我國擁有14億的人口,如何推動零售業持續、穩定、健康的發展是社會共同關心的課題。隨著“互聯網+”新零售概念不斷深化,物流快遞行業也迎來大發展,新一代信息技術成為物流快遞行業重要的驅動力。在物流快遞行業幫助“新零售”走完“最后一公里”的同時,也掌握了海量的用戶數據,這使得物流快遞行業信息安全治理變得極其重要。可以說,快遞安全不僅是運輸安全、貨物安全,更重要的是信息安全。 隨著經濟結構不斷優化、電子商務恰逢其時,蓬勃發展,世界正在變得越來越“扁平化”。作為電子商務重要支撐的物流快遞行業迎來重大發展契機,也經歷了快速增長。今天,“互聯網+”新零售熱潮的迅猛襲來使快遞從“小包裹”邁向“大物流”的徑漸明。物聯網、人工智能、大數據、云計算等新一代信息技術的深度應用使物流快遞行業從人力密集型向技術、資本密集型的趨勢更加明顯。 物流快遞行業的智能化、數字化轉型不僅賦能產業自身發展,對拉動消費、提振經貿活動同樣發揮著重要的支撐作用;另一方面,深度分析挖掘并合理利用物流快遞行業信息數據,有助于更為科學全面地分析經濟運行狀況,為相關部門掌握經濟發展脈絡、精準制定產業政策提供決策依據。 機遇從來都與風險同行。物流快遞行業的數字化轉型必然伴隨著信息安全風險。物流快遞信息系統被、侵入,信息數據被泄露、,不僅會造成用戶的信息權益受損,給用戶帶來財產損失甚至人身,還會影響商家、快遞企業的品牌和聲譽,更有甚者會危及和社會安全。因此,全面分析評估信息安全風險、總結分享應對措施與攻防經驗、研究提出風險防控并形成切實可行的措施成為推進物流快遞行業健康持續發展的題中應有之義,也是本報告編寫之初衷 物流快遞行業是推動流通方式轉型、促進消費升級的現代化先導性產業,在降低流通成本、支撐新型零售發展、服務生產生活、擴大就業渠道等方面發揮了積極作用,已成為我國 民經濟的重要產業和新增長點。2017 年 2 月,《快遞業發展“十三五”規劃》正式發布,為物流快遞行業的發展謀劃了藍圖。未來,物流快遞行業將從擴大產業規模轉向提高產業發展質量和效益。 今天,我國快遞行業已常態化進入單日快遞“億件時代”。可以說,快遞行業與億萬人民群眾的日常生活息 相關。如圖 1所示,過去幾年中,物流快遞行業無論是業務量還是業務收入都在迅速增長。2018 年,全國快遞服務企業 務量累計完成 507.1億件,同比增長 26. %;實現業務收入 6038.4 億元,同比增長夢見殺人流血21.8%。 從區域上來看,華東、華南以及京津冀仍是快遞業務集中的區域。除部的成都和武漢外,業務量和業務收入全國排名前十的均為華東、華南以及京津冀城市; 目前,我國快遞企業超過 2 萬家,從業人員達到 30 萬,各類營業網點達到 21.7 萬處,在實現城市全覆蓋的同時,快遞鄉鎮網點覆蓋率超過 86%,全行業日均服務突破 3 億人次2。如此大的快遞網絡為電子商務發展提供了的運輸管道,運輸觸角四通八達。 快遞業的飛速發展折射出我國蓬勃的經濟活力以及企業和旺盛的消費能力。可以說,今天的中國很少有人或者企業完全沒有接觸過物流快遞行業,沒有購買使用過快遞服務。因此,物流快遞行業的信息安全問題對每一個人和每一家企業都至關重要。 在物流快遞行業,軟件定義物流成為物流快遞行業的一大創新發展趨勢。軟件系統逐漸成為物流硬件的“大腦”,軟件“大腦”通過聯網實現不斷進化與迭代創新,讓物流自動化系統變得更加柔性和智能。自動化流水線、物流機器人、無人機等產品和系統,以及物聯網、人工智能、機器學習、大數據、云計算、無人駕駛等技術得到越來越廣泛的應用,既降低了勞動力成本,又提高了倉儲和分撥的智能化和可視化能力,同時還催生出即時物流、新型社區末端網、前置倉網等新型服務模式,打通了物流“最后一公里”的末端配送網絡,提升了客戶的服務體驗和行業運行效率。 經濟的全球化加劇了供應鏈體系的全球化,跨境電商因之而迅猛發展,國內大型快遞企業也開始全球布局。“菜鳥”和物流合作伙伴搭建起可飛抵 40 余個國家和地區,共計 106 條航線的全球航空運輸網絡,服務覆蓋 20 余個國家和地區。