交通運輸行業數據泄露現狀

最新 04-13

隨著「互聯網+交通」的深度融合，交通信息化逐漸成為國家信息化發展的重要組成部分，對促進我國交通系統現代化發展作用越來越突出，交通現代化建設以及交通強國已經成為我國公共服務的重要載體。以共享單車、滴滴打車等為代表的新一輪出行共享經濟體為百姓生活提供了大量便利，促進行業運輸效率，然而，在發展過程中產生、收集、儲存的海量用戶信息高效利用及有效保障，也成為我國乃至世界交通運輸行業安全發展面臨的重要問題。

一、全球交通運輸行業面臨數據泄露風險

「互聯網+交通」的深入發展，促使無人駕駛、無人機、車聯網、車路協同等領域也取得了長足進步，尤其是在關乎國家安全的交通運輸行業數據泄露方面，世界各國都打響了信息戰。而且，越來越多的網路攻擊呈現組織化、規模化、專業化特徵，包括通過針對資料庫的洗庫、撞庫、病毒感染等攻擊方式獲取所需的原始數據，通過對原始數據的層層清洗、重組、關聯等方式，獲得價值寶貴、可信度高的關鍵數據。

2016年，打車軟體公司Uber公開一樁大規模數據泄露事件，由於黑客攻擊，導致全球5000萬名Uber乘客的姓名、電郵地址和手機號碼泄露，另有大約700萬名Uber司機的個人信息也被盜取，包括60萬名美國司機的牌照號碼。據媒體報道，2017年7月，瑞典交通部部長承認，由於瑞典交通部的失誤，造成全國公民個人數據乃至軍方大量絕密資料被泄露。發生在交通運輸行業的數據泄露事件表明，數據泄露不僅嚴重威脅公民個人隱私安全，還嚴重威脅國家安全。

數據泄露不僅是交通運輸行業面臨的問題，也是全國乃至世界性的難題。尤其是公民個人信息數據泄露，已經形成十分成熟的產業鏈，世界範圍關於公民個人信息倒賣的地下黑產目前已經超過數十億美元，個人信息買賣及帶來的後果已經嚴重干擾個人的日常生活，數據泄露已經成為威脅社會安定團結且亟待解決的問題。

二、我國交通運輸行業面臨數據泄露風險

交通運輸領域作為我國關鍵信息基礎設施領域的重中之重和關係國計民生的重要領域，如何在交通運輸行業多重、異構、複雜的環境下，建立相應的交通運輸行業大數據處理中心以及建立有效的防數據泄露措施，使大數據成為交通運輸系統全網點狀、條狀乃至塊狀聯動、協同應用的重要安全支撐，從而保證交通運輸行業信息系統在安全、可信的環境下建設運行，成為交通運輸行業信息化建設必須面臨的問題。

我國交通運輸行業針對行業運行產生的海量數據還沒有建立一個大的數據處理平台對產生的數據進行保護、挖掘、分析、利用，也沒有對產生的數據特徵進行識別，甚至在生產過程中產生的原始數據由於存儲空間等問題會被定期刪除，即使是存下來的數據也未能進行高效處置，使大量閑置數據資源浪費，加之行業長期以來存在重建設輕管理的現象，信息系統建設過程當中針對數據存儲保護較為薄弱，經常會發生數據丟失、數據泄露等事件。

據統計，多數發生在高速公路的客車事故都會造成嚴重的人身以及財產損失，為此，交通運輸行業針對全國旅遊客車、三級以上班線客車以及危險品運輸車輛實施動態監管，這些數據都屬於至關重要的絕密數據。試想，一旦系統數據掌握在別有用心人的手裡，就可能發起恐怖襲擊，將會對國家安全造成嚴重威脅。

此外，據媒體報道，不少用戶在不知道的情況下收到滴滴打車平台註冊成功的簡訊，網上有不少關於司機身份證號碼被佔用、車牌被註冊的報道。在信息被盜用的背後，不容忽視的是網約車「代註冊」的黑灰產業鏈。

