殷林

(中國交通通信信息中心，北京100011)

0 引言

2015年無疑是國內外信息安全工作的又一重要年份，距離1996年美國國防部DoD指令5－3600.1提出信息安全保障已近20年，距中央辦公廳2003年第27號文《國家信息化領導小組關于加強信息安全保障工作的意見》發(fā)布12年，距2008年1月布什政府發(fā)布了CNCI國家網絡安全綜合倡議(被稱網絡安全“曼哈頓項目”)已有7年，距我國中央網絡安全與信息化領導小組成立已1周年。在各國信息安全經歷了20年的發(fā)展歷程中，交通運輸行業(yè)信息安全早已突破了傳統信息安全概念和范疇，業(yè)務多樣性、系統復雜性、技術綜合性等因素，促使行業(yè)信息安全風險嚴峻，問題突出，合理規(guī)劃新形勢下行業(yè)信息安全發(fā)展策略，定位行業(yè)信息安全工作方向、建構行業(yè)信息安全保障體系成為關鍵工作。

1 交通運輸行業(yè)信息安全重要性

世界主要國家在信息安全方面布大局、謀大勢，美國、英國、德國、日本均高度重視交通運輸信息安全保障。

1.1 國外對交通信息安全重視情況

2013年，奧巴馬政府第21號總統令確定了16類關鍵基礎設施部門［1］，交通運輸系統作為關鍵基礎設施之一進行保護，美國國家運輸安全委員會(NTSB)負責交通網絡系統安全。德國聯邦交通部負責交通運輸行業(yè)信息安全工作。日本將信息安全列入國家安全之首，將信息技術自主可控作為交通運輸行業(yè)信息安全基礎。各主要國家在交通運輸安全領域均高度重視，并有系列機制和保障措施。

1.2 我國交通運輸信息安全重要性

2008年3月11日，第十一屆全國人民代表大會第一次會議第四次全體會議，討論設立交通運輸部。2013年中央辦公廳《中央編辦關于交通運輸部有關職責和機構編制調整的通知》(中央編辦發(fā)［2013］133號)正式調整了交通運輸部職能，交通邁向了綜合大交通的發(fā)展時代，包括鐵路、公路、水運、民航、城市交通、救助打撈、物流郵政、海事等綜合業(yè)務領域。

2014年2月28日中央網絡安全和信息化領導小組成立，強化國家層面信息安全統籌規(guī)劃。2014年7月15日，交通運輸部網絡安全和信息化領導小組召開第一次會議，會議要求深刻領會信息安全對于發(fā)展“智慧交通”的重要意義，提升行業(yè)信息安全保障能力。同時，由于交通運輸行業(yè)業(yè)務先導性、多樣性、廣泛性因素促使行業(yè)信息安全與交通戰(zhàn)備、社會秩序、人民生命安全更為密切。交通運輸信息安全關系到綜合交通、智慧交通、綠色交通、平安交通的一體化發(fā)展［2］，更關系到國家網絡空間安全的整體建設工作。

2 我國交通運輸行業(yè)信息安全風險

交通運輸行業(yè)信息安全攻擊來自方方面面，從信息安全攻擊威脅、脆弱性綜合分析來看，互聯網常規(guī)攻擊、工控設備APT攻擊、可編程控制器代碼注入、軟件運行故障、以及社會工程學攻擊嚴重。在業(yè)務層面、系統層面、數據層面均呈現不同安全風險。

2.1 業(yè)務層面信息安全風險

交通運輸行業(yè)的業(yè)務豐富多樣。按照業(yè)務分布則包括互聯網服務業(yè)務、專網服務業(yè)務和內網辦公業(yè)務，按照網絡類型包括固網通信業(yè)務、無線網絡業(yè)務和衛(wèi)星通信業(yè)務。

第一，基礎安全性風險。交通運輸行業(yè)作為國家“8+2”重要基礎設施之一，業(yè)務覆蓋水路、公路、航空、鐵路、郵政、海事、救撈等領域。業(yè)務分布極其廣泛，網絡信息安全對基礎設施依賴程度高，交通運輸基礎設施、運輸工具裝備等主體資源的運行自然條件、人工設施、安全措施凸顯基礎作用［3］。由于基礎設施運行自然環(huán)境和人工環(huán)境并存、基礎設施不間斷運行周期長、與社會經濟運行的業(yè)務負荷高，構成了交通基礎設施被國外組織密切關注，自身脆弱性與安全隱患難以排查。出現攻擊威脅和惡意破壞，業(yè)務中斷恢復速度較慢，經濟損失和社會影響力難以評估。因此，交通運輸信息安全具有顯著的基礎安全性風險特性。

