文：余家歡丨北京京港地鐵有限公司

數(shù)據(jù)是國家基礎(chǔ)戰(zhàn)略性資源和重要生產(chǎn)要素，國際態(tài)勢嚴峻的當下，我國在2021年密集發(fā)布了多項數(shù)據(jù)安全法律和標準，數(shù)據(jù)安全的重要性在各行業(yè)領(lǐng)域愈加突出。近兩年，智慧城軌業(yè)務全面創(chuàng)新和發(fā)展，但智慧城軌采集、應用的海量數(shù)據(jù)的安全卻容易被忽視。本文從國家數(shù)據(jù)安全監(jiān)管要求出發(fā)，結(jié)合智慧城軌業(yè)務特點和安全現(xiàn)狀，提出以“摸-分-評-預-控”為流程的智慧城軌的數(shù)據(jù)安全建設(shè)思路，為傳統(tǒng)城軌過渡階段和以及智慧城軌數(shù)據(jù)安全建設(shè)思路提供參考。

《中國城市軌道交通智慧城軌發(fā)展綱要》提出按照“1-8-1-1”的布局結(jié)構(gòu)，鋪畫了一張智慧城軌發(fā)展藍圖。在5G、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的推動下，智慧城軌運營開啟數(shù)據(jù)分析智能化和生產(chǎn)智慧化的階段，并完成從運輸乘客到服務乘客的思路轉(zhuǎn)變。但業(yè)務規(guī)模的擴大，帶來了諸如人臉識別、個人支付、個人行為、乘客流量、車輛調(diào)度、綜合監(jiān)控、信號數(shù)據(jù)、坐標軌跡等個人數(shù)據(jù)和重要數(shù)據(jù)的成倍增長，數(shù)據(jù)安全的重要性不言而喻，一旦出現(xiàn)因相關(guān)數(shù)據(jù)泄露或破壞導致的軌道停運，可能直接影響百萬、千萬人民的交通生活，損失不可估量。

我國于2021年陸續(xù)出臺《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等一系列法律法規(guī)對數(shù)據(jù)安全進行監(jiān)管，捍衛(wèi)國家數(shù)據(jù)安全。由此可見，智慧城軌的數(shù)據(jù)安全建設(shè)工作需高度重視，在建設(shè)中應遵循 “同時規(guī)劃、同時建設(shè)、同時運行”的原則，為智能系統(tǒng)驅(qū)動下的智慧城軌的運營生產(chǎn)保駕護航。

一、智慧城軌數(shù)據(jù)安全現(xiàn)狀

依據(jù)法律法規(guī)，從智慧城軌建設(shè)朝著智能化、智慧化方面高效發(fā)展考慮，本文從以下四個方面分析當前智慧城軌的數(shù)據(jù)安全現(xiàn)狀。

1.新架構(gòu)新風險。智慧城軌所應用的新架構(gòu)，引發(fā)新的數(shù)據(jù)安全風險隱患。建設(shè)過程中，為使各種信息有效融合、共享、使用，各軌道運行專業(yè)設(shè)備系統(tǒng)不再是單一封閉運轉(zhuǎn)的系統(tǒng)，目前城軌云與大數(shù)據(jù)平臺是實現(xiàn)智慧城軌的“基礎(chǔ)底座”，云計算應用已經(jīng)模糊了傳統(tǒng)系統(tǒng)邊界的限定，大數(shù)據(jù)應用下的潛在數(shù)據(jù)安全泄露風險也與日劇增，物聯(lián)網(wǎng)設(shè)備、5G 設(shè)備的接入安全、授權(quán)認證等問題直接關(guān)系到城軌相關(guān)系統(tǒng)的數(shù)據(jù)安全，對建設(shè)工作帶來新的挑戰(zhàn)，基于種種風險，為確保列車運行和乘客人身安全，必須從相關(guān)法律入手研究、評估、應對新架構(gòu)下的數(shù)據(jù)安全威脅。

2.數(shù)據(jù)資產(chǎn)管理。從數(shù)據(jù)資產(chǎn)范圍角度，要保障管理范圍的全面性。由于行業(yè)整體管理體制特征，傳統(tǒng)城軌普遍重生產(chǎn)網(wǎng)輕辦公網(wǎng)，數(shù)據(jù)資產(chǎn)管理工作大多向生產(chǎn)網(wǎng)傾斜，但辦公網(wǎng)同樣具有大量與軌道相關(guān)的國家重要數(shù)據(jù)，如設(shè)計圖、施工圖、地理信息、運營數(shù)據(jù)、安保措施、供應鏈數(shù)據(jù)等。因此在智慧城軌的建設(shè)中要對安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務網(wǎng)中的數(shù)據(jù)資產(chǎn)進行全面管理。

