中國(guó)機(jī)車遠(yuǎn)程監(jiān)測(cè)與診斷系統(tǒng)（CMD系統(tǒng)）數(shù)據(jù)安全研究

王志，李波

（1. 中國(guó)鐵路總公司 運(yùn)輸局，北京 100844；2. 河南思維信息技術(shù)有限公司，河南 鄭州 450000）

中國(guó)機(jī)車遠(yuǎn)程監(jiān)測(cè)與診斷系統(tǒng)（CMD系統(tǒng)）數(shù)據(jù)安全研究

王志1，李波2

（1. 中國(guó)鐵路總公司 運(yùn)輸局，北京 100844；2. 河南思維信息技術(shù)有限公司，河南 鄭州 450000）

隨著信息化進(jìn)程的加快，數(shù)據(jù)安全已經(jīng)成為信息化系統(tǒng)建設(shè)的重中之重。介紹目前數(shù)據(jù)安全所面臨的問題，以及中國(guó)機(jī)車遠(yuǎn)程監(jiān)測(cè)與診斷系統(tǒng)（CMD系統(tǒng)）在設(shè)計(jì)過程中就數(shù)據(jù)安全在數(shù)據(jù)采集、傳輸、存儲(chǔ)、應(yīng)用及數(shù)據(jù)管理等環(huán)節(jié)采取的應(yīng)對(duì)手段，探究CMD系統(tǒng)數(shù)據(jù)的安全性。

機(jī)車；遠(yuǎn)程監(jiān)測(cè)；診斷；CMD系統(tǒng)；數(shù)據(jù)安全；通信安全；信息安全；加密傳輸

1 概述

隨著信息化產(chǎn)業(yè)的不斷推進(jìn)及各種信息化系統(tǒng)的廣泛應(yīng)用，特別是大數(shù)據(jù)時(shí)代的到來，數(shù)據(jù)迅猛增長(zhǎng)成為重要的基礎(chǔ)性戰(zhàn)略資源，也是企業(yè)最寶貴的財(cái)富和核心競(jìng)爭(zhēng)力。然而數(shù)據(jù)在收集、存儲(chǔ)、傳輸和使用過程中面臨著安全性挑戰(zhàn)，數(shù)據(jù)外泄事件屢有發(fā)生，給企業(yè)和個(gè)人帶來了巨大的利益損失，保障數(shù)據(jù)的安全就顯得極為重要。因此，如何進(jìn)一步加強(qiáng)數(shù)據(jù)安全建設(shè)成為當(dāng)務(wù)之急。

中國(guó)機(jī)車遠(yuǎn)程監(jiān)測(cè)與診斷系統(tǒng)（CMD系統(tǒng)）采集數(shù)據(jù)用途廣泛，能夠?qū)崿F(xiàn)機(jī)車定位、動(dòng)態(tài)跟蹤“人車圖”；對(duì)在途機(jī)車設(shè)備進(jìn)行狀態(tài)監(jiān)測(cè)、遠(yuǎn)程診斷和故障排除；預(yù)估機(jī)車質(zhì)量狀態(tài)，定位故障并確定修程，提高整備檢修效率；及時(shí)發(fā)現(xiàn)和處置司機(jī)錯(cuò)誤操作和運(yùn)行異常情況，實(shí)現(xiàn)安全風(fēng)險(xiǎn)實(shí)時(shí)防控；將LKJ、TCMS、6A等信息通過地面綜合應(yīng)用子系統(tǒng)實(shí)現(xiàn)信息集成和數(shù)據(jù)挖掘，為運(yùn)管修提供支撐等[1]。鐵路信息化與鐵路安全生產(chǎn)指揮密不可分，面對(duì)種類如此繁多的應(yīng)用需求，數(shù)據(jù)安全是數(shù)據(jù)應(yīng)用基礎(chǔ)，保證鐵路信息系統(tǒng)數(shù)據(jù)安全是目前面臨的重要課題。同時(shí)，鐵路行業(yè)具有一定的特殊性，直接關(guān)系到國(guó)計(jì)民生，需要保證數(shù)據(jù)安全，才能完全保障運(yùn)輸生產(chǎn)、人民生活和社會(huì)發(fā)展[2]。

