◎ 江蘇省檢驗(yàn)檢疫科學(xué)技術(shù)研究院 王亞春

◎ 中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 胡石 郭楊

旅游業(yè)已成為國家的戰(zhàn)略性產(chǎn)業(yè)經(jīng)濟(jì)。隨著信息技術(shù)的不斷發(fā)展和移動通信設(shè)備的普及，智慧旅游模式已初步形成，只有通過技術(shù)、管理、制度等手段完善服務(wù)防護(hù)體系，才能消除各種安全風(fēng)險(xiǎn)。智慧旅游信息系統(tǒng)是一個以云計(jì)算為基礎(chǔ)的、可以提供各種旅游服務(wù)的智能化的計(jì)算機(jī)應(yīng)用系統(tǒng)，為游客、景區(qū)運(yùn)行管理、政府監(jiān)控提供智能化的服務(wù)。這些服務(wù)都依賴在整個旅游過程中采集到的相關(guān)數(shù)據(jù)，并通過數(shù)據(jù)分析、挖掘和智能計(jì)算得到的。智慧旅游信息系統(tǒng)的信息安全是智慧旅游建設(shè)的重要組成部分，系統(tǒng)的安全可靠運(yùn)行需要確保平臺安全、系統(tǒng)安全和應(yīng)用安全。智慧旅游信息服務(wù)系統(tǒng)必須是一個安全可靠的系統(tǒng)，需要信息安全服務(wù)保證人員利用自己的專業(yè)知識有效防止來自外部和內(nèi)部的惡意攻擊，保障整個系統(tǒng)的正常運(yùn)行。信息安全人才是智慧旅游事業(yè)發(fā)展的安全保障。

為此，本文開展智慧旅游信息安全服務(wù)保障人員的能力要求研究， 首先分析了智慧旅游信息安全服務(wù)保障的現(xiàn)狀，在此基礎(chǔ)上提出智慧旅游信息安全服務(wù)保障的措施，并設(shè)計(jì)智慧旅游信息安全服務(wù)保障人員能力的評價(jià)指標(biāo)，對智慧旅游行業(yè)信息安全保障人員職責(zé)和技術(shù)能力等提出評估框架。

一、智慧旅游信息安全服務(wù)保障的需求及保障措施

智慧旅游是以云計(jì)算為基礎(chǔ)，以移動終端應(yīng)用為核心，以感知互動等高效信息服務(wù)為特征的旅游信息化發(fā)展新模式。智慧旅游信息服務(wù)平臺整合海量文化信息資源，包括景區(qū)、景點(diǎn)、酒店、交通等信息資源，結(jié)合GIS、LBS、移動計(jì)算等技術(shù)，建設(shè)一個基于移動互聯(lián)網(wǎng)為傳播載體的旅游信息綜合服務(wù)平臺，以便捷、迅速、精確、跨區(qū)域的方式推送給目標(biāo)受眾，實(shí)現(xiàn)智慧旅游的精細(xì)化服務(wù)。

（一）需求分析

保障智慧旅游信息服務(wù)平臺的安全是非常重要的。通過調(diào)查研究發(fā)現(xiàn)，信息平臺的管理者對智慧旅游信息安全保障問題的認(rèn)識不足，沒有把信息安全放在一個戰(zhàn)略高度去考慮，不重視安全，缺乏信息安全保障的整體規(guī)劃。具體的要求體現(xiàn)在以下方面：

1、智慧旅游系統(tǒng)中的數(shù)據(jù)包括游客、景區(qū)、服務(wù)行業(yè)及這些行為的關(guān)聯(lián)信息。系統(tǒng)的安全防護(hù)能力和安全技術(shù)人員的配備，必須能處理新技術(shù)帶來的未知安全問題，了解各個子系統(tǒng)之間的相互關(guān)系，減少避免導(dǎo)致系統(tǒng)整體失效的風(fēng)險(xiǎn)，需要計(jì)算機(jī)和信息安全的專業(yè)知識才能勝任。

2、所有用戶必須遵循的安全規(guī)范是保證智慧旅游信息系統(tǒng)安全運(yùn)行的基本保證，需要熟悉行業(yè)與信息安全的相關(guān)標(biāo)準(zhǔn)。

3、定期對旅游信息系統(tǒng)的安全防護(hù)軟件系統(tǒng)進(jìn)行評估、改進(jìn)是非常必要的，必須有信息安全等級保護(hù)的知識。

4、智慧旅游信息安全服務(wù)包括旅游人員、提供衣食住行的各個企業(yè)、政府相關(guān)的旅游監(jiān)管部門等，確保為游客提供安全服務(wù)。

5、必須指定相應(yīng)的機(jī)制來保證智慧旅游安全信息服務(wù)在各個部門的協(xié)調(diào)和整合等。

因此，為盡量降低智慧旅游信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，需要設(shè)計(jì)相關(guān)的信息安全服務(wù)保障措施，配備足夠的具有信息安全處理能力的人員來保障智慧旅游信息系統(tǒng)的安全可靠運(yùn)行。

