物流快递行业信息安全研究(2018)
我国拥有14亿的人口,如何推动零售业持续、稳定、健康的发展是社会各界共同关心的课题。随着“互联网+”新零售概念不断深化,物流快递行业也迎来大发展,新一代信息技术成为物流快递行业重要的驱动力。在物流快递行业帮助“新零售”走完“最后一公里”的同时,也掌握了海量的用户数据,这使得物流快递行业信息安全治理变得极其重要。可以说,快递安全不仅是运输安全、货物安全,更重要的是信息安全。
随着经济结构不断优化、电子商务恰逢其时,蓬勃发展,世界正在变得越来越“扁平化”。作为电子商务重要支撑的物流快递行业迎来重大发展契机,也经历了快速增长。今天,“互联网+”新零售热潮的迅猛袭来使快递从“小包裹”迈向“大物流”的路径渐明。物联网、人工智能、大数据、云计算等新一代信息技术的深度应用使物流快递行业从人力密集型向技术、资本密集型的趋势更加明显。
物流快递行业的智能化、数字化转型不仅赋能产业自身发展,对拉动消费、提振经贸活动同样发挥着重要的支撑作用;另一方面,深度分析挖掘并合理利用物流快递行业信息数据,有助于更为科学全面地分析经济运行状况,为相关部门掌握经济发展脉络、精准制定产业政策提供决策依据。
机遇从来都与风险同行。物流快递行业的数字化转型必然伴随着信息安全风险。物流快递信息系统被攻击、侵入,信息数据被泄露、滥用,不仅会造成用户合法的信息权益受损,给用户带来财产损失甚至人身伤害,还会影响商家、快递企业的品牌和声誉,更有甚者会危及公众和社会安全。因此,全面分析评估信息安全风险、总结分享应对措施与攻防经验、研究提出风险防控建议并形成切实可行的措施成为推进物流快递行业健康持续发展的题中应有之义,也是本报告编写之初衷
一、物流快递行业迎来快速发展
物流快递行业是推动流通方式转型、促进消费升级的现代化先导性产业,在降低流通成本、支撑新型零售发展、服务生产生活、扩大就业渠道等方面发挥了积极作用,已成为我国 民经济的重要产业和新增长点。2017 年 2 月,《快递业发展“十三五”规划》正式发布,为物流快递行业的发展谋划了蓝图。未来,物流快递行业将从扩大产业规模转向提高产业发展质量和效益。
物流快递行业发展总体情况
今天,我国快递行业已常态化进入单日快递“亿件时代”。可以说,快递行业与亿万人民群众的日常生活息 相关。如图 1所示,过去几年中,物流快递行业无论是业务量还是业务收入都在迅速增长。2018 年,全国快递服务企业 务量累计完成 507.1亿件,同比增长 26. %;实现业务收入 6038.4 亿元,同比增长21.8%。
从区域上来看,华东、华南以及京津冀仍是快递业务集中的区域。除中西部的成都和武汉外,业务量和业务收入全国排名前十的均为华东、华南以及京津冀城市;
目前,我国快递企业超过 2 万家,从业人员达到 30 万,各类营业网点达到 21.7 万处,在实现城市全覆盖的同时,快递乡镇网点覆盖率超过 86%,全行业日均服务突破 3 亿人次2。如此大的快递网络为电子商务发展提供了坚实的运输管道,运输触角四通八达。
快递业的飞速发展折射出我国蓬勃的经济活力以及企业和民众旺盛的消费能力。可以说,今天的中国很少有人或者企业完全没有接触过物流快递行业,没有购买使用过快递服务。因此,物流快递行业的信息安全问题对每一个人和每一家企业都至关重要。
01
物流快递行业发展新趋势
信息技术的深度应用驱动物流快递行业智慧升级
在物流快递行业,软件定义物流成为物流快递行业的一大创新发展趋势。软件系统逐渐成为物流硬件的“大脑”,软件“大脑”通过联网实现不断进化与迭代创新,让物流自动化系统变得更加柔性和智能。自动化流水线、物流机器人、无人机等产品和系统,以及物联网、人工智能、机器学习、大数据、云计算、无人驾驶等技术得到越来越广泛的应用,既降低了劳动力成本,又提高了仓储和分拨的智能化和可视化能力,同时还催生出即时物流、新型社区末端网、前置仓网等新型服务模式,打通了物流“最后一公里”的末端配送网络,提升了客户的服务体验和行业运行效率。
1.2 快递企业纷 加大海外拓展步伐
经济的全球化加剧了供应链体系的全球化,跨境电商因之而迅猛发展,国内大型快递企业也开始全球布局。“菜鸟”和物流合作伙伴搭建起可飞抵 40 余个国家和地区,共计 106 条航线的全球航空运输网络,服务覆盖 20 余个国家和地区。顺丰集团在新加坡、韩国、马来西亚、美国等十余个国家设立营业网点,至少开通了14 条国际航线,物流服务覆盖了全球 20 余个国家和地区;可以说,随着我国构建开放型经济的脚步不断加快,“一带一路”倡议稳步推进,国内物流快递行业将在不久的将来搭建起一张真正具有全球配送能力的跨境物流骨干网。