2 數(shù)據(jù)安全面臨問題

（1）計(jì)算機(jī)木馬病毒。木馬病毒影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確性與完整性，監(jiān)控或堵塞網(wǎng)絡(luò)，盜取照片、密碼、銀行信息等隱私數(shù)據(jù)，甚至導(dǎo)致系統(tǒng)崩潰。

（2）黑客攻擊。黑客攻擊往往是利用已知系統(tǒng)漏洞實(shí)施攻擊，或利用用戶安全意識(shí)低（使用系統(tǒng)提供的缺省密碼或設(shè)置密碼過于簡(jiǎn)單）進(jìn)行非法入侵系統(tǒng)獲取敏感數(shù)據(jù)或?qū)χ匾獢?shù)據(jù)進(jìn)行篡改、刪除等操作，破壞數(shù)據(jù)的有效性和完整性。目前黑客攻擊的主要對(duì)象是各類網(wǎng)站、數(shù)據(jù)庫(kù)等服務(wù)器，其攻擊一般具有明確的目標(biāo)，首先會(huì)收集被攻擊方的有關(guān)信息，分析被攻擊方可能存在的系統(tǒng)漏洞，然后實(shí)施攻擊，最后盜取有用信息或毀壞、篡改重要數(shù)據(jù)，破壞整個(gè)系統(tǒng)。

（3）數(shù)據(jù)存儲(chǔ)。目前各個(gè)信息化系統(tǒng)數(shù)據(jù)量龐大，特別是進(jìn)入云時(shí)代后，各類數(shù)據(jù)服務(wù)都采用虛擬化技術(shù)和分布式存儲(chǔ)，若惡意用戶利用非法手段實(shí)現(xiàn)對(duì)虛擬機(jī)操作權(quán)限的獲取，就極有可能對(duì)同一臺(tái)物理服務(wù)器所有虛擬機(jī)中的儲(chǔ)存數(shù)據(jù)的安全帶來威脅[3]。

數(shù)據(jù)存儲(chǔ)存在的安全隱患大致包括以下幾方面：

一是自然災(zāi)害（如地震、火災(zāi)、洪水、雷電等）、物理?yè)p壞（如硬盤損壞、設(shè)備使用到期、外力損壞等）和設(shè)備故障（如停電斷電、電磁干擾等）；

二是電磁輻射、信息泄露、痕跡泄露（如口令密鑰等保管不善）；

三是非法訪問或操作失誤（如刪除文件、格式化硬盤、線路拆除）、意外疏漏等。

（4）管理制度不完善。管理制度不完善或缺失也是數(shù)據(jù)安全面臨的問題之一。業(yè)務(wù)系統(tǒng)用戶、維護(hù)人員、外部訪問用戶在訪問業(yè)務(wù)數(shù)據(jù)時(shí)，操作數(shù)據(jù)庫(kù)的行為缺乏綜合審計(jì)，安全意識(shí)較薄弱，無意中泄露信息（如分享地理位置等），都極大增加了信息泄露的風(fēng)險(xiǎn)。

CMD系統(tǒng)由多個(gè)子系統(tǒng)組成，各個(gè)子系統(tǒng)內(nèi)及系統(tǒng)與系統(tǒng)間均面臨數(shù)據(jù)安全問題，如數(shù)據(jù)采集、傳輸、存儲(chǔ)安全，應(yīng)用安全，以及制度上可能影響安全問題的因素等[4]。在解決數(shù)據(jù)安全問題時(shí)，各個(gè)環(huán)節(jié)采取了多種手段確保數(shù)據(jù)安全，根據(jù)CMD系統(tǒng)自身特性，制定了CMD系統(tǒng)數(shù)據(jù)安全體系和技術(shù)框架。

3 CMD系統(tǒng)數(shù)據(jù)安全體系和技術(shù)框架

CMD系統(tǒng)由車載子系統(tǒng)、數(shù)據(jù)傳輸子系統(tǒng)和地面綜合應(yīng)用子系統(tǒng)組成（見圖1）。CMD系統(tǒng)規(guī)劃設(shè)計(jì)時(shí)就從數(shù)據(jù)采集、傳輸、存儲(chǔ)、運(yùn)用和管理等多方面充分考慮數(shù)據(jù)安全，設(shè)計(jì)標(biāo)準(zhǔn)符合信息系統(tǒng)的安全保護(hù)四級(jí)要求。

