智慧旅游的安全威胁与对策探讨
根据国务院《关于加快旅游业发展的意见》、《中国旅游业“十二五”发展规划纲要》和《中国旅游业“十二五”发展规划信息化专项规划》,建设智慧旅游逐渐成为旅游业发展中的主角。随着旅游信息化的推进,智慧旅游的建设已经在各地兴起。智慧旅游最基础的价值是旅游信息服务。智慧旅游涉及到的关键技术包括物联网技术、移动通信技术、云计算技术、人工智能技术等[1]。多种新技术的运用,也带来新的安全威胁。目前建设者处在探索的阶段,学者对智慧旅游的研究处于起步阶段,对智慧旅游的理解不足。为此本文针对智慧旅游建设面临的安全危机进行探讨,并提出对策。
一.智慧旅游概念
智慧旅游概念提出的学者不多,张凌云教授的比较有代表性,“智慧旅游是基于新一代信息技术(也称信息通信技术,ICT),为满足游客个性化需求,提供高品质、高满意度服务,而实现旅游资源及社会资源的共享与有效利用的系统化、集约化的管理变革[2].” 张凌云教授指出智慧旅游本质的内涵是包括信息通信技术在内的智能技术在旅游业中的应用。笔者认为智慧旅游的概念本质的内涵更应该强调的是基于新一代信息技术并结合原有技术,实现旅游业从传统服务业向现代服务业的升级,即旅游产业的结构升级,它最基础的价值是旅游信息服务。笔者结合自己的理解,认为智慧旅游是基于新一代信息技术并结合原有技术,以构建感知层、网络层、应用层为目标,充分利用公共平台,向政府、企业、游客、居民提供应用,建成高度信息化的现代旅游业。
二.智慧旅游的安全危机
智慧旅游最基础的价值是旅游信息服务,建设智慧旅游涉及多种新技术。目前我国智慧旅游的安全体系还未建成。笔者将从感知层、网络层、应用层探讨智慧旅游所面临的安全威胁。
(一)感知层
智慧旅游的感知层,主要完成信息的采集、转换和收集,以及执行某些命令。感知层包含传感器件和控制器件两部分,用于数据采集及最终控制;短距离传输网络,将传感器件收集的数据发送到网关或将应用平台控制命令发送到控制器件。传感器件包括条码和读/写器、RFID和读写器、摄像头、GPS、各种传感器、终端、传感器网络等[3]。智慧旅游强调的是信息的共享,感知层收集到的各种信息为了得到有效应用。这些感知信息需要传输到一个处理平台,这就是智慧旅游的应用层。感知层最终要接入其他外在网络,包括互联网等。那就难免遭到外在网络的攻击。感知层可能遇到的安全威胁包括下列情况。(1)感知节点所感知的信息被非法获取;(2)感知层的关键节点被非法控制―安全性全部丢失;(3)感知层的普通节点被非法控制(攻击者掌握节点密匙)(4)感知层的普通节点被非法捕获(但由于没有得到节点密匙,而没有被控制;(5)感知层的节点(普通节点或关键节点)受来自于网络的DOS(拒绝服务)攻击;(6)接入到物联网的超大量感知节点的标志、识别、认证、和控制问题。
(二)网络层
智慧旅游的网络层包括核心网和各种接入网,网络层将感知层获取的信息传输给处理中心和用户。物联网的核心网络是在现有互联网基础上,融合电信网、广播电视网等形成的面向服务、即插即用的栅格化网络;而接入网则包括移动的2G/3G/4G网、集群、无线城域网等,通过接入网络,感知层能够将信息传输给用户,同时用户的指令也可以传输给感知层。我国网络环境目前遇到前所未有的安全挑战,而智慧旅游的网络层所处的网络环境也存在安全威胁。初步分析认为,智慧旅游网络层将会遇到下列安全威胁:(1)假冒攻击、中间人攻击等(2)DOS攻击、DDOS(分布式拒绝服务攻击);(3)非法接入;(4)跨异构网络的网络攻击;(5)信息窃取、篡改。
(三)应用层
智慧旅游的应用层主要是通过分析、处理与决策,完成从信息到知识、再到控制指挥的智能演化,实现处理和解决问题的能力,完成特定的智能化应用和服务任务。应用层包括数据处理、中间件、云计算、业务支撑系统、管理系统、安全服务等应用支撑系统(公共平台),以及利用这些公共平台建立的应用系统。智慧旅游应用层的重要特征是智能,智能的技术实现少不了自动处理技术,其目的是使处理过程方程方便迅速,而非智能的处理手段可能无法应对天量数据。但自动过程对恶意数据特别是恶意指令信息的判断能力是有限的,而智能也仅限于按照一定规则进行过滤判断,攻击者很容易避开这么规则。因此智慧旅游应用层的安全威胁包括如下几方面:(1)智能变为低能;(2)来自于超大量终端的天量数据的识别和处理;(3)非法人为干预(内部攻击);(4)设备(特别是移动设备)的丢失;(5)灾难控制和恢复;(6)自动变为失控(可控性是信息安全的重要指标之一)。
三.对策
(一)通过密钥管理保障传感器的安全
任何安全通信机制都需要密码机制提供点对点的安全通信服务,而在传感器网络中应用对称密钥体制必须有相应的密钥管理方案作为支撑。密钥管理是传递数据信息加密技术的重要一环,它处理密钥从生成到销毁的整个生命周期的有关问题,涉及到系统的初始化、密钥的生成、存储、备份恢复、装入、验证等多方面内容。
(二)建立不同网络环境的认证衔接机制
网络环境变得越来越复杂,攻击者的知识越来越丰富,他们采用的攻击手法也越来越高明、隐蔽。因此对于入侵和攻击的检测防范难度在不断加大。考虑到网络架构的安全需求,需要建立不同网络环境的认证衔接机制。
(三)建立一个强大而统一的安全管理平台
智慧旅游面临各种各样的安全问题,除了传统的安全问题,云计算安全问题也是应用层需要面对的。因此应用层需要一个强大而统一的安全管理平台,否则每个应用系统各自建立各自的应用安全平台会割裂网络与应用平台之间的信任关系,导致新一轮安全问题的产生。
四.结论
智慧旅游建设面临着不同的安全威胁,建设者应及早建立智慧旅游安全体系,为智慧旅游的发展提供一个安全保障。
