前沿 | 让智慧出行避开信息安全风险
在技术快速迭代的数字化时代,信息安全的重要性越来越突出。
交通运输行业是信息技术应用最广泛、最直接、最活跃的领域之一。网上购票、手机导航、自动驾驶……交通运输行业智能化水平不断提升的同时,安全边界也随之扩大。
交通运输部日前印发的《数字交通发展规划纲要》提出,要兼顾创新发展和安全发展,防范化解数字化转型带来的信息安全风险,提升网络安全和数据安全保障能力,保障公共安全和国家利益。不少行业专家认为,建立立体安全防线,有助于提升全行业的数据风险防控水平。
系统漏洞是安全风险上升主因
2008年,西班牙航空公司5022航班客机坠毁事件初步调查结果显示,系统故障可能是导致事故的主要原因;2016年,腾讯科恩实验室曾利用车电网络多个高危漏洞,实现对特斯拉驻车状态和行驶状态下的远程控制……无论是风险事件还是风险试验,都反映出信息安全风险不容忽视。
今年4月,上海虹桥国际机场内自动扶梯玻璃疑似被一群追星的粉丝挤碎,引发舆论广泛关注。通常而言,航班信息泄露是导致跟机现象频发的重要原因。针对粉丝跟机,去年7月中国民航局就印发了《关于加强粉丝接送机、跟机现象管理的通知》,提出严格内部人员管理,防止信息泄露,严格杜绝跟机。
7月举行的第五届互联网安全领袖峰会大交通安全分论坛上,中国民航大学教授顾兆军表示,由于民航的市场属性,旅客信息不只由航空公司使用,机票代理机构也在采集。由于第三方平台信息处置不当或遭受黑客攻击,数据便容易泄露。
“智能化水平越高,各种配套系统就越多。各类系统带来的漏洞是安全风险上升的主要原因之一。”交通运输部公路科学研究院副研究员孙晓亮说。
孙晓亮举例说,公路客运从最初的手撕检票发展到现在的人脸识别过闸。仅检票环节,电子设备从无到有,从单一到多元。在这个过程中,各种系统的数量不断增加,而每个系统都可能存在漏洞,成为不法分子窃取数据和信息的途径。
在公共交通领域,陈旧的系统也容易导致用户数据泄露。奇安信集团副总裁左英男说,很多城市地铁的闸机里都安装了微型电脑,记录乘车信息。但这些电脑操作系统陈旧,很容易遭受病毒的攻击,影响乘客进出站。“最容易出现问题的地方才是发力的重点。”他说。
应对网络安全问题 应有规范的政策、工具、方法
随着民航、铁路系统与互联网的融合不断深入,各种各样智能化系统、信息化系统的接入,在为旅客带来出行便利的同时,也暴露出潜在的攻击面。各种信息安全问题从无到有、从隐性到显性。
顾兆军认为,应该从物联网的感知层、传输层、应用层来分析网络安全需求和问题。从感知层分析硬件接入系统和应用安全,从传输层保护终端数据安全,从应用层对分布式数据进行安全管理。
“我正在开展民航网络安全管理技术的研究,包括民航信息系统测评技术、民航关键信息基础设施安全保护技术、民航安全监测预警和态势感知技术,通过研究构建面向新技术的安全技术测评体系。”顾兆军说,希望通过研究对交通运输行业网络安全工作提供借鉴参考。
第五届互联网安全领袖峰会大交通安全分论坛上,深圳市航电技术研究院首席技术官谢鹰表示,现在人们的生活正朝着智能化方向发展,现在最大的问题就是如何做到安全的智能。“我们应对网络安全问题的能力要随着技术的推进而不断进步,应对这些问题要有规范的政策、工具、方法。”谢鹰说。
“企业要高度重视数据风险和隐私保护,在利用大数据的同时也要保护数据安全,不能将数据挪作他用或变现。”华为智能安防产品线总裁段爱国表示,通过一系列的成体系的架构确保数据安全,才能让数据真正为人们服务。
应对网络安全问题,一些企业也进行了有益尝试。据了解,春秋航空股份有限公司正重点加固网站与App的安全防御,做好保障信息安全的渗透测试和漏洞扫描,构建从内向外的信息安全防御体系。国铁吉讯科技有限公司针对现有传统的网络安全防御设计,提出了“零信任”网络安全架构思路,通过持续的身份认证以及动态访问控制实现网络安全。
加强顶层设计 健全网络和数据安全体系
众所周知,在构建综合交通运输体系的背景下,探讨网络安全问题,必须考虑大交通的时代背景。
在过去,信息安全建设的思路比较单一,往往是针对某个产业、某个安全问题,进行针对性的解决和维护。但是在数字化时代,安全的边界变得无限大,已不再局限于单一的环节、单一的组织,甚至单一的领域。
就交通运输行业来说,信息安全是纵横交错的。从横向看,一旦系统遭到攻击,涉及的不仅仅只是交通工具本身,还有人、财、物,甚至更多公共设施;从纵向看,安全隐患会贯穿整个出行全过程。因此,交通运输行业在数字化转型中真正需要的安全解决方案是立体的,而不是单一的。
北京中交国通智能交通系统技术有限公司高级工程师周洲表示,网络安全是智能交通发展过程中必须面对的问题,要从顶层设计入手,规范智能交通系统安全工作,保证安全建设依法合规,进而保障用户的人身和财产安全。
近年来,交通运输部持续加强行业网络安全顶层设计,2016年4月印发的《交通运输信息化“十三五”发展规划》明确,健全网络与信息安全保障体系,推进部省市三级网络和信息安全通报体系建设;近期印发的《数字交通发展规划纲要》,也再次明确要兼顾创新发展和安全发展,健全网络和数据安全体系,完善适应新技术发展的行业网络安全标准。
(来源:中国交通新闻网)