1.2 3 信息安全风险成为影响物流业健康发展的关键因素
近年来,我国信息泄露事件层出不穷,信息买卖日益猖獗,个人信息安全面临严峻挑战。中国消费者协会 2018 年个人信息安全调研数据显示,85.2%的受访者曾遭遇个人信息泄露问题,个人信息泄露的前三大途径分别是经营者未经个人同意收集个人信息,经营者或不法分子故意泄密、出售或者非法向他人提供用户个人信息,及网络服务系统存在漏洞导致个人信息泄露。
信息安全问题同样是物流快递行业非常关注的问题。截至目前,快递服务出现过用户无法在线注销、安卓应用目标 SDK 版本设置过低等安全问题。近年来,快递行业迅速发展。2018 年全国快递服务企业 务量累计完成 507.1 亿件,预计 2019 将仍然保持两数增长。可以说,作为一个信息数据的海洋,快递信息的安全性至关重要;
02
面临复杂的信息安全形势
物流快递行业信息和数据安全一直是整个行业关注的焦点。
近年来,从中央到地方各级政府陆续制定实施相关法律法规和政策标准,加强相关领域信息安全建设。
2.1 涉“快”信息安全问题多见
物流行业安全攻击频次高,攻击来源集中。根据菜鸟的数据,2018 年,菜鸟发现并拦截了针对物流行业的 4 57 次有效攻击。分析发现,物流行业安全风险来源(境外攻击来源未统计在内)主要集中在长三角。
针对物流快递行业的网络攻击类型相对集中。2018 年下半年网警部门数据显示,网络攻击主要类型包括恶意扫描、网络攻击、僵尸木马蠕虫和拒绝服务攻击(如图 3 所示)。其中,恶意扫描在整体攻击发生频次上占比达 72%。实际形成的安全事件共计 13 起,主要以挖矿木马、路由器后门利用和远程代码执行事件为主。
物流快递行业务链条长,信息安全管控面临更多挑战。物流快递业务链条较长,物流快递业务涉及多个线上线下相结合的复杂业务场景。这使得影响物流快递行业信息安全的因素多,风险管控复杂。
物流行业“黑灰产”活跃度不断上升。网络“黑灰产”是指通过电信诈骗、钓鱼网站、木马病毒、黑客勒索等方式,利用网络开展违法犯罪活动的行为。近年来,“网络黑灰产”规模已达千亿元,助长了网络“黄赌毒”、诈骗、敲诈勒索等多种网络犯罪滋生蔓延。根据 2018 年市场研究数据,物流行业“黑灰产”3活跃(如图 5 所示),给物流快递行业带来安全挑战。
信息安全问题表现形式复杂化从快递行业非法活动类型分布来看,网络诈骗类占比最多,其次是非法营销等其他违法活动,给消费者和企业造成经济损失。
首先,网络(含电信、即时通讯)诈骗成为主要信息安全风险。网络诈骗是指不法分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给不法分子打款或转账的犯罪行为。20 年以来,虚假信息诈骗犯罪,尤其是借助于手机、固定电话、网络等通信工具和现代的技术等实施的非接触式的诈骗犯罪,在我国迅速发展蔓延,给人民群众造成了很大的损失。
根据菜鸟监测数据,物流快递行业信息安全风险中,电信诈骗占比达到四分之一强。其中,因快递企业不规范使用即时通讯工具导致的安全风险问题上升,“黑灰产”不法分子潜入内部即时通讯群组的情况也时有发生。如图 6 所示,即时通讯工具物流信息类诈骗呈现逐渐走高的趋势:
其次,“假包裹”欺诈层出。近期的“假包裹”欺诈主要表诈骗者用空包裹或者廉价物品装成到付快递寄给消费者,欺未购买该商品的消费者支付快递费。“假包裹”欺诈成为涉“快”罪的新形式。2018 年 2 月,上海市公安局青浦公安分局破获起到付诈骗案。经查,犯罪嫌疑人招募工作人员,冒充知名品客服人员,通过微信散布免费赠送活动的虚假信息,诱使被害支付 39 元运费,随后由闫某负责将包装好的伪劣产品使用货付款的方式通过快递寄出,累计向全国各地发件 70 余万件。
没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。这一论述,把网络安全上升到国家安全层面,为加快我国网络安全能力建设指明了方向。2017年 6 月 1 日起施行的《中华人民共和国网络安全法》(以下简称《网络安全法》),是我国网络领域的基础性法律,明确强调了对个人信息的保护。《网络安全法》要求企业在发现网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施,否则企业负责人及相关安全责任人会受到不同程度的处罚。
