基于安全管理控制平臺的鐵路旅客隱私信息保護技術架構(gòu)*

戚建淮 ，彭 華 ，唐 敏 ，劉建輝 ，胡金華 ，鄭偉范

（1.深圳市永達電子信息股份有限公司，廣東 深圳 518055；2.城市軌道交通系統(tǒng)安全保障技術國家工程實驗室，廣東 深圳 518055）

0 引 言

中國鐵路建設始于清朝末年，經(jīng)過一個多世紀的建設和發(fā)展，截至2017年年底[1-2］，中國鐵路營業(yè)總里程達12.7萬公里，規(guī)模居世界第二；其中高速鐵路2.5萬公里，位居世界第一，全國鐵路復線率和電氣化率分別達到54.9%和64.8%。

隨著我國高速鐵路的發(fā)展，鐵路出行成為我國的主要客運途徑之一。據(jù)統(tǒng)計，僅2018年上半年，中國鐵路總公司累計發(fā)送旅客15.91億人次。全國鐵路客票預訂與發(fā)售系統(tǒng)[3］（簡稱客票系統(tǒng)）支持窗口、代理點、移動終端、網(wǎng)絡等多種售票方式，作為鐵路運輸?shù)闹饕獱I收系統(tǒng)，成為全國最大的網(wǎng)上交易系統(tǒng)。由于鐵路系統(tǒng)的分布式、跨地域、覆蓋全國的特點，服務旅客范圍覆蓋全國13億民眾，具有典型的大數(shù)據(jù)特征。因此，全國鐵路客票預訂與發(fā)售系統(tǒng)涵蓋海量旅客信息數(shù)據(jù)收集、傳輸、存儲、管理、分析、發(fā)布、使用、銷毀的大數(shù)據(jù)生命周期全過程。

隱私[4］是指與用戶個人相關的特定信息，譬如身份證號，電子郵箱，手機號，銀行賬戶，活動軌跡和居住地址等，這些都是用戶不愿透露的敏感信息。海量的鐵路旅客登記、注冊與購票等形成的隱私信息廣泛存在于全國鐵路客票預訂與發(fā)售系統(tǒng)中，對鐵路旅客隱私信息的處理涉及整個鐵路客票系統(tǒng)的生命周期全過程。如果這些隱私信息被泄露，會對旅客造成極大的威脅，而對這些信息和數(shù)據(jù)進行分析，甚至可以推測出旅客的生活模式、資產(chǎn)狀況等更多的隱私信息。如果大量旅客的隱私信息被不法團伙獲取，將極大的威脅旅客的人身、財產(chǎn)安全，也將威脅到社會公共安全。隨著鐵路客票預訂與發(fā)售系統(tǒng)由專用網(wǎng)絡逐漸發(fā)展為公網(wǎng)、互聯(lián)網(wǎng)的開放式網(wǎng)絡，支持網(wǎng)絡售票、移動終端售、電話售票等多種方式，鐵路旅客隱私信息面臨諸多的信息安全和隱私保護問題。

在大數(shù)據(jù)環(huán)境下，由于大數(shù)據(jù)數(shù)據(jù)量大、處理挖掘處理等發(fā)展趨勢，單純隱私數(shù)據(jù)的加密等手段不能達到安全保護的目的，對隱私保護提出了新的挑戰(zhàn)，需要新型的防護技術體系。目前，已有大量的研究成果報道出來。呂欣等[5］提出了基于大數(shù)據(jù)全生命周期的隱私保護技術體系。馮登國[6］等分析和總結(jié)了大數(shù)據(jù)環(huán)境下隱私保護涉及的技術內(nèi)容。曹珍富等[7］在醫(yī)療大數(shù)據(jù)隱私保護體系研究的基礎上，分析和綜述了大數(shù)據(jù)安全與隱私保護技術的研究進展。

