殷林

(中国交通通信信息中心，北京100011)

0 引言

2015年无疑是国内外信息安全工作的又一重要年份，距离1996年美国国防部DoD指令5－3600.1提出信息安全保障已近20年，距中央办公厅2003年第27号文《国家信息化领导小组关于加强信息安全保障工作的意见》发布12年，距2008年1月布什政府发布了CNCI国家网络安全综合倡议(被称网络安全“曼哈顿项目”)已有7年，距我国中央网络安全与信息化领导小组成立已1周年。在各国信息安全经历了20年的发展历程中，交通运输行业信息安全早已突破了传统信息安全概念和范畴，业务多样性、系统复杂性、技术综合性等因素，促使行业信息安全风险严峻，问题突出，合理规划新形势下行业信息安全发展策略，定位行业信息安全工作方向、建构行业信息安全保障体系成为关键工作。

1 交通运输行业信息安全重要性

世界主要国家在信息安全方面布大局、谋大势，美国、英国、德国、日本均高度重视交通运输信息安全保障。

1.1 国外对交通信息安全重视情况

2013年，奥巴马政府第21号总统令确定了16类关键基础设施部门［1］，交通运输系统作为关键基础设施之一进行保护，美国国家运输安全委员会(NTSB)负责交通网络系统安全。德国联邦交通部负责交通运输行业信息安全工作。日本将信息安全列入国家安全之首，将信息技术自主可控作为交通运输行业信息安全基础。各主要国家在交通运输安全领域均高度重视，并有系列机制和保障措施。

1.2 我国交通运输信息安全重要性

2008年3月11日，第十一届全国人民代表大会第一次会议第四次全体会议，讨论设立交通运输部。2013年中央办公厅《中央编办关于交通运输部有关职责和机构编制调整的通知》(中央编办发［2013］133号)正式调整了交通运输部职能，交通迈向了综合大交通的发展时代，包括铁路、公路、水运、民航、城市交通、救助打捞、物流邮政、海事等综合业务领域。

2014年2月28日中央网络安全和信息化领导小组成立，强化国家层面信息安全统筹规划。2014年7月15日，交通运输部网络安全和信息化领导小组召开第一次会议，会议要求深刻领会信息安全对于发展“智慧交通”的重要意义，提升行业信息安全保障能力。同时，由于交通运输行业业务先导性、多样性、广泛性因素促使行业信息安全与交通战备、社会秩序、人民生命安全更为密切。交通运输信息安全关系到综合交通、智慧交通、绿色交通、平安交通的一体化发展［2］，更关系到国家网络空间安全的整体建设工作。

2 我国交通运输行业信息安全风险

交通运输行业信息安全攻击来自方方面面，从信息安全攻击威胁、脆弱性综合分析来看，互联网常规攻击、工控设备APT攻击、可编程控制器代码注入、软件运行故障、以及社会工程学攻击严重。在业务层面、系统层面、数据层面均呈现不同安全风险。

2.1 业务层面信息安全风险

交通运输行业的业务丰富多样。按照业务分布则包括互联网服务业务、专网服务业务和内网办公业务，按照网络类型包括固网通信业务、无线网络业务和卫星通信业务。

第一，基础安全性风险。交通运输行业作为国家“8+2”重要基础设施之一，业务覆盖水路、公路、航空、铁路、邮政、海事、救捞等领域。业务分布极其广泛，网络信息安全对基础设施依赖程度高，交通运输基础设施、运输工具装备等主体资源的运行自然条件、人工设施、安全措施凸显基础作用［3］。由于基础设施运行自然环境和人工环境并存、基础设施不间断运行周期长、与社会经济运行的业务负荷高，构成了交通基础设施被国外组织密切关注，自身脆弱性与安全隐患难以排查。出现攻击威胁和恶意破坏，业务中断恢复速度较慢，经济损失和社会影响力难以评估。因此，交通运输信息安全具有显著的基础安全性风险特性。

第二，业务先导性风险。交通行业信息化建设而形成的各类信息系统是引领交通运输综合化、智慧化发展的推动力。信息化加速交通运输行业发展、促使行业发展更为科学和合理［4］，具有重要的先导作用。但业务先导性决定了交通运输行业信息安全风险不但影响到行业内业务运转，而且影响到社会其他行业平稳运行，并促使行业信息安全风险沿着业务网所有路径和节点广泛传播和扩散，从而加重了行业信息安全风险的社会影响和危害强度。

第三，服务开放性风险。行业网络信息系统服务具备全面开放性，这种特性决定了服务方式的多样性和安全风险多样性。服务方面，包括自助服务和人工服务，网络服务和现场服务，自主服务和被动服务等方式。风险方面，由于不同服务方式，以及服务过程中不同程度、不同需求的业务应用，使得业务运行对系统故障、服务中断、超负荷运行更加敏感。从而，信息安全风险对业务影响敏感度进一步降低，而安全隐患和漏洞被恶意攻击者利用程度进一步提升。因此，服务的开发性提升了行业信息安全风险。

