网站公告: 欢迎光临本站!!
法律咨询热线:18919883447
您现在的位置是:甘肃兰州律师网 > 交通事故 >

行业信息安全保障有了“中枢神经”

来源:兰州律师网作者:刘世龙律师时间:2013-03-26 16:24:31点击:

上班族小张驾着私家车经过高速公路收费站时,“嘀”的一声,无需停车,就完成了通行费缴纳;到达单位停车场入口时,依然是“嘀”的一声,栏杆自动打开,无需再冒着雨雪摇下玻璃刷卡。

老王是位客运司机,他从发出“嘀嘀”声的设备上拔下一张卡,登上客运车辆,将这张卡插入操作台上的设备,驶过场站出口时,仍是“嘀”的一声,就完成了场站与营运司机间的认证。

这些场景的背后,是各类信息安全认证系统在发挥作用。今后,交通运输行业信息化系统的“中枢神经”之一——交通运输行业密钥管理与安全认证系统,将为我们的出行提供安全、便捷的服务。

近日,国家密码管理局正式发文,通过交通运输行业密钥管理与安全认证系统的安全性审查,这意味着该系统可以正式面向全行业提供密钥和安全认证服务。这将进一步加强交通运输行业信息化应用领域的系统安全和数据安全,提高交通运输服务和管理中各参与方身份认证的可靠性和可信性,并为不停车收费、公交一卡通、车辆和船舶跟踪与认证、运输管理与执法、物联网相关技术的应用等提供相关服务。

“信息技术的应用已经遍布我们的社会、深入我们的生活,我们个人的隐私、管理的数据、身份的认证、交易的可靠等等,都是涉及信息技术的各种应用系统中的‘命门’,密钥管理与安全认证系统就是这些‘命门’的保护神。”国家智能交通系统工程技术研究中心(简称“国家ITS中心”)主任王笑京向记者表示。

主攻两大问题:安全性低、平台分散

伴随着交通信息化和智能化的发展,数据安全、信息安全、系统安全的重要性日益凸显。据媒体报道,美国麻省理工学院的三名学生曾经成功破解波士顿地铁乘车卡的密码,利用这种方法可以神不知鬼不觉地“一辈子免费搭车”;而在国内,也出现过某知名IT公司员工通过破解卡内密码,对公交一卡通进行恶意充值,最终获刑的案例。

中国的交通运输信息化安全状况如何呢?

“由于建设年代、投资数量等原因,各类业务应用系统在信息安全认证技术的应用水平方面存在着较大差异,其中大多数信息系统对身份认证、数据传输等信息安全方面的重视程度严重不足,比如采用简单的用户名、口令验证的认证方式,在数据传输方面也较少采用必要的安全技术以保护各类敏感信息的安全性。”国家ITS中心副主任杨蕴介绍说,目前,交通行业信息化安全问题主要体现在以下两个方面:

一是安全性低。据介绍,由于建设年代不同、应用范围不同、投资水平不同,行业内各类信息系统对身份认证、权限控制和行为监管等信息安全认证技术的应用水平存在着较大差异,很多信息系统在数据交换过程中也缺乏有效的技术手段来保障数据传输的可靠性、保密性、防篡改性和不可否认性等。

二是缺乏统一和可互认的体系。即使个别信息系统采用了较为先进的信息安全认证技术,但从全行业的角度来看,各系统内的信息安全认证手段也完全独立,缺乏统一规划,缺少统一的、完善的信息安全认证体系基础设施,无法向行业内管理用户和交通参与者提供安全的、跨地域的、可互认的、全方位的技术支持和应用服务。这既限制了管理的效能和使用的便利性,也在一定程度上造成了重复建设和资源浪费。

正是基于上述交通运输行业信息安全认证体系现状,构建行业统一的密钥管理与安全认证体系成为必然选择。

典型应用带动整体推进

此次审查通过的行业密钥管理和安全认证系统,直接脱胎于ETC密钥系统,并根据行业总体应用规划进行了多次升级改造。

据介绍,2007年,交通运输部依托“十一五”国家科技支撑计划课题,建设了“联网电子收费密钥管理与安全认证服务系统”,首先应用在跨区域联网电子不停车收费系统之中,实现了非现金安全支付和网络数据交换的互认互信功能。

以此系统为基础,交通运输部又先后完成了道路运输电子证件密钥管理系统和城市交通IC卡密钥管理系统的建设和试点发行工作。

以上成功的应用,为建设行业密钥管理和安全认证系统提供了经验。2009年年底,为满足行业信息化发展需求,依托交通运输部基本建设项目,面向整个交通运输行业的密钥管理与安全认证系统开始建设。

2011年5月,行业密钥系统正式完成功能扩展和系统升级工作,同年12月5日,经交通运输部有关管理部门同意,正式向国家密码管理局递交系统安全性审查申请。整个审查过程严格按照国家有关部门规定的程序和标准规范进行,全程受交通运输部有关管理部门和国家密码管理局的监管。

2013年2月7日,经过方案论证、功能验证、资料审查和现场审查等关键环节后,该系统正式通过国家密码管理局的安全性审查。这标志着交通运输行业信息安全保障有了“统一平台”,具备向全行业提供密钥管理和安全认证服务的条件。

行业信息化的“中枢神经”

针对记者“证书认证是什么”的疑惑,杨蕴举例,交通运输部路网中心的重大节假日免费通行数据报送系统,每个省有两个数据报送员,每个报送员都有一张数字证书,通过这张证书,能够实现数据的安全报送,而且可以对其操作的各种要素进行跟踪和确认,具有不可否认性。

“比如ETC跨区域联网,无论京津冀还是长三角联网区域,每多加入一个联网省份,为什么各地系统通常并不需要大量升级改造,很快就能实现互联互通?”杨蕴向记者解释说,“原因就在于原先尽管没有联网,但使用的密钥体系以及技术标准都是统一的,也就是说联网的基本条件是具备的。”

据了解,目前,北京、上海、江苏、浙江等全国二十五个省(市)的ETC系统建设均已采用统一的密钥体系,有效保证了电子收费交易及数据传输的安全性和真实性,为实现全国范围内的跨区域联网电子收费提供了可靠的安全保障。

此外,道路运输电子证件和城市公交一卡通等行业应用领域,也分别在部分省市开展相关试点工作,并取得了初步成效。

2012年年底,国务院发布《关于城市优先发展公共交通的指导意见》,意见提出,“十二五”期间,进一步完善城市公共交通移动支付体系建设,全面推广普及城市公共交通“一卡通”,加快其在城市不同交通方式中的应用;加快完善标准体系,逐步实现跨市域公共交通“一卡通”的互联互通。

“公交卡要实现异地支付,需要采用统一的密钥体系,而行业密钥管理系统正式通过,为推进公交卡互联互通奠定了坚实基础。”杨蕴评价说,“有了这个统一平台,行业的信息化步伐有望加快。”

据了解,目前,通过国家密码管理局安全审查的密钥系统能满足行业100种业务应用,证书认证系统能满足全行业各种用户需求。