針對鐵路客票系統(tǒng)[3］實際情況和鐵路大數(shù)據(jù)系統(tǒng)[8］總體特點，戚建淮[9-12］等在全國鐵路客票安全系統(tǒng)實際研發(fā)和運維的基礎上，提出了統(tǒng)一安全管理控制平臺。具有統(tǒng)一的資源管理、事件管理、威脅管理、風險管理、策略管理等功能，解決了復雜網(wǎng)絡環(huán)境的信息安全保障問題，具有分布式大數(shù)據(jù)環(huán)境下的整體信息安全保障優(yōu)勢。

本文在全國鐵路客票安全系統(tǒng)研發(fā)、工程實施、實際運維十余年的經(jīng)驗基礎上，借鑒安全管理控制平臺的優(yōu)勢，提出一種基于安全管理控制平臺的鐵路旅客隱私信息保護的技術框架體系。該框架體系具有分布式，多層級的防護特點，適合我國鐵路旅客信息大數(shù)據(jù)安全保護場景。

1 鐵路旅客信息數(shù)據(jù)的組成與交互

鐵路旅客信息主要包含在全國鐵路客票預訂與發(fā)售系統(tǒng)中，鐵路旅客隱私信息的安全主要表現(xiàn)為該系統(tǒng)的旅客信息數(shù)據(jù)的安全、系統(tǒng)安全、通信安全和客票系統(tǒng)業(yè)務安全等方面。因此，客票系統(tǒng)中旅客信息的組成與數(shù)據(jù)交互情況直接影響安全保護策略、技術、方案等選擇和構(gòu)建。

（1）旅客信息組成

旅客的姓名、出生日期、身份證編號、手機號、郵箱地址、旅客身份、單位、購票方式、出行路線、出行時間、以及車票信息等，這些信息及相關延伸信息如購票時間、購票地點、支付方式等，共同構(gòu)成了旅客信息。

（2）客票系統(tǒng)組成

目前的鐵路客票發(fā)售及預訂系統(tǒng)使用部級、地區(qū)（局）級和車站級三層結(jié)構(gòu)并采取集中和分布結(jié)合的方案。

在中國鐵路總公司（原鐵道部）中心連接了鐵路客戶服務中心（部級中心）、鐵路電子支付平臺、站車無線交互平臺，部中心系統(tǒng)完成如下主要功能：

第一：編制與維護全路統(tǒng)一的基礎數(shù)據(jù)，為整個客票系統(tǒng)正常運行提供數(shù)據(jù)依據(jù)；

第二：管理與監(jiān)控路局的各種關鍵性的業(yè)務數(shù)據(jù)，可提前發(fā)現(xiàn)并修正系統(tǒng)運行中出現(xiàn)的各類問題；

第三：實時了解全路席位的分配和發(fā)售情況，并進行相應的調(diào)控；

第四：匯總、統(tǒng)計、分析全路的營銷數(shù)據(jù)，提供不同內(nèi)容、不同風格、不同角度的多種報表，為全路客運組織工作提供決策支持。

地區(qū)（局）中心負責車次信息維護，管理與監(jiān)控本中心范圍內(nèi)的各項業(yè)務及其產(chǎn)生的數(shù)據(jù)，根據(jù)票額分配，編制車次的長短期計劃，管理并調(diào)度本中心所管轄車次的席位。

車站以客票發(fā)售與預訂為主要業(yè)務，完成售、退、廢、預約預訂等客票營銷業(yè)務，管理和監(jiān)控車站的各項業(yè)務及其產(chǎn)生的數(shù)據(jù)，管理本站的席位，完成財務統(tǒng)計、客運統(tǒng)計等分析工作，維護客票發(fā)售與預訂相關的業(yè)務數(shù)據(jù)，如票卷、經(jīng)由等。

