編者按

5月全球爆發(fā)勒索病毒，6月《網(wǎng)絡(luò)安全法》正式實(shí)施，9月網(wǎng)絡(luò)安全宣傳周引發(fā)社會(huì)關(guān)注……2017年，注定是網(wǎng)絡(luò)安全工作里程碑式的一年。圍繞當(dāng)下公眾關(guān)注的網(wǎng)絡(luò)安全難點(diǎn)、熱點(diǎn)問題，中國交通報(bào)特別邀請(qǐng)專家詳細(xì)闡述行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)技術(shù)與內(nèi)容安全面臨的威脅、行業(yè)網(wǎng)絡(luò)安全的重點(diǎn)工作，并對(duì)網(wǎng)絡(luò)安全常見問題進(jìn)行科普，以期引導(dǎo)交通運(yùn)輸行業(yè)強(qiáng)化網(wǎng)絡(luò)安全防范意識(shí)，為全社會(huì)筑起網(wǎng)絡(luò)安全長城。

今年5月，勒索病毒全球肆虐，網(wǎng)絡(luò)安全敲響警鐘。這次事件中，交通運(yùn)輸行業(yè)一些政府部門、企事業(yè)單位的網(wǎng)絡(luò)安全“漏洞”再次暴露：主要領(lǐng)導(dǎo)認(rèn)知程度不夠、全員安全意識(shí)薄弱、投入不足、專業(yè)人才缺乏……

交通運(yùn)輸部科技司司長龐松表示，當(dāng)前和今后一個(gè)時(shí)期是交通運(yùn)輸網(wǎng)絡(luò)安全工作攻堅(jiān)克難的關(guān)鍵時(shí)期，要牢固樹立“保交通運(yùn)輸網(wǎng)絡(luò)安全就是保行業(yè)安全、國家安全”的思想認(rèn)識(shí)，守好行業(yè)、服務(wù)大局，為智慧交通發(fā)展和交通運(yùn)輸強(qiáng)國建設(shè)提供堅(jiān)強(qiáng)的網(wǎng)絡(luò)安全保障。

部分行業(yè)網(wǎng)站容易被攻擊

目前，全球正逐漸形成新興的“智能運(yùn)輸”市場，以自動(dòng)駕駛車輛、物聯(lián)網(wǎng)等新技術(shù)為特征，并越來越多地利用個(gè)人數(shù)據(jù)提供定制服務(wù)，這給“本身脆弱的”交通運(yùn)輸網(wǎng)絡(luò)增添了復(fù)雜性，帶來新的網(wǎng)絡(luò)安全威脅。

今年年初，中國交通通信信息中心下屬交通運(yùn)輸信息安全中心發(fā)布《交通運(yùn)輸行業(yè)網(wǎng)站安全風(fēng)險(xiǎn)態(tài)勢報(bào)告》（簡稱《風(fēng)險(xiǎn)報(bào)告》），對(duì)2016年交通運(yùn)輸行業(yè)2100個(gè)網(wǎng)站進(jìn)行網(wǎng)絡(luò)安全大數(shù)據(jù)分析和評(píng)價(jià)，發(fā)現(xiàn)普遍存在網(wǎng)站安全事件、安全漏洞風(fēng)險(xiǎn)以及基本運(yùn)行隱患。

網(wǎng)站易遭受三大攻擊。網(wǎng)站是企事業(yè)單位、政府機(jī)關(guān)的形象窗口，也是對(duì)外開展業(yè)務(wù)、提供服務(wù)的重要渠道，頁面篡改不僅帶來重大的網(wǎng)絡(luò)內(nèi)容（意識(shí)形態(tài)）風(fēng)險(xiǎn)，也成為很多不法分子進(jìn)行欺詐犯罪活動(dòng)的主要手段之一。

數(shù)據(jù)顯示，交通運(yùn)輸行業(yè)網(wǎng)站安全事件類型主要為頁面篡改、被植入后門以及遭遇DDoS（分布式拒絕服務(wù)）攻擊三大類。去年，共有7.8%的網(wǎng)站被篡改逾2.3萬次，內(nèi)容非運(yùn)營主體所發(fā)布是一種現(xiàn)象，也存在用戶明明打開A網(wǎng)站卻發(fā)現(xiàn)被鬼使神差地“劫持”到了B網(wǎng)站上的現(xiàn)象，這些網(wǎng)站極易被不法分子利用進(jìn)行欺詐犯罪等活動(dòng)。

交通運(yùn)輸行業(yè)174個(gè)網(wǎng)站服務(wù)器上被發(fā)現(xiàn)存在后門或存在過后門，公路行業(yè)網(wǎng)站服務(wù)器、城市公交網(wǎng)站受影響情況最為嚴(yán)重，網(wǎng)站存在后門會(huì)導(dǎo)致網(wǎng)站被遠(yuǎn)程控制、頁面內(nèi)容被篡改、流量被劫持、頁面被掛馬，甚至數(shù)據(jù)被“拖庫”等，直接危害網(wǎng)站主體及訪問者安全。

246個(gè)域名主機(jī)曾經(jīng)遭到466次DDoS攻擊，平均每個(gè)域名主機(jī)遭到攻擊約4.5次，單個(gè)域名主機(jī)最多遭到攻擊34次，其中公路、水運(yùn)行業(yè)網(wǎng)站受影響超8成；68個(gè)域名所在主機(jī)遭到過僵尸網(wǎng)絡(luò)控制并對(duì)外發(fā)動(dòng)DDoS攻擊，不法分子通過控制服務(wù)器等，對(duì)包括國家骨干網(wǎng)絡(luò)、重要網(wǎng)絡(luò)設(shè)施、政企或個(gè)人網(wǎng)站在內(nèi)的互聯(lián)網(wǎng)上任意目標(biāo)發(fā)動(dòng)攻擊，致使目標(biāo)停止提供服務(wù)。

