2018年6月20日,由北航-梆梆車聯網安全研究院、交通運輸部公路科學研究院、普華永道聯合編撰的《智慧交通網路安全實踐指南》(下文簡稱“指南”)在世界交通運輸大會正式釋出。2018世界交通運輸大會匯聚全球交通運輸領域頂級專家,人員級別之高、影響人數之多、釋出成果之新,堪稱交通領域的最高規格會議。通過這個平臺釋出指南,一方面是以智慧交通網路安全先行者的身份向專家、行業分享編撰者在智慧交通網路安全領域的成果、理念、技術及建議;另一方面也希望能夠集眾人之智,採眾家之長,共同為智慧交通的健康可持續發展貢獻智慧和力量。
圖 交通運輸網路安全行業研發中心、梆梆安全研究院院長盧佐華在世界交通運輸大會發布《智慧交通網路安全實踐指南》
智慧交通頻遭網路安全挑戰,脆弱性日益凸顯
本次世界交通運輸大會的主題為“交通讓世界更美好”,縱觀整個智慧交通的發展史,社會智慧化、網聯化、共享化的發展,極大推動了“網際網路+”便捷交通的發展,近年來不斷湧入的創新業態:智慧駕駛、移動支付、共享出行、智慧交通體系等無不在推動著智慧交通產業快速發展。但是相較於智慧交通產業整體的快速發展,網路安全風險正在不斷擴散,智慧交通領域聚合了海量的高價值使用者資料,且由於智慧交通產業鏈的複雜、各類應用和系統架構的異構性,各方面因素都在導致智慧交通面臨的威脅面劇增。
黑客攻擊、安全漏洞、汽車破解劫持等頻繁上演。特斯拉汽車自動駕駛系統事故、Uber無人駕駛汽車車禍事件、航空公司因地勤系統遭黑客攻擊而被迫停飛航班、公交實時資料被竊取、使用者個人資訊遭洩露……無不在敲響著智慧交通網路安全問題的警鐘。
指南從新問題應對、資料分析和監控手段、安全防護手段、監管機構合規、網安人才5個方面剖析了智慧交通在網路安全領域遭遇的安全風險,將智慧交通網路安全面臨的挑戰總結為以下5個方面:功能安全難以與網路安全整合、無法實時監控大規模異構終端裝置、難以準確實時預測攻擊、敏感資料識別和防護難度大增、安全運營緊缺複合型資訊保安人才。
從智慧交通產業治理維度,至頂向下開展智慧交通訊息安全體系架構設計
智慧交通行業面臨著比PC和網際網路領域更為嚴峻和惡劣的資訊保安形態,不同於手機和電腦,智慧交通領域中的汽車、共享單車等交通工具一旦遭遇黑客攻擊,輕則導致資訊洩露、錢財受損,重則危及人身安全。智慧交通產業相關行業眾多,產業模式複雜,當交通環境從傳統的“人、車、路”走向更加開放、立體、多元的智慧交通環境,其所面臨的網路安全建設挑戰也變得更加複雜、難度更高。
本著“識別風險、設計規劃、指導落實、持續改進”的體系架構設計方法論,指南提出如下智慧交通網路安全體系架構。
圖 智慧交通網路安全體系架構
在智慧交通網路安全體系架構中,以政府政策為指導,以人為中心,圍繞智慧交通城市建設,範圍涵蓋智慧製造企業、運營服務商等機構和企業,交通工具和運營平臺以及智慧基礎設施和物聯網路等智慧交通產業鏈中的所有物件。該體系共分為4大領域,分別為智慧交通網路安全管理體系、智慧交通網路安全技術體系、智慧交通網路安全運營體系和智慧交通網路安全評價體系。在該體系的整體框架中,以安全管理體系為根本,安全技術體系為基石,安全運營體系為核心,安全評價體系為保障,將風險管理思維和PDCA理念融入其中,形成有效的、持續改進的體系閉環。
指南還提出分步走的智慧交通網路安全體系實施建議,從安全運維基礎、網路安全主動響應、安全運營有效執行到完整安全生態並實現智慧安全保障的分步走策略可保障智慧交通安全體系的有效、有序實施,為實現智慧交通的長遠快速發展提供指導意義。
智慧交通新時代 網路安全新實踐
指南以隱私保護與合規建設實踐、資訊保安管理體系建設實踐、資料安全保護建設實踐、雲安全建設實踐、通訊安全建設實踐、智慧終端安全建設實踐、移動應用安全建設實踐、網路安全人才培養建設實踐等場景為切入點,從應用場景、解決方案、應用價值角度提供了分析和實踐指導。
以移動應用安全為例,無論是在智慧汽車、輔助駕駛還是在交通管理等領域,移動應用已逐步成為非常重要的管理終端,然而其資訊保安建設並未同步發展。就拿智慧汽車領域來說,智慧汽車所使用的App連最基礎的軟體防護和安全保障功能都不具備,對於黑客來說這種App就像裸奔在網路中,黑客可以肆無忌憚地攻擊並獲得高價值資料,甚至黑客可以通過App控制汽車的一些簡單操作,比如獲得空調的操控權等,智慧汽車移動應用安全防護的重要性可見一斑。指南給出了智慧汽車移動應用的安全防護思路,採用“縱深防禦,資料驅動”的指導思想,從應用程式的全生命週期——設計、開發、釋出和運維進行全方位的安全防護。
以智慧終端為例,梆梆安全研究院院長盧佐華曾在《物聯網智慧終端資訊保安白皮書》釋出時提出“智慧交通更多的風險來自感知層”,大量的感知終端隨著“網際網路+”的快速推進在智慧交通領域嶄露頭角,讀碼器、攝像頭、感測器、控制器、M2M閘道器、智慧網聯汽車……而這些智慧終端作為智慧交通領域的關鍵基礎設施,其面臨著遭受物理操縱、資訊洩露、惡意控制等網路安全威脅。指南從終端安全檢測分析(滲透測試)和安全運營角度,分別以智慧汽車和智慧交通領域廣泛應用的攝像頭、地鐵閘機、機動車查驗檢驗智慧終端、車載HU主機等智慧終端為切入點,剖析了智慧終端網路安全在建設實施中的關鍵點。
團結生態圈力量破局智慧交通網路安全建設
智慧交通的發展是一項長期性、高難度、高複雜性的系統工程。智慧交通行業的網路安全更需要多方合力,從國家政策、法規和標準、網路安全體系和人才建設等方面共同推動行業的發展。
指南的釋出不僅為智慧交通長期發展提供了堅實基礎,還為政府管理者和智慧交通安全相關角色提供了實施智慧交通安全建設、管理和運營的參考指導,促進了ITS網路安全的快速發展,把握了交通行業未來發展的制高點,對國家智慧交通網路安全建設起到了積極的推進與指引作用。