（3）旅客信息數(shù)據(jù)的交互

旅客信息數(shù)據(jù)的交互主要包括旅客通過售票窗口、代售點、網(wǎng)頁或APP進行系統(tǒng)購票、退票、系統(tǒng)注冊和注銷等的數(shù)據(jù)交互。在客票系統(tǒng)中，旅客在人工售票窗口時，基本身份信息：姓名、身份證號、家庭住址等，通過身份證識別設備寫入客票系統(tǒng)車站級部分，車站本站訪問部級中心系統(tǒng)，完成客票查詢操作，部級中心系統(tǒng)將查詢結(jié)果反饋到本站，本站根據(jù)部級中心系統(tǒng)的反饋信息進行售票或退票、改簽等操作，再次訪問部級中心系統(tǒng)進行數(shù)據(jù)庫存根、席位等關鍵數(shù)據(jù)的同步。部級中心系統(tǒng)完成數(shù)據(jù)存根后需向所有車站級系統(tǒng)進行關鍵信息同步，如果旅客購票信息為異地購票，本站還需訪問目標車站系統(tǒng)，進行信息確認后，再訪問部級中心系統(tǒng)進行購票等操作。購票成功后，本站打印車票，更新車票打印信息到部級中心系統(tǒng)進行存根。代售點售票時，通過專線連接到本地車站客票系統(tǒng)，其數(shù)據(jù)交互與窗口售票情況一致。

旅客通過網(wǎng)絡或移動終端等非窗口售票方式購票的數(shù)據(jù)交互。旅客通過互聯(lián)網(wǎng)或手機APP購買車票時，也需要預先錄入姓名、身份證號、聯(lián)系電話等基本信息，客票系統(tǒng)通過互聯(lián)網(wǎng)或手機APP獲取旅客基本信息，然后訪問部級中心系統(tǒng)，進行車票查詢，查詢結(jié)果反饋到對應互聯(lián)網(wǎng)平臺或手機APP，旅客在互聯(lián)網(wǎng)平臺或手機APP進行購票、退票或改簽等操作后，再次訪問部級中心系統(tǒng)進行相應操作，操作成功后進行數(shù)據(jù)庫存根和關鍵數(shù)據(jù)同步。購票成功后，購票結(jié)果反饋到互聯(lián)網(wǎng)平臺或手機APP，系統(tǒng)記錄未取票。旅客通過自助取票機進行取票操作時，自助取票機訪問部級中心系統(tǒng)，查詢?nèi)∑毙畔?，反饋到自助取票機，打印車票，更新車票打印信息，發(fā)送到部級中心系統(tǒng)進行存根。

旅客購票過程中，旅客信息主要由車站級售票系統(tǒng)或者互聯(lián)網(wǎng)平臺和手機APP售票軟件采集，與異地車站和部級中心系統(tǒng)進行多次交互。數(shù)據(jù)交互既包含從互聯(lián)網(wǎng)等公網(wǎng)售票模式發(fā)起的非內(nèi)網(wǎng)數(shù)據(jù)傳輸和訪問，也包含車站級售票系統(tǒng)發(fā)起的內(nèi)網(wǎng)數(shù)據(jù)傳輸和訪問，數(shù)據(jù)傳輸和訪問頻繁，數(shù)據(jù)流傳輸環(huán)節(jié)較多。

2 鐵路旅客信息面臨的安全問題

由于鐵路旅客在購票過程中，其信息數(shù)據(jù)傳輸頻繁，傳輸形式包括內(nèi)網(wǎng)和互聯(lián)網(wǎng)，鐵路旅客信息所處環(huán)境較為復雜，由此帶來一些安全問題。

（1）區(qū)域邊界（包含終端、用戶）安全問題

根據(jù)新一代客票系統(tǒng)，部客票服務中心連接了互聯(lián)網(wǎng)/手機服務系統(tǒng)、電子支付前置系統(tǒng)以及站車無線交互平臺等外聯(lián)服務，客票交易中心連接了代售點互聯(lián)網(wǎng)通道接入，區(qū)域電話訂票系統(tǒng)與路內(nèi)其他系統(tǒng)，以及售票終端（取消車站售票服務器）通過專線直接接入?yún)^(qū)域中心。主要面臨的風險如下：