（二）保障措施

智慧旅游大數(shù)據(jù)中心平臺主要圍繞景區(qū)核心旅游資源、游客來源、游客量、車流量等因子，為管理人員、游客、媒體提供通過攝像頭、無人機(jī)、智能傳感器等多種手段實(shí)時(shí)捕獲和上傳相關(guān)數(shù)據(jù)，在后臺統(tǒng)一數(shù)據(jù)采集、編目、分級標(biāo)準(zhǔn)，實(shí)現(xiàn)數(shù)據(jù)分類歸檔、授權(quán)應(yīng)用，建立統(tǒng)一的數(shù)據(jù)中心。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，信息與安全相生相伴，從系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、物理等方面加強(qiáng)基于智慧旅游的景區(qū)服務(wù)平臺的安全保障。智慧旅游信息安全服務(wù)保障措施可以從以下幾個方面進(jìn)行考慮。

1、組織方面的保障措施包括成立智慧旅游信息安全的管理和執(zhí)行相關(guān)機(jī)構(gòu)，推進(jìn)系統(tǒng)建設(shè)中信息安全保障的各項(xiàng)工作，并完成相關(guān)的信息管理與服務(wù)工作。

2、政策方面的保障措施包括制定智慧旅游信息安全服務(wù)的行業(yè)考核指標(biāo)體系、標(biāo)準(zhǔn)等，對執(zhí)行過程進(jìn)行及時(shí)的監(jiān)督、審核和評價(jià)。

3、制度方面的保障措施包括建立滿足智慧旅游信息安全的制度標(biāo)準(zhǔn)體系、管理規(guī)章、制度，完善網(wǎng)絡(luò)安全運(yùn)行與應(yīng)急管理指導(dǎo)等內(nèi)容。

4、人才方面的保障措施包括制定和完善旅游信息安全人才的培養(yǎng)和引進(jìn)政策；與高等院校合作培養(yǎng)高層次應(yīng)用人才；和培訓(xùn)機(jī)構(gòu)合作進(jìn)行相關(guān)人員的知識和信息化技能的培訓(xùn)。

5、資金方面的保障措施包括為智慧旅游信息安全的建設(shè)和持續(xù)性發(fā)展提供資金保障。

二、智慧旅游的信息系統(tǒng)架構(gòu)與信息安全人員能力評測要求

（一）智慧旅游的信息系統(tǒng)架構(gòu)

基于智慧旅游的信息系統(tǒng)的總體架構(gòu)分為基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)傳輸層、數(shù)據(jù)處理層和應(yīng)用層，通過搭建基礎(chǔ)設(shè)施、創(chuàng)建大數(shù)據(jù)中心及虛擬地圖平臺，為智慧旅游提供底層數(shù)據(jù)支撐，電商平臺及生態(tài)旅游APP 為平臺消費(fèi)者提供入口，綜合管理平臺為后臺管理者提供實(shí)時(shí)監(jiān)測管理。智慧旅游信息平臺的基礎(chǔ)設(shè)施層可能存在的安全威脅包括非法獲取感知節(jié)點(diǎn)本身與感知到的信息、關(guān)鍵節(jié)點(diǎn)非法控制、普通節(jié)點(diǎn)的非法控制、外來網(wǎng)絡(luò)的DOS 攻擊，對大量接入物聯(lián)網(wǎng)的傳感節(jié)點(diǎn)進(jìn)行識別、認(rèn)證和控制等安全事件。網(wǎng)絡(luò)傳輸層的安全威脅包括偽造攻擊、中間人攻擊、拒絕訪問DoS 攻擊、分布式拒絕訪問DDoS 攻擊、非法訪問、跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊、信息盜竊和篡改等。數(shù)據(jù)層數(shù)據(jù)的安全包括數(shù)據(jù)本身的安全、數(shù)據(jù)處理的安全和數(shù)據(jù)存儲的安全。這三個方面的安全威脅包括數(shù)據(jù)加密的密鑰泄露，數(shù)據(jù)認(rèn)證的失效，數(shù)據(jù)的人為破壞，數(shù)據(jù)處理過程中由于硬件故障、斷電、死機(jī)、人為的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫損壞或數(shù)據(jù)丟失現(xiàn)象，某些敏感或保密的數(shù)據(jù)可能被不具備資格的人員或操作員閱讀、數(shù)據(jù)泄密、數(shù)據(jù)被盜等安全威脅。應(yīng)用層安全威脅包括用戶的訪問控制、各級權(quán)限的管理、非法用戶的入侵、密碼的暴力破解、黑客、病毒、信息竊取、電源故障，也包括將智能轉(zhuǎn)換為低能量、內(nèi)部攻擊、設(shè)備損失、災(zāi)難控制和恢復(fù)，都會影響系統(tǒng)的正常運(yùn)行。