第二，業(yè)務先導性風險。交通行業(yè)信息化建設而形成的各類信息系統是引領交通運輸綜合化、智慧化發(fā)展的推動力。信息化加速交通運輸行業(yè)發(fā)展、促使行業(yè)發(fā)展更為科學和合理［4］，具有重要的先導作用。但業(yè)務先導性決定了交通運輸行業(yè)信息安全風險不但影響到行業(yè)內業(yè)務運轉，而且影響到社會其他行業(yè)平穩(wěn)運行，并促使行業(yè)信息安全風險沿著業(yè)務網所有路徑和節(jié)點廣泛傳播和擴散，從而加重了行業(yè)信息安全風險的社會影響和危害強度。

第三，服務開放性風險。行業(yè)網絡信息系統服務具備全面開放性，這種特性決定了服務方式的多樣性和安全風險多樣性。服務方面，包括自助服務和人工服務，網絡服務和現場服務，自主服務和被動服務等方式。風險方面，由于不同服務方式，以及服務過程中不同程度、不同需求的業(yè)務應用，使得業(yè)務運行對系統故障、服務中斷、超負荷運行更加敏感。從而，信息安全風險對業(yè)務影響敏感度進一步降低，而安全隱患和漏洞被惡意攻擊者利用程度進一步提升。因此，服務的開發(fā)性提升了行業(yè)信息安全風險。

2.2 系統層面信息安全風險

交通運輸行業(yè)網絡信息系統類型多樣，以支撐行業(yè)不同的業(yè)務應用。從而系統存在結構復雜性、邊界復雜性、處理過程復雜性等安全風險。

第一，結構復雜性風險。交通運輸行業(yè)網絡信息系統覆蓋了現有所有類型。從Server/Client角度，包括B/S和C/S結構;在運行模式上包括了控制中心和控制器結構;從通信方式上，包括有線網絡和無線網絡，光信號和電子信號方式;從運行控制角度包括自動運行和人工運行模式等。豐富的結構類型和復雜的技術要素，使得網絡信息系統的易管理性降低，人為故意和非故意的威脅產生頻發(fā)，結構健壯性和抗攻擊的韌性易于受到攻擊和挑戰(zhàn)，結構性安全風險影響重大。

第二，邊界模糊性風險。綜合交通的發(fā)展，要求行業(yè)所有信息系統與社會其他行業(yè)系統充分對接、智能處理，網絡邊界出口不再唯一、有線、無線、虛擬化完全融合，邊界更加復合。在新的網絡安全挑戰(zhàn)情況下，安全邊界更加模糊［5］。又由于交通行業(yè)智能化水平要求持續(xù)提升，則系統邊界的攻擊檢測、訪問控制、計算機病毒防護的難度進一步加大，針對邊界的非法接入、跨網外聯、DoS、DDoS攻擊易于實施，構成了交通運行信息安全網絡邊界的難以防護的突出風險。

第三，處理過程復雜性風險。系統處理過程越復雜，產生安全風險概率越高。交通行業(yè)信息系統互聯性強、自動化處理程度高。處理過程涉及到計算機設備、通信設備、系統軟件、應用軟件、工控裝備、控制器設備等眾多軟硬件設備，并且人機交互程度高，同時存在與系統內處理、系統外處理復雜場景。安全漏洞因處理過程的復雜性而成指數級增長，安全威脅因過程過程的復雜性而廣泛存在。處理過程的復雜性所構成的風險，為行業(yè)信息安全管控工作帶來嚴峻挑戰(zhàn)。

2.3 數據層面信息安全風險

第一，數據的保密性風險。大數據時代，數據分布在行業(yè)各個業(yè)務領域的各個系統，由于交通運輸行業(yè)與國家安全、社會秩序和公共利益密切相關，敏感用戶信息、交通業(yè)務信息等數據保密性往往直接遭受泄露，進一步經大數據統計、聚合、推理、預報、數據模擬等系列高級技術，均為行業(yè)敏感數據保護帶來高級威脅。實際中多次發(fā)生網絡、系統、終端等各部位的信息泄露泄露，為行業(yè)數據保密工作帶來嚴重影響。

第二，數據的完整性風險。交通運輸行業(yè)數據的完整性風險主要存在于交通運行處理業(yè)務當中。例如，未經完整性保護的通信信號指令在無線傳輸過程中遭到偽造、篡改等，直接會造成APT系統產生故障，從而構成列車運行重大安全事故等。未經完整性認證的虛假機票、車票，不僅影響旅客出行，且嚴重擾亂社會交通秩序。