圖1 CMD系統(tǒng)組成

3.1 數(shù)據(jù)采集

機(jī)車車載綜合信息監(jiān)測(cè)裝置（LDP）作為CMD系統(tǒng)中的車載子系統(tǒng)，主要負(fù)責(zé)機(jī)車數(shù)據(jù)采集、處理、存儲(chǔ)、傳輸。為確保采集過程中數(shù)據(jù)的正確性、一致性，防止數(shù)據(jù)在采集過程中被隨意篡改，LDP與各類數(shù)據(jù)采集源（LKJ、6A、TCMS等）之間的通信采用特定數(shù)據(jù)報(bào)文格式，數(shù)據(jù)報(bào)文采用CRC校驗(yàn)方式確保數(shù)據(jù)包的完整性。數(shù)據(jù)通信過程中，對(duì)各數(shù)據(jù)源設(shè)定固定的IP地址和端口，從物理通道上隔離了非法入侵，確保數(shù)據(jù)安全。

對(duì)于視頻等敏感數(shù)據(jù)采用自定義加密算法，如若數(shù)據(jù)泄露，在不掌握解密方法的情況下視頻文件無法觀看，在一定程度上確保視頻文件數(shù)據(jù)安全。在LDP與各系統(tǒng)進(jìn)行歷史文件下載時(shí)，需要進(jìn)行身份驗(yàn)證，驗(yàn)證通過方可進(jìn)行文件傳輸，防止非法系統(tǒng)入侵網(wǎng)絡(luò)，獲取文件[5]。

3.2 數(shù)據(jù)傳輸

CMD系統(tǒng)數(shù)據(jù)傳輸主要有2種途徑（見圖2）：一種是借助3G/4G、北斗、GSM-R經(jīng)過鐵路信息安全平臺(tái)（MTUP）進(jìn)行通信；第二種是鐵路系統(tǒng)內(nèi)部通過鐵路綜合IT網(wǎng)（TMIS網(wǎng)）進(jìn)行通信，對(duì)于無法連接鐵路綜合IT網(wǎng)的單位，通過MTUP接入鐵路綜合IT網(wǎng)，確保鐵路系統(tǒng)內(nèi)外隔離。

3.2.1 網(wǎng)絡(luò)安全

圖2 數(shù)據(jù)傳輸網(wǎng)絡(luò)

CMD系統(tǒng)各級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)間通過路由器、防火墻相連，建立全路統(tǒng)一的管理模式和安全策略，統(tǒng)一進(jìn)行設(shè)備的鑒別、認(rèn)證和密鑰分發(fā)。

路外單位及移動(dòng)公網(wǎng)傳輸過來的數(shù)據(jù)，通過MTUP接入鐵路綜合IT網(wǎng)，然后分發(fā)給機(jī)務(wù)各級(jí)部門。機(jī)務(wù)段無線局域網(wǎng)通過設(shè)置連接口令、合法連接認(rèn)證等措施確保無線局域網(wǎng)的安全，確保數(shù)據(jù)安全[6]。

進(jìn)行網(wǎng)絡(luò)建設(shè)時(shí)還需滿足以下要求：

（1）網(wǎng)絡(luò)硬件防火墻設(shè)備，應(yīng)能提供地址過濾、安全代理及數(shù)據(jù)狀態(tài)檢測(cè)等安全機(jī)制。

（2）建立周期性網(wǎng)絡(luò)安全日志審計(jì)制度，對(duì)安全審計(jì)、入侵記錄等安全信息進(jìn)行評(píng)估，并能及時(shí)采取有效措施，改善優(yōu)化網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，提高安全等級(jí)。

