基于安全管理控制平台的铁路旅客隐私信息保护技术架构

摘要：随着我国高速铁路的发展，铁路出行成为主要客运途径之一。作为铁路运输的主要营收系统，全国铁路客票预订与发售系统支持窗口、代理点、移动终端、网络等多种售票方式，成为全国最大的网上交易系统。由于铁路系统的分布式、跨地域、覆盖全国的特点，具有典型的大数据特征，服务旅客范围覆盖全国13亿民众。海量的铁路隐私信息处理，必然面临大数据条件下的隐私保护安全威胁。因此，铁路旅客数据隐私信息安全保护成为亟待解决的焦点问题。在全国铁路客票安全系统研发、工程实施、实际运维十余年的经验基础上，基于安全管理控制平台的优势，提出一种基于安全管理控制平台的铁路旅客隐私信息保护的技术框架体系。该框架体系具有分布式，多层级的防护特点，适合我国铁路旅客信息大数据安全保护场景。

0 引言

中国铁路建设始于清朝末年，经过一个多世纪的建设和发展，截至2017年年底[1-2]，中国铁路营业总里程达12.7万公里，规模居世界第二；其中高速铁路2.5万公里，位居世界第一，全国铁路复线率和电气化率分别达到54.9%和64.8%。

随着我国高速铁路的发展，铁路出行成为我国的主要客运途径之一。据统计，仅2018年上半年，中国铁路总公司累计发送旅客15.91亿人次。全国铁路客票预订与发售系统[3]（简称客票系统）支持窗口、代理点、移动终端、网络等多种售票方式，作为铁路运输的主要营收系统，成为全国最大的网上交易系统。由于铁路系统的分布式、跨地域、覆盖全国的特点，服务旅客范围覆盖全国13亿民众，具有典型的大数据特征。因此，全国铁路客票预订与发售系统涵盖海量旅客信息数据收集、传输、存储、管理、分析、发布、使用、销毁的大数据生命周期全过程。

隐私[4]是指与用户个人相关的特定信息，譬如身份证号，电子邮箱，手机号，银行账户，活动轨迹和居住地址等，这些都是用户不愿透露的敏感信息。海量的铁路旅客登记、注册与购票等形成的隐私信息广泛存在于全国铁路客票预订与发售系统中，对铁路旅客隐私信息的处理涉及整个铁路客票系统的生命周期全过程。如果这些隐私信息被泄露，会对旅客造成极大的威胁，而对这些信息和数据进行分析，甚至可以推测出旅客的生活模式、资产状况等更多的隐私信息。如果大量旅客的隐私信息被不法团伙获取，将极大的威胁旅客的人身、财产安全，也将威胁到社会公共安全。随着铁路客票预订与发售系统由专用网络逐渐发展为公网、互联网的开放式网络，支持网络售票、移动终端售、电话售票等多种方式，铁路旅客隐私信息面临诸多的信息安全和隐私保护问题。

在大数据环境下，由于大数据数据量大、处理挖掘处理等发展趋势，单纯隐私数据的加密等手段不能达到安全保护的目的，对隐私保护提出了新的挑战，需要新型的防护技术体系。目前，已有大量的研究成果报道出来。吕欣等[5]提出了基于大数据全生命周期的隐私保护技术体系。冯登国[6]等分析和总结了大数据环境下隐私保护涉及的技术内容。曹珍富等[7]在医疗大数据隐私保护体系研究的基础上，分析和综述了大数据安全与隐私保护技术的研究进展。

针对铁路客票系统[3]实际情况和铁路大数据系统[8]总体特点，戚建淮[9-12]等在全国铁路客票安全系统实际研发和运维的基础上，提出了统一安全管理控制平台。具有统一的资源管理、事件管理、威胁管理、风险管理、策略管理等功能，解决了复杂网络环境的信息安全保障问题，具有分布式大数据环境下的整体信息安全保障优势。