信息安全监管机构及物流快递行业的主管部门加强物流快递行业信息安全治理。网信办、公安部、工信部及国家邮政局等部门要求快递企业应严守信息安全底线,并联合制定实施信息安全监管的措施,堵塞管理漏洞,严厉打击非法泄露、贩售用户寄递服务信息等各类违法犯罪行为,维护用户个人信息安全。2013年修订实施的《邮政行业安全监督管理办法》专设通信与信息安全章节,对保护用户信息安全作出具体规定。2016 年出台的《网络安全法》要求网络运营者应当按照网络安全等级保护制度的要求,履行相应的安全保护义务。2017 年,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式出台,不仅进一步明确了侵犯公民个人信息罪的定罪量刑标准,而且规定“内鬼”作案加倍处罚。2018 年正式实施的《快递暂行条例》设置保护个人信息安全单独条款,对违法泄露用户信息的企业,情节严重的最高处 10 万元罚款,并可以责令停业整顿直至吊销其快递业务经营许可证。
依照这些法律法规,各地纷 加强物流快递行业信息安全治理工作。以上海为例,2018 年,“三通一达”等 10 家快递企业的网站及重要信息系统(主要针对涉及公民个人信息的信息系统)进行了全面审查,共梳理出 52 个网站及重要信息系统。按照《网络安全法》要求,上海市对这些信息系统进行了网络安全等级保护定级和测评工作,其中 29 个系统为三级等保,23 个为二级等保。目前已有 40 个信息系统完成测评并取得证书,12 个信息系统已完成等保备案,正在整改中。关键信息基础设施和信息系统的信息安全等级保护工作切实加强了各快递企业信息系统防泄密、防渗透、防阻断的能力,降低了公民个人信息被泄漏的风险。
对快递行业信息泄漏等安全问题已出现司法实践,起到行业警醒作用。2018 年,湖北荆州中级人民法院审理宣判了深圳某快递公司员工及相关人员侵犯公民个人信息罪案件。涉案人员是该公司内部具有一定权限的工作人员,掌握着重要隐私内容,可在后台查看客户信息,先后泄露的公民个人信息达千万余条,涉及交易金额达 20 余万元。本案涉案人员分别被处以有期徒刑10 个月到 3 年不等。此类案件给物流快递行业敲响了警钟,让全行业了解维护企业和公民信息安全收到法律保护,违法必究;
标准化成为信息安全治理的重要手段
网络安全标准作为网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动治理体系变革方面发挥着基础性、规范性、引领性作用。对于物流快递行业而言,网络安全标准也是其安全建设的重要基石。《网络安全法》规定,国家建立和完善网络安全标准体系,国家标准化主管部门和其他有关部门根据各自职责,组织制定网络安全管理及网络产品和服务的国家标准、行业标准。全国信息安全标准化技术委员会(以下简称“信安标委”或“TC260”,秘书处设在中国电子技术标准化研究院)在中央网信办和国家标准化管理委员会(以下简称“国标委”)的领导,以及有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口和标准化工作。信安标委下设信息安全标准体系、涉密信息安全、密码、鉴别与授权、信息安全评估、信息安全管理、大数据安全等 7 个工作组,分别组织开展本领域标准化工作。
网络安全国家标准体系已初具规模。目前,全国信安标委已发布 268 项国家标准,在研 97 项标准制定项目,陆续制定实施了信息系统安全等级保护系列标准、产品安全测评、信息安全管理体系、信息安全风险评估、云计算服务安全、个人信息安全规范、大数据服务安全能力要求等标准。此外,关键信息基础设施保护、数据安全能力成熟度模型、数据出境安全评估、政务信息;
03
信息安全风险防控实践
今天,快递企业面临着更加严格的法律规制和社会公众对保护信息安全日益高涨的呼声。从企业自身健康、安全、持续发展以及履行社会责任的角度出发,很多快递企业通过制定实施本企业信息安全风险防控制度和规范、在网络基础设施和信息系统建设进行更大投入、采用更高级安全防护技术等方式,系统性地推动风险防控工作,整体提升信息安全水平
3.1 技术层面信息安全风险防控实践
保障信息安全需要技术先行。没有强有力的安全技术体系,就谈不上切实保障网络信息安全。据菜鸟统计,约 68%的行业安全风险与技术相关,如系统漏洞、账号/权限等。因此,采用先进的安全防护技术是保障物流快递信息安全的重中之重。
