我来对数字交通中的数字安全隐患进行简单梳理。
在交通行业中,对“专网”安全可靠的盲目信任正在被逐步打破,但由于担心对交通运行安全产生影响,在通行指挥、调度控制等领域,仍然存在较为普遍对信息安全 设备不稳定影响业务的担忧,仍有大量的公路系统、民航系统、铁路系统、海事系统未 按照定级开展等保建设。如在某交通行业国企的下属二级集团中,统建系统 100 余套, 等保测评结果为差的有 90 余套;又如交通部某局管理的某系统,在全国有数百套落地, 定级应为三级,但参照等保定级标准建设的单位仅有个位数,且多数设备未正式投入使 用;再如,全国高速公路在取消省界收费站工程中对信息安全提出了较高的要求并进行 了普遍的整改,但在 20 年以后得新建及改扩建路段建设中,就已经存在部分路段建设 及运营单位不依照标准执行,在安全防护上放水的情况。上述案例表明,作为管理关基 系统最多的交通行业,其安全基础并不牢靠,构建基础安全能力,仍是交通行业政企用 户需要直接面对的严峻问题之一。
IoT、5G、大数据、云计算、中台、微服务、AI 技术、北斗、BIM 等新技术呈喷涌 之势在交通行业被快速地大规模应用。但众多新技术的引入,带来了新的安全风险和攻 击暴露面,而交通行业用户在相应安全能力的建设投入中还没有跟上,在攻防演练等活 动中出现了利用卫星地面站、物联感知设备、大数据及云平台漏洞发起攻击并成功突破 的诸多案例。在运行安全直接关系人民生命财产安全的交通领域,安全的应用新技术成 了摆在交通行业网络安全管理者面前的严峻挑战。
安全从业人员严重不足仍是交通行业用户面临的严峻挑战之一,作为行业主体的交 通行业央国企体量巨大,业务复杂,员工众多,但安全运维团队人数少,维护的软件设 备数量大,与网络运维分工界面不清晰等问题较为普遍,在发生可能危害业务的严重网 络安全事件时,凭借自身员工和驻场外包人员难以应对。 此外,虽然多数交通行业用户建立了内部相对较为完善的信息安全管理制度体系, 相关文件齐备,但在实际执行中,制度对应的工作流程与日常安全工作不匹配、流程流 转计划于团队实际运作存在偏差的情况较为普遍,遇事随机应变,处置结果难以控制, 导致安全运维工作难以度量、无法考核、结果难以预期,无法反映安全工作的价值。
衣食住行是人类生存的基本需求,交通行业活动产生的数据反映了人、物的时空轨 迹,与人的个人生活、社会活动、生产经营息息相关,相对于其他行业数据具有更高的 数据敏感性和数据价值。在企业视角,通过交通行业的部分行业监管数据、货运数据等, 可以轻易的掌握企业的经营情况,通过数据分析推断企业希望保护的公司机密,进而可 能引发针对企业的不发侵害;而在更为关键的个人隐私保护领域,交通行业数据不仅包 含个人身份证、护照、车辆拍照等基础信息,也能直接识别个人的行程轨迹,价格偏好(通 过客票采购偏好、个人快递信息等推断),一旦上述信息被识别并实施信息盗取、诈骗、洗钱等网络犯罪行为,公民个体完全无法抵抗。
在数据安全保障方面,交通行业目前面临着顶层设计不明确、行业标准规范不健全、 行业相关成功实践少等一系列问题。导致交通行业用户一方面希望利用自身的高价值数 据,深化利用;另一方面担心法律风险,不敢迈出第一步。
