王志，李波

（1. 中国铁路总公司 运输局，北京 100844；2. 河南思维信息技术有限公司，河南 郑州 450000）

中国机车远程监测与诊断系统（CMD系统）数据安全研究

王志1，李波2

（1. 中国铁路总公司 运输局，北京 100844；2. 河南思维信息技术有限公司，河南 郑州 450000）

随着信息化进程的加快，数据安全已经成为信息化系统建设的重中之重。介绍目前数据安全所面临的问题，以及中国机车远程监测与诊断系统（CMD系统）在设计过程中就数据安全在数据采集、传输、存储、应用及数据管理等环节采取的应对手段，探究CMD系统数据的安全性。

机车；远程监测；诊断；CMD系统；数据安全；通信安全；信息安全；加密传输

1 概述

随着信息化产业的不断推进及各种信息化系统的广泛应用，特别是大数据时代的到来，数据迅猛增长成为重要的基础性战略资源，也是企业最宝贵的财富和核心竞争力。然而数据在收集、存储、传输和使用过程中面临着安全性挑战，数据外泄事件屡有发生，给企业和个人带来了巨大的利益损失，保障数据的安全就显得极为重要。因此，如何进一步加强数据安全建设成为当务之急。

中国机车远程监测与诊断系统（CMD系统）采集数据用途广泛，能够实现机车定位、动态跟踪“人车图”；对在途机车设备进行状态监测、远程诊断和故障排除；预估机车质量状态，定位故障并确定修程，提高整备检修效率；及时发现和处置司机错误操作和运行异常情况，实现安全风险实时防控；将LKJ、TCMS、6A等信息通过地面综合应用子系统实现信息集成和数据挖掘，为运管修提供支撑等[1]。铁路信息化与铁路安全生产指挥密不可分，面对种类如此繁多的应用需求，数据安全是数据应用基础，保证铁路信息系统数据安全是目前面临的重要课题。同时，铁路行业具有一定的特殊性，直接关系到国计民生，需要保证数据安全，才能完全保障运输生产、人民生活和社会发展[2]。

2 数据安全面临问题

（1）计算机木马病毒。木马病毒影响计算机软件、硬件的正常运行，破坏数据的正确性与完整性，监控或堵塞网络，盗取照片、密码、银行信息等隐私数据，甚至导致系统崩溃。

（2）黑客攻击。黑客攻击往往是利用已知系统漏洞实施攻击，或利用用户安全意识低（使用系统提供的缺省密码或设置密码过于简单）进行非法入侵系统获取敏感数据或对重要数据进行篡改、删除等操作，破坏数据的有效性和完整性。目前黑客攻击的主要对象是各类网站、数据库等服务器，其攻击一般具有明确的目标，首先会收集被攻击方的有关信息，分析被攻击方可能存在的系统漏洞，然后实施攻击，最后盗取有用信息或毁坏、篡改重要数据，破坏整个系统。

（3）数据存储。目前各个信息化系统数据量庞大，特别是进入云时代后，各类数据服务都采用虚拟化技术和分布式存储，若恶意用户利用非法手段实现对虚拟机操作权限的获取，就极有可能对同一台物理服务器所有虚拟机中的储存数据的安全带来威胁[3]。

数据存储存在的安全隐患大致包括以下几方面：

一是自然灾害（如地震、火灾、洪水、雷电等）、物理损坏（如硬盘损坏、设备使用到期、外力损坏等）和设备故障（如停电断电、电磁干扰等）；

二是电磁辐射、信息泄露、痕迹泄露（如口令密钥等保管不善）；

三是非法访问或操作失误（如删除文件、格式化硬盘、线路拆除）、意外疏漏等。

（4）管理制度不完善。管理制度不完善或缺失也是数据安全面临的问题之一。业务系统用户、维护人员、外部访问用户在访问业务数据时，操作数据库的行为缺乏综合审计，安全意识较薄弱，无意中泄露信息（如分享地理位置等），都极大增加了信息泄露的风险。

CMD系统由多个子系统组成，各个子系统内及系统与系统间均面临数据安全问题，如数据采集、传输、存储安全，应用安全，以及制度上可能影响安全问题的因素等[4]。在解决数据安全问题时，各个环节采取了多种手段确保数据安全，根据CMD系统自身特性，制定了CMD系统数据安全体系和技术框架。

3 CMD系统数据安全体系和技术框架

CMD系统由车载子系统、数据传输子系统和地面综合应用子系统组成（见图1）。CMD系统规划设计时就从数据采集、传输、存储、运用和管理等多方面充分考虑数据安全，设计标准符合信息系统的安全保护四级要求。