（二）信息安全人員能力評測要求

基于上面對智慧旅游信息系統(tǒng)安全威脅的分析，基于信息安全服務(wù)行業(yè)的業(yè)務(wù)形態(tài)、發(fā)展及應(yīng)用規(guī)律分類，將信息安全服務(wù)人員類別分為以下5 類： 風(fēng)險(xiǎn)評估服務(wù)人員、系統(tǒng)集成服務(wù)人員、系統(tǒng)運(yùn)維服務(wù)人員、應(yīng)急處理服務(wù)人員和安全軟件開發(fā)人員，包括技術(shù)和管理兩類人員。要求每個智慧旅游信息系統(tǒng)都必須配備上述5 類人員以保證系統(tǒng)的正常安全運(yùn)行。目前，大多數(shù)景區(qū)信息系統(tǒng)沒有設(shè)置專門信息安全保證人員崗位，職責(zé)設(shè)置不清楚，在發(fā)生信息安全事件，例如用戶使用過程中受到網(wǎng)絡(luò)攻擊、用戶信息泄露、數(shù)據(jù)不一致等問題時(shí)，不能及時(shí)快速進(jìn)行反應(yīng)和采取相關(guān)的應(yīng)對措施，以保證用戶安全使用智慧旅游系統(tǒng)。

智慧旅游信息系統(tǒng)安全服務(wù)人員需要從知識、技能和經(jīng)驗(yàn)三個方面進(jìn)行評估。知識包括基礎(chǔ)知識、專業(yè)知識、相關(guān)知識；技能包括基本技能、專業(yè)技能、軟技能；經(jīng)驗(yàn)包括工作經(jīng)歷、年限等。相關(guān)要求如下：

1、知識要素能力要求

智慧旅游信息安全服務(wù)人員能力技術(shù)資格要求掌握計(jì)算機(jī)和信息安全相關(guān)的基礎(chǔ)知識，相關(guān)的知識包括計(jì)算機(jī)硬件基礎(chǔ)知識、計(jì)算機(jī)軟件基礎(chǔ)知識、數(shù)據(jù)傳輸與通訊基礎(chǔ)知識、網(wǎng)絡(luò)相關(guān)基礎(chǔ)知識、項(xiàng)目管理基礎(chǔ)知識、信息安全基礎(chǔ)知識、質(zhì)量管理基礎(chǔ)知識和智慧旅游基礎(chǔ)知識等。網(wǎng)絡(luò)安全的專業(yè)知識包括應(yīng)用安全、網(wǎng)絡(luò)攻防、惡意代碼防護(hù)、數(shù)據(jù)安全及災(zāi)備、基礎(chǔ)軟件系統(tǒng)安全、物理環(huán)境安全、密碼學(xué)、信息安全審計(jì)、信息安全測試、信息安全管理、云計(jì)算與大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全和智慧旅游信息安全專業(yè)知識等。 當(dāng)然，也需要了解知識產(chǎn)權(quán)、勞動法、智慧旅游相關(guān)的國家法律法規(guī)等，并能夠熟練運(yùn)行各種安全手段，保護(hù)智慧景區(qū)信息系統(tǒng)的安全。

2、技能要素能力要求

智慧旅游信息安全服務(wù)人員要求具有的基本技能有計(jì)算機(jī)硬件基礎(chǔ)應(yīng)用能力、計(jì)算機(jī)軟件基礎(chǔ)應(yīng)用能力、網(wǎng)絡(luò)基礎(chǔ)應(yīng)用能力、文檔撰寫能力、外語閱讀能力和智慧旅游信息系統(tǒng)應(yīng)用等能力；同時(shí)，要具有的專業(yè)技能包括信息安全測試、信息安全風(fēng)險(xiǎn)評估、需求分析、信息安全規(guī)劃設(shè)計(jì)、安全管理體系建設(shè)、系統(tǒng)建模及架構(gòu)設(shè)計(jì)能力、信息化安全評估分析、信息安全加固、工程項(xiàng)目管理、網(wǎng)絡(luò)滲透測試、信息安全態(tài)勢分析、應(yīng)急響應(yīng)、滲透工具的使用與研發(fā)、信息安全審計(jì)、信息安全工程監(jiān)理、安全產(chǎn)品設(shè)計(jì)、云計(jì)算和大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全和智慧旅游信息安全保障等。此外，需要必要的溝通能力、學(xué)習(xí)能力、問題判斷與解決能力、創(chuàng)新能力、知識分享能力、智慧旅游信息安全處理能力，才能夠勝任處理智慧旅游景區(qū)信息系統(tǒng)的安全保障工作。

