i c a t i o nS e c u r i t yB r o k e r,C A S B)技术的铁路行业关键信息数据安全防护框架。2.1 架构设计本文设计了一种基于C A S B技术的铁路行业关键信息数据安全防护架构,其核心理念是重视对相关数据的保护。针对铁路业务应用,构建了一个铁路数据安全防护平台,这使得密码资源得以弹性配置,集中地解决业务安全需求,同时避免了密码服务基础设施的重复构建,确保了各个应用系统的安全运

14、行。在铁路业务应用的内部,配置了C A S B。通过应用加密算法,该代理可以对指定的数据字段进行加密、脱敏及审计,将数据的安全保护细化至字段级别。同时,权限访问控制被应用于解密节点,以避免绕过既定的安全策略,强化了应用系统内部的安全防护。安全防护总体架构如图1所示。图1 安全防护总体架构移动信息2 0 2 4年2期1 1 3 2.2 数据采集及流转架构在铁路建设的信息服务架构中,数据在各个层次之间(如基础设施、软件平台和业务应用)高效流转并实现了互联共享。随着数据流转至更高的层次,其潜在价值逐渐提升。在基础设施层,数据仅以缺乏业务意义的二进制形式存在;进入软件平台,数据可以转化为多种文件格式;

15、而在业务应用层,数据被赋予了丰富的上下文和明确的业务意义。为确保铁路信息的完整性和安全性,应强调数据安全,并特别关注在业务应用层的数据保护。为更有效地预防和应对数据安全风险,必须重视对铁路数据资产的保护,特别是在应用层的实践中。2.3 字段级细粒度及防绕过防护技术安全防护的核心是对主体和客体的掌控。主体是指对人和设备的控制,客体则只涉及应用系统,并不包括对应用系统中流转的数据的安全控制。此外,一般的数据库防护手段无法识别到应用内的用户,例如,其无法知晓敏感信息是被系统内的哪个用户访问。C A S B模式能提供“主体到应用内用户,客体到字段级”的安全防护能力。其在系统应用内进行防护,管理员可通过

16、设置加解密策略,主体控制到应用内的用户,客体控制到数据库的表级、列级、字段级。同时,不同的数据行、列及字段级可以采用不同的加密算法和密钥,从而最小化企业内部人员的敏感数据访问授权,提供细粒度的数据安全保护。2.4 密码资源统筹管理策略铁路数据安全防护平台主要由密码资源层、密码服务层及密码管理体系构成。这3个层级之间存在明确的层次关系,如低层可以为上层提供必要的密码能力支持。2.4.1 密码资源层密码资源层是铁路数据安全防护平台的密码基础设施,即密码资源池,主要包括密钥管理基础设施、电子认证基础设施等。例如,云服务器密码机、时间戳服务器、S S LV P N安全网关等。2.4.2 密码服务层密码

17、服务层可以提供统一的对外服务能力,使得各应用系统无需对接多种密码支撑系统。其以服务接口的方式为各应用系统提供密码服务,平台内部具有统一调度密码服务子系统的能力,可以根据不同类型的安全请求,调度具备对应安全能力的密码子系统进行承接。2.4.3 密码管理体系密码管理体系的核心功能在于为密码服务提供稳固的支撑与高效的运维,进而构建一个完整的密码安全管理架构。其主要功能如下。(1)设备管理:该体系倡导基于密码资源池的中心化管理模式,旨在集中调度和管理密码设备,从而确保密码计算资源得到最大化利用。(2)资源管理:为密码服务资源提供统一的申请入口,确保应用的接入注册与授权管理的流程化、规范化。(3)监控管

18、理:聚焦于密码资源池的维护与运行保障,涵盖密码设备、密码资源池服务以及密码应用的全面监控,并持续跟踪其运行状况。(4)统计管理:密码管理体系能根据不同用户单位的信息系统,深入分析各类密码服务的使用情况。3 应用实例基于C A S B技术的铁路行业关键信息数据安全防护框架,目前已被应用于十余个信息化项目中,通过安全防护框架实现数据秘钥的统一管理和数据传输的安全加密,进而保障了铁路行业关键数据的安全传输与文件存储。本文以集团公司社会保险综合服务管理平台和集团公司组织人事工作平台为例,介绍基于C A S B技术的铁路行业关键信息数据安全防护框架的使用方案和取得的成果。3.1 集团公司社会保险综合服务

