1、2023 年 11 月第 59 卷 第 11 期铁 道 通 信 信 号Railway Signalling&CommunicationNovember 2023Vol.59 No.11铁路数据分类分级保护路径研究饶伟,李碧秋,任宸莹,谢玉霞摘 要:为加强铁路数据安全管理,提高数据安全防护能力,通过对数据安全相关法律法规、标准规范以及实践推进态势等进行研究,发现部分标准存在关键定义内涵模糊,安全要求宏观性强、可操作性弱等问题。基于各行业对同类数据的保护要求具有一致性,研究建议铁路部门在制定数据分类分级安全保护方案时,在遵从国家法律法规、标准规范的基础上,可参考各行业对同类数据的共性要求,并结合自
2、身实际增加个性化特点,使企业能够兼顾自身权益、数据使用和流通效率,平衡好数据安全保护与开放共享的关系。关键词:数据安全;数据分类分级;数据生命周期;数据加密;访问控制;动态调整中图分类号:TP309.2 文献标识码:A Research on Classification and Grading Protection Strategy of Railway DataRAO Wei,LI Biqiu,REN Chenying,XIE YuxiaAbstract:In order to strengthen the safety management of railway data and imp
3、rove data safety protection capabilities,research is conducted on the promotion situation of data safety related laws,regulations,standard specifications,and practical progress trends.It is found that some standards have issues such as unclear key definitions and connotations,strong macro level safe
4、ty requirements,and weak operability.Based on the consistent protection requirements for similar data in various industries,it suggests that when formulating data safety protection schemes,railways can refer to the common requirements of different industries for similar data while complying with nat
5、ional laws,regulations,and standards,and add personalized requirements based on their own actual situation,so that enterprises can balance their own rights,efficiency DOI:10.13879/j.issn.1000-7458.2023-11.23185扫码浏览下载饶 伟:中国铁路信息科技集团有限公司 高级工程师 100038 北京李碧秋:中国铁路信息科技集团有限公司 助理工程师 100038 北京任宸莹:中国铁路信息科技集团有限
6、公司 工程师 100038 北京谢玉霞:中国铁路信息科技集团有限公司 正高级工程师 100038 北京基金项目:中国国家铁路集团有限公司科技研究开发计划系统性重大课题(P2021S012)收稿日期:2023-07-10引用格式:饶伟,李碧秋,任宸莹,等.铁路数据分类分级保护路径研究J.铁道通信信号,2023,59(11):49-54.Citation:RAO Wei,LI Biqiu,REN Chenying,et al.Research on Classification and Grading Protection Strategy of Railway DataJ.Railway Sig