3、經(jīng)驗(yàn)要素能力要求

經(jīng)驗(yàn)要素能力是從從業(yè)年限、項(xiàng)目經(jīng)驗(yàn)、職稱等幾個指標(biāo)綜合來考慮的。

表1 給出了從業(yè)人員能力等級要求，整個人員的能力等級分為6 級。知識要素分為4 個等級：K4 表示精通該領(lǐng)域全面的知識和信息，K3 是掌握該領(lǐng)域的知識和信息，K2 是理解該領(lǐng)域的知識和信息，K1 是了解該領(lǐng)域概念和實(shí)踐性知識和信息。技能要素分為4 個等級：S4 是指給出專家級的意見并領(lǐng)導(dǎo)其他人成功工作，S3 是指帶領(lǐng)其他人有效地完成工作，S2 是指獨(dú)立工作并成功完成大多數(shù)任務(wù)，S1 是指在指導(dǎo)下完成工作任務(wù)。經(jīng)驗(yàn)要求分為4 個等級：E4 表示全面領(lǐng)導(dǎo)他人成功運(yùn)作的經(jīng)驗(yàn)和有咨詢改進(jìn)或創(chuàng)新的經(jīng)驗(yàn)，E3 表示有效深入帶領(lǐng)他人運(yùn)作的經(jīng)驗(yàn)，E2 表示重復(fù)成功的案例和經(jīng)驗(yàn)，E1 表示有限的工作經(jīng)驗(yàn)。所有的要素能力中4 級為最高級別，1 級為最低級，級別之間可以通過學(xué)習(xí)、實(shí)踐等進(jìn)行提升。等級越高，要求對于某一方向的專業(yè)知識和專業(yè)技能更加深入。對于基礎(chǔ)知識和相關(guān)知識，只需要達(dá)到掌握即可，對于基本技能，達(dá)到能夠帶領(lǐng)他人有效地完成工作即可。

三、智慧旅游信息安全服務(wù)保障人員的職責(zé)要求

依據(jù)《信息安全人員認(rèn)證準(zhǔn)則》，對智慧旅游信息安全保障人員安全運(yùn)維方向的人員的知識結(jié)構(gòu)、能力水平、項(xiàng)目整體實(shí)踐能力的綜合考查，對安全運(yùn)維模型、業(yè)界最佳實(shí)踐、相關(guān)標(biāo)準(zhǔn)和法律法規(guī)的理解能力；綜合利用管理措施和技術(shù)手段實(shí)施安全服務(wù)，建立安全運(yùn)維服務(wù)的管理流程。技術(shù)專業(yè)的級別包括專業(yè)高級，專業(yè)級，專業(yè)資格，需要的知識包括安全軟件、安全集成、安全管理、安全咨詢、安全運(yùn)維、安全審計(jì)、風(fēng)險(xiǎn)管理、應(yīng)急服務(wù)、災(zāi)備服務(wù)、業(yè)務(wù)連續(xù)性、工控安全、云安全、物聯(lián)網(wǎng)安全、電子認(rèn)證。應(yīng)用領(lǐng)域?qū)I(yè)的級別包括管理高級，管理級，崗位資格，需要的知識包括電子政務(wù)、電子商務(wù)、交通服務(wù)、醫(yī)療服務(wù)、教育服務(wù)、能源服務(wù)、金融服務(wù)、通信服務(wù)、賓館服務(wù)、物流服務(wù)、CA 服務(wù)。設(shè)立智慧旅游指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組及信息安全管理工作的職能部門，并以文件的形式明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技術(shù)要求。明確安全主管和安全管理各個方面的負(fù)責(zé)人的職責(zé)（物理安全負(fù)責(zé)人、人事負(fù)責(zé)人、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人），設(shè)置信息安全管理有關(guān)的崗位，如安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等。能力測評要求設(shè)計(jì)包括一般素質(zhì)測評指標(biāo)體系和信息安全質(zhì)保測評體系。