第三，數據的可用性風險。交通運輸行業(yè)信息數據實時大量產生，數據規(guī)模大，數據可用性對交通運行狀態(tài)的穩(wěn)定起到關鍵作用。實際情況中數據延遲、數據偽造、數據離散、數據失效等風險，為系統和業(yè)務運行帶來直接影響，降低交通運輸行業(yè)數據真實性和時效性。

3 行業(yè)信息安全風險原因及問題分析

從行業(yè)信息安全保障工作角度出發(fā)，基于行業(yè)信息安全風險管控基本思想，行業(yè)信息安全風險產生原因及存在問題包括四個主要方面。

3.1 行業(yè)信息安全保障意識欠缺

在交通運輸行業(yè)存在大量國外設備裝備的環(huán)境中，同時面臨各類安全攻擊的形勢下，自身缺乏必要的信息安全保障能力，安全保障意識普遍薄弱、甚至是無意識狀態(tài)，同時普遍對信息安全工作重視程度低、必要的安全管理制度缺乏、有效安全技術防護措施薄弱。因此，從思想意識層面，有待加強行業(yè)信息安全的工作力度。

3.2 行業(yè)信息安全政策標準滯后

行業(yè)信息安全工作起步晚，信息安全政策文件和各類標準相對不足。截止2014年12月，行業(yè)信息安全標準僅有《交通運輸行業(yè)信息系統等級保護定級指南》標準，此外針對行業(yè)各個業(yè)務領域及技術產品具有屈指可數的標準?，F有政策文件在指導交通運輸行業(yè)信息安全工作方面，針對性不強，落實難度大，可操作性較低。在標準方面，信息安全標準呈現總體標準和分項標準并存，標準規(guī)劃凌亂、標準出處不同、體系結構不統一等嚴重問題。

3.3 信息技術裝備非國產化嚴重

交通行業(yè)中存在大量、未經規(guī)范應用的國外裝備，為自主可控的網絡信息安全帶來重大隱患。僅城市軌道交通建設中，與信息安全有關的通信信號控制系統90%均使用國外設備，美國GRS公司、美國 USS公司、法國 ALSTOM公司、SIEMENS公司、ALCATEL公司等設備處于壟斷地位。民航中從飛行裝備、信號接收控制設備等采用波音公司、空客公司的關鍵設備等。這些大量的國外設備中，系統結構、軟件程序、控制流程中是否存在安全漏洞、人為后門，難以檢測和識別，信息化已經完全融合到了交通行業(yè)的所有裝備和系統當中，一旦發(fā)生由于信息安全引起的安全事故，后果將不堪設想。

3.4 行業(yè)信息安全人才緊缺

行業(yè)信息安全人才缺乏尤為嚴重，在計算機網絡信息安全、電子通信網絡安全、衛(wèi)星通信網絡安全、工業(yè)控制網絡安全中尚未較大規(guī)模培養(yǎng)或吸收專業(yè)化的信息安全技術人才，在出現安全問題時候沒有足夠的有能力的專業(yè)人才進行問題解決。在各行各業(yè)以人為本，以人才為發(fā)展生命的社會環(huán)境下，要促進交通行業(yè)的信息安全工作水平提升，解決行業(yè)信息安全人才問題是有意義的關鍵工作。

4 我國交通運輸行業(yè)信息安全建設策略

4.1 規(guī)范行業(yè)信息安全發(fā)展秩序

全面提高行業(yè)信息安全工作統籌規(guī)劃能力，構建行業(yè)信息安全新秩序。大交通的發(fā)展促使行業(yè)信息安全工作與其他行業(yè)具有截然不同的要求，就這就要信息安全的工作需要統籌規(guī)劃，這信息安全監(jiān)管機構要統一，信息安全支撐保障平臺要建設運營，并將分散在全國的各業(yè)領域的信息安全工作協同化、標準化地發(fā)展起來，編制統一的信息安全規(guī)劃，建立行業(yè)信息安全協調發(fā)展機制，規(guī)范行業(yè)信息安全工作秩序，降低信息安全投資，提高信息安全保障效能。

4.2 完善行業(yè)信息安全政策標準

完善行業(yè)信息安全政策標準，指導行業(yè)信息安全工作有效開展。行業(yè)中不僅要率先地落實中央網絡安全與信息化領導小組、國務院及各有關國家部委信息安全政策、法律及標準要求，更要提前積極主動地、未雨綢繆地介入到行業(yè)信息安全政策、法規(guī)、標準的研究工作中，要求充分發(fā)揮以政策為突破口開啟信息安全建設工作，以政策為導向引領信息安全建設工作，以政策為準則規(guī)范信息安全建設工作的綜合效能，全面加強行業(yè)信息安全政策、法規(guī)和標準的研究制定工作。

