■ 交通运输部信息安全中心 王胜
随着“互联网+交通”的深度融合,交通信息化逐渐成为国家信息化发展的重要组成部分,对促进我国交通系统现代化发展作用越来越突出,交通现代化建设以及交通强国已经成为我国公共服务的重要载体。以共享单车、滴滴打车等为代表的新一轮出行共享经济体为百姓生活提供了大量便利,促进行业运输效率,然而,在发展过程中产生、收集、储存的海量用户信息高效利用及有效保障,也成为我国乃至世界交通运输行业安全发展面临的重要问题。
一、全球交通运输行业面临数据泄露风险
“互联网+交通”的深入发展,促使无人驾驶、无人机、车联网、车路协同等领域也取得了长足进步,尤其是在关乎国家安全的交通运输行业数据泄露方面,世界各国都打响了信息战。而且,越来越多的网络攻击呈现组织化、规模化、专业化特征,包括通过针对数据库的洗库、撞库、病毒感染等攻击方式获取所需的原始数据,通过对原始数据的层层清洗、重组、关联等方式,获得价值宝贵、可信度高的关键数据。
2016年,打车软件公司Uber公开一桩大规模数据泄露事件,由于黑客攻击,导致全球5000万名Uber乘客的姓名、电邮地址和手机号码泄露,另有大约700万名Uber司机的个人信息也被盗取,包括60万名美国司机的牌照号码。据媒体报道,2017年7月,瑞典交通部部长承认,由于瑞典交通部的失误,造成全国公民个人数据乃至军方大量绝密资料被泄露。发生在交通运输行业的数据泄露事件表明,数据泄露不仅严重威胁公民个人隐私安全,还严重威胁国家安全。
数据泄露不仅是交通运输行业面临的问题,也是全国乃至世界性的难题。尤其是公民个人信息数据泄露,已经形成十分成熟的产业链,世界范围关于公民个人信息倒卖的地下黑产目前已经超过数十亿美元,个人信息买卖及带来的后果已经严重干扰个人的日常生活,数据泄露已经成为威胁社会安定团结且亟待解决的问题。
二、我国交通运输行业面临数据泄露风险
交通运输领域作为我国关键信息基础设施领域的重中之重和关系国计民生的重要领域,如何在交通运输行业多重、异构、复杂的环境下,建立相应的交通运输行业大数据处理中心以及建立有效的防数据泄露措施,使大数据成为交通运输系统全网点状、条状乃至块状联动、协同应用的重要安全支撑,从而保证交通运输行业信息系统在安全、可信的环境下建设运行,成为交通运输行业信息化建设必须面临的问题。
我国交通运输行业针对行业运行产生的海量数据还没有建立一个大的数据处理平台对产生的数据进行保护、挖掘、分析、利用,也没有对产生的数据特征进行识别,甚至在生产过程中产生的原始数据由于存储空间等问题会被定期删除,即使是存下来的数据也未能进行高效处置,使大量闲置数据资源浪费,加之行业长期以来存在重建设轻管理的现象,信息系统建设过程当中针对数据存储保护较为薄弱,经常会发生数据丢失、数据泄露等事件。
据统计,多数发生在高速公路的客车事故都会造成严重的人身以及财产损失,为此,交通运输行业针对全国旅游客车、三级以上班线客车以及危险品运输车辆实施动态监管,这些数据都属于至关重要的绝密数据。试想,一旦系统数据掌握在别有用心人的手里,就可能发起恐怖袭击,将会对国家安全造成严重威胁。
此外,据媒体报道,不少用户在不知道的情况下收到滴滴打车平台注册成功的短信,网上有不少关于司机身份证号码被占用、车牌被注册的报道。在信息被盗用的背后,不容忽视的是网约车“代注册”的黑灰产业链。
从近年来不断发生的数据泄露事件,可以看出,我国数据泄露大部分是由经济获利为导向,而国外发生的数据泄露事件大部分是以数据处理、行为分析、内容决策为导向。世界各国都把推进经济数字化作为实现创新发展的重要动能,在前沿技术研发、数据开放共享、隐私安全保护、人才培养等方面做了前瞻性布局。
三、防范交通运输行业数据泄露风险策略
我国交通运输行业基本上形成以航空、铁路、公路、水路以及管道五种运输方式为主的综合交通运输系统,无时无刻不在产生大量数据。“互联网+交通”借助移动互联网、云计算、大数据、物联网等信息通信新技术,将互联网产业与传统交通运输业完美融合,形成“线上资源合理分配,线下高效优质运行”的新格局,为有效保护交通运输行业数据产生过程中的安全,现阶段应重点从以下方面着手进行考虑:
第一,加快交通运输行业顶层设计。
虽然国家层面出台一些相关法律规定,但是针对交通运输行业发展现状来说,仍是属于比较宏观的规定。研究美国、欧盟、俄罗斯、新加坡等国数据保护相关法律法规发现,发达国家针对数据保护都是从数据主体、数据控制者、数据监管者三个层面进行要点规定,比较美国、欧盟、澳大利亚、新加坡各国在法律法规中界定这些要点时的不同策略和思路,可以看出,我国关于制定和出台数据保护相关法律法规和行政规章也需要界定清晰的要点,从数据收集、存储、传输、使用、分析、共享、交易、披露、销毁等整个生命周期考虑,制定符合我国国情的规章制度。同时,针对交通运输行业网络安全工作,要以关键信息基础设施保护为核心,从宏观层面考虑将交通行业作为关键信息基础措施进行保护,制定可操作的行业安全制度。
第二,完善交通运输行业网络安全防护技术。
数据泄露等问题很大一部分原因是网络安全防护水平不高造成的,针对我国交通运输行业的网络攻击近些年来呈现上升趋势,攻击技术门槛相对较低,大数据背景下人人都可能成为攻击源。所以,应该完善行业网络安全防护技术,提高网络安全防护水平,是保护重要数据防止信息泄露的重要举措。首先,当系统接受外部访问时,对访问者的身份进行严格控制,对其权限严格进行分级分类,设置访问权限;其次,在搜集数据传输和存储过程中,可以根据数据的重要程度,分别采用不同的措施进行加密,并采用防火墙技术,隔离加固保护数据的安全。最后,监测预警技术及时发现异常行为并报警,进行紧急处置,提高网站数据运行交换、分析处理、集中存放过程的安全性。
第三,建立交通运输行业关键数据保护机制。
交通运输行业信息化建设过程中,普遍存在重建设轻管理的思想,关键数据保护重视程度不够是行业数据泄露的主要因素之一。行业针对关键数据的加密保护、集中处理,建立交通运输行业监测预警平台,通过感应探针以及态势感知,对重要的管控指标进行不间断的信息监控,尽量减少外部攻击造成数据泄露的可能。
第四,提升交通运输行业用户安全意识。
不断频发的行业数据泄露、网络攻击等安全问题,不仅跟防护水平密切相关,最重要的是使用者本身安全防护意识不强、对信息系统数据保护意识不强,尤其需要增强管理者自身的安全意识。对于当前不断发展的信息系统而言,不管是移动端还是PC端,形成对设备的定期杀毒习惯、对上网设备安装防火墙、及时系统检测并修复相关权威机构的漏洞信息、对存储数据信息进行加密等习惯,数据在传送过程中尽量以密文形式发送,防止数据传输过程被截获、跟踪造成隐私信息泄露。
(本文刊登于《中国信息安全》杂志2018年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。