本文在全国铁路客票安全系统研发、工程实施、实际运维十余年的经验基础上，借鉴安全管理控制平台的优势，提出一种基于安全管理控制平台的铁路旅客隐私信息保护的技术框架体系。该框架体系具有分布式，多层级的防护特点，适合我国铁路旅客信息大数据安全保护场景。

1 铁路旅客信息数据的组成与交互

铁路旅客信息主要包含在全国铁路客票预订与发售系统中，铁路旅客隐私信息的安全主要表现为该系统的旅客信息数据的安全、系统安全、通信安全和客票系统业务安全等方面。因此，客票系统中旅客信息的组成与数据交互情况直接影响安全保护策略、技术、方案等选择和构建。

（1）旅客信息组成

旅客的姓名、出生日期、身份证编号、手机号、邮箱地址、旅客身份、单位、购票方式、出行路线、出行时间、以及车票信息等，这些信息及相关延伸信息如购票时间、购票地点、支付方式等，共同构成了旅客信息。

（2）客票系统组成

目前的铁路客票发售及预订系统使用部级、地区（局）级和车站级三层结构并采取集中和分布结合的方案。

在中国铁路总公司（原铁道部）中心连接了铁路客户服务中心（部级中心）、铁路电子支付平台、站车无线交互平台，部中心系统完成如下主要功能：

第一：编制与维护全路统一的基础数据，为整个客票系统正常运行提供数据依据；

第二：管理与监控路局的各种关键性的业务数据，可提前发现并修正系统运行中出现的各类问题；

第三：实时了解全路席位的分配和发售情况，并进行相应的调控；

第四：汇总、统计、分析全路的营销数据，提供不同内容、不同风格、不同角度的多种报表，为全路客运组织工作提供决策支持。

地区（局）中心负责车次信息维护，管理与监控本中心范围内的各项业务及其产生的数据，根据票额分配，编制车次的长短期计划，管理并调度本中心所管辖车次的席位。

车站以客票发售与预订为主要业务，完成售、退、废、预约预订等客票营销业务，管理和监控车站的各项业务及其产生的数据，管理本站的席位，完成财务统计、客运统计等分析工作，维护客票发售与预订相关的业务数据，如票卷、经由等。

（3）旅客信息数据的交互

旅客信息数据的交互主要包括旅客通过售票窗口、代售点、网页或APP进行系统购票、退票、系统注册和注销等的数据交互。在客票系统中，旅客在人工售票窗口时，基本身份信息：姓名、身份证号、家庭住址等，通过身份证识别设备写入客票系统车站级部分，车站本站访问部级中心系统，完成客票查询操作，部级中心系统将查询结果反馈到本站，本站根据部级中心系统的反馈信息进行售票或退票、改签等操作，再次访问部级中心系统进行数据库存根、席位等关键数据的同步。部级中心系统完成数据存根后需向所有车站级系统进行关键信息同步，如果旅客购票信息为异地购票，本站还需访问目标车站系统，进行信息确认后，再访问部级中心系统进行购票等操作。购票成功后，本站打印车票，更新车票打印信息到部级中心系统进行存根。代售点售票时，通过专线连接到本地车站客票系统，其数据交互与窗口售票情况一致。

旅客通过网络或移动终端等非窗口售票方式购票的数据交互。旅客通过互联网或手机APP购买车票时，也需要预先录入姓名、身份证号、联系电话等基本信息，客票系统通过互联网或手机APP获取旅客基本信息，然后访问部级中心系统，进行车票查询，查询结果反馈到对应互联网平台或手机APP，旅客在互联网平台或手机APP进行购票、退票或改签等操作后，再次访问部级中心系统进行相应操作，操作成功后进行数据库存根和关键数据同步。购票成功后，购票结果反馈到互联网平台或手机APP，系统记录未取票。旅客通过自助取票机进行取票操作时，自助取票机访问部级中心系统，查询取票信息，反馈到自助取票机，打印车票，更新车票打印信息，发送到部级中心系统进行存根。