從數(shù)據(jù)資產(chǎn)梳理角度，要杜絕落后管理方式。人工或系統(tǒng)登記制已經(jīng)過時，智慧城軌背景下軌道業(yè)務更加復雜，數(shù)據(jù)類型復雜多樣，包括結(jié)構(gòu)化數(shù)據(jù)，以及圖像、音頻、視頻、文本等非結(jié)構(gòu)化數(shù)據(jù)。企業(yè)盡管已開展多次數(shù)據(jù)資產(chǎn)調(diào)研，但調(diào)研范圍不一致，資產(chǎn)底賬不清，經(jīng)年累月后應下線資產(chǎn)、未認領(lǐng)資產(chǎn)普遍存在敏感數(shù)據(jù)，摸清資產(chǎn)才能摸清數(shù)據(jù)安全，無法形成完整的數(shù)據(jù)資產(chǎn)視圖，不利于智慧城軌轉(zhuǎn)型戰(zhàn)略落地。

從數(shù)據(jù)資產(chǎn)分類分級角度，國家法律提出重要數(shù)據(jù)和個人數(shù)據(jù)要分等級管理的要求。隨著公民出行數(shù)據(jù)、地理信息數(shù)據(jù)、經(jīng)濟生產(chǎn)運行數(shù)據(jù)等數(shù)據(jù)的不斷歸集，相應的數(shù)據(jù)文件、庫、表、字段安全級別無標準可依，不是缺乏防護措施就是措施過度，并且人員崗位與數(shù)據(jù)之間未能實現(xiàn)業(yè)務操作的最小權(quán)限控制，導致“一個賬戶，走天下”。根據(jù)數(shù)據(jù)資產(chǎn)重要性進行分類分級，對數(shù)據(jù)資產(chǎn)進行全面清晰的分類分級，是實現(xiàn)數(shù)據(jù)規(guī)范化管控與有效防護的前提。

3.數(shù)據(jù)安全評估?！稊?shù)據(jù)安全法》第十三條指出，“重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告。風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險及其應對措施等”。在監(jiān)管下，評估工作一直都是減少風險行之有效的重要途徑，能夠幫助我們認知、排查、解決風險隱患，但目前缺乏數(shù)據(jù)安全專項評估工作，在發(fā)現(xiàn)數(shù)據(jù)安全風險上較為滯后。

4.數(shù)據(jù)安全防御?！霸拼笪镆啤钡刃录夹g(shù)使得智慧城軌向互聯(lián)網(wǎng)外延，數(shù)據(jù)暴露面增加，加大了數(shù)據(jù)被泄露、篡改、損毀的風險，目前智慧城軌安全建設(shè)還停留在傳統(tǒng)網(wǎng)絡安全的角度，重視邊界防御，普遍應用防病毒、防入侵、防火墻的“老三樣”，這將導致安全體系的全面潰敗。因為數(shù)據(jù)風險涉及從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)使用到數(shù)據(jù)銷毀的全生命周期，數(shù)據(jù)采集要保證數(shù)據(jù)正當正確采集能力；數(shù)據(jù)傳輸要利用加密、簽名等認證機制保障傳輸數(shù)據(jù)安全能力；數(shù)據(jù)存儲要考慮對數(shù)據(jù)的存儲環(huán)境、容災備份、加密能力；數(shù)據(jù)處理和使用要保障人與數(shù)據(jù)之間的權(quán)限，具備數(shù)據(jù)防篡改和防泄露能力；最后階段，需要分等級進行去標識化或銷毀處理能力，因此以數(shù)據(jù)為核心考慮防御機制才是智慧城軌數(shù)據(jù)安全防御的必經(jīng)之路。

二、智慧城軌數(shù)據(jù)安全建設(shè)思路

結(jié)合以上安全現(xiàn)狀，智慧城軌相關(guān)企業(yè)亟需落實國家相應的法律、標準和規(guī)范要求，嚴格保障智慧城軌數(shù)據(jù)的安全合規(guī)。本文提出以“摸-分-評-預-控”為流程的智慧城軌的數(shù)據(jù)安全建設(shè)思路（圖1），以供參考。