7、nalling&Communication,2023,59(11):49-54.49铁道通信信号 2023年第59卷第11期of data usage and circulation,and the relationship between data safety protection and open sharing.Key words:Data safety;Data classification and grading;Data lifecycle;Data encryption;Access control;Dynamic adjustment随着信息技术的发展及其应用的加深,各行各业
8、在生产、经营过程中产生的信息逐步以不同形式转化为数据资产,在不同网络与系统之间流转,促进了数据价值链的动态循环与数据增值1。但是,在享受数据红利的同时,也不可避免地面临着数据安全治理的拷问。如何在充分发挥数据价值的同时,确保数据的安全性,已成为社会普遍关注的问题。而传统“一视同仁”的安全思路无法平衡数据的利用与保护问题,急需一套新的解决方案来满足需求。近年来,国家出台了多项数据安全法律法规,制定了数据安全制度,要求各地区、各部门对数据实施分类分级保护,以保障数据的合法有效利用,护航数字经济发展。同时,国家发布了多项数据安全标准,指导地方、行业进行数据安全能力建设。部分企业已展开了对数据分类分级
9、保护的探索,并取得了一定的成果。但由于相关研究相对匮乏,且实践时间较短、实践效果有待验证,因此制定出一套科学、有效的、符合企业自身发展需求的数据分类分级保护方案还有很长的路要走。本文通过梳理相关法律法规对数据安全的保护要求,分析国家、行业标准规范,探求行业数据分类分级保护规律,力求为铁路行业的数据安全治理提供思路。1数据分类分级保护相关法律法规为规范数据处理活动,保障数据安全,我国相继颁布实施了 中华人民共和国网络安全法2(以下简称网络安全法)、中华人民共和国数据安全法3(以下简称数据安全法)、中华人民共和国个人信息保护法4(以下简称个人信息保护法)等法律法规,对数据领域展开全方位的保护与监管
10、。2017年6月1日网络安全法正式施行,是我国网络安全管理方面的第一部基础性立法,确立了国家实行网络安全等级保护制度,以制度建设加强网络空间治理,规范网络信息传播秩序。该法首次提出重要数据的概念,已体现出对数据实施分类分级保护的思路5,并制定了保障网络运行安全、网络用户信息安全等措施,强化数据安全保障,对构建数据安全保障体系有着重要的意义。2021年9月1日数据安全法正式施行,构建了关于数据的基本制度框架,将分类分级策略由“系统”扩展至“数据”,并对各类数据提出了丰富的保护规则。此外,数据安全法还提出“核心数据”这一全新的数据类型,并规定对核心数据实行更加严格的管理制度,这也对数据处理者提出了
11、更高的要求6。2021年 11月 1日 个人信息保护法 正式施行,要求个人信息处理者依据个人信息的敏感度分类施措,避免个人信息的越权收集和使用,充分保障个人信息权益。该法为实现个人信息的精细化管理和保护提供了有效途径。国家法律对数据的分类分级保护做出原则性规定,地方、行业需满足上述法律规定的要求,并在此基础上细化数据分类分级保护工作。2数据分类分级保护国家标准2.1数据分类分级规则2021年12月,全国信息安全标准化技术委员会发布了网络安全标准实践指南网络数据分类分级指引(TC260-PG-20212A)7,紧密衔接数据安全法,充分考虑各行各业数据分类分级的兼容性,给出网络数据分类分级的原则、
12、框架和方法,分析数据遭破坏后的影响程度,并据此对数据进行分级。具体分级规则见表1。2.2数据分类分级保护要求技术标准是安全建设的“尺子”。近年来,国家发布了多项数据安全保护标准及指南,对法律法规中较为原则性的规定给予相应的指导。信息安全技术 网络数据处理安全要求(GB/T 414792022)8提出了网络运营者在网络数据处理活动中应遵循的安全总体要求、安全技术要求及安全管理要求,以对可能存在的风险进行控制和消除。信息安全技术 关键信息基础设施安全保护要求(GB/T 392042022)9提出了整体防50Railway Signalling&Communication Vol.59 No.11
13、2023控、动态防护、协同联动的安全保护原则,明确了通信网络、计算环境、供应链、数据等方面的安全防护要求,以支撑业务的连续运行,并给出从风险识别到风险处置整个过程的系列要求。针对个人信息,信息安全技术 个人信息安全规范(GB/T 352732020)明确了个人信息在收集、存储、使用等环节的通用安全要求,以及个人敏感信息在传输、存储环节的特殊要求 10。2022年,全国信息安全标准化技术委员发布了步态识别数据、基因识别数据、声纹识别数据等12项个人信息安全保护要求,对个人信息安全保护做出进一步说明。虽然数据安全保护相关标准规范在逐步丰富,但是安全保护要求仍不够细致、具体。一方面,安全技术要求较为