（3）定期備份及更新路由器、防火墻等網(wǎng)絡(luò)設(shè)備的配置信息，包括網(wǎng)內(nèi)IP地址的分配明細(xì)。

3.2.2 車地通信

CMD系統(tǒng)根據(jù)數(shù)據(jù)的時(shí)效性分為實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)，實(shí)時(shí)數(shù)據(jù)主要借助3G/4G、北斗、GSM-R公網(wǎng)進(jìn)行數(shù)據(jù)傳輸，歷史數(shù)據(jù)則是在機(jī)車入段后通過接入整備場(chǎng)WLAN環(huán)境進(jìn)行局域網(wǎng)數(shù)據(jù)傳輸。

為了確保實(shí)時(shí)數(shù)據(jù)在公網(wǎng)上傳輸過程中的數(shù)據(jù)安全性，LDP車地通信采用自定的數(shù)據(jù)報(bào)文格式和校驗(yàn)方式，且發(fā)送時(shí)經(jīng)過專業(yè)的加密模塊加密，確保數(shù)據(jù)通過3G/4G、北斗、GSM-R公網(wǎng)進(jìn)行數(shù)據(jù)傳輸過程中不被篡改、竊取，保證數(shù)據(jù)的完整性和一致性。數(shù)據(jù)落地后經(jīng)過MTUP進(jìn)入鐵路內(nèi)網(wǎng)，經(jīng)過專業(yè)的數(shù)據(jù)解碼機(jī)對(duì)數(shù)據(jù)進(jìn)行還原并分發(fā)進(jìn)行相應(yīng)分析服務(wù)。為了進(jìn)一步確保數(shù)據(jù)在傳輸過程中的安全性，還可以利用電信運(yùn)營(yíng)商的專有頻段進(jìn)行鐵路相關(guān)數(shù)據(jù)的通信[7]。

當(dāng)機(jī)車入段后接入整備廠WLAN轉(zhuǎn)儲(chǔ)環(huán)境時(shí)，系統(tǒng)采用隱藏SSID、WEP/WPA/WPA2身份認(rèn)證方式禁止非授權(quán)設(shè)備接入。在整備場(chǎng)WLAN環(huán)境和機(jī)務(wù)段內(nèi)網(wǎng)間采用硬件防火墻，確保機(jī)務(wù)段內(nèi)外網(wǎng)隔離，防止非法入侵造成數(shù)據(jù)泄露。

3.2.3 地面應(yīng)用子系統(tǒng)

CMD系統(tǒng)地面應(yīng)用子系統(tǒng)采用B/S框架、HTTP協(xié)議、SSL加密傳輸通信，保證傳輸過程中的數(shù)據(jù)安全性和可靠性，排除網(wǎng)絡(luò)抓包和嗅探的威脅，系統(tǒng)對(duì)客戶端發(fā)過來的每個(gè)請(qǐng)求都進(jìn)行身份鑒別（Authentication）和訪問授權(quán)（Authorization）的嚴(yán)格檢查，還加入防范中間人攻擊的措施。

在系統(tǒng)開發(fā)階段采用各類手段防范數(shù)據(jù)泄露，系統(tǒng)正式發(fā)布前請(qǐng)專業(yè)安全測(cè)評(píng)公司對(duì)系統(tǒng)進(jìn)行測(cè)試審計(jì)，并根據(jù)測(cè)評(píng)情況進(jìn)行整改，解決存在的安全問題。

（1）對(duì)HTTP請(qǐng)求中攜帶的請(qǐng)求參數(shù)進(jìn)行安全檢查和過濾。如果參數(shù)中包含數(shù)據(jù)庫(kù)關(guān)鍵字、單引號(hào)、括號(hào)，則進(jìn)行請(qǐng)求攔截，以及動(dòng)態(tài)SQL參數(shù)綁定來杜絕SQL注入。

（2）修復(fù)系統(tǒng)已發(fā)現(xiàn)的漏洞，如XSS漏洞、Weblogic反序列漏洞。

（3）對(duì)上傳文件進(jìn)行類型檢查，使用隨機(jī)數(shù)改寫文件名和文件路徑，使得用戶不能輕易訪問自己上傳的文件。

（4）通過HTTP請(qǐng)求添加token驗(yàn)證，請(qǐng)求到達(dá)服務(wù)器前驗(yàn)證HTTP請(qǐng)求消息頭中的Referer，杜絕跨站請(qǐng)求偽造漏洞。