圖1 智慧城軌數(shù)據(jù)安全建設(shè)思路

1.摸清家底?！稊?shù)據(jù)安全法》二十一條提出，各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。

摸清家底的目標是對智慧城軌環(huán)境中的數(shù)據(jù)資產(chǎn)進行全面清查、摸排，有利于我們找出資產(chǎn)管理盲區(qū)，在此階段構(gòu)建數(shù)據(jù)資產(chǎn)目錄，為數(shù)據(jù)安全合規(guī)使用提供基礎(chǔ)。目前智慧城軌企業(yè)的數(shù)據(jù)資產(chǎn)主要分布在城軌云、大數(shù)據(jù)平臺、數(shù)據(jù)庫、文件服務器、終端等載體中，數(shù)據(jù)形態(tài)包含：結(jié)構(gòu)化數(shù)據(jù)(如RDD、SQL、JSON、NOSQL、表格數(shù)據(jù)等)、半結(jié)構(gòu)化數(shù)據(jù)(如日志文件、XML文檔、JSON文檔、Email等)、非結(jié)構(gòu)化數(shù)據(jù)(如辦公文檔、文本、圖片、XML、HTML、各類報表、圖像等)。隨著時間的積累企業(yè)的數(shù)據(jù)散布在各個載體，依靠人工可能無法摸清全部數(shù)據(jù)的數(shù)量、類型、分布等情況。摸清家底應是一個常態(tài)化工作，需要周密地做好工作計劃，工作可分為三個步驟，工作清單表見表1。

表1 工作清單表

數(shù)據(jù)資產(chǎn)目錄內(nèi)容參考，相關(guān)內(nèi)容見圖2。

圖2 數(shù)據(jù)資產(chǎn)目錄內(nèi)容示例

2.分類分級。《數(shù)據(jù)安全法》第二十一條提出，國家建立數(shù)據(jù)分類分級保護制度。

作為關(guān)鍵信息基礎(chǔ)設(shè)施，軌道交通行業(yè)也應該將數(shù)據(jù)分類分級作為智慧城軌數(shù)據(jù)安全保障的核心方法，目標在于對智慧城軌運營、運行、運維、分析等業(yè)務過程中的重要數(shù)據(jù)和個人數(shù)據(jù)分類別、分等級標識，通過標識指導企業(yè)等級進行數(shù)據(jù)保護，從而保障智慧城軌安全運營。

（1）智慧城軌數(shù)據(jù)分類方法參考

數(shù)據(jù)分類階段見圖3，智慧城軌具體數(shù)據(jù)分類路徑分為三個階段：第一階段，確定數(shù)據(jù)應用場景和業(yè)務；第二階段，確定數(shù)據(jù)項，劃分數(shù)據(jù)項集合；第三階段，依據(jù)子類劃分方法，確定數(shù)據(jù)項或數(shù)據(jù)項集合所屬數(shù)據(jù)子類。

圖3 數(shù)據(jù)分類路徑

線分法數(shù)據(jù)子類劃分見圖4，數(shù)據(jù)子類劃分可參考線分法為基礎(chǔ)進行子類劃分。首先按照業(yè)務活動、信息內(nèi)容、獲取信息來源，將數(shù)據(jù)分為若干數(shù)據(jù)大類；然后按照數(shù)據(jù)大類內(nèi)部邏輯聯(lián)系，分為若干層級；每個層級分為若干子類，同一分支同層級子類構(gòu)成并列關(guān)系；建議最多分到四級之類，四級子類作為最小子類，建議關(guān)聯(lián)級別，便于實施分類和分級的同步進行。

圖4 線分法數(shù)據(jù)子類劃分

（2）智慧城軌數(shù)據(jù)分級方法參考

智慧城軌數(shù)據(jù)分級可按照三個維度，確定的該類數(shù)據(jù)的安全性遭到破壞后的影響對象、影響廣度、影響深度，并結(jié)合數(shù)據(jù)分類的最小子類對數(shù)據(jù)進行定級，數(shù)據(jù)分級矩陣表見表2。

表2 數(shù)據(jù)分級矩陣表

確定影響對象：確定需分級的城軌數(shù)據(jù)的安全性遭到破壞后可能影響的對象。如：國家安全、公眾利益、個人隱私、企業(yè)合法權(quán)益等。

確定影響廣度：確定該類數(shù)據(jù)的安全性遭到破壞后可能影響廣度。如：5000名至1萬名乘客或1條線路、1萬名至10萬名乘客或多條線路、城市全部乘客或全部線路。