19、管理平台兰州局集团公司社会保险综合服务管理平台智慧参保权益小程序,内外网传输方案均使用了基于C A S B技术的铁路行业关键信息数据安全防护框架。小程序端采用S M 2公钥对需要提交给服务器端的数据进行加密,服务器端使用相应的S M 2私钥进行解密。同时,服务器端使用S M 4密钥对需要传递给小程序端的数据进行加密,小程序端使用S M 4密钥进行解密。集团公司社会保险综合服务管理平台智慧参保权益小程序中,包含职工个人信息、就医信息、社保缴费信息等敏感数据。在内外网传输过程中,采用国密S M 2+S M 4结合加密传输的方式,自该小程序上线以来,保障了近1 0万人次的数据安全。3.2 集团公司组

20、织人事工作平台兰州局集团公司组织人事工作平台关键数据安全防护方案使用了基于C A S B技术的铁路行业关键信息数据安全防护框架。其中,兰铁招聘小程序针对个人信息、学历信息、家庭信息等关键字段,采用S M 2+S M 4结合加密传输的方式,安全稳定地完成了2 0 2 2和2 0 2 3年的大学生招聘任务,保障了用户的隐私不被窃取、铁路关键招聘数据不被泄露。针对集团公司组织人事工作平台敏感文件的存储,采用文件加密传输的方案,形成了一套完整、安全的文件传输方案。文件推送方采用S M 2+S M 4的方案对需要提交给服务器端的文件进行加密,生成密文件和控制文件,并发起传送。文件接收方接收密文文件和控制

21、文件后,进行签名校验和解密,即可获取文件内容。4 结语本文提出了一种基于C A S B技术的铁路行业关键信息数据安全防护架构。该架构为铁路行业信息系统提供了丰富、统一且完善的密码安全机制。通过集中整合各分散部署的密码模块,该架构能提供灵活的数据安全集成能力。这不仅有利于信息安全从分散式的管理模式转为集中式的(下转第1 1 6页)移动信息1 1 6 2 0 2 4年2期续升级。A企业对此进行了深入研究,并根据自身的实际情况,制定了一套全新的计算机信息安全系统设计方案。3.2.1 优化系统安全边界系统安全边界是企业信息安全的首道防线。为应对不断增强的外部攻击,A企业对其系统安全边界进行了全方位的加

22、固。除了部署高级威胁防护系统(A T P)以增强网络边界的防护能力外,还对其下一代防火墙(N G FW)进行了升级,使其具备深度包检测和应用层识别的功能。同时,新部署的入侵检测与防御系统(I D S/I P S)可以实时监控网络流量,快速发现并阻断恶意行为。3.2.2 高级网络访问控制策略确保内部网络安全不仅需要对抗外部攻击,还需预防来自内部的恶意或无意的安全威胁。因此,A企业部署了细粒度的网络访问控制策略(NA C)。这种策略结合了动态身份验证和角色基础的访问权限,确保只有合法用户才能访问敏感资源。通过使用多因素认证(MF A)技术,用户需要提供多种认证方式才能访问相关资源,如密码、指纹或硬

23、件令牌,进一步增强了系统的安全性5。3.2.3 虚拟化与容器化环境的安全防护虚拟化和容器化技术为企业提供了资源优化和快速部署的能力,但也为攻击者开辟了新的攻击面。针对这一问题,A企业实施了虚拟化安全策略,并引入了容器安全解决方案,如K u b e r n e t e s安全策略。这些措施可以确保虚拟机和容器间的强隔离,抵御潜在的跨环境攻击。新的安全工具(如虚拟化安全管理器),能对虚拟环境进行全局监控,确保其安全性。3.3 中位安全能力建设及其应用在数字化时代,仅依赖技术手段显然无法满足企业的安全需求。A企业深知这一点,并开始探索新的安全防护模式,即中位安全能力建设。该模式不仅注重技术和管理,更