旅客购票过程中，旅客信息主要由车站级售票系统或者互联网平台和手机APP售票软件采集，与异地车站和部级中心系统进行多次交互。数据交互既包含从互联网等公网售票模式发起的非内网数据传输和访问，也包含车站级售票系统发起的内网数据传输和访问，数据传输和访问频繁，数据流传输环节较多。

2 铁路旅客信息面临的安全问题

由于铁路旅客在购票过程中，其信息数据传输频繁，传输形式包括内网和互联网，铁路旅客信息所处环境较为复杂，由此带来一些安全问题。

（1）区域边界（包含终端、用户）安全问题

根据新一代客票系统，部客票服务中心连接了互联网/手机服务系统、电子支付前置系统以及站车无线交互平台等外联服务，客票交易中心连接了代售点互联网通道接入，区域电话订票系统与路内其他系统，以及售票终端（取消车站售票服务器）通过专线直接接入区域中心。主要面临的风险如下：

①典型外部攻击：攻击者利用非法输入、 SQL 注入、跨站脚本攻击等方式，盗取用户账号信息、获取敏感数据。

②常见内部威胁：内部用户的身份假冒、合法用户的越权访问等。

③故障对数据完整性、一致性的威胁。

④恶意攻击：最常见的是使用缓冲区溢出方式获得管理员权限，从而任意修改核心区域数据库内容和窃取信息。

⑤对财务、审计的威胁：“重放”、篡改、抵赖与存储数据出错。

（2）计算环境安全问题

主机系统由于存在着操作系统、数据库、应用系统等软件方面的安全问题，包括非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等。

这些安全问题可能导致旅客信息泄露、账号被盗或者用户信息被篡改等风险。

（3）网络通信安全问题

通信方面安全风险，对可用带宽的攻击，网络阻塞攻击，洪流攻击和服务窃取和占有,从而窃取铁路旅客信息。

（4）票务系统业务安全问题

票务系统业务作业应该持续可用，满足以下要求：身份鉴别确认、访问控制、业务流控制、路由选择控制和审计跟踪等，使攻击者不能占用所有的资源而阻碍合法用户的工作。主要安全问题如下：

1）外联系统（12306、电子支付）等接入，可能伴随着非法外联，恶意攻击导致系统瘫痪。

2）部中心、地区中心设置数据库服务器，车站不设置数据库服务器后，峰值期增加巨大访问量，造成系统满负荷而拒绝响应和网络瘫痪，以及软件可靠性问题导致的系统瘫痪等安全问题。

3）业务管理人员对售票交易、席位管理、数据维护等核心业务流程的误操作，也有可能导致对客票数据的篡改、丢失、盗用。

3 铁路旅客隐私安全保护框架体系

针对铁路旅客信息面临的多重安全问题，客票系统的组成以及铁路旅客信息在客票系统中进行的数据交互特点，结合安全管理控制平台的优势以及全国铁路客票安全系统的安全防护体系，提出一种基于安全管理控制平台的铁路旅客隐私信息保护的技术框架体系。该框架体系具有分布式，多层级防护的特点。

3.1 总体逻辑框架

根据全国铁路客票预订与发售系统的组成，以及系统安全分级划域情况，总体隐私安全防护体系基于安全管理控制中心平台，从车站窗口售票终端、代售点终端、12306网站、移动终端、电话订票等安全区域边界安全防护，旅客信息存储数据库系统、主机系统等计算环境安全防护，跨域通信安全防护，以及旅客信息处理的票务业务安全防护等方面，协同配合，统一安全管控，实现隐私数据的终端输入采集、数据存储、数据传输、数据业务处理等全生命周期过程的安全防护。