從近年來不斷發生的數據泄露事件，可以看出，我國數據泄露大部分是由經濟獲利為導向，而國外發生的數據泄露事件大部分是以數據處理、行為分析、內容決策為導向。世界各國都把推進經濟數字化作為實現創新發展的重要動能，在前沿技術研發、數據開放共享、隱私安全保護、人才培養等方面做了前瞻性布局。

三、防範交通運輸行業數據泄露風險策略

我國交通運輸行業基本上形成以航空、鐵路、公路、水路以及管道五種運輸方式為主的綜合交通運輸系統，無時無刻不在產生大量數據。「互聯網+交通」藉助移動互聯網、雲計算、大數據、物聯網等信息通信新技術，將互聯網產業與傳統交通運輸業完美融合，形成「線上資源合理分配，線下高效優質運行」的新格局，為有效保護交通運輸行業數據產生過程中的安全，現階段應重點從以下方面著手進行考慮：

第一，加快交通運輸行業頂層設計。

雖然國家層面出台一些相關法律規定，但是針對交通運輸行業發展現狀來說，仍是屬於比較宏觀的規定。研究美國、歐盟、俄羅斯、新加坡等國數據保護相關法律法規發現，發達國家針對數據保護都是從數據主體、數據控制者、數據監管者三個層面進行要點規定，比較美國、歐盟、澳大利亞、新加坡各國在法律法規中界定這些要點時的不同策略和思路，可以看出，我國關於制定和出台數據保護相關法律法規和行政規章也需要界定清晰的要點，從數據收集、存儲、傳輸、使用、分析、共享、交易、披露、銷毀等整個生命周期考慮，制定符合我國國情的規章制度。同時，針對交通運輸行業網路安全工作，要以關鍵信息基礎設施保護為核心，從宏觀層面考慮將交通行業作為關鍵信息基礎措施進行保護，制定可操作的行業安全制度。

第二，完善交通運輸行業網路安全防護技術。

數據泄露等問題很大一部分原因是網路安全防護水平不高造成的，針對我國交通運輸行業的網路攻擊近些年來呈現上升趨勢，攻擊技術門檻相對較低，大數據背景下人人都可能成為攻擊源。所以，應該完善行業網路安全防護技術，提高網路安全防護水平，是保護重要數據防止信息泄露的重要舉措。首先，當系統接受外部訪問時，對訪問者的身份進行嚴格控制，對其許可權嚴格進行分級分類，設置訪問許可權；其次，在搜集數據傳輸和存儲過程中，可以根據數據的重要程度，分別採用不同的措施進行加密，並採用防火牆技術，隔離加固保護數據的安全。最後，監測預警技術及時發現異常行為並報警，進行緊急處置，提高網站數據運行交換、分析處理、集中存放過程的安全性。

第三，建立交通運輸行業關鍵數據保護機制。

交通運輸行業信息化建設過程中，普遍存在重建設輕管理的思想，關鍵數據保護重視程度不夠是行業數據泄露的主要因素之一。行業針對關鍵數據的加密保護、集中處理，建立交通運輸行業監測預警平台，通過感應探針以及態勢感知，對重要的管控指標進行不間斷的信息監控，盡量減少外部攻擊造成數據泄露的可能。

第四，提升交通運輸行業用戶安全意識。

不斷頻發的行業數據泄露、網路攻擊等安全問題，不僅跟防護水平密切相關，最重要的是使用者本身安全防護意識不強、對信息系統數據保護意識不強，尤其需要增強管理者自身的安全意識。對於當前不斷發展的信息系統而言，不管是移動端還是PC端，形成對設備的定期殺毒習慣、對上網設備安裝防火牆、及時系統檢測並修復相關權威機構的漏洞信息、對存儲數據信息進行加密等習慣，數據在傳送過程中盡量以密文形式發送，防止數據傳輸過程被截獲、跟蹤造成隱私信息泄露。

（作者：交通運輸部信息安全中心王勝）