順豐集團在新加坡、韓國、馬來西亞、美國等十余個國家設立營業網點,至少開通了14 條國際航線,物流服務覆蓋了全球 20 余個國家和地區;可以說,隨著我國構建型經濟的腳步不斷加快,“一帶一”穩步推進,國內物流快遞行業將在不久的將來搭建起一張真正具有全球配送能力的跨境物流網。 近年來,我國信息泄露事件層出不窮,信息買賣日益,個人信息安全面臨嚴峻挑戰。中國消費者協會 2018 年個人信息安全調研數據顯示,85.2%的受訪者曾個人信息泄露問題,個人信息泄露的前三大途徑分別是經營者未經個人同意收集個人信息,經營者或故意泄密、出售或者非法向他人提供用戶個人信息,及網絡服務系統存在漏洞導致個人信息泄露。 信息安全問題同樣是物流快遞行業非常關注的問題。截至目前,快遞服務出現過用戶無法在線注銷、應用目標 SDK 版本設置過低等安全問題。近年來,快遞行業迅速發展。2018 年全國快遞服務企業 務量累計完成 507.1 億件,預計 2019 將仍然保持兩數增長。可以說,作為一個信息數據的海洋,快遞信息的安全性至關重要; 物流行業安全頻次高,來源集中。根據菜鳥的數據,2018 年,菜鳥發現并攔截了針對物流行業的 4 57 次有效。分析發現,物流行業安全風險來源(境外來源未統計在內)主要集中在長三角。 針對物流快遞行業的網絡類型相對集中。2018 年下半年網警部門數據顯示,網絡主要類型包括惡意掃描、網絡、僵尸木馬蠕蟲和服務(如圖 3 所示)。其中,惡意掃描在整體發生頻次上占比達 72%。實際形成的安全事件共計 13 起,主要以挖礦木馬、由器后門利用和遠程代碼執行事件為主。 物流快遞行業務鏈條長,信息安全管控面臨更多挑戰。物流快遞業務鏈條較長,物流快遞業務涉及多個線上線下相結合的復雜業務場景。這使得影響物流快遞行業信息安全的因素多,風險管控復雜。 物流行業“黑灰產”活躍度不斷上升。網絡“黑灰產”是指通過電信詐騙、釣魚網站、木馬病毒、黑客等方式,利用網絡開展違法犯罪活動的行為。近年來,“網絡黑灰產”規模已達千億元,助長了網絡“黃賭毒”、詐騙、等多種網絡犯罪滋生蔓延。根據 2018 年市場研究數據,物流行業“黑灰產”3活躍(如圖 5 所示),給物流快遞行業帶來安全挑戰。 信息安全問題表現形式復雜化從快遞行業非法活動類型分布來看,網絡詐騙類占比最多,其次法營銷等其他違法活動,給消費者和企業造成經濟損失。 首先,網絡(含電信、即時通訊)詐騙成為主要信息安全風險。網絡詐騙是指通過電話、網絡和短信方式,虛假信息,設置,對人實施遠程、非接觸式詐騙,誘使人給打款或轉賬的犯為。20 年以來,虛假信息詐騙犯罪,尤其是借助于手機、固定電話、網絡等通信工具和現代的技術等實施的非接觸式的詐騙犯罪,在我國迅速發展蔓延,給人民群眾造成了很大的損失。 根據菜鳥監測數據,物流快遞行業信息安全風險中,電信詐騙占比達到四分之一強。其中,因快遞企業不規范使用即時通訊工具導致的安全風險問題上升,“黑灰產”潛入內部即時通訊群組的情況也時有發生。如圖 6 所示,即時通訊工具物流信息類詐騙呈現逐漸走高的趨勢: 其次,“假包裹”欺詐層出。近期的“假包裹”欺詐主要表詐騙者用空包裹或者廉價物品裝成到付快遞寄給消費者,欺未購買該商品的消費者支付快遞費。“假包裹”欺詐成為涉“快”罪的新形式。2018 年 2 月,上海市青浦破獲起到付詐騙案。經查,犯罪嫌疑人招募工作人員,冒充知名品客服人員,通過微信免費贈送活動的虛假信息,誘使被害支付 39 元運費,隨后由閆某負責將包裝好的偽劣產品使用貨付款的方式通過快遞寄出,累計向全國各地發件 70 余萬件。 沒有網絡安全就沒有,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。這一論述,把網絡安全上升到層面,為加快我國網絡安全能力建設指明了方向。2017年 6 月 1 日起施行的《中華人民國網絡安全法》(以下簡稱《網絡安全法》),是我國網絡領域的基礎性法律,明確強調了對個人信息的。《網絡安全法》要求企業在發現網絡產品、服務存在安全缺陷、漏洞等風險時,應當及時向用戶告知并采取補救措施,否則企業負責人及相關安全責任人會受到不同程度的處罰。 