总体框架体系如图1所示，主要组成如下：

（1）商用密码子系统

采用自主研发的SQY20商用密码管理子系统，作为客票系统安全管理控制的支撑平台，基于PKI技术体系，在定制CA支撑下，使用数字证书等技术和硬件密码设备，为铁路客票安全提供了密钥和证书的管理，安全通信，签名和认证，加密和解密等密码应用的支持。为了有效降低和控制客票系统的风险，从实体安全、平台安全、数据安全、通信安全和应用安全等层次来保证售票系统的安全性，保证交易的可靠性，完整性和不可抵赖性，从而保障铁路旅客隐私信息的安全。

（2）互联网安全接入管控器

采用安全终端/安全接入设备实现终端本地安全管控。提供非内网终端准入与认证服务，为工作终端的授权节点（包含角色、管理权限、接入设备以及过程）进行标识，完成身份鉴别与认证服务，以及为业务应用提供签字、验签接口。同时，提供可控、可信和安全的网络运行环境，包含操作人员身份认证、终端认证，最小权限控制，实现售票作业的授权访问控制、验签、内容过滤、安全监测、安全审计，并为通信数据提供签字验签功能。

（3）安全通信子系统

提供底层分布式应用的通信中间件模块，建立可信连接安全通信信道，为各个子系统提供了安全、可靠、灵活、易用的支撑平台。提供的通信安全包括信息的秘密性传输，信息的抗抵赖性保护，信息的完整性保证，支持SM1、SM2、SM3等国密算法[13]。

（4）安全隔离与信息交换系统

主要用来隔离Windows应用系统和其他部分，以确保系统安全部件TCB连接的无缝性。特别采用强制访问控制隔离外部网连接及中心之间及中心与铁道部或中心与车站之间的网络。

（5）统一安全管理平台

以统一信息安全管理为目标，以等级保护和分级保护为核心，基于大数据智能分析组件，实现对用户、用户权限、信息资产、网络资产、业务资产状态全面安全管理，实现多目标、多策略、多等级信息安全保障。具有统一的资源管理、事件管理、威胁管理、风险管理、策略管理等功能。

3.2 关键技术

实现本框架体系，主要涉及如下几方面的安全保护关键技术：

（1）PKI应用技术

采用PKI技术，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能，提供身份认证、数据完整性、数据保密性、数据公正性、不可抵赖性和时间戳六种安全服务。

（2）安全标记技术

采用了客票业务信息数据包的安全标记技术，由客票程序和安全管控终端代理程序通过完成标记添加，标记好的业务交易数据包分发，互联网接入管控器对数据包进行安全标记验证，确保业务信息的合法性及不可否认性。

（3）数据库加密技术

数据库安全技术主要包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。采用数据库加密的方式保护数据库安全，增强普通关系数据库管理系统的安全性，对数据库存储的内容实施有效保护。通过数据库存储加密和多级密钥管理等安全方法，实现数据库数据存储保密和完整性要求，使得数据库以密文方式存储并在密态方式下工作，确保了旅客隐私数据以及客票业务数据的安全。

（4）强制访问控制技术

采用阵列式的安全隔离与信息交换，实现协议剥离与数据摆渡的功能，采用完全格式化的专有数据格式，不借助任何通用协议作为基本媒介，实现7层数据隔离，彻底剥离通用TCP/IP协议。可实现7层数据结构化保护，只允许客票系统与其他各互联系统的基于数据结构化保护的数据通过。

（5）统一安全管控技术

所有网络通信设备必须配置网络管控器，通过网络管控器收集网络设备的事件，并通过管理中心进行监控管理。所有服务器设备必须配置主机管控器，通过主机管控器收集主机事件信息，并通过管理中心进行监控管理。

3.3 框架特点

（1）符合国家商用密码要求。采用自主研发的SQY20商用密码管理子系统，基于PKI技术体系，在定制CA支撑下，提供了密钥和证书的管理服务，符合国家商密要求。

（2）总体上符合可信要求。基于铁路客票系统的分布式组成特点，整体保护对象分级划域进行保护。主要从区域边界（终端、用户）、计算环境、通信安全、业务安全等方面保证隐私信息数据的安全。