安全漏洞令人憂。網(wǎng)站存在安全漏洞是被攻擊的直接原因，漏洞的危害程度意味著網(wǎng)站被攻擊的難易程度。《風(fēng)險(xiǎn)報(bào)告》統(tǒng)計(jì)顯示，2100個(gè)網(wǎng)站漏洞總數(shù)達(dá)48.7萬個(gè)，其中高危漏洞23萬個(gè)，民航、郵政、公路、城市交通等領(lǐng)域機(jī)構(gòu)網(wǎng)站均“上榜”。這些漏洞會(huì)導(dǎo)致后臺(tái)系統(tǒng)管理權(quán)限被獲取、敏感信息被泄露、惡意文件被上傳等危害，嚴(yán)重者將直接導(dǎo)致網(wǎng)站主機(jī)被不法分子遠(yuǎn)程控制。

此外，部分網(wǎng)站未取得工業(yè)和信息化部的ICP/IP備案或備案已過期，從運(yùn)營管理的角度看也存在一定的安全隱患。

共享經(jīng)濟(jì)背后存在信息泄露隱患

我國的城市交通迎來了“網(wǎng)絡(luò)時(shí)代”，網(wǎng)約車、共享單車讓每位使用者直接獲得了快捷方便實(shí)惠的生活感受。

通過一部手機(jī)，就能聯(lián)系一個(gè)陌生的私家車車主上下班，共享經(jīng)濟(jì)有其獨(dú)特的魅力，然而個(gè)人信息也在這種“便利”中被泄露。通過對(duì)網(wǎng)約車平臺(tái)進(jìn)行一系列安全性檢測，交通運(yùn)輸信息安全中心發(fā)現(xiàn)多個(gè)網(wǎng)約車平臺(tái)存在一些共性安全問題。

首先，網(wǎng)約車平臺(tái)承載了乘客和車主的手機(jī)號(hào)、出行軌跡、駕駛證、車輛信息、資金賬戶等數(shù)據(jù)，部分網(wǎng)約車平臺(tái)在數(shù)據(jù)信息采集、傳輸、處理、存儲(chǔ)等過程中未采取嚴(yán)密完善的安全防護(hù)措施，存在個(gè)人信息泄露、被篡改等安全風(fēng)險(xiǎn)。

其次，網(wǎng)約車系統(tǒng)軟件存在缺陷，軟件編碼規(guī)則及開發(fā)過程不規(guī)范，導(dǎo)致系統(tǒng)平臺(tái)存在較多安全漏洞，如移動(dòng)應(yīng)用登錄憑證可偽造、越權(quán)查詢他人賬單、任意修改提現(xiàn)金額等，將對(duì)個(gè)人信息及財(cái)產(chǎn)安全造成直接影響。

同樣，共享單車也存在類似問題。近期，交通運(yùn)輸信息安全中心聯(lián)合國內(nèi)移動(dòng)應(yīng)用安全廠商對(duì)729個(gè)共享單車應(yīng)用進(jìn)行抽樣測評(píng)，發(fā)現(xiàn)共享單車應(yīng)用存在任意賬號(hào)可登錄的風(fēng)險(xiǎn)，手機(jī)用戶登錄僅需提交手機(jī)號(hào)和短信驗(yàn)證碼，即可登錄任意手機(jī)賬號(hào)，存在此隱患的應(yīng)用占11%，將會(huì)威脅到逾百萬人次的賬戶安全。

個(gè)人信息泄露隱患是共享單車應(yīng)用安全漏洞中最為嚴(yán)重的一種。在某共享單車應(yīng)用的業(yè)務(wù)流程中，可直接通過校驗(yàn)短信的響應(yīng)包，越權(quán)查看登錄用戶的姓名及身份證號(hào)等敏感信息，從而導(dǎo)致個(gè)人信息泄露。

加大全要素投入補(bǔ)短板

行業(yè)網(wǎng)站網(wǎng)絡(luò)安全“堪憂”、移動(dòng)應(yīng)用賬戶“不安全”只是交通運(yùn)輸行業(yè)面臨的部分問題。隨著“互聯(lián)網(wǎng)+”向各個(gè)領(lǐng)域、企業(yè)延伸，交通運(yùn)輸行業(yè)的網(wǎng)絡(luò)安全形勢更加嚴(yán)峻。

龐松表示，應(yīng)從制度、機(jī)制、投入以及人才方面做好網(wǎng)絡(luò)安全工作。要加快建立和完善網(wǎng)絡(luò)安全相關(guān)配套制度，在完善制度、明確責(zé)任、加強(qiáng)防護(hù)、預(yù)警監(jiān)測、應(yīng)急處置等重要環(huán)節(jié)上精準(zhǔn)發(fā)力，補(bǔ)齊短板。

針對(duì)網(wǎng)絡(luò)安全專業(yè)人才缺乏的問題，龐松表示，要加強(qiáng)對(duì)網(wǎng)絡(luò)安全相關(guān)新理論新技術(shù)的學(xué)習(xí)，清醒認(rèn)識(shí)到“過不了互聯(lián)網(wǎng)這一關(guān)，就過不了長期執(zhí)政這一關(guān)”，不斷提升領(lǐng)導(dǎo)干部和管理人員的網(wǎng)絡(luò)素養(yǎng)，重視全員網(wǎng)絡(luò)安全教育，全方位筑牢網(wǎng)絡(luò)安全防線。