（5）增加用戶登錄驗(yàn)證，增加驗(yàn)證碼功能和登錄失敗次數(shù)限制，防止暴力破解。

3.3 CMD系統(tǒng)數(shù)據(jù)存儲(chǔ)安全

CMD系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器上存儲(chǔ)了大量業(yè)務(wù)數(shù)據(jù)，通過以下策略保證業(yè)務(wù)數(shù)據(jù)的可靠性和一致性。

3.3.1 數(shù)據(jù)存儲(chǔ)服務(wù)器安全

CMD系統(tǒng)地面綜合應(yīng)用子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器與應(yīng)用服務(wù)器放置在計(jì)算機(jī)機(jī)房?jī)?nèi)，機(jī)房環(huán)境應(yīng)符合GB 50174—2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》，滿足防水、防火、防雷等要求。機(jī)房具有完善的管理制度，建立準(zhǔn)入登記制度，杜絕未經(jīng)授權(quán)人員進(jìn)入機(jī)房、接觸設(shè)備。

中國(guó)鐵路總公司（簡(jiǎn)稱總公司）數(shù)據(jù)服務(wù)器和應(yīng)用服務(wù)器采用雙機(jī)熱備硬件架構(gòu)，保證系統(tǒng)7×24 h穩(wěn)定運(yùn)行，配備磁盤陣列進(jìn)行數(shù)據(jù)存儲(chǔ)，采用RAID5作為數(shù)據(jù)存儲(chǔ)解決方案?？膳鋫浯艓C(jī)進(jìn)行數(shù)據(jù)備份，保證數(shù)據(jù)安全?？偣拘畔⒅行臋C(jī)房?jī)?nèi)按照鐵路綜合IT網(wǎng)的統(tǒng)一規(guī)劃，分配路網(wǎng)IP地址，運(yùn)維管理納入總公司機(jī)房運(yùn)維管理體系，進(jìn)行統(tǒng)一運(yùn)維管理?？偣緮?shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器部署見圖3。

圖3 總公司數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器部署

鐵路局（機(jī)務(wù)段）建立集中式機(jī)房，參考C級(jí)標(biāo)準(zhǔn)機(jī)房建設(shè)，設(shè)置雙電源供電、雙路UPS（1 h）、防靜電地板、空調(diào)系統(tǒng)、環(huán)境監(jiān)測(cè)及報(bào)警設(shè)備、視頻監(jiān)控、門禁控制等設(shè)施。機(jī)務(wù)段數(shù)據(jù)服務(wù)器和應(yīng)用服務(wù)器采用雙機(jī)熱備技術(shù)架構(gòu)，保證系統(tǒng)7×24 h穩(wěn)定運(yùn)行，配備磁盤陣列進(jìn)行數(shù)據(jù)存儲(chǔ)，采用RAID5作為數(shù)據(jù)存儲(chǔ)解決方案。配備磁帶機(jī)進(jìn)行數(shù)據(jù)備份，保證數(shù)據(jù)安全。應(yīng)用服務(wù)器統(tǒng)一管理，便于各應(yīng)用系統(tǒng)分開部署。

3.3.2 地面系統(tǒng)數(shù)據(jù)容災(zāi)備份

為了保障機(jī)車重要數(shù)據(jù)在使用周期內(nèi)不丟失并能7×24 h不間斷運(yùn)作，CMD系統(tǒng)通過多服務(wù)器雙機(jī)熱備方式，確保服務(wù)器宕機(jī)情況下不影響系統(tǒng)正常穩(wěn)定運(yùn)行數(shù)據(jù)的完整性。

（1）CMD系統(tǒng)采用非關(guān)系數(shù)據(jù)庫(kù)MongoDB作為實(shí)時(shí)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)庫(kù)，MongoDB數(shù)據(jù)庫(kù)服務(wù)器采用3節(jié)點(diǎn)副本集的高可用架構(gòu)（見圖4）。

（2）系統(tǒng)歷史數(shù)據(jù)庫(kù)采用廣泛的關(guān)系性數(shù)據(jù)庫(kù)ORACLE，通過RMAN備份恢復(fù)策略，實(shí)現(xiàn)對(duì)ORALCE數(shù)據(jù)庫(kù)的在線熱備份、多級(jí)增量備份、并行備份和恢復(fù)等高可用性操作。