①典型外部攻擊：攻擊者利用非法輸入、SQL注入、跨站腳本攻擊等方式，盜取用戶賬號信息、獲取敏感數(shù)據(jù)。

②常見內(nèi)部威脅：內(nèi)部用戶的身份假冒、合法用戶的越權訪問等。

③故障對數(shù)據(jù)完整性、一致性的威脅。

④惡意攻擊：最常見的是使用緩沖區(qū)溢出方式獲得管理員權限，從而任意修改核心區(qū)域數(shù)據(jù)庫內(nèi)容和竊取信息。

⑤對財務、審計的威脅：“重放”、篡改、抵賴與存儲數(shù)據(jù)出錯。

（2）計算環(huán)境安全問題

主機系統(tǒng)由于存在著操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)等軟件方面的安全問題，包括非法使用資源、系統(tǒng)安全漏洞利用、網(wǎng)絡阻塞、網(wǎng)絡病毒、越權訪問、非法控制系統(tǒng)、黑客攻擊、拒絕服務攻擊、軟件質(zhì)量差、系統(tǒng)崩潰等。

這些安全問題可能導致旅客信息泄露、賬號被盜或者用戶信息被篡改等風險。

（3）網(wǎng)絡通信安全問題

通信方面安全風險，對可用帶寬的攻擊，網(wǎng)絡阻塞攻擊，洪流攻擊和服務竊取和占有,從而竊取鐵路旅客信息。

（4）票務系統(tǒng)業(yè)務安全問題

票務系統(tǒng)業(yè)務作業(yè)應該持續(xù)可用，滿足以下要求：身份鑒別確認、訪問控制、業(yè)務流控制、路由選擇控制和審計跟蹤等，使攻擊者不能占用所有的資源而阻礙合法用戶的工作。主要安全問題如下：

①外聯(lián)系統(tǒng)（12306、電子支付）等接入，可能伴隨著非法外聯(lián)，惡意攻擊導致系統(tǒng)癱瘓。

②部中心、地區(qū)中心設置數(shù)據(jù)庫服務器，車站不設置數(shù)據(jù)庫服務器后，峰值期增加巨大訪問量，造成系統(tǒng)滿負荷而拒絕響應和網(wǎng)絡癱瘓，以及軟件可靠性問題導致的系統(tǒng)癱瘓等安全問題。

③業(yè)務管理人員對售票交易、席位管理、數(shù)據(jù)維護等核心業(yè)務流程的誤操作，也有可能導致對客票數(shù)據(jù)的篡改、丟失、盜用。

3 鐵路旅客隱私安全保護框架體系

針對鐵路旅客信息面臨的多重安全問題，客票系統(tǒng)的組成以及鐵路旅客信息在客票系統(tǒng)中進行的數(shù)據(jù)交互特點，結(jié)合安全管理控制平臺的優(yōu)勢以及全國鐵路客票安全系統(tǒng)的安全防護體系，提出一種基于安全管理控制平臺的鐵路旅客隱私信息保護的技術框架體系。該框架體系具有分布式，多層級防護的特點。

3.1 總體邏輯框架

根據(jù)全國鐵路客票預訂與發(fā)售系統(tǒng)的組成，以及系統(tǒng)安全分級劃域情況，總體隱私安全防護體系基于安全管理控制中心平臺，從車站窗口售票終端、代售點終端、12306網(wǎng)站、移動終端、電話訂票等安全區(qū)域邊界安全防護，旅客信息存儲數(shù)據(jù)庫系統(tǒng)、主機系統(tǒng)等計算環(huán)境安全防護，跨域通信安全防護，以及旅客信息處理的票務業(yè)務安全防護等方面，協(xié)同配合，統(tǒng)一安全管控，實現(xiàn)隱私數(shù)據(jù)的終端輸入采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)業(yè)務處理等全生命周期過程的安全防護。