2.2 系统层面信息安全风险

交通运输行业网络信息系统类型多样，以支撑行业不同的业务应用。从而系统存在结构复杂性、边界复杂性、处理过程复杂性等安全风险。

第一，结构复杂性风险。交通运输行业网络信息系统覆盖了现有所有类型。从Server/Client角度，包括B/S和C/S结构;在运行模式上包括了控制中心和控制器结构;从通信方式上，包括有线网络和无线网络，光信号和电子信号方式;从运行控制角度包括自动运行和人工运行模式等。丰富的结构类型和复杂的技术要素，使得网络信息系统的易管理性降低，人为故意和非故意的威胁产生频发，结构健壮性和抗攻击的韧性易于受到攻击和挑战，结构性安全风险影响重大。

第二，边界模糊性风险。综合交通的发展，要求行业所有信息系统与社会其他行业系统充分对接、智能处理，网络边界出口不再唯一、有线、无线、虚拟化完全融合，边界更加复合。在新的网络安全挑战情况下，安全边界更加模糊［5］。又由于交通行业智能化水平要求持续提升，则系统边界的攻击检测、访问控制、计算机病毒防护的难度进一步加大，针对边界的非法接入、跨网外联、DoS、DDoS攻击易于实施，构成了交通运行信息安全网络边界的难以防护的突出风险。

第三，处理过程复杂性风险。系统处理过程越复杂，产生安全风险概率越高。交通行业信息系统互联性强、自动化处理程度高。处理过程涉及到计算机设备、通信设备、系统软件、应用软件、工控装备、控制器设备等众多软硬件设备，并且人机交互程度高，同时存在与系统内处理、系统外处理复杂场景。安全漏洞因处理过程的复杂性而成指数级增长，安全威胁因过程过程的复杂性而广泛存在。处理过程的复杂性所构成的风险，为行业信息安全管控工作带来严峻挑战。

2.3 数据层面信息安全风险

第一，数据的保密性风险。大数据时代，数据分布在行业各个业务领域的各个系统，由于交通运输行业与国家安全、社会秩序和公共利益密切相关，敏感用户信息、交通业务信息等数据保密性往往直接遭受泄露，进一步经大数据统计、聚合、推理、预报、数据模拟等系列高级技术，均为行业敏感数据保护带来高级威胁。实际中多次发生网络、系统、终端等各部位的信息泄露泄露，为行业数据保密工作带来严重影响。

第二，数据的完整性风险。交通运输行业数据的完整性风险主要存在于交通运行处理业务当中。例如，未经完整性保护的通信信号指令在无线传输过程中遭到伪造、篡改等，直接会造成APT系统产生故障，从而构成列车运行重大安全事故等。未经完整性认证的虚假机票、车票，不仅影响旅客出行，且严重扰乱社会交通秩序。

第三，数据的可用性风险。交通运输行业信息数据实时大量产生，数据规模大，数据可用性对交通运行状态的稳定起到关键作用。实际情况中数据延迟、数据伪造、数据离散、数据失效等风险，为系统和业务运行带来直接影响，降低交通运输行业数据真实性和时效性。

3 行业信息安全风险原因及问题分析

从行业信息安全保障工作角度出发，基于行业信息安全风险管控基本思想，行业信息安全风险产生原因及存在问题包括四个主要方面。

3.1 行业信息安全保障意识欠缺

在交通运输行业存在大量国外设备装备的环境中，同时面临各类安全攻击的形势下，自身缺乏必要的信息安全保障能力，安全保障意识普遍薄弱、甚至是无意识状态，同时普遍对信息安全工作重视程度低、必要的安全管理制度缺乏、有效安全技术防护措施薄弱。因此，从思想意识层面，有待加强行业信息安全的工作力度。

3.2 行业信息安全政策标准滞后

行业信息安全工作起步晚，信息安全政策文件和各类标准相对不足。截止2014年12月，行业信息安全标准仅有《交通运输行业信息系统等级保护定级指南》标准，此外针对行业各个业务领域及技术产品具有屈指可数的标准。现有政策文件在指导交通运输行业信息安全工作方面，针对性不强，落实难度大，可操作性较低。在标准方面，信息安全标准呈现总体标准和分项标准并存，标准规划凌乱、标准出处不同、体系结构不统一等严重问题。

3.3 信息技术装备非国产化严重

交通行业中存在大量、未经规范应用的国外装备，为自主可控的网络信息安全带来重大隐患。仅城市轨道交通建设中，与信息安全有关的通信信号控制系统90%均使用国外设备，美国GRS公司、美国 USS公司、法国 ALSTOM公司、SIEMENS公司、ALCATEL公司等设备处于垄断地位。民航中从飞行装备、信号接收控制设备等采用波音公司、空客公司的关键设备等。这些大量的国外设备中，系统结构、软件程序、控制流程中是否存在安全漏洞、人为后门，难以检测和识别，信息化已经完全融合到了交通行业的所有装备和系统当中，一旦发生由于信息安全引起的安全事故，后果将不堪设想。

3.4 行业信息安全人才紧缺

行业信息安全人才缺乏尤为严重，在计算机网络信息安全、电子通信网络安全、卫星通信网络安全、工业控制网络安全中尚未较大规模培养或吸收专业化的信息安全技术人才，在出现安全问题时候没有足够的有能力的专业人才进行问题解决。在各行各业以人为本，以人才为发展生命的社会环境下，要促进交通行业的信息安全工作水平提升，解决行业信息安全人才问题是有意义的关键工作。