（3）根據(jù)數(shù)據(jù)訪問需求，分別對(duì)ORACLE與MongoDB設(shè)置用戶的數(shù)據(jù)資源，并設(shè)定數(shù)據(jù)讀取、寫入、刪除、更新權(quán)限，確保業(yè)務(wù)數(shù)據(jù)不被非法篡改。

圖4 CMD系統(tǒng)MongoDB存儲(chǔ)架構(gòu)

（4）建立完善的數(shù)據(jù)壽命管理策略，數(shù)據(jù)鏈完整性的自我診斷策略和系統(tǒng)日志。

（5）在數(shù)據(jù)審計(jì)方面，CMD系統(tǒng)通過對(duì)系統(tǒng)日志的擴(kuò)充來記錄用戶和相關(guān)操作的信息，對(duì)數(shù)據(jù)庫(kù)的所有操作都要求記錄歸檔，用于事后調(diào)查和分析。

3.3.3 車載數(shù)據(jù)容災(zāi)備份

LDP使用第三方防護(hù)記錄器裝備（黑匣子）對(duì)重要車載采集數(shù)據(jù)進(jìn)行備份循環(huán)存儲(chǔ)，保障機(jī)車內(nèi)部存儲(chǔ)數(shù)據(jù)在車輛火災(zāi)、落水并長(zhǎng)時(shí)間浸泡、擠壓（110 kN，5 min）、急速冷卻、爆炸沖擊、燃油浸泡、強(qiáng)電場(chǎng)災(zāi)害條件下的數(shù)據(jù)安全。

防護(hù)記錄器所存儲(chǔ)數(shù)據(jù)的災(zāi)害后恢復(fù)與取出需要使用專用工具，存儲(chǔ)核心取出與整理應(yīng)遵循一定程序規(guī)范，數(shù)據(jù)讀取與備份應(yīng)在專用讀取設(shè)備中進(jìn)行，防止數(shù)據(jù)的泄露。

3.4 應(yīng)用安全

CMD系統(tǒng)在應(yīng)用級(jí)別，針對(duì)不同業(yè)務(wù)需求采用不同安全策略（見圖5），具體分為鐵路內(nèi)網(wǎng)常規(guī)應(yīng)用、視頻數(shù)據(jù)應(yīng)用、制造商用戶應(yīng)用和WLAN環(huán)境應(yīng)用。鐵路內(nèi)網(wǎng)常規(guī)應(yīng)用采用MTUP等手段確保安全；視頻數(shù)據(jù)應(yīng)用采用數(shù)據(jù)加密、傳輸加密，服務(wù)器放在DMZ區(qū)域等手段保證安全；制造商用戶應(yīng)用采用鐵路專用加密狗保證安全；WLAN環(huán)境應(yīng)用采用身份驗(yàn)證等手段保證安全。

圖5 CMD系統(tǒng)應(yīng)用安全架構(gòu)

對(duì)用戶訪問進(jìn)行訪問控制，建立用戶權(quán)限分級(jí)管理機(jī)制。近期支持用戶名/密碼方式的傳統(tǒng)身份認(rèn)證方法，遠(yuǎn)期將支持?jǐn)?shù)字證書方式的身份認(rèn)證，提供更高的安全性。

3.4.1 身份認(rèn)證

身份認(rèn)證是保障信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)，主要目的是保證只有合法用戶才可進(jìn)入系統(tǒng)。CMD系統(tǒng)支持用戶名/密碼方式的傳統(tǒng)身份認(rèn)證方法，也支持?jǐn)?shù)字證書方式的身份認(rèn)證，以實(shí)現(xiàn)更高的安全性[8]。

3.4.2 訪問控制

在CMD系統(tǒng)中設(shè)計(jì)完善的權(quán)限管理體系，對(duì)系統(tǒng)進(jìn)行操作時(shí)采用訪問控制列表方式進(jìn)行授權(quán)，為每個(gè)重要操作授權(quán)給一部分用戶或角色（見圖6、圖7），只允許這些用戶或角色執(zhí)行操作，確保了應(yīng)用數(shù)據(jù)安全。為了避免不同權(quán)限用戶間進(jìn)行越權(quán)操作，用戶對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行創(chuàng)建、更新、讀取和刪除操作前，都會(huì)對(duì)用戶身份和權(quán)限進(jìn)行驗(yàn)證，防止不同權(quán)限用戶之間越權(quán)訪問[9]。