14、宽泛,相关标准只提出应采取加密、访问控制等措施,未详细说明应采用哪种加密算法或访问控制方法等;另一方面,规范对象粒度较粗,仅对重要数据、个人信息等提出相关要求,未对一般数据做相应规定,各行业、领域需在此基础上结合自身实际细化保护规范,合理保障数据安全。3地方及行业数据分类分级保护实践分析3.1数据分类分级保护具有行业属性由于不同行业之间的信息化发展水平不同,以及对数据分类分级保护的认知存在差异,导致在数据安全治理中行业属性十分突出。3.1.1数据分类分级规则方面实行数据分类分级是保障数据安全的前提。为推进数据分类分级保护工作的落实,各地方、行业纷纷制定相关标准规范,明确数据分类分级方法。地方出
15、台的标准指南更多聚焦于政务数据和公共数据的分类分级,可以将其视为以政府数据为切入点所做的初步尝试11。各行业的数据分类分级规则在突出行业特色的同时不断更新。其中,通信行业数据分级实践较早,后期在实践中逐渐查漏补缺、有所补充;金融行业从证券期货数据分类分级指引(JR/T 01582018)12到 金融数据安全 数据安全分级指南(JR/T 01972020)13,在努力探索统一的数据分级体系。地方(以北京为例)、行业数据分级方法对比见表2。可以看出,随着认识与实践的不断推进,各行表1数据分级规则基本级别核心数据重要数据一般数据4级3级2级1级影响对象国家安全一般危害、严重危害轻微危害无危害无危害无
16、危害无危害公共利益严重危害一般危害、轻微危害无危害无危害无危害无危害个人合法权益-严重危害一般危害轻微危害无危害组织合法权益-严重危害一般危害轻微危害无危害表2地方、行业数据分级方法对比地方行业北京政务通信金融医疗标准政务数据分级与保护规范(DB 11/T 1918-2021)14基础电信企业数据分类分级方法(YD/T 38132020)15证券期货业数据分类分级指引(JR/T 01582018)金融数据安全 数据安全分级指南(JR/T 01972020)信息安全技术 健康医疗数据安全指南(GB/T 397252020)16定级要素影响对象国家安全、党政机关、公共服务机构、其他机构、自然人国家
17、安全、社会公共利益、企业利益、用户利益行业、机构、客户国家安全、公众权益、个人隐私、企业合法权益个人影响范围较大范围、较小范围-多个行业、行业内多机构、本机构-影响程度一般、严重、特别严重低、中、高、严重无、轻微、中等、严重无、轻微、一般、严重-级别划分1、2、3、41、2、3、41、2、3、41、2、3、4、51、2、3、4、5注:级别划分由影响对象、影响范围和影响程度共同决定。51铁道通信信号 2023年第59卷第11期业数据分级标准在逐步完善,通过明确分类分级工作的原则、方法、定义,进一步细化国家关于数据分类分级工作的要求。但不同行业标准在一般数据的定级考量上存在差异,影响对象、影响范围
18、、影响程度等方面的具体规定不一致,级别划分数量并不相同。3.1.2数据分类分级保护方面数据分类分级保护转变了传统数据安全保护理念,对不同重要性和风险等级的数据采取强弱有别的管控措施,以应对数据大规模流转处理下的新型数据安全风险,兼顾数据安全保障和数据开发利用的双重需求。不同行业的数据分类分级保护及其特点如下。1)地方政务更关注数据的开放和共享安全。中共中央、国务院于2020年3月30日发布关于构建更加完善的要素市场化配置体制机制的意见,指出“推进政府数据开放共享”。北京、长春等地在数据分级保护标准中,将数据共享开放要求作为一个章节单独列出,且数据共享开放条件相对宽松,如北京政务数据一级数据无条
19、件共享,二、三级数据原则上有条件共享(如不予共享,应当有法律、行政法规的规定或者相关政策为依据),最高级别的数据不予共享或允许可用不可见的共享,以促进政务数据的充分共享。2)以用户为中心的服务型行业更关注个人信息的安全。金融、通信、医疗等以用户为中心的服务型行业对个人信息重点保护,金融、通信行业除了制定通用的行业数据安全保护标准外,均还专门制定了个人信息保护规范;医疗行业虽未制定个人信息保护规范,但是标准所指的健康医疗数据是个人健康医疗数据,以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据,实际上也是主要针对个人信息的保护。3.2数据分类分级保护实践共性研究通过具体分析行业标准对各级数