表1 從業(yè)人員能力等級要求

（一）一般素質(zhì)測評指標(biāo)體系

根據(jù)旅游信息安全工作的特征及對其從業(yè)人員素質(zhì)要求的分析，提出了品德素質(zhì)（誠實(shí)性、守信性、合法性、原則性）、智能素質(zhì)（識別能力、應(yīng)變能力、理解能力、判斷能力、學(xué)習(xí)能力）、工作態(tài)度（責(zé)任感、主動性、堅(jiān)持性）、資歷結(jié)構(gòu)（學(xué)歷等級、職稱等級、工作經(jīng)驗(yàn)、技能水平）、個性結(jié)構(gòu)（警覺性、洞察力、自制力）、身體結(jié)構(gòu)（體質(zhì)、體力、氣質(zhì)）六個方面的素質(zhì)結(jié)構(gòu)指標(biāo)體系。

（二）信息安全專業(yè)素質(zhì)

人員的素質(zhì)是提高智慧旅游信息安全性至關(guān)重要的因素。智慧旅游信息安全的人員管理中，人員因素是信息安全管理環(huán)節(jié)中最重要的一環(huán)，全面提高人員的技術(shù)水平、道德品質(zhì)、政治覺悟和安全意識是信息安全的重要保障。智慧旅游信息安全工作人員管理包括安全審查、安全保密管理、安全教育培訓(xùn)、崗位安全考核、離崗人員安全管理等幾個方面。上述人員在智慧旅游信息安全管理的過程中應(yīng)該主要按照信息安全的基本性能指標(biāo)開展相應(yīng)的工作，性能指標(biāo)如下：1）保密性；2）完整性；3）真實(shí)性；4）靈活性；5）合法性；6）有效性。

因此，對智慧旅游環(huán)境下的景區(qū)信息系統(tǒng)必須有專門的安全管理人員，對系統(tǒng)的各種威脅制定相應(yīng)的安全策略。規(guī)定的工作包括：通過密鑰管理保障傳感器的安全，建立不同環(huán)境下不同用戶的認(rèn)證銜接機(jī)制，建立一個強(qiáng)大而統(tǒng)一的安全管理平臺，建立智慧旅游安全體系，為智慧旅游的發(fā)展提供一個安全保障。負(fù)責(zé)架設(shè)景區(qū)信息安全框架和解決方案，負(fù)責(zé)景區(qū)信息安全評估、審計(jì)和報(bào)告，負(fù)責(zé)信息安全工作監(jiān)督。遵守信息安全保密制度，加強(qiáng)口令密碼、密鑰安全管理，加強(qiáng)信息系統(tǒng)的安全監(jiān)測，重大安全事件和應(yīng)急處理，定期對信息安全工作進(jìn)行巡檢，落實(shí)對其他管理員和普通用戶信息安全工作的指導(dǎo)和監(jiān)督。監(jiān)控信息系統(tǒng)的安全需求變化，及時(shí)獲取來自其他管理員和普通用戶的安全意見，進(jìn)行必要的安全管理體系制定； 處理信息安全工作組核定，對網(wǎng)路的運(yùn)行進(jìn)行安全管理；配置符合安全策略的網(wǎng)絡(luò)參數(shù)，對網(wǎng)絡(luò)用戶訪問權(quán)限進(jìn)行嚴(yán)格的控制，維護(hù)網(wǎng)絡(luò)確保安全正常運(yùn)行；監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向計(jì)算機(jī)安全人員報(bào)告安全事件；負(fù)責(zé)執(zhí)行和監(jiān)督整個系統(tǒng)全面的殺毒工作；實(shí)時(shí)監(jiān)控重要業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的安全，杜絕病毒入侵途徑，減低病毒侵害影響；及時(shí)報(bào)告上級部門病毒入侵和感染情況，提供嚴(yán)重性、高感染性病毒的有效解決方案。

四、結(jié)束語

信息安全人才是保證智慧旅游事業(yè)發(fā)展的安全保障，智慧旅游信息安全服務(wù)人員能力技術(shù)資格從知識、技能和經(jīng)驗(yàn)三個方面進(jìn)行評估。知識包括基礎(chǔ)知識、專業(yè)知識、相關(guān)知識；技能包括基本技能、專業(yè)技能、軟技能；經(jīng)驗(yàn)包括工作經(jīng)歷、年限等。必須加大力度培養(yǎng)大數(shù)據(jù)類專業(yè)性人才，提升我國網(wǎng)絡(luò)安全管理、大數(shù)據(jù)等方向的綜合實(shí)力。在安全管理方面，專門的信息安全崗位需要配置具有一定安全技術(shù)的人員，以保障基于智慧旅游的景區(qū)信息系統(tǒng)的安全、可靠運(yùn)行。