3.4.3 日志審計(jì)

CMD系統(tǒng)設(shè)計(jì)了系統(tǒng)日志功能，可對(duì)各種操作行為進(jìn)行審計(jì)追溯，保障數(shù)據(jù)安全。

3.4.4 高可用性

CMD系統(tǒng)的高可用性主要由主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)及存儲(chǔ)系統(tǒng)的高可用性構(gòu)成。主機(jī)系統(tǒng)全部采用集群或負(fù)載均衡方式實(shí)現(xiàn)高可用性；應(yīng)用系統(tǒng)的高可用性基于主機(jī)系統(tǒng)實(shí)現(xiàn)；存儲(chǔ)系統(tǒng)的高可用性通過RAID5實(shí)現(xiàn)。

圖6 權(quán)限設(shè)置界面

圖7 角色配置界面

3.5 制度安全

3.5.1 接入控制

在CMD系統(tǒng)設(shè)計(jì)之初就制定了《中國(guó)機(jī)車遠(yuǎn)程監(jiān)測(cè)與診斷系統(tǒng)（CMD系統(tǒng)）數(shù)據(jù)使用及用戶申請(qǐng)管理暫行辦法》（簡(jiǎn)稱管理辦法），用于管理CMD系統(tǒng)向第三方提供數(shù)據(jù)接口（見圖8）和CMD系統(tǒng)用戶申請(qǐng)（見圖9），確保CMD系統(tǒng)數(shù)據(jù)安全。管理辦法明確規(guī)定CMD系統(tǒng)對(duì)用戶實(shí)行實(shí)名制管理，CMD系統(tǒng)應(yīng)用技術(shù)管理單位負(fù)責(zé)對(duì)CMD系統(tǒng)用戶及權(quán)限進(jìn)行維護(hù)；同時(shí)規(guī)定了CMD系統(tǒng)數(shù)據(jù)使用申請(qǐng)單位不得將申請(qǐng)的原始數(shù)據(jù)向第三方公開、轉(zhuǎn)讓、許可，也不得將申請(qǐng)的數(shù)據(jù)另作他途，否則將承擔(dān)相應(yīng)的違約責(zé)任。

3.5.2 后期維護(hù)

CMD系統(tǒng)遵循專業(yè)管理、逐級(jí)負(fù)責(zé)的原則，組建技術(shù)支持團(tuán)隊(duì)，對(duì)系統(tǒng)運(yùn)行環(huán)境定期巡檢，記錄系統(tǒng)運(yùn)行日志，每月對(duì)應(yīng)用系統(tǒng)運(yùn)行情況、數(shù)據(jù)庫(kù)運(yùn)行情況、網(wǎng)絡(luò)情況等進(jìn)行匯總分析。

對(duì)新應(yīng)用系統(tǒng)加入、既有應(yīng)用系統(tǒng)升級(jí)、硬件擴(kuò)容等操作建立相應(yīng)管理辦法，新增和變化的功能須經(jīng)過測(cè)試后方可投入運(yùn)行。

圖8 數(shù)據(jù)使用管理流程

圖9 用戶申請(qǐng)流程

3.6 其他措施

3.6.1 機(jī)車動(dòng)態(tài)注冊(cè)

CMD系統(tǒng)數(shù)據(jù)各臺(tái)機(jī)車高度關(guān)聯(lián)，合法機(jī)車數(shù)據(jù)能進(jìn)入系統(tǒng)是很重要的安全問題。系統(tǒng)采用動(dòng)態(tài)注冊(cè)的策略來保證安全。每臺(tái)機(jī)車入網(wǎng)都要在MTUP進(jìn)行注冊(cè)，注冊(cè)完成后，MTUP保存該機(jī)車的身份信息。每臺(tái)機(jī)車的數(shù)據(jù)進(jìn)入系統(tǒng)前，MTUP都要對(duì)機(jī)車進(jìn)行身份校驗(yàn)，只有注冊(cè)過的機(jī)車，數(shù)據(jù)才能真正進(jìn)入系統(tǒng)。機(jī)車動(dòng)態(tài)注冊(cè)可有效防范偽造機(jī)車數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行攻擊。