4 我国交通运输行业信息安全建设策略

4.1 规范行业信息安全发展秩序

全面提高行业信息安全工作统筹规划能力，构建行业信息安全新秩序。大交通的发展促使行业信息安全工作与其他行业具有截然不同的要求，就这就要信息安全的工作需要统筹规划，这信息安全监管机构要统一，信息安全支撑保障平台要建设运营，并将分散在全国的各业领域的信息安全工作协同化、标准化地发展起来，编制统一的信息安全规划，建立行业信息安全协调发展机制，规范行业信息安全工作秩序，降低信息安全投资，提高信息安全保障效能。

4.2 完善行业信息安全政策标准

完善行业信息安全政策标准，指导行业信息安全工作有效开展。行业中不仅要率先地落实中央网络安全与信息化领导小组、国务院及各有关国家部委信息安全政策、法律及标准要求，更要提前积极主动地、未雨绸缪地介入到行业信息安全政策、法规、标准的研究工作中，要求充分发挥以政策为突破口开启信息安全建设工作，以政策为导向引领信息安全建设工作，以政策为准则规范信息安全建设工作的综合效能，全面加强行业信息安全政策、法规和标准的研究制定工作。

4.3 构建行业信息安全支撑平台

打造一批行业信息安全公共支撑平台，为行业提供可靠的信息安全保障服务。同其他行业一样，交通运输行业信息安全工作的开展离不开一批信息安全公共基础设施的支持。这些基础设施可以是公共服务平台，也可以是专业的技术机构。包括了信息安全关键技术服务平台、信息安全检测评估机构、信息安全监测与应急响应平台、信息安全监督审查机构、行业信息安全产业技术服务平台和信息安全人才输出机构在内的各类服务平台不仅要建设，还要做好相互分工、共同协作的规划，总体构成行业信息安全公共服务平台的有机体，成为行业信息安全保障工作可持续进步和发展的中坚力量。

4.4 布局行业信息安全产业技术

布局行业信息安全产业技术，以先进技术应对不断演进的安全形势。交通运输行业信息化与信息安全涉及产业链长、产业技术丰富、产业交叉广泛。不同于近20年发展的信息系统安全技术，行业信息安全技术具有交通行业固有特性。因此，有必要通过政策发布引导一批信息安全产业发展，通过科研基金激励一批行业信息安全技术突破，通过项目实施推动一批产业进步。要尽快形成自主、可控、安全的信息技术、信息产品和装备，扎实地推进行业信息安全产业复合型发展，构建具成长能力和发展活力的产业生态圈。

4.5 培育行业信息安全人才队伍

培育行业信息安全人才队伍，为行业信息安全奠定人才基础。加快推进行业信息安全人才培养工作，积极开展国家注册信息安全专业人才、国家从业信息安全专业人员、行业专业信息安全专业人才培养工作［6］。加强与国家信息安全机构、高等院校、科研院所、社会企业广泛合作，促进人才流通、加强人才交流、扩展行业信息安全人员视野、提高行业信息安全人才战斗力。最终构建一批行业通用的信息安全技术人才，形成一批行业特色的信息安全技术人才，并建立人才队伍可持续发展梯次，为行业信息安全人才供应、人才使用、人才智慧发挥注入持久活力。

5 结语

21世纪是信息的世界，世界的维度因此产生新的变化。作为人类生活“吃穿住用行”基本需求之一的交通发展尤为重要，然而信息化社会中信息安全是保障交通运输长足发展的基本要求。因此，交通运输信息安全责任重大、使命光荣、挑战前所未有。在全球网络安全攻击、防护、情报等日趋激烈的时代，加快推动交通运输信息安全发展，是势在必行的基础工作，也是需要持续速强化的关键工作。在挑战与机遇并存的行业信息安全建设中，不断关注行业信息安全问题、及时研究行业信息安全策略，快速推动行业关键领域信息安全策略落实，对促进交通运输业科学发展和我国现代化社会建设具有深远意义。

［1］ 张莉.美国保护关键基础设施安全政策分析［J］.信息安全与技术，2013(07):04－05.

［2］ 徐奇，孙家庆，杨珍花.四个交通”一体化发展现状与对策［J］.世界海运，2014，37(227):18－19.

［3］ 周洲，刘鸿伟，梅新明.浅析交通运输行业的信息安全问题［J］.公路交通科技，2012(07):17－18.

［4］ 薛跟娣.浅析交通信息化建设［J］.科技创新与应用，2014(31):84.

［5］ 侯春风，段淑辉，商利平.网络边界安全面临新挑战及其分析［J］.数据通信，2012(02):12－13.

［6］ 孟庆丰.把握交通信息安全建设的最佳时机［N］.中国交通报，2013－11－28(003)［2015－05－18］.

［7］ LI Xue －mei，LI Yan，DING Li－ xing.Study on information security of industry management［A］.International Journal of Intelligent Information Technology Application，2009.