信息安全監管機構及物流快遞行業的主管部門加強物流快遞行業信息安全治理。網信辦、、工信部及國家郵政局等部門要求快遞企業應信息安全底線,并聯合制定實施信息安全監管的措施,堵塞管理漏洞,嚴厲打擊非法泄露、販售用戶寄遞服務信息等各類違法犯為,用戶個人信息安全。2013年修訂實施的《郵政行業安全監督管理辦法》專設通信與信息安全章節,對用戶信息安全作出具體。2016 年出臺的《網絡安全法》要求網絡運營者應當按照網絡安全等級制度的要求,履行相應的安全義務。2017 年,《最高、最高人民檢察院關于辦理個人信息刑事案件適用法律若干問題的解釋》正式出臺,不僅進一步明確了個人信息罪的量刑標準,而且“內鬼”作案加倍處罰。2018 年正式實施的《快遞暫行條例》設置個人信息安全單獨條款,對違法泄露用戶信息的企業,情節嚴重的最高處 10 萬元罰款,并可以責令停業整頓直至吊銷其快遞業務經營許可證。 依照這些法律法規,各地紛 加強物流快遞行業信息安全治理工作。以上海為例,2018 年,“三通一達”等 10 家快遞企業的網站及重要信息系統(主要針對涉及個人信息的信息系統)進行了全面審查,共梳理出 52 個網站及重要信息系統。按照《網絡安全法》要求,上海市對這些信息系統進行了網絡安全等級定級和測評工作,其中 29 個系統為等保,23 個為二級等保。目前已有 40 個信息系統完成測評并取得證書,12 個信息系統已完成等保備案,正在整改中。關鍵信息基礎設施和信息系統的信息安全等級工作切實加強了各快遞企業信息系統防泄密、防滲透、防阻斷的能力,降低了個人信息被泄漏的風險。 對快遞行業信息泄漏等安全問題已出現司法實踐,起到行業作用。2018 年,湖北荊州中級審理宣判了深圳某快遞公司員工及相關人員個人信息罪案件。涉案人員是該公司內部具有一定權限的工作人員,掌握著重要隱私內容,可在后臺查看客戶信息,先后泄露的個人信息達千萬余條,涉及交易金額達 20 余萬元。本案涉案人員分別被處以有期徒刑10 個月到 3 年不等。此類案件給物流快遞行業敲響了警鐘,讓全行業了解企業和信息安全收到法律,違法必究; 網絡安全標準作為網絡安全保障體系建設的重要組成部分,在構建安全的網絡空間、推動治理體系變革方面發揮著基礎性、規范性、引領性作用。對于物流快遞行業而言,網絡安全標準也是其安全建設的重要基石。《網絡安全法》,國家建立和完善網絡安全標準體系,國家標準化主管部門和其他有關部門根據各自職責,組織制定網絡安全管理及網絡產品和服務的國家標準、行業標準。全國信息安全標準化技術委員會(以下簡稱“信安標委”或“TC260”,秘書處設在中國電子技術標準化研究院)在中央網信辦和國家標準化管理委員會(以下簡稱“國標委”)的領導,以及有關網絡安全主管部門的支持下,對網絡安全國家標準進行統一技術歸口和標準化工作。信安標委下設信息安全標準體系、涉密信息安全、密碼、鑒別與授權、信息安全評估、信息安全管理、大數據安全等 7 個工作組,分別組織開展本領域標準化工作。 網絡安全國家標準體系已初具規模。目前,全國信安標委已發布 268 項國家標準,在研 97 項標準制定項目,陸續制定實施了信息系統安全等級系列標準、產品安全測評、信息安全管理體系、信息安全風險評估、云計算服務安全、個人信息安全規范、大數據服務安全能力要求等標準。此外,關鍵信息基礎設施、數據安全能力成熟度模型、數據出境安全評估、政務信息; 今天,快遞企業面臨著更加嚴格的法律規制和社會對信息安全日益高漲的呼聲。從企業自身健康、安全、持續發展以及履行社會責任的角度出發,很多快遞企業通過制定實施本企業信息安全風險防控制度和規范、在網絡基礎設施和信息系統建設進行更大投入、采用更高級安全防護技術等方式,系統性地推動風險防控工作,整體提升信息安全水平 保障信息安全需要技術先行。沒有強有力的安全技術體系,就談不上切實保障網絡信息安全。據菜鳥統計,約 68%的行業安全風險與技術相關,如系統漏洞、賬號/權限等。因此,采用先進的安全防護技術是保障物流快遞信息安全的重中之重。 