3.6.2 用戶IP綁定

為了確保用戶安全，CMD系統(tǒng)在用戶提出申請(qǐng)時(shí)，要求用戶必須提交用戶名及鐵路辦公I(xiàn)T網(wǎng)的網(wǎng)絡(luò)IP地址和計(jì)算機(jī)MAC地址，進(jìn)行相應(yīng)綁定，從而避免外來計(jì)算機(jī)使用該IP進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取信息。

4 結(jié)束語(yǔ)

隨著機(jī)務(wù)信息化的不斷推進(jìn)，數(shù)據(jù)安全方面還會(huì)遇到各類復(fù)雜問題，數(shù)據(jù)安全任重道遠(yuǎn)，只有把有效的技術(shù)手段和相關(guān)政策法規(guī)相結(jié)合，才能更有效地解決數(shù)據(jù)安全問題。CMD系統(tǒng)將會(huì)與時(shí)俱進(jìn)，不斷進(jìn)行技術(shù)創(chuàng)新，有效保障數(shù)據(jù)安全，確保系統(tǒng)長(zhǎng)期、穩(wěn)定、健康運(yùn)行。

[1] 申瑞源．構(gòu)建大功率機(jī)車整備體系的研究與思考[J]．中國(guó)鐵路，2012(6)：7-10．

[2] 張大勇．提升我國(guó)機(jī)車技術(shù)水平的路徑探討[J]．中國(guó)鐵路，2015(6)：1-4．

[3] 韓帥．基于云計(jì)算的數(shù)據(jù)安全關(guān)鍵技術(shù)研究[D]．成都：電子科技大學(xué)，2012．

[4] 高春霞，陳光偉，董寶田，等．鐵路信息安全保障體系研究[J]．中國(guó)鐵路，2015(3)：37-41．

[5] 于慧勇．大數(shù)據(jù)時(shí)代的信息安全風(fēng)險(xiǎn)與防護(hù)[J]．計(jì)算機(jī)光盤軟件與應(yīng)用，2014(12)：177．

[6] 鐵信息［2005］4號(hào) 鐵路信息化總體規(guī)劃[S]．

[7] （美）WILLIAM STALLINGS，TOM CASE．?dāng)?shù)據(jù)通信：基礎(chǔ)設(shè)施、聯(lián)網(wǎng)和安全[J]．陳秀真，譯．7版．北京：機(jī)械工業(yè)出版社，2015．

[8] 吳蓓，劉海光．淺析大數(shù)據(jù)時(shí)代的信息安全[J]．計(jì)算機(jī)光盤軟件與應(yīng)用，2013(15)：155-156．

[9] 董寧．云計(jì)算環(huán)境下的信息安全防護(hù)策略探析[J]．電子測(cè)試，2014(5)：141-142．

責(zé)任編輯 高紅義

On Data Safety of China Locomotive Remote Monitoring and Diagnosis System (CMD System)

WANG Zhi1，LI Bo2
（1. Transportation Bureau，CHINA RAILWAY，Beijing 100844，China；2. Henan Siwei Information Technology Co Ltd，Zhengzhou Henan 450000，China）

Data safety has become the most important issue of extension of IT application along with the acceleration of IT extension. The paper introduces the main date safety issues and the countermeasures taken by China Locomotive Remote Monitoring and Diagnosis (CMD system) during its design in terms of data acquisition, transmission, storage, application and management. The paper also studies the data safety of CMD system.

locomotive；remote control；diagnosis；CMD system；data safety；communication safety；information safety；encrypted transmission

U26；TP277

A

1001-683X（2017）04-0008-07

10.19549/j.issn.1001-683x.2017.04.008

2016-12-16

王志（1977—），男，中國(guó)鐵路總公司運(yùn)輸局機(jī)務(wù)部機(jī)車調(diào)度主任。

李波（1982—），男，工程師，本科。E-mail：bo1982.li@gmail.com