3.1 强化网络基础设施安全保障
网络基础设施在网络安全中占据着重要地位。对于网络基础设施进行攻击,往 会造成范围广、影响大、持续时间长的不良后果。例如,2017 年俄罗斯黑帽黑客“Rasputin”利用 SQL注入漏洞获得了系统的访问权限,黑掉 60 多所大学和美国政府机构的系统,并从中窃取了大量的敏感信息。同年,洲际酒店旗下 12 家酒店餐厅及酒吧的支付系统被恶意软件入侵,顾客的信用卡支付信息被窃取。
实施账号风控
账号安全是业务安全风险的重要入口,近年来,各大快递公司都在完善账号安全,例如中通快递为解决账号权限问题,利用AI、大数据、机器学习等技术建设了统一身份认证和授权系统,增强了中通业务系统的安全性。
在低级别的网络安全域中使用。根据数据安全分级,对数施相应的保护策略。保证数据完整性,建立数据的灾难恢复份机制。菜鸟利用 DSM (数据安全能力成熟度模型)将数据安全经验标准化,其数据安全保障能力获得国内外权威机构的认菜鸟高分通过三级等保评定及历年复测评、具有 ISO270 资质并通过历年 审、通过美国注册会计师协会(AICPA2 TYPE I 审计,获得 SOC2 TYPE I 和 SOC3 审计报告,国内首家通过 SOC2 审计的物流公司,其系统安全性、可用保密性处于国际先进水平
构建物流安全管防控体系
邮政速递物流为首的一些物流快递企业逐渐开始安全管防控体系来维护企业和用户信息安全。中邮速生物识别技术、大数据和风险模型,建成了“E 盾”安全台。管,主要是管理邮件邮包中用户个人信息等敏感数据端实施加密脱敏,在应用端实施权限管控,并对生产环节使用信息的内部人员应用手机认证、指纹识别等生物认证技术进行实人制认证。防,重点是防范黑灰产攻击盗取邮件邮包信息。通过结合业务场景、流程、账号属性设计防御阈值,对超出工作正常需要的异常行为主动防御,自动注销工号并触发系统短信告警,自动通知专职安全管理员开展调查。控,重点是控制风险行为。
依托大数据技术对海量日志数据进行智能分析,结合账号登录异常、账号查询量异动、账号越权访问、服务流量异常等风险模型,实施风险识别预警和主动安全防御。平台建成以来,已对数起可疑行为进行主动拦截和预警,结合现场逐一复查,强化了用户数据安全意识,有效遏制了黑灰产业渗透窃取信息行为。
04
提升物流快递行业信息安全水平
物流快递行业的繁荣,与“新零售”的迅速发展密切相关,在物流快递行业帮助“新零售”走完“最后一公里”的同时,也使得物流快递行业信息安全治理变得极其重要。物流快递行业的信息安全治理需要政府、行业组织、企业、公众等各利益相关方共同参与、共同投入。为构建安全、便捷、高效的安全环境,本报告尝试提出以下建议:
4.1 加强物流快递安全相关法律制度建设
首先,目前与物流快递安全相关的法律主要有《网络安全法》及相关配套法律法规、《中华人民共和国邮政法》和《快递暂行条例》等物流快递行业法律法规。这些法律法规仍存在内容零散、针对性不足等问题。因此,建议围绕《网络安全法》等通用法律法规要求,结合物流快递行业的特点,制定物流快递行业的个人信息保护、数据安全等相关政策法规。此外,加强《刑法》、《民法》、《消费者权益保护法》等相关法律法规中对于泄露信息,侵犯消费者权益、危害公共利益和社会秩序的个人和组织的惩罚力度。
其次,加强跨部门、跨区域协作配合,加强物流快递行业信息安全监管与执法力度。对于出售、非法提供和窃取、获取用户个人信息等违法犯罪行为,坚持零容忍,依法严厉打击。寄递企业及从业人员旦发生出售非法提供和窃取获取用户个人信息;
其次,鼓励物联网、传感器、大数据、云计算、人工智能等新型信息技术,以及网络入侵检测、入侵防御、安全隔离、数据管理等信息安全技术的研发和应用。引导快递企业加强与信息安全服务提供商的合作,共同构建全生命周期的纵深安全防御体系在提高企业经营效率的同时全面提升信息安全保护水平。
再次,加强信息安全标准化建设。技术标准作为固化技术创新成果的重要载体,在推进技术创新中发挥着重要作用。应鼓励和引导重点快递企业、互联网企业、信息安全企业积极参与国家和行业标准的制修订,逐步建立系统、科学的物流快递信息安全标准体系。
最后,鼓励企业开展服务模式创新,提升信息安全保护水平。在全国范围内大力推广使用电子面单,指导寄递企业采取身份掩护、权限管理、信息加密、建立线上线下投诉举报制度等多种措施,强化对寄递用户个人信息保护。