智慧旅游信息安全服務保障人員能力要求研究

◎ 江蘇省檢驗檢疫科學技術研究院 王亞春

◎ 中國網絡安全審查技術與認證中心 胡石 郭楊

旅游業已成為國家的戰略性產業經濟。隨著信息技術的不斷發展和移動通信設備的普及，智慧旅游模式已初步形成，只有通過技術、管理、制度等手段完善服務防護體系，才能消除各種安全風險。智慧旅游信息系統是一個以云計算為基礎的、可以提供各種旅游服務的智能化的計算機應用系統，為游客、景區運行管理、政府監控提供智能化的服務。這些服務都依賴在整個旅游過程中采集到的相關數據，并通過數據分析、挖掘和智能計算得到的。智慧旅游信息系統的信息安全是智慧旅游建設的重要組成部分，系統的安全可靠運行需要確保平臺安全、系統安全和應用安全。智慧旅游信息服務系統必須是一個安全可靠的系統，需要信息安全服務保證人員利用自己的專業知識有效防止來自外部和內部的惡意攻擊，保障整個系統的正常運行。信息安全人才是智慧旅游事業發展的安全保障。

為此，本文開展智慧旅游信息安全服務保障人員的能力要求研究， 首先分析了智慧旅游信息安全服務保障的現狀，在此基礎上提出智慧旅游信息安全服務保障的措施，并設計智慧旅游信息安全服務保障人員能力的評價指標，對智慧旅游行業信息安全保障人員職責和技術能力等提出評估框架。

一、智慧旅游信息安全服務保障的需求及保障措施

智慧旅游是以云計算為基礎，以移動終端應用為核心，以感知互動等高效信息服務為特征的旅游信息化發展新模式。智慧旅游信息服務平臺整合海量文化信息資源，包括景區、景點、酒店、交通等信息資源，結合GIS、LBS、移動計算等技術，建設一個基于移動互聯網為傳播載體的旅游信息綜合服務平臺，以便捷、迅速、精確、跨區域的方式推送給目標受眾，實現智慧旅游的精細化服務。

（一）需求分析

保障智慧旅游信息服務平臺的安全是非常重要的。通過調查研究發現，信息平臺的管理者對智慧旅游信息安全保障問題的認識不足，沒有把信息安全放在一個戰略高度去考慮，不重視安全，缺乏信息安全保障的整體規劃。具體的要求體現在以下方面：

1、智慧旅游系統中的數據包括游客、景區、服務行業及這些行為的關聯信息。系統的安全防護能力和安全技術人員的配備，必須能處理新技術帶來的未知安全問題，了解各個子系統之間的相互關系，減少避免導致系統整體失效的風險，需要計算機和信息安全的專業知識才能勝任。

2、所有用戶必須遵循的安全規范是保證智慧旅游信息系統安全運行的基本保證，需要熟悉行業與信息安全的相關標準。

3、定期對旅游信息系統的安全防護軟件系統進行評估、改進是非常必要的，必須有信息安全等級保護的知識。

4、智慧旅游信息安全服務包括旅游人員、提供衣食住行的各個企業、政府相關的旅游監管部門等，確保為游客提供安全服務。

5、必須指定相應的機制來保證智慧旅游安全信息服務在各個部門的協調和整合等。

因此，為盡量降低智慧旅游信息系統面臨的安全風險，需要設計相關的信息安全服務保障措施，配備足夠的具有信息安全處理能力的人員來保障智慧旅游信息系統的安全可靠運行。

（二）保障措施

智慧旅游大數據中心平臺主要圍繞景區核心旅游資源、游客來源、游客量、車流量等因子，為管理人員、游客、媒體提供通過攝像頭、無人機、智能傳感器等多種手段實時捕獲和上傳相關數據，在后臺統一數據采集、編目、分級標準，實現數據分類歸檔、授權應用，建立統一的數據中心。隨著互聯網技術的發展，信息與安全相生相伴，從系統、網絡、應用、數據、物理等方面加強基于智慧旅游的景區服務平臺的安全保障。智慧旅游信息安全服務保障措施可以從以下幾個方面進行考慮。