20、据生命周期的安全防护要求,可发现其中蕴含着一定的规律:同类数据即使数据级别不同,其保护要求也具有一致性。以个人信息为例,对于用户鉴别信息,虽然金融行业将该类数据定为4级(JR/T 02232021),通信行业将该类数据定为 5 级(YD/T 27822014),但是2部标准均要求该类数据在采集环节应采取严格加密、接口限制等措施保证数据的机密性;传输环节应对传输链路加密,保证信息不被拦截或盗用;存储环节应采用加密、细粒度的访问控制等措施,确保该类信息不被越权访问17。对于个人基本信息,金融业、北京政务虽对其定级也不同,但都要求采集环节需确保采集数据符合法律规定,传输环节应采用校验技术保证数据的完
21、整性,存储环节应具备本地数据备份与恢复功能,保证数据的可用性。另外,对于企业内部信息,如企业发展战略及规划数据,金融及通信业都提出采集环节需对采集设备或系统进行增强验证;传输环节应采用链路加密或数据内容加密措施实现传输保密;存储环节应采用加密或其他保护措施保障数据的保密性和完整性,能够检测重要数据在存储过程中的完整性是否受到破坏,并在完整性错误时采取必要的恢复措施18。以上说明同类数据在不同行业中可能受到同等保护,因此,在对某类数据制定保护规范时,可参考行业标准对该类数据的保护规范。4铁路数据分类分级保护4.1铁路数据分类分级规则安全是铁路工作的永恒主题19。铁路印发了数据分类分级相关指南,对
22、铁路数据分类分级方法做了详细说明,给出铁路数据分类分级的原则、框架和方法,为铁路相关单位管理数据、保护数据提供指引。数据类别由业务归属分类和业务扩展分类两部分组成。首先确定业务归属分类,用于明确所属系统的业务类型;其次确定业务扩展分类,采用线分类法在业务归属分类的基础上对数据进一步细分,将业务属性、特征相同或相似的一组数据进行归类,形成多层数据类。这种从粗到细、层层细化的分类方法,有助于得到清晰的数据分类视图,便于业务数据的管理。在数据分类的基础上,从数据安全保护的角度,通过确定影响对象、影响程度2个分级要素进行分级,基本分级规则与数据分级国家标准一致。实施铁路数据分级时,首先确定分级对象,选
23、择数据分类的任一层级数据作为分级对象;其次确定分级对象受到危害后的影响对象及影响程度;最后根据影响对象和影响程度确定数据级别。在指南 TC260-PG-20212A 提出的分级框架52Railway Signalling&Communication Vol.59 No.11 2023下,行业间数据分级规则存在对应关系。对比铁路数据分类分级方法与金融业标准JR/T 02232021数据分类分级方法,铁路S1级数据和金融业1级数据在受到破坏后对各影响对象均无危害,铁路S1 级数据与金融业 1 级数据对应。同理,铁路S2S4级数据可分别与金融业24级对应。对比铁路数据分类分级方法与通信行业 YD/T
24、 38132020数据分类分级方法,铁路数据S1S4级与通信行业第1级至第4级一一对应,这种对应关系为铁路借鉴行业数据分级保护实践提供了参考路径。4.2铁路数据分类分级保护思路4.2.1以国家要求为基础严格遵守国家数据安全相关法律法规及国家标准强制性要求,将对不同级别数据全生命周期的安全保护要求作为铁路数据安全保护的前提和基础,深化铁路数据安全治理体系,形成从数据管理到数据运营全流程的安全框架,确保铁路数据安全“合规”而行。4.2.2以行业标准为参考1)研究分析铁路与其他行业在同类数据级别上的对应关系。各行业在生产、经营、管理的过程中产生的数据类别既有重合也有不同,对比研究行业特色及数据分级保
25、护规范,从数据分级要素的定义、级别划分的规则,或数据内容本身2个角度寻找铁路与其他行业同类数据在级别上的对应关系。2)在数据级别对应关系的基础上,参考其他行业数据安全分级保护规范。整合各类数据所有可参考的行业数据生命周期分级保护要求,对每一级别的数据选择大部分行业都规定的要求作为本行业数据应满足的要求。参考行业标准举例:从数据定级方法出发,铁路对S1S4级数据的保护可参考金融行业14级数据、通信行业14级数据的保护规范。从数据内容本身出发,铁路对个人信息、企业发展战略及规划等数据的保护,可参考金融、通信等行业对这些数据的分类分级保护要求。按此思路,找到铁路数据与各行业数据在等级或类别上存在的对