總體框架體系如圖1所示，主要組成如下：

圖1 鐵路旅客隱私保護總體邏輯結(jié)構(gòu)圖

（1）商用密碼子系統(tǒng)

采用自主研發(fā)的SQY20商用密碼管理子系統(tǒng)，作為客票系統(tǒng)安全管理控制的支撐平臺，基于PKI技術體系，在定制CA支撐下，使用數(shù)字證書等技術和硬件密碼設備，為鐵路客票安全提供了密鑰和證書的管理，安全通信，簽名和認證，加密和解密等密碼應用的支持。為了有效降低和控制客票系統(tǒng)的風險，從實體安全、平臺安全、數(shù)據(jù)安全、通信安全和應用安全等層次來保證售票系統(tǒng)的安全性，保證交易的可靠性，完整性和不可抵賴性，從而保障鐵路旅客隱私信息的安全。

（2）互聯(lián)網(wǎng)安全接入管控器

采用安全終端/安全接入設備實現(xiàn)終端本地安全管控。提供非內(nèi)網(wǎng)終端準入與認證服務，為工作終端的授權節(jié)點（包含角色、管理權限、接入設備以及過程）進行標識，完成身份鑒別與認證服務，以及為業(yè)務應用提供簽字、驗簽接口。同時，提供可控、可信和安全的網(wǎng)絡運行環(huán)境，包含操作人員身份認證、終端認證，最小權限控制，實現(xiàn)售票作業(yè)的授權訪問控制、驗簽、內(nèi)容過濾、安全監(jiān)測、安全審計，并為通信數(shù)據(jù)提供簽字驗簽功能。

（3）安全通信子系統(tǒng)

提供底層分布式應用的通信中間件模塊，建立可信連接安全通信信道，為各個子系統(tǒng)提供了安全、可靠、靈活、易用的支撐平臺。提供的通信安全包括信息的秘密性傳輸，信息的抗抵賴性保護，信息的完整性保證，支持SM1、SM2、SM3等國密算法[13］。

（4）安全隔離與信息交換系統(tǒng)

主要用來隔離Windows應用系統(tǒng)和其他部分，以確保系統(tǒng)安全部件TCB連接的無縫性。特別采用強制訪問控制隔離外部網(wǎng)連接及中心之間及中心與鐵道部或中心與車站之間的網(wǎng)絡。

（5）統(tǒng)一安全管理平臺

以統(tǒng)一信息安全管理為目標，以等級保護和分級保護為核心，基于大數(shù)據(jù)智能分析組件，實現(xiàn)對用戶、用戶權限、信息資產(chǎn)、網(wǎng)絡資產(chǎn)、業(yè)務資產(chǎn)狀態(tài)全面安全管理，實現(xiàn)多目標、多策略、多等級信息安全保障。具有統(tǒng)一的資源管理、事件管理、威脅管理、風險管理、策略管理等功能。

3.2 關鍵技術

實現(xiàn)本框架體系，主要涉及如下幾方面的安全保護關鍵技術：

（1）PKI應用技術

采用PKI技術，用來實現(xiàn)基于公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能，提供身份認證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)公正性、不可抵賴性和時間戳六種安全服務。

（2）安全標記技術

采用了客票業(yè)務信息數(shù)據(jù)包的安全標記技術，由客票程序和安全管控終端代理程序通過完成標記添加，標記好的業(yè)務交易數(shù)據(jù)包分發(fā)，互聯(lián)網(wǎng)接入管控器對數(shù)據(jù)包進行安全標記驗證，確保業(yè)務信息的合法性及不可否認性。