1、組織方面的保障措施包括成立智慧旅游信息安全的管理和執行相關機構，推進系統建設中信息安全保障的各項工作，并完成相關的信息管理與服務工作。

2、政策方面的保障措施包括制定智慧旅游信息安全服務的行業考核指標體系、標準等，對執行過程進行及時的監督、審核和評價。

3、制度方面的保障措施包括建立滿足智慧旅游信息安全的制度標準體系、管理規章、制度，完善網絡安全運行與應急管理指導等內容。

4、人才方面的保障措施包括制定和完善旅游信息安全人才的培養和引進政策；與高等院校合作培養高層次應用人才；和培訓機構合作進行相關人員的知識和信息化技能的培訓。

5、資金方面的保障措施包括為智慧旅游信息安全的建設和持續性發展提供資金保障。

二、智慧旅游的信息系統架構與信息安全人員能力評測要求

（一）智慧旅游的信息系統架構

基于智慧旅游的信息系統的總體架構分為基礎設施層、網絡傳輸層、數據處理層和應用層，通過搭建基礎設施、創建大數據中心及虛擬地圖平臺，為智慧旅游提供底層數據支撐，電商平臺及生態旅游APP 為平臺消費者提供入口，綜合管理平臺為后臺管理者提供實時監測管理。智慧旅游信息平臺的基礎設施層可能存在的安全威脅包括非法獲取感知節點本身與感知到的信息、關鍵節點非法控制、普通節點的非法控制、外來網絡的DOS 攻擊，對大量接入物聯網的傳感節點進行識別、認證和控制等安全事件。網絡傳輸層的安全威脅包括偽造攻擊、中間人攻擊、拒絕訪問DoS 攻擊、分布式拒絕訪問DDoS 攻擊、非法訪問、跨異構網絡的網絡攻擊、信息盜竊和篡改等。數據層數據的安全包括數據本身的安全、數據處理的安全和數據存儲的安全。這三個方面的安全威脅包括數據加密的密鑰泄露，數據認證的失效，數據的人為破壞，數據處理過程中由于硬件故障、斷電、死機、人為的誤操作、程序缺陷、病毒或黑客等造成的數據庫損壞或數據丟失現象，某些敏感或保密的數據可能被不具備資格的人員或操作員閱讀、數據泄密、數據被盜等安全威脅。應用層安全威脅包括用戶的訪問控制、各級權限的管理、非法用戶的入侵、密碼的暴力破解、黑客、病毒、信息竊取、電源故障，也包括將智能轉換為低能量、內部攻擊、設備損失、災難控制和恢復，都會影響系統的正常運行。

（二）信息安全人員能力評測要求

基于上面對智慧旅游信息系統安全威脅的分析，基于信息安全服務行業的業務形態、發展及應用規律分類，將信息安全服務人員類別分為以下5 類： 風險評估服務人員、系統集成服務人員、系統運維服務人員、應急處理服務人員和安全軟件開發人員，包括技術和管理兩類人員。要求每個智慧旅游信息系統都必須配備上述5 類人員以保證系統的正常安全運行。目前，大多數景區信息系統沒有設置專門信息安全保證人員崗位，職責設置不清楚，在發生信息安全事件，例如用戶使用過程中受到網絡攻擊、用戶信息泄露、數據不一致等問題時，不能及時快速進行反應和采取相關的應對措施，以保證用戶安全使用智慧旅游系統。

智慧旅游信息系統安全服務人員需要從知識、技能和經驗三個方面進行評估。知識包括基礎知識、專業知識、相關知識；技能包括基本技能、專業技能、軟技能；經驗包括工作經歷、年限等。相關要求如下：