26、应关系,并参考相应的数据保护规范,在各级数据保护规范的参考结果中取交集。4.2.3以自身需求为导向结合铁路业务特征、数据应用场景等,补充符合本行业发展需求的个性化安全要求。铁路相较其他行业,不仅产生和积累了大量旅客出行、货运物流等相关数据,还涉及调度指挥、生产作业等相关数据,因此,需要在参考行业实践的基础上,有针对性地增加其他保护措施。另外,跨国铁路联运业务打破了相关国家之间的信息交互壁垒20,同时面临着数据跨境传输的安全问题,需监控跨境数据流转路径和动态流向。在整个数据流转过程中,制定相应的安全策略,定期进行风险评估,识别数据安全风险隐患并消除,确保铁路数据的保密性、完整性和可用性。最后,需
27、在长期实践中持续修正、动态调整数据生命周期安全分级保护规范,优化数据安全防护策略21,以满足国家要求及业务场景需求。5结束语通过对数据安全保护相关法律法规、标准规范的解读,分析了数据安全合规性要求以及地方、行业已开展的实践,探究了数据分类分级保护的发展变化与实践规律,提出行业实践参考路线。虽然当前数据分类分级保护相关理论研究和实施制度已有部分成果,但实际操作仍有很大挑战。比如数据分级过程中,人工依据定级规则确定数据级别存在一定的主观性,后续需研究敏感数据发现技术22和数据自动分类分级工具,对数据资产进行分类分级识别与打标,并基于已分类分级的数据资产结果集进行机器学习建模,智能预测大规模数据的分
28、类分级打标,快速建立数据分类分级清单,推动数据分类分级的有效落实;在实施数据安全保护时,需持续研究数据安全保护手段,以应对新技术发展带来的安全风险,支撑智能铁路的发展23。参考文献1 张正怡.数据价值链视域下数据跨境流动的规则导向及应对J.情报杂志,2022,41(7):77-83.ZHANG Zhengyi.Cross-border Data Flow Regulation from the Perspective of Data Value Chain and Response J.Journal of Intelligence,2022,41(7):77-83.2 中国人大网.中华人民共
29、和国网络安全法EB/OL.(2016-11-07)2023-07-24.http:/ 中国人大网.中华人民共和国数据安全法EB/OL.(2021-06-10)2023-07-24.http:/ 2023年第59卷第11期4 中国人大网.中华人民共和国个人信息保护法EB/OL.(2021-08-20)2023-07-24.http:/ 洪延青.国家安全视野中的数据分类分级保护J.中国法律评论,2021(5):71-78.HONG Yanqing.Data Classification and Hierarchical Protection in the Vision of National Se
30、curity J.China Legal Review,2021(5):71-78.6 高磊,赵章界,林野丽,等.基于 数据安全法 的数据分类分级方法研究J.信息安全研究,2021,7(10):933-940.GAO Lei,ZHAO Zhangjie,LIN Yeli,et al.Research on Data Classification and Grading Methods Based on the Data Security Law J.Information Security Research,2021,7(10):933-940.7 全国信息安全标准化技术委员会秘书处.TC26
31、0-PG-20212A 网络安全标准实践指南-网络数据分类分级指引S.北京:中国标准出版社,2021.8 国家标准化管理委员会.GB/T 414792022 信息安全技术 网络数据处理安全要求S.北京:中国标准出版社,2022.9 国家标准化管理委员会.GB/T 390242022 信息安全技术 关键信息基础设施安全保护要求S.北京:中国标准出版社,2022.10国家标准化管理委员会.GB/T 352732020 信息安全技术 个人信息安全规范S.北京:中国标准出版社,2020.11严炜炜,谢顺欣,潘静,等.数据分类分级:研究趋势、政策标准与实践进展J.数字图书馆论坛,2022,220(9):
32、2-12.YAN Weiwei,XIE Shunxin,PAN Jing,et al.Data Classification:Research Progress,Policy Standards,and Enterprise Pratice J.Digital Library Forum,2022,220(9):2-12.12北京市市场监督管理局.DB11/T 19182021 政务数据分级与保护规范S.北京:中国标准出版社,2021.13中国人民银行.JR/T 01582018 证券期货数据分类分级指引S.北京:中国标准出版社,2018.14中国人民银行.JR/T 01972020 金融数据
