文：余家欢丨北京京港地铁有限公司

数据是国家基础战略性资源和重要生产要素，国际态势严峻的当下，我国在2021年密集发布了多项数据安全法律和标准，数据安全的重要性在各行业领域愈加突出。近两年，智慧城轨业务全面创新和发展，但智慧城轨采集、应用的海量数据的安全却容易被忽视。本文从国家数据安全监管要求出发，结合智慧城轨业务特点和安全现状，提出以“摸-分-评-预-控”为流程的智慧城轨的数据安全建设思路，为传统城轨过渡阶段和以及智慧城轨数据安全建设思路提供参考。

《中国城市轨道交通智慧城轨发展纲要》提出按照“1-8-1-1”的布局结构，铺画了一张智慧城轨发展蓝图。在5G、物联网、云计算、大数据、区块链等新技术的推动下，智慧城轨运营开启数据分析智能化和生产智慧化的阶段，并完成从运输乘客到服务乘客的思路转变。但业务规模的扩大，带来了诸如人脸识别、个人支付、个人行为、乘客流量、车辆调度、综合监控、信号数据、坐标轨迹等个人数据和重要数据的成倍增长，数据安全的重要性不言而喻，一旦出现因相关数据泄露或破坏导致的轨道停运，可能直接影响百万、千万人民的交通生活，损失不可估量。

我国于2021年陆续出台《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等一系列法律法规对数据安全进行监管，捍卫国家数据安全。由此可见，智慧城轨的数据安全建设工作需高度重视，在建设中应遵循 “同时规划、同时建设、同时运行”的原则，为智能系统驱动下的智慧城轨的运营生产保驾护航。

一、智慧城轨数据安全现状

依据法律法规，从智慧城轨建设朝着智能化、智慧化方面高效发展考虑，本文从以下四个方面分析当前智慧城轨的数据安全现状。

1.新架构新风险。智慧城轨所应用的新架构，引发新的数据安全风险隐患。建设过程中，为使各种信息有效融合、共享、使用，各轨道运行专业设备系统不再是单一封闭运转的系统，目前城轨云与大数据平台是实现智慧城轨的“基础底座”，云计算应用已经模糊了传统系统边界的限定，大数据应用下的潜在数据安全泄露风险也与日剧增，物联网设备、5G 设备的接入安全、授权认证等问题直接关系到城轨相关系统的数据安全，对建设工作带来新的挑战，基于种种风险，为确保列车运行和乘客人身安全，必须从相关法律入手研究、评估、应对新架构下的数据安全威胁。

2.数据资产管理。从数据资产范围角度，要保障管理范围的全面性。由于行业整体管理体制特征，传统城轨普遍重生产网轻办公网，数据资产管理工作大多向生产网倾斜，但办公网同样具有大量与轨道相关的国家重要数据，如设计图、施工图、地理信息、运营数据、安保措施、供应链数据等。因此在智慧城轨的建设中要对安全生产网、内部管理网、外部服务网中的数据资产进行全面管理。

从数据资产梳理角度，要杜绝落后管理方式。人工或系统登记制已经过时，智慧城轨背景下轨道业务更加复杂，数据类型复杂多样，包括结构化数据，以及图像、音频、视频、文本等非结构化数据。企业尽管已开展多次数据资产调研，但调研范围不一致，资产底账不清，经年累月后应下线资产、未认领资产普遍存在敏感数据，摸清资产才能摸清数据安全，无法形成完整的数据资产视图，不利于智慧城轨转型战略落地。

从数据资产分类分级角度，国家法律提出重要数据和个人数据要分等级管理的要求。随着公民出行数据、地理信息数据、经济生产运行数据等数据的不断归集，相应的数据文件、库、表、字段安全级别无标准可依，不是缺乏防护措施就是措施过度，并且人员岗位与数据之间未能实现业务操作的最小权限控制，导致“一个账户，走天下”。根据数据资产重要性进行分类分级，对数据资产进行全面清晰的分类分级，是实现数据规范化管控与有效防护的前提。

3.数据安全评估。《数据安全法》第十三条指出，“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等”。在监管下，评估工作一直都是减少风险行之有效的重要途径，能够帮助我们认知、排查、解决风险隐患，但目前缺乏数据安全专项评估工作，在发现数据安全风险上较为滞后。

4.数据安全防御。“云大物移”等新技术使得智慧城轨向互联网外延，数据暴露面增加，加大了数据被泄露、篡改、损毁的风险，目前智慧城轨安全建设还停留在传统网络安全的角度，重视边界防御，普遍应用防病毒、防入侵、防火墙的“老三样”，这将导致安全体系的全面溃败。因为数据风险涉及从数据采集、数据传输、数据存储、数据处理、数据使用到数据销毁的全生命周期，数据采集要保证数据正当正确采集能力；数据传输要利用加密、签名等认证机制保障传输数据安全能力；数据存储要考虑对数据的存储环境、容灾备份、加密能力；数据处理和使用要保障人与数据之间的权限，具备数据防篡改和防泄露能力；最后阶段，需要分等级进行去标识化或销毁处理能力，因此以数据为核心考虑防御机制才是智慧城轨数据安全防御的必经之路。

二、智慧城轨数据安全建设思路

结合以上安全现状，智慧城轨相关企业亟需落实国家相应的法律、标准和规范要求，严格保障智慧城轨数据的安全合规。本文提出以“摸-分-评-预-控”为流程的智慧城轨的数据安全建设思路（图1），以供参考。