图1 CMD系统组成

3.1 数据采集

机车车载综合信息监测装置（LDP）作为CMD系统中的车载子系统，主要负责机车数据采集、处理、存储、传输。为确保采集过程中数据的正确性、一致性，防止数据在采集过程中被随意篡改，LDP与各类数据采集源（LKJ、6A、TCMS等）之间的通信采用特定数据报文格式，数据报文采用CRC校验方式确保数据包的完整性。数据通信过程中，对各数据源设定固定的IP地址和端口，从物理通道上隔离了非法入侵，确保数据安全。

对于视频等敏感数据采用自定义加密算法，如若数据泄露，在不掌握解密方法的情况下视频文件无法观看，在一定程度上确保视频文件数据安全。在LDP与各系统进行历史文件下载时，需要进行身份验证，验证通过方可进行文件传输，防止非法系统入侵网络，获取文件[5]。

3.2 数据传输

CMD系统数据传输主要有2种途径（见图2）：一种是借助3G/4G、北斗、GSM-R经过铁路信息安全平台（MTUP）进行通信；第二种是铁路系统内部通过铁路综合IT网（TMIS网）进行通信，对于无法连接铁路综合IT网的单位，通过MTUP接入铁路综合IT网，确保铁路系统内外隔离。

3.2.1 网络安全

图2 数据传输网络

CMD系统各级网络节点间通过路由器、防火墙相连，建立全路统一的管理模式和安全策略，统一进行设备的鉴别、认证和密钥分发。

路外单位及移动公网传输过来的数据，通过MTUP接入铁路综合IT网，然后分发给机务各级部门。机务段无线局域网通过设置连接口令、合法连接认证等措施确保无线局域网的安全，确保数据安全[6]。

进行网络建设时还需满足以下要求：

（1）网络硬件防火墙设备，应能提供地址过滤、安全代理及数据状态检测等安全机制。

（2）建立周期性网络安全日志审计制度，对安全审计、入侵记录等安全信息进行评估，并能及时采取有效措施，改善优化网络系统结构，提高安全等级。

（3）定期备份及更新路由器、防火墙等网络设备的配置信息，包括网内IP地址的分配明细。

3.2.2 车地通信

CMD系统根据数据的时效性分为实时数据和历史数据，实时数据主要借助3G/4G、北斗、GSM-R公网进行数据传输，历史数据则是在机车入段后通过接入整备场WLAN环境进行局域网数据传输。

为了确保实时数据在公网上传输过程中的数据安全性，LDP车地通信采用自定的数据报文格式和校验方式，且发送时经过专业的加密模块加密，确保数据通过3G/4G、北斗、GSM-R公网进行数据传输过程中不被篡改、窃取，保证数据的完整性和一致性。数据落地后经过MTUP进入铁路内网，经过专业的数据解码机对数据进行还原并分发进行相应分析服务。为了进一步确保数据在传输过程中的安全性，还可以利用电信运营商的专有频段进行铁路相关数据的通信[7]。

当机车入段后接入整备厂WLAN转储环境时，系统采用隐藏SSID、WEP/WPA/WPA2身份认证方式禁止非授权设备接入。在整备场WLAN环境和机务段内网间采用硬件防火墙，确保机务段内外网隔离，防止非法入侵造成数据泄露。

3.2.3 地面应用子系统

CMD系统地面应用子系统采用B/S框架、HTTP协议、SSL加密传输通信，保证传输过程中的数据安全性和可靠性，排除网络抓包和嗅探的威胁，系统对客户端发过来的每个请求都进行身份鉴别（Authentication）和访问授权（Authorization）的严格检查，还加入防范中间人攻击的措施。

在系统开发阶段采用各类手段防范数据泄露，系统正式发布前请专业安全测评公司对系统进行测试审计，并根据测评情况进行整改，解决存在的安全问题。

（1）对HTTP请求中携带的请求参数进行安全检查和过滤。如果参数中包含数据库关键字、单引号、括号，则进行请求拦截，以及动态SQL参数绑定来杜绝SQL注入。

（2）修复系统已发现的漏洞，如XSS漏洞、Weblogic反序列漏洞。

（3）对上传文件进行类型检查，使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件。

（4）通过HTTP请求添加token验证，请求到达服务器前验证HTTP请求消息头中的Referer，杜绝跨站请求伪造漏洞。

（5）增加用户登录验证，增加验证码功能和登录失败次数限制，防止暴力破解。

3.3 CMD系统数据存储安全

CMD系统数据库服务器上存储了大量业务数据，通过以下策略保证业务数据的可靠性和一致性。

3.3.1 数据存储服务器安全

CMD系统地面综合应用子系统数据库服务器与应用服务器放置在计算机机房内，机房环境应符合GB 50174—2008《电子信息系统机房设计规范》，满足防水、防火、防雷等要求。机房具有完善的管理制度，建立准入登记制度，杜绝未经授权人员进入机房、接触设备。