網絡基礎設施在網絡安全中占據著重要地位。對于網絡基礎設施進行,往 會造成范圍廣、影響大、持續時間長的不良后果。例如,2017 年俄羅斯黑帽黑客“Rasputin”利用 SQL注入漏洞獲得了系統的訪問權限,黑掉 60 多所大學和美國機構的系統,并從中竊取了大量的信息。同年,洲際酒店旗下 12 家酒店餐廳及酒吧的支付系統被惡意軟件入侵,顧客的信用卡支付信息被竊取。 賬號安全是業務安全風險的重要入口,近年來,各大快遞公司都在完善賬號安全,例如中通快遞為解決賬號權限問題,利用AI、大數據、機器學習等技術建設了統一身份認證和授權系統,增強了中通業務系統的安全性。 在低級別的網絡安全域中使用。根據數據安全分級,對數施相應的策略。數據完整性,建立數據的災難恢復份機制。菜鳥利用 DSM (數據安全能力成熟度模型)將數據安全經驗標準化,其數據安全保障能力獲得國內外權威機構的認菜鳥高分通過等保評定及歷年復測評、具有 ISO270 資質并通過歷年 審、通過美國注冊會計師協會(AICPA2 TYPE I 審計,獲得 SOC2 TYPE I 和 SOC3 審計報告,國內首家通過 SOC2 審計的物流公司,其系統安全性、可用保密性處于國際先進水平 郵政速遞物流為首的一些物流快遞企業逐漸開始安全管防控體系來企業和用戶信息安全。中郵速生物識別技術、大數據和風險模型,建成了“E 盾”安全臺。管,主要是管理郵件郵包中用戶個人信息等數據端實密脫敏,在應用端實施權限管控,并對生產環節使用信息的內部人員應用手機認證、指紋識別等生物認證技術進行實人制認證。防,重點是防范黑灰產盜取郵件郵包信息。通過結合業務場景、流程、賬號屬性設計防御閾值,對超出工作正常需要的異常行為主動防御,自動注銷工號并觸發系統短信告警,自動通知專職安全管理員開展調查。控,重點是控制風險行為。 依托大數據技術對海量日志數據進行智能分析,結合賬號登錄異常、賬號查詢量異動、賬號越權訪問、服務流量異常等風險模型,實施風險識別預警和主動安全防御。平臺建成以來,已對數起可疑行為進行主動攔截和預警,結合現場逐一復查,強化了用戶數據安全意識,有效遏制了黑灰產業滲透竊取信息行為。 物流快遞行業的繁榮,與“新零售”的迅速發展密切相關,在物流快遞行業幫助“新零售”走完“最后一公里”的同時,也使得物流快遞行業信息安全治理變得極其重要。物流快遞行業的信息安全治理需要、行業組織、企業、等各利益相關方共同參與、共同投入。為構建安全、便捷、高效的安全,本報告嘗試提出以下: 首先,目前與物流快遞安全相關的法律主要有《網絡安全法》及相關配套法律法規、《中華人民國郵》和《快遞暫行條例》等物流快遞行業法律法規。這些法律法規仍存在內容零散、針對性不足等問題。因此,圍繞《網絡安全法》等通用法律法規要求,結合物流快遞行業的特點,制定物流快遞行業的個人信息、數據安全等相關政策法規。此外,加強《刑法》、《民法》、《消費者權益保》等相關法律法規中對于泄露信息,消費者權益、危害公共利益和社會秩序的個人和組織的懲罰力度。 其次,加強跨部門、跨區域協作配合,加強物流快遞行業信息安全監管與執度。對于出售、非法提供和竊取、獲取用戶個人信息等違法犯為,零,依法嚴厲打擊。寄遞企業及從業人員旦發生出售非法提供和竊取獲取用戶個人信息; 其次,鼓勵物聯網、傳感器、大數據、云計算、人工智能等新型信息技術,以及網絡入侵檢測、入侵防御、安全隔離、數據管理等信息安全技術的研發和應用。引導快遞企業加強與信息安全服務提供商的合作,共同構建全生命周期的縱深安全防御體系在提高企業經營效率的同時全面提升信息安全水平。 再次,加強信息安全標準化建設。技術標準作為固化技術創新的重要載體,在推進技術創新中發揮著重要作用。應鼓勵和引導重點快遞企業、互聯網企業、信息安全企業積極參與國家和行業標準的制修訂,逐步建立系統、科學的物流快遞信息安全標準體系。 最后,鼓勵企業開展服務模式創新,提升信息安全水平。在全國范圍內大力推廣使用電子面單,指導寄遞企業采取身份掩護、權限管理、信息加密、建立線上線下投訴舉報制度等多種措施,強化對寄遞用戶個人信息。 |