1、知識要素能力要求

智慧旅游信息安全服務人員能力技術資格要求掌握計算機和信息安全相關的基礎知識，相關的知識包括計算機硬件基礎知識、計算機軟件基礎知識、數據傳輸與通訊基礎知識、網絡相關基礎知識、項目管理基礎知識、信息安全基礎知識、質量管理基礎知識和智慧旅游基礎知識等。網絡安全的專業知識包括應用安全、網絡攻防、惡意代碼防護、數據安全及災備、基礎軟件系統安全、物理環境安全、密碼學、信息安全審計、信息安全測試、信息安全管理、云計算與大數據安全、物聯網安全、工業控制系統安全和智慧旅游信息安全專業知識等。 當然，也需要了解知識產權、勞動法、智慧旅游相關的國家法律法規等，并能夠熟練運行各種安全手段，保護智慧景區信息系統的安全。

2、技能要素能力要求

智慧旅游信息安全服務人員要求具有的基本技能有計算機硬件基礎應用能力、計算機軟件基礎應用能力、網絡基礎應用能力、文檔撰寫能力、外語閱讀能力和智慧旅游信息系統應用等能力；同時，要具有的專業技能包括信息安全測試、信息安全風險評估、需求分析、信息安全規劃設計、安全管理體系建設、系統建模及架構設計能力、信息化安全評估分析、信息安全加固、工程項目管理、網絡滲透測試、信息安全態勢分析、應急響應、滲透工具的使用與研發、信息安全審計、信息安全工程監理、安全產品設計、云計算和大數據安全、物聯網安全、工業控制系統安全和智慧旅游信息安全保障等。此外，需要必要的溝通能力、學習能力、問題判斷與解決能力、創新能力、知識分享能力、智慧旅游信息安全處理能力，才能夠勝任處理智慧旅游景區信息系統的安全保障工作。

3、經驗要素能力要求

經驗要素能力是從從業年限、項目經驗、職稱等幾個指標綜合來考慮的。

表1 給出了從業人員能力等級要求，整個人員的能力等級分為6 級。知識要素分為4 個等級：K4 表示精通該領域全面的知識和信息，K3 是掌握該領域的知識和信息，K2 是理解該領域的知識和信息，K1 是了解該領域概念和實踐性知識和信息。技能要素分為4 個等級：S4 是指給出專家級的意見并領導其他人成功工作，S3 是指帶領其他人有效地完成工作，S2 是指獨立工作并成功完成大多數任務，S1 是指在指導下完成工作任務。經驗要求分為4 個等級：E4 表示全面領導他人成功運作的經驗和有咨詢改進或創新的經驗，E3 表示有效深入帶領他人運作的經驗，E2 表示重復成功的案例和經驗，E1 表示有限的工作經驗。所有的要素能力中4 級為最高級別，1 級為最低級，級別之間可以通過學習、實踐等進行提升。等級越高，要求對于某一方向的專業知識和專業技能更加深入。對于基礎知識和相關知識，只需要達到掌握即可，對于基本技能，達到能夠帶領他人有效地完成工作即可。

三、智慧旅游信息安全服務保障人員的職責要求

依據《信息安全人員認證準則》，對智慧旅游信息安全保障人員安全運維方向的人員的知識結構、能力水平、項目整體實踐能力的綜合考查，對安全運維模型、業界最佳實踐、相關標準和法律法規的理解能力；綜合利用管理措施和技術手段實施安全服務，建立安全運維服務的管理流程。技術專業的級別包括專業高級，專業級，專業資格，需要的知識包括安全軟件、安全集成、安全管理、安全咨詢、安全運維、安全審計、風險管理、應急服務、災備服務、業務連續性、工控安全、云安全、物聯網安全、電子認證。應用領域專業的級別包括管理高級，管理級，崗位資格，需要的知識包括電子政務、電子商務、交通服務、醫療服務、教育服務、能源服務、金融服務、通信服務、賓館服務、物流服務、CA 服務。設立智慧旅游指導和管理信息安全工作的委員會或領導小組及信息安全管理工作的職能部門，并以文件的形式明確安全管理機構各個部門和崗位的職責、分工和技術要求。明確安全主管和安全管理各個方面的負責人的職責（物理安全負責人、人事負責人、系統建設負責人、系統運維負責人），設置信息安全管理有關的崗位，如安全管理員、系統管理員、網絡管理員等。能力測評要求設計包括一般素質測評指標體系和信息安全質保測評體系。