（3）基于安全管理控制平台进行统一安全管控。整体系统以统一信息安全管理为目标，以等级保护和分级保护为核心，实现对用户、用户权限、信息资产、网络资产、业务资产状态进行全面安全管理，实现多目标、多策略、多等级信息安全保障。

（4）达到信息安全保护四级要求。保护框架体系符合客票系统部级中心系统四级要求。通过分级划域层层保护，全方位保护铁路旅客隐私信息安全。

4 结 语

本文针对铁路旅客信息面临的多重安全问题，结合客票系统的组成以及铁路旅客信息在客票系统中进行的数据交互情况，提出了一种基于安全管理控制平台的铁路旅客隐私信息保护的技术框架体系。该框架体系基于安全管理控制平台，通过数据库加密、PKI、强制访问控制、终端设备与用户安全接入、跨域安全互联互通、统一安全管控等技术，从旅客隐私信息处理系统的区域边界、计算环境、网络通信和业务应用等多个方面进行全生命周期的隐私信息安全防护。具有分布式，多层级的防护特点，适合我国铁路旅客信息大数据安全保护场景。

参考文献：

[1] i199IT.中国铁路总公司：2017年中国高铁通车里程已达2.5万公里[EB/OL].2018-1-2.http://www.199it.com/archives/670384.html.

[2] 中华人民共和国国务院新闻办公室,中国交通运输发展[N].人民日报,2016-12-30(003).

[3] 铁路客票发售与预定系统产品介绍[J].铁路计算机应用，2015,24(11):3-3;5-7.

[4] 韩静.云计算环境下隐私保护的现状和对策[EB/OL].2018-12-04 13:36:12.http://kns.cnki.net/kcms/detail/10.1108.TP.20181204.1334.294.html

[5] 吕欣,韩晓露.大数据安全和隐私保护技术架构研究[J].信息安全研究,2016,2(3):244-250.

[6] 冯登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报,2014,37(1):246-258.

[7] 曹珍富,董晓蕾,周俊,等.大数据安全与隐私保护研究进展[J].计算机研究与发展,2016,53(10):2137-2151.

[8] 史天运,刘军,李平等.铁路大数据平台总体方案及关键技术研究[J].铁路计算机应用,2016,25(9):1-6.

[9] 戚建淮,伍立华,徐国前,等.基于网络事件流的SOC的网络安全解决方案[J].信息网络安全,2008(03):42-46.

[10] 戚建淮,郑伟范,伍立华,等.基于多源事件融合的分布式SOC技术体系[J].信息安全与通信保密,2008(04):67-70.

[11] 戚建淮,郑伟范,宋晶,等.基于可信计算技术构建智能信息安全管理控制平台[J].信息网络安全,2009(05):14-16.

[12] 戚建淮,宋晶,汪暘,等.强制访问控制技术在数据库安全访问中的应用[J].通信技术,2018,51(3):692-695.

[13] GB/T 25056-2010,信息安全技术证书认证系统密码及其相关安全技术规范[S].

作者简介：

戚建淮，深圳市永达电子信息股份有限公司，城市轨道交通系统安全保障技术国家工程实验室，博士，高级工程师，主要研究方向为网络空间安全；

彭 华，深圳市永达电子信息股份有限公司，城市轨道交通系统安全保障技术国家工程实验室，学士，主要研究方向为网络安全；

唐 敏，深圳市永达电子信息股份有限公司，学士，主要研究方向为网络安全；

刘建辉，深圳市永达电子信息股份有限公司，学士，主要研究方向为网络安全；

胡金华，深圳市永达电子信息股份有限公司，硕士，主要研究方向为网络安全；

郑伟范，深圳市永达电子信息股份有限公司，城市轨道交通系统安全保障技术国家工程实验室，博士，助理研究员，主要研究方向为网络空间安全、智能计算。

（本文选自《通信技术》2019年第三期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。