24、强调人的因素。为实施中位安全能力建设,A企业对所有员工进行了安全培训。培训内容不仅涵盖基础的密码管理、邮件安全,还包括对新型网络攻击手段的认识。特邀的安全专家为员工进行实战模拟培训,锻炼员工在实际环境中的应对能力。此外,A企业为员工提供了最新的安全软件,并建立了内部的安全知识库,供员工随时查阅。企业还制定了一套安全管理制度,对员工的安全行为进行定期的审计和评估,并鼓励员工参与安全管理工作,确保企业数据的安全性和完整性。总体而言,中位安全能力建设为A企业的计算机信息安全提供了多方面的支持,进一步保证了企业数据的安全性和完整性。4 结语随着大数据技术的快速发展,其在计算机信息安全领域中的应用价值日

25、益凸显。大数据技术不仅为各行业提供了更高效、深入的数据处理和分析手段,还为计算机信息安全提供了新的视角和工具。从A企业的案例可以看出,现代企业正逐渐意识到仅依靠传统的安全防护手段已难以应对日益复杂的网络威胁。因此,结合大数据技术,构建全面、综合的安全防护体系成为当务之急。在实际应用中,大数据技术可以帮助企业实时监测网络活动,及时发现并预防安全威胁。同时,通过对大量数据的分析,企业还可以更好地了解自身的安全状况,从而制定更合理、有效的安全策略。然而,大数据技术在计算机信息安全领域中的应用也面临着一 些 挑 战,如 数 据 隐 私 保 护、大 数 据 技 术 的 安 全性等。总之,大数据技术为计算

26、机信息安全领域带来了新机遇和新挑战。未来,如何更好地利用大数据技术,提高计算机信息安全水平,将是每个企业和组织都需要深入研究和探讨的问题。参考文献1薛俊海,李晋泰,张承,等.大数据技术在计算机信息安全中的应用研究J.网络安全技术与应用,2 0 2 2(2):7 0-7 1.2李亚方.大数据技术在计算机信息安全中的应用研究J.现代工业经济和信息化,2 0 2 1,1 1(6):1 2 9-1 3 0.3蒋一,程二丽.大数据技术在计算机信息安全中的应用探究J.信息记录材料,2 0 2 1,2 2(2):1 9 2-1 9 3.4赵伟豪,张健豪,王伟光.大数据视域下计算机信息安全技术的探析J.电子世

27、界,2 0 2 0(2 4):6 1-6 2.5木合塔尔艾尔肯.大数据技术在计算机信息安全中的应用分析J.网络安全技术与应用,2 0 2 0(1 0):8 1-8 2.(上接第1 1 3页)管理模式,还有助于降低开发信息系统项目中的密码应用工作的复杂度,从而在增强安全管控能力的同时,提高铁路行业网络和信息安全的总体服务质量。该架构对铁路行业关键信息基础设施的数据安全防护提供了有益的参考。参考文献1刘大为.铁路 网络 安全 面 临的 严峻 形势 和 主要 对策 研究J.铁道通信信号,2 0 2 3,5 9(1):1-5.2张文塔,王一芃.铁路关键信息基础设施安全防护建设思路初探J.铁路计算机应用,2 0 2 2,3 1(1 1):2 0-2 4.3刘鹏,梁志国,徐德龙.高速铁路计算机联锁软件应用数据安全防护方法研究J.铁道通信信号,2 0 2 0,5 6(7):2 2-2 6.4李博宇.铁路技术站生产作业智能化安全管理及评价技术研究D.北京:中国铁道科学研究院,2 0 2 3.5彭剑峰,徐保民,张义祥.基于等保2.0的铁路敏感数据安全关键技术及研究J.网络安全技术与应用,2 0 2 1(1):1 3 8-1 4 2.6刘锦.铁路数据通信网安全技术及其发展J.通讯世界,2 0 1 7(7):5 2-5 3.移动信息