表1 從業人員能力等級要求

（一）一般素質測評指標體系

根據旅游信息安全工作的特征及對其從業人員素質要求的分析，提出了品德素質（誠實性、守信性、合法性、原則性）、智能素質（識別能力、應變能力、理解能力、判斷能力、學習能力）、工作態度（責任感、主動性、堅持性）、資歷結構（學歷等級、職稱等級、工作經驗、技能水平）、個性結構（警覺性、洞察力、自制力）、身體結構（體質、體力、氣質）六個方面的素質結構指標體系。

（二）信息安全專業素質

人員的素質是提高智慧旅游信息安全性至關重要的因素。智慧旅游信息安全的人員管理中，人員因素是信息安全管理環節中最重要的一環，全面提高人員的技術水平、道德品質、政治覺悟和安全意識是信息安全的重要保障。智慧旅游信息安全工作人員管理包括安全審查、安全保密管理、安全教育培訓、崗位安全考核、離崗人員安全管理等幾個方面。上述人員在智慧旅游信息安全管理的過程中應該主要按照信息安全的基本性能指標開展相應的工作，性能指標如下：1）保密性；2）完整性；3）真實性；4）靈活性；5）合法性；6）有效性。

因此，對智慧旅游環境下的景區信息系統必須有專門的安全管理人員，對系統的各種威脅制定相應的安全策略。規定的工作包括：通過密鑰管理保障傳感器的安全，建立不同環境下不同用戶的認證銜接機制，建立一個強大而統一的安全管理平臺，建立智慧旅游安全體系，為智慧旅游的發展提供一個安全保障。負責架設景區信息安全框架和解決方案，負責景區信息安全評估、審計和報告，負責信息安全工作監督。遵守信息安全保密制度，加強口令密碼、密鑰安全管理，加強信息系統的安全監測，重大安全事件和應急處理，定期對信息安全工作進行巡檢，落實對其他管理員和普通用戶信息安全工作的指導和監督。監控信息系統的安全需求變化，及時獲取來自其他管理員和普通用戶的安全意見，進行必要的安全管理體系制定； 處理信息安全工作組核定，對網路的運行進行安全管理；配置符合安全策略的網絡參數，對網絡用戶訪問權限進行嚴格的控制，維護網絡確保安全正常運行；監控網絡關鍵設備、網絡端口、網絡物理線路，防范黑客入侵，及時向計算機安全人員報告安全事件；負責執行和監督整個系統全面的殺毒工作；實時監控重要業務系統和數據的安全，杜絕病毒入侵途徑，減低病毒侵害影響；及時報告上級部門病毒入侵和感染情況，提供嚴重性、高感染性病毒的有效解決方案。

四、結束語

信息安全人才是保證智慧旅游事業發展的安全保障，智慧旅游信息安全服務人員能力技術資格從知識、技能和經驗三個方面進行評估。知識包括基礎知識、專業知識、相關知識；技能包括基本技能、專業技能、軟技能；經驗包括工作經歷、年限等。必須加大力度培養大數據類專業性人才，提升我國網絡安全管理、大數據等方向的綜合實力。在安全管理方面，專門的信息安全崗位需要配置具有一定安全技術的人員，以保障基于智慧旅游的景區信息系統的安全、可靠運行。