33、安全 数据安全分级指南S.北京:中国标准出版社,2020.15工业和信息化部.YD/T 38132020 基础电信企业数据分类分级方法S.北京:中国标准出版社,2020.16国家标准化管理委员会.GB/T 397252020 信息安全技术 健康医疗数据安全指南S.北京:中国标准出版社,2020.17刘炜,盛朝阳,佘维,等.基于智能合约的分类分级属性访问控制方法J.计算机应用研究,2022,39(5):1313-1318.LIU Wei,SHENG Chaoyang,SHE Wei,et al.Classified and Hierarchical Attribute Access Contro
34、l Method Based on Smart Contract J.Computer Application Research,2022,39(5):1313-1318.18高昊昱,李雷孝,林浩,等.区块链在数据完整性保护领域的研究与应用进展J.计算机应用,2021,41(3):745-755.GAO Haoyu,LI Leixiao,LIN Hao,et al.Research and Application Progress of Blockchain in the Area of Data Integrity Protection J.Computer Application,2021
35、,41(3):745-755.19姜永富.把握规律化解风险着力提升铁路通信本质安全水平J.铁道通信信号,2023,59(4):1-6.JIANG Yongfu.Grasp the Rules and Resolve Risks Strive to Improve the Intrinsic Safety Level of Railway CommunicationJ.Railway Signalling&Communication,2023,59(4):1-6.20刘洋,刘昊旭,王军,等.中老铁路国际联运数据互联互通方案设计研究J.铁道运输与经济,2022,44(11):112-119.LIU
36、 Yang,LIU Haoxu,WANG Jun,et al.Research on Data Interconnection Scheme Design of International Intermodal Transport on China Laos RailwayJ.Railway Transport and Economy,2022,44(11):112-119.21祝咏升,魏长水,张骁.5G公网铁路专用网络架构及安全部署方案J.铁道通信信号,2023,59(1):13-18.ZHU Yongsheng,WEI Changshui,ZHANG Xiao.Railway Privat
37、e Network Architecture and Security Deployment Scheme Based on 5G Public Network J.Railway Signalling&Communication,2023,59(1):13-18.22康缪建.自然语义分析与机器学习在大数据安全中的应用J.电子技术与软件工程,2022,236(18):202-207.KANG Miaojian.Application of Natural Semantic Analysis and Machine Learning in Big Data SecurityJ.Electronic Technology and Software Engineering,2022,236(18):202-207.23陈小平.面向5G的边缘计算技术在铁路编组站中的应用研究J.铁道通信信号,2023,59(4):7-14.CHEN Xiaoping.Application Research of Edge Computing Technology Oriented to 5G in Railway Marshalling Stations J.Railway Signalling&Communication,2023,59(4):7-14.(责任编辑:王菲)54
浙ICP备2021020529号-1 | 浙B2-20240490 