4.3 構建行業(yè)信息安全支撐平臺

打造一批行業(yè)信息安全公共支撐平臺，為行業(yè)提供可靠的信息安全保障服務。同其他行業(yè)一樣，交通運輸行業(yè)信息安全工作的開展離不開一批信息安全公共基礎設施的支持。這些基礎設施可以是公共服務平臺，也可以是專業(yè)的技術機構。包括了信息安全關鍵技術服務平臺、信息安全檢測評估機構、信息安全監(jiān)測與應急響應平臺、信息安全監(jiān)督審查機構、行業(yè)信息安全產業(yè)技術服務平臺和信息安全人才輸出機構在內的各類服務平臺不僅要建設，還要做好相互分工、共同協作的規(guī)劃，總體構成行業(yè)信息安全公共服務平臺的有機體，成為行業(yè)信息安全保障工作可持續(xù)進步和發(fā)展的中堅力量。

4.4 布局行業(yè)信息安全產業(yè)技術

布局行業(yè)信息安全產業(yè)技術，以先進技術應對不斷演進的安全形勢。交通運輸行業(yè)信息化與信息安全涉及產業(yè)鏈長、產業(yè)技術豐富、產業(yè)交叉廣泛。不同于近20年發(fā)展的信息系統安全技術，行業(yè)信息安全技術具有交通行業(yè)固有特性。因此，有必要通過政策發(fā)布引導一批信息安全產業(yè)發(fā)展，通過科研基金激勵一批行業(yè)信息安全技術突破，通過項目實施推動一批產業(yè)進步。要盡快形成自主、可控、安全的信息技術、信息產品和裝備，扎實地推進行業(yè)信息安全產業(yè)復合型發(fā)展，構建具成長能力和發(fā)展活力的產業(yè)生態(tài)圈。

4.5 培育行業(yè)信息安全人才隊伍

培育行業(yè)信息安全人才隊伍，為行業(yè)信息安全奠定人才基礎。加快推進行業(yè)信息安全人才培養(yǎng)工作，積極開展國家注冊信息安全專業(yè)人才、國家從業(yè)信息安全專業(yè)人員、行業(yè)專業(yè)信息安全專業(yè)人才培養(yǎng)工作［6］。加強與國家信息安全機構、高等院校、科研院所、社會企業(yè)廣泛合作，促進人才流通、加強人才交流、擴展行業(yè)信息安全人員視野、提高行業(yè)信息安全人才戰(zhàn)斗力。最終構建一批行業(yè)通用的信息安全技術人才，形成一批行業(yè)特色的信息安全技術人才，并建立人才隊伍可持續(xù)發(fā)展梯次，為行業(yè)信息安全人才供應、人才使用、人才智慧發(fā)揮注入持久活力。

5 結語

21世紀是信息的世界，世界的維度因此產生新的變化。作為人類生活“吃穿住用行”基本需求之一的交通發(fā)展尤為重要，然而信息化社會中信息安全是保障交通運輸長足發(fā)展的基本要求。因此，交通運輸信息安全責任重大、使命光榮、挑戰(zhàn)前所未有。在全球網絡安全攻擊、防護、情報等日趨激烈的時代，加快推動交通運輸信息安全發(fā)展，是勢在必行的基礎工作，也是需要持續(xù)速強化的關鍵工作。在挑戰(zhàn)與機遇并存的行業(yè)信息安全建設中，不斷關注行業(yè)信息安全問題、及時研究行業(yè)信息安全策略，快速推動行業(yè)關鍵領域信息安全策略落實，對促進交通運輸業(yè)科學發(fā)展和我國現代化社會建設具有深遠意義。

［1］ 張莉.美國保護關鍵基礎設施安全政策分析［J］.信息安全與技術，2013(07):04－05.

［2］ 徐奇，孫家慶，楊珍花.四個交通”一體化發(fā)展現狀與對策［J］.世界海運，2014，37(227):18－19.

［3］ 周洲，劉鴻偉，梅新明.淺析交通運輸行業(yè)的信息安全問題［J］.公路交通科技，2012(07):17－18.

［4］ 薛跟娣.淺析交通信息化建設［J］.科技創(chuàng)新與應用，2014(31):84.

［5］ 侯春風，段淑輝，商利平.網絡邊界安全面臨新挑戰(zhàn)及其分析［J］.數據通信，2012(02):12－13.

［6］ 孟慶豐.把握交通信息安全建設的最佳時機［N］.中國交通報，2013－11－28(003)［2015－05－18］.

［7］ LI Xue －mei，LI Yan，DING Li－ xing.Study on information security of industry management［A］.International Journal of Intelligent Information Technology Application，2009.