中国铁路总公司（简称总公司）数据服务器和应用服务器采用双机热备硬件架构，保证系统7×24 h稳定运行，配备磁盘阵列进行数据存储，采用RAID5作为数据存储解决方案。可配备磁带机进行数据备份，保证数据安全。总公司信息中心机房内按照铁路综合IT网的统一规划，分配路网IP地址，运维管理纳入总公司机房运维管理体系，进行统一运维管理。总公司数据库服务器和应用服务器部署见图3。

图3 总公司数据库服务器和应用服务器部署

铁路局（机务段）建立集中式机房，参考C级标准机房建设，设置双电源供电、双路UPS（1 h）、防静电地板、空调系统、环境监测及报警设备、视频监控、门禁控制等设施。机务段数据服务器和应用服务器采用双机热备技术架构，保证系统7×24 h稳定运行，配备磁盘阵列进行数据存储，采用RAID5作为数据存储解决方案。配备磁带机进行数据备份，保证数据安全。应用服务器统一管理，便于各应用系统分开部署。

3.3.2 地面系统数据容灾备份

为了保障机车重要数据在使用周期内不丢失并能7×24 h不间断运作，CMD系统通过多服务器双机热备方式，确保服务器宕机情况下不影响系统正常稳定运行数据的完整性。

（1）CMD系统采用非关系数据库MongoDB作为实时数据存储数据库，MongoDB数据库服务器采用3节点副本集的高可用架构（见图4）。

（2）系统历史数据库采用广泛的关系性数据库ORACLE，通过RMAN备份恢复策略，实现对ORALCE数据库的在线热备份、多级增量备份、并行备份和恢复等高可用性操作。

（3）根据数据访问需求，分别对ORACLE与MongoDB设置用户的数据资源，并设定数据读取、写入、删除、更新权限，确保业务数据不被非法篡改。

图4 CMD系统MongoDB存储架构

（4）建立完善的数据寿命管理策略，数据链完整性的自我诊断策略和系统日志。

（5）在数据审计方面，CMD系统通过对系统日志的扩充来记录用户和相关操作的信息，对数据库的所有操作都要求记录归档，用于事后调查和分析。

3.3.3 车载数据容灾备份

LDP使用第三方防护记录器装备（黑匣子）对重要车载采集数据进行备份循环存储，保障机车内部存储数据在车辆火灾、落水并长时间浸泡、挤压（110 kN，5 min）、急速冷却、爆炸冲击、燃油浸泡、强电场灾害条件下的数据安全。

防护记录器所存储数据的灾害后恢复与取出需要使用专用工具，存储核心取出与整理应遵循一定程序规范，数据读取与备份应在专用读取设备中进行，防止数据的泄露。

3.4 应用安全

CMD系统在应用级别，针对不同业务需求采用不同安全策略（见图5），具体分为铁路内网常规应用、视频数据应用、制造商用户应用和WLAN环境应用。铁路内网常规应用采用MTUP等手段确保安全；视频数据应用采用数据加密、传输加密，服务器放在DMZ区域等手段保证安全；制造商用户应用采用铁路专用加密狗保证安全；WLAN环境应用采用身份验证等手段保证安全。

图5 CMD系统应用安全架构

对用户访问进行访问控制，建立用户权限分级管理机制。近期支持用户名/密码方式的传统身份认证方法，远期将支持数字证书方式的身份认证，提供更高的安全性。

3.4.1 身份认证

身份认证是保障信息系统安全的关键环节，主要目的是保证只有合法用户才可进入系统。CMD系统支持用户名/密码方式的传统身份认证方法，也支持数字证书方式的身份认证，以实现更高的安全性[8]。

3.4.2 访问控制

在CMD系统中设计完善的权限管理体系，对系统进行操作时采用访问控制列表方式进行授权，为每个重要操作授权给一部分用户或角色（见图6、图7），只允许这些用户或角色执行操作，确保了应用数据安全。为了避免不同权限用户间进行越权操作，用户对数据库数据进行创建、更新、读取和删除操作前，都会对用户身份和权限进行验证，防止不同权限用户之间越权访问[9]。