（3）數(shù)據(jù)庫加密技術

數(shù)據(jù)庫安全技術主要包括：數(shù)據(jù)庫漏掃、數(shù)據(jù)庫加密、數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫安全審計系統(tǒng)。采用數(shù)據(jù)庫加密的方式保護數(shù)據(jù)庫安全，增強普通關系數(shù)據(jù)庫管理系統(tǒng)的安全性，對數(shù)據(jù)庫存儲的內(nèi)容實施有效保護。通過數(shù)據(jù)庫存儲加密和多級密鑰管理等安全方法，實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)存儲保密和完整性要求，使得數(shù)據(jù)庫以密文方式存儲并在密態(tài)方式下工作，確保了旅客隱私數(shù)據(jù)以及客票業(yè)務數(shù)據(jù)的安全。

（4）強制訪問控制技術

采用陣列式的安全隔離與信息交換，實現(xiàn)協(xié)議剝離與數(shù)據(jù)擺渡的功能，采用完全格式化的專有數(shù)據(jù)格式，不借助任何通用協(xié)議作為基本媒介，實現(xiàn)7層數(shù)據(jù)隔離，徹底剝離通用TCP/IP協(xié)議?？蓪崿F(xiàn)7層數(shù)據(jù)結(jié)構(gòu)化保護，只允許客票系統(tǒng)與其他各互聯(lián)系統(tǒng)的基于數(shù)據(jù)結(jié)構(gòu)化保護的數(shù)據(jù)通過。

（5）統(tǒng)一安全管控技術

所有網(wǎng)絡通信設備必須配置網(wǎng)絡管控器，通過網(wǎng)絡管控器收集網(wǎng)絡設備的事件，并通過管理中心進行監(jiān)控管理。所有服務器設備必須配置主機管控器，通過主機管控器收集主機事件信息，并通過管理中心進行監(jiān)控管理。

3.3 框架特點

（1）符合國家商用密碼要求。采用自主研發(fā)的SQY20商用密碼管理子系統(tǒng)，基于PKI技術體系，在定制CA支撐下，提供了密鑰和證書的管理服務，符合國家商密要求。

（2）總體上符合可信要求?；阼F路客票系統(tǒng)的分布式組成特點，整體保護對象分級劃域進行保護。主要從區(qū)域邊界（終端、用戶）、計算環(huán)境、通信安全、業(yè)務安全等方面保證隱私信息數(shù)據(jù)的安全。

（3）基于安全管理控制平臺進行統(tǒng)一安全管控。整體系統(tǒng)以統(tǒng)一信息安全管理為目標，以等級保護和分級保護為核心，實現(xiàn)對用戶、用戶權限、信息資產(chǎn)、網(wǎng)絡資產(chǎn)、業(yè)務資產(chǎn)狀態(tài)進行全面安全管理，實現(xiàn)多目標、多策略、多等級信息安全保障。

（4）達到信息安全保護四級要求。保護框架體系符合客票系統(tǒng)部級中心系統(tǒng)四級要求。通過分級劃域?qū)訉颖Ｗo，全方位保護鐵路旅客隱私信息安全。

4 結(jié) 語

本文針對鐵路旅客信息面臨的多重安全問題，結(jié)合客票系統(tǒng)的組成以及鐵路旅客信息在客票系統(tǒng)中進行的數(shù)據(jù)交互情況，提出了一種基于安全管理控制平臺的鐵路旅客隱私信息保護的技術框架體系。該框架體系基于安全管理控制平臺，通過數(shù)據(jù)庫加密、PKI、強制訪問控制、終端設備與用戶安全接入、跨域安全互聯(lián)互通、統(tǒng)一安全管控等技術，從旅客隱私信息處理系統(tǒng)的區(qū)域邊界、計算環(huán)境、網(wǎng)絡通信和業(yè)務應用等多個方面進行全生命周期的隱私信息安全防護。具有分布式，多層級的防護特點，適合我國鐵路旅客信息大數(shù)據(jù)安全保護場景。