確定影響深度：確定該類數(shù)據(jù)的安全性遭到破壞后可能影響深度。如：可能對較少乘客無法運營造成輕微影響、可能對多個站點乘客無法運營造成一般影響、可能對部分乘客人身安全或產(chǎn)生運營事故等造成嚴重影響。

3.評估風險?！稊?shù)據(jù)安全法》三十條提出，重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告。

智慧城軌由于基礎(chǔ)設(shè)施和業(yè)務架構(gòu)復雜，導致比以往傳統(tǒng)城軌數(shù)據(jù)暴露面更多，因此應按照法律法規(guī)要求建立或引入真正有用的數(shù)據(jù)安全評估機制，堅決摒棄傳統(tǒng)風險評估工作以訪談和出通用文檔為主的模式，應在深度調(diào)研智慧城軌網(wǎng)絡整體架構(gòu)、數(shù)據(jù)流轉(zhuǎn)生命周期，數(shù)據(jù)產(chǎn)品及策略、數(shù)據(jù)安全管理制度等維度后，大膽創(chuàng)新，以搜集行為記錄為主，結(jié)合專家經(jīng)驗，通過分析工具全鏈條關(guān)聯(lián)和導出真實存在的風險，讓行為記錄“多跑路”，減少主觀的訪談性風險評價，量化數(shù)據(jù)安全問題，這樣形成的數(shù)據(jù)安全風險分析報告，才能為下一階段的數(shù)據(jù)安全整改工作打下基礎(chǔ)。

4.預測風險?！稊?shù)據(jù)安全法》二十二條提出，國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。

在傳統(tǒng)城軌環(huán)境中，安全問題都是事后追溯被動防御，無法有效預測風險，在智慧城軌時代應提前布局數(shù)據(jù)安全風險預測技術(shù)措施，建議建立分析研判預測可視與一體的有效機制，對智慧城軌中的安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務網(wǎng)數(shù)據(jù)安全風險實現(xiàn)動態(tài)預測。

利用安全分析技術(shù)對數(shù)據(jù)資產(chǎn)暴露面脆弱性進行驗證和利用性分析，并結(jié)合威脅源、數(shù)據(jù)安全分類分級建立正態(tài)分布、關(guān)聯(lián)分析等模型，根據(jù)設(shè)定的主體類型，例如業(yè)務系統(tǒng)、用戶、業(yè)務系統(tǒng)、數(shù)據(jù)資產(chǎn)等，基于歷史行為數(shù)據(jù)，對未來主體可能發(fā)現(xiàn)的安全風險狀態(tài)進行預測，盡最大可能預測可能影響軌道運營的安全事件的發(fā)生細節(jié)（時間、范圍和危害等），使得數(shù)據(jù)安全風險預測達到智慧化。見表3。

表3 風險預測舉例表

5.控制風險。《數(shù)據(jù)安全法》二十七條提出，采取相應的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。智慧城軌數(shù)據(jù)安全建設(shè)的最關(guān)鍵一步是控制風險，結(jié)合上述得到的成果，以摸清家底為核心，數(shù)據(jù)分類分級為策略抓手，結(jié)合識別和預測的風險事件，聯(lián)動數(shù)據(jù)安全相關(guān)技術(shù)措施，展開數(shù)據(jù)分級管控，建立數(shù)據(jù)安全風險管控技術(shù)措施，將數(shù)據(jù)資產(chǎn)分類分級形成的數(shù)據(jù)資產(chǎn)目錄，對每個數(shù)據(jù)的擁有者，按數(shù)據(jù)等級防控策略進行初始化下發(fā)設(shè)置，針對已發(fā)生數(shù)據(jù)安全風險事件或預測風險事件，根據(jù)處置提示確定處置策略，經(jīng)過審批后自動發(fā)布處置策略，實施應急聯(lián)動響應，聯(lián)動控制風險，從而保障智慧城軌數(shù)據(jù)安全風險的快速應對。

智慧城軌是交通強國建設(shè)的戰(zhàn)略突破口，而數(shù)據(jù)安全建設(shè)又是智慧城軌發(fā)展的關(guān)鍵，抓好數(shù)據(jù)安全建設(shè)，才能有效保障城軌技術(shù)高速發(fā)展、更新迭代。本文提出的智慧城軌的數(shù)據(jù)安全建設(shè)思路，可為傳統(tǒng)城軌過渡階段和以及智慧城軌今后進一步研究數(shù)據(jù)安全建設(shè)思路提供參考。