3.4.3 日志审计

CMD系统设计了系统日志功能，可对各种操作行为进行审计追溯，保障数据安全。

3.4.4 高可用性

CMD系统的高可用性主要由主机系统、应用系统及存储系统的高可用性构成。主机系统全部采用集群或负载均衡方式实现高可用性；应用系统的高可用性基于主机系统实现；存储系统的高可用性通过RAID5实现。

图6 权限设置界面

图7 角色配置界面

3.5 制度安全

3.5.1 接入控制

在CMD系统设计之初就制定了《中国机车远程监测与诊断系统（CMD系统）数据使用及用户申请管理暂行办法》（简称管理办法），用于管理CMD系统向第三方提供数据接口（见图8）和CMD系统用户申请（见图9），确保CMD系统数据安全。管理办法明确规定CMD系统对用户实行实名制管理，CMD系统应用技术管理单位负责对CMD系统用户及权限进行维护；同时规定了CMD系统数据使用申请单位不得将申请的原始数据向第三方公开、转让、许可，也不得将申请的数据另作他途，否则将承担相应的违约责任。

3.5.2 后期维护

CMD系统遵循专业管理、逐级负责的原则，组建技术支持团队，对系统运行环境定期巡检，记录系统运行日志，每月对应用系统运行情况、数据库运行情况、网络情况等进行汇总分析。

对新应用系统加入、既有应用系统升级、硬件扩容等操作建立相应管理办法，新增和变化的功能须经过测试后方可投入运行。

图8 数据使用管理流程

图9 用户申请流程

3.6 其他措施

3.6.1 机车动态注册

CMD系统数据各台机车高度关联，合法机车数据能进入系统是很重要的安全问题。系统采用动态注册的策略来保证安全。每台机车入网都要在MTUP进行注册，注册完成后，MTUP保存该机车的身份信息。每台机车的数据进入系统前，MTUP都要对机车进行身份校验，只有注册过的机车，数据才能真正进入系统。机车动态注册可有效防范伪造机车数据对系统进行攻击。

3.6.2 用户IP绑定

为了确保用户安全，CMD系统在用户提出申请时，要求用户必须提交用户名及铁路办公IT网的网络IP地址和计算机MAC地址，进行相应绑定，从而避免外来计算机使用该IP进入内部网络，窃取信息。

4 结束语

随着机务信息化的不断推进，数据安全方面还会遇到各类复杂问题，数据安全任重道远，只有把有效的技术手段和相关政策法规相结合，才能更有效地解决数据安全问题。CMD系统将会与时俱进，不断进行技术创新，有效保障数据安全，确保系统长期、稳定、健康运行。

[1] 申瑞源．构建大功率机车整备体系的研究与思考[J]．中国铁路，2012(6)：7-10．

[2] 张大勇．提升我国机车技术水平的路径探讨[J]．中国铁路，2015(6)：1-4．

[3] 韩帅．基于云计算的数据安全关键技术研究[D]．成都：电子科技大学，2012．

[4] 高春霞，陈光伟，董宝田，等．铁路信息安全保障体系研究[J]．中国铁路，2015(3)：37-41．

[5] 于慧勇．大数据时代的信息安全风险与防护[J]．计算机光盘软件与应用，2014(12)：177．

[6] 铁信息［2005］4号 铁路信息化总体规划[S]．

[7] （美）WILLIAM STALLINGS，TOM CASE．数据通信：基础设施、联网和安全[J]．陈秀真，译．7版．北京：机械工业出版社，2015．

[8] 吴蓓，刘海光．浅析大数据时代的信息安全[J]．计算机光盘软件与应用，2013(15)：155-156．

[9] 董宁．云计算环境下的信息安全防护策略探析[J]．电子测试，2014(5)：141-142．

责任编辑 高红义

On Data Safety of China Locomotive Remote Monitoring and Diagnosis System (CMD System)

WANG Zhi1，LI Bo2
（1. Transportation Bureau，CHINA RAILWAY，Beijing 100844，China；2. Henan Siwei Information Technology Co Ltd，Zhengzhou Henan 450000，China）

Data safety has become the most important issue of extension of IT application along with the acceleration of IT extension. The paper introduces the main date safety issues and the countermeasures taken by China Locomotive Remote Monitoring and Diagnosis (CMD system) during its design in terms of data acquisition, transmission, storage, application and management. The paper also studies the data safety of CMD system.

locomotive；remote control；diagnosis；CMD system；data safety；communication safety；information safety；encrypted transmission

U26；TP277

A

1001-683X（2017）04-0008-07

10.19549/j.issn.1001-683x.2017.04.008

2016-12-16

王志（1977—），男，中国铁路总公司运输局机务部机车调度主任。

李波（1982—），男，工程师，本科。E-mail：bo1982.li@gmail.com