图1 智慧城轨数据安全建设思路

1.摸清家底。《数据安全法》二十一条提出，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

摸清家底的目标是对智慧城轨环境中的数据资产进行全面清查、摸排，有利于我们找出资产管理盲区，在此阶段构建数据资产目录，为数据安全合规使用提供基础。目前智慧城轨企业的数据资产主要分布在城轨云、大数据平台、数据库、文件服务器、终端等载体中，数据形态包含：结构化数据(如RDD、SQL、JSON、NOSQL、表格数据等)、半结构化数据(如日志文件、XML文档、JSON文档、Email等)、非结构化数据(如办公文档、文本、图片、XML、HTML、各类报表、图像等)。随着时间的积累企业的数据散布在各个载体，依靠人工可能无法摸清全部数据的数量、类型、分布等情况。摸清家底应是一个常态化工作，需要周密地做好工作计划，工作可分为三个步骤，工作清单表见表1。

表1 工作清单表

数据资产目录内容参考，相关内容见图2。

图2 数据资产目录内容示例

2.分类分级。《数据安全法》第二十一条提出，国家建立数据分类分级保护制度。

作为关键信息基础设施，轨道交通行业也应该将数据分类分级作为智慧城轨数据安全保障的核心方法，目标在于对智慧城轨运营、运行、运维、分析等业务过程中的重要数据和个人数据分类别、分等级标识，通过标识指导企业等级进行数据保护，从而保障智慧城轨安全运营。

（1）智慧城轨数据分类方法参考

数据分类阶段见图3，智慧城轨具体数据分类路径分为三个阶段：第一阶段，确定数据应用场景和业务；第二阶段，确定数据项，划分数据项集合；第三阶段，依据子类划分方法，确定数据项或数据项集合所属数据子类。

图3 数据分类路径

线分法数据子类划分见图4，数据子类划分可参考线分法为基础进行子类划分。首先按照业务活动、信息内容、获取信息来源，将数据分为若干数据大类；然后按照数据大类内部逻辑联系，分为若干层级；每个层级分为若干子类，同一分支同层级子类构成并列关系；建议最多分到四级之类，四级子类作为最小子类，建议关联级别，便于实施分类和分级的同步进行。

图4 线分法数据子类划分

（2）智慧城轨数据分级方法参考

智慧城轨数据分级可按照三个维度，确定的该类数据的安全性遭到破坏后的影响对象、影响广度、影响深度，并结合数据分类的最小子类对数据进行定级，数据分级矩阵表见表2。

表2 数据分级矩阵表

确定影响对象：确定需分级的城轨数据的安全性遭到破坏后可能影响的对象。如：国家安全、公众利益、个人隐私、企业合法权益等。

确定影响广度：确定该类数据的安全性遭到破坏后可能影响广度。如：5000名至1万名乘客或1条线路、1万名至10万名乘客或多条线路、城市全部乘客或全部线路。

确定影响深度：确定该类数据的安全性遭到破坏后可能影响深度。如：可能对较少乘客无法运营造成轻微影响、可能对多个站点乘客无法运营造成一般影响、可能对部分乘客人身安全或产生运营事故等造成严重影响。

3.评估风险。《数据安全法》三十条提出，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

智慧城轨由于基础设施和业务架构复杂，导致比以往传统城轨数据暴露面更多，因此应按照法律法规要求建立或引入真正有用的数据安全评估机制，坚决摒弃传统风险评估工作以访谈和出通用文档为主的模式，应在深度调研智慧城轨网络整体架构、数据流转生命周期，数据产品及策略、数据安全管理制度等维度后，大胆创新，以搜集行为记录为主，结合专家经验，通过分析工具全链条关联和导出真实存在的风险，让行为记录“多跑路”，减少主观的访谈性风险评价，量化数据安全问题，这样形成的数据安全风险分析报告，才能为下一阶段的数据安全整改工作打下基础。

4.预测风险。《数据安全法》二十二条提出，国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

在传统城轨环境中，安全问题都是事后追溯被动防御，无法有效预测风险，在智慧城轨时代应提前布局数据安全风险预测技术措施，建议建立分析研判预测可视与一体的有效机制，对智慧城轨中的安全生产网、内部管理网、外部服务网数据安全风险实现动态预测。

利用安全分析技术对数据资产暴露面脆弱性进行验证和利用性分析，并结合威胁源、数据安全分类分级建立正态分布、关联分析等模型，根据设定的主体类型，例如业务系统、用户、业务系统、数据资产等，基于历史行为数据，对未来主体可能发现的安全风险状态进行预测，尽最大可能预测可能影响轨道运营的安全事件的发生细节（时间、范围和危害等），使得数据安全风险预测达到智慧化。见表3。

表3 风险预测举例表

5.控制风险。《数据安全法》二十七条提出，采取相应的技术措施和其他必要措施，保障数据安全。智慧城轨数据安全建设的最关键一步是控制风险，结合上述得到的成果，以摸清家底为核心，数据分类分级为策略抓手，结合识别和预测的风险事件，联动数据安全相关技术措施，展开数据分级管控，建立数据安全风险管控技术措施，将数据资产分类分级形成的数据资产目录，对每个数据的拥有者，按数据等级防控策略进行初始化下发设置，针对已发生数据安全风险事件或预测风险事件，根据处置提示确定处置策略，经过审批后自动发布处置策略，实施应急联动响应，联动控制风险，从而保障智慧城轨数据安全风险的快速应对。

智慧城轨是交通强国建设的战略突破口，而数据安全建设又是智慧城轨发展的关键，抓好数据安全建设，才能有效保障城轨技术高速发展、更新迭代。本文提出的智慧城轨的数据安全建设思路，可为传统城轨过渡阶段和以及智慧城轨今后进一步研究数据安全建设思路提供参考。