◎ 江苏省检验检疫科学技术研究院 王亚春

◎ 中国网络安全审查技术与认证中心 胡石 郭杨

旅游业已成为国家的战略性产业经济。随着信息技术的不断发展和移动通信设备的普及，智慧旅游模式已初步形成，只有通过技术、管理、制度等手段完善服务防护体系，才能消除各种安全风险。智慧旅游信息系统是一个以云计算为基础的、可以提供各种旅游服务的智能化的计算机应用系统，为游客、景区运行管理、政府监控提供智能化的服务。这些服务都依赖在整个旅游过程中采集到的相关数据，并通过数据分析、挖掘和智能计算得到的。智慧旅游信息系统的信息安全是智慧旅游建设的重要组成部分，系统的安全可靠运行需要确保平台安全、系统安全和应用安全。智慧旅游信息服务系统必须是一个安全可靠的系统，需要信息安全服务保证人员利用自己的专业知识有效防止来自外部和内部的恶意攻击，保障整个系统的正常运行。信息安全人才是智慧旅游事业发展的安全保障。

为此，本文开展智慧旅游信息安全服务保障人员的能力要求研究， 首先分析了智慧旅游信息安全服务保障的现状，在此基础上提出智慧旅游信息安全服务保障的措施，并设计智慧旅游信息安全服务保障人员能力的评价指标，对智慧旅游行业信息安全保障人员职责和技术能力等提出评估框架。

一、智慧旅游信息安全服务保障的需求及保障措施

智慧旅游是以云计算为基础，以移动终端应用为核心，以感知互动等高效信息服务为特征的旅游信息化发展新模式。智慧旅游信息服务平台整合海量文化信息资源，包括景区、景点、酒店、交通等信息资源，结合GIS、LBS、移动计算等技术，建设一个基于移动互联网为传播载体的旅游信息综合服务平台，以便捷、迅速、精确、跨区域的方式推送给目标受众，实现智慧旅游的精细化服务。

（一）需求分析

保障智慧旅游信息服务平台的安全是非常重要的。通过调查研究发现，信息平台的管理者对智慧旅游信息安全保障问题的认识不足，没有把信息安全放在一个战略高度去考虑，不重视安全，缺乏信息安全保障的整体规划。具体的要求体现在以下方面：

1、智慧旅游系统中的数据包括游客、景区、服务行业及这些行为的关联信息。系统的安全防护能力和安全技术人员的配备，必须能处理新技术带来的未知安全问题，了解各个子系统之间的相互关系，减少避免导致系统整体失效的风险，需要计算机和信息安全的专业知识才能胜任。

2、所有用户必须遵循的安全规范是保证智慧旅游信息系统安全运行的基本保证，需要熟悉行业与信息安全的相关标准。

3、定期对旅游信息系统的安全防护软件系统进行评估、改进是非常必要的，必须有信息安全等级保护的知识。

4、智慧旅游信息安全服务包括旅游人员、提供衣食住行的各个企业、政府相关的旅游监管部门等，确保为游客提供安全服务。

5、必须指定相应的机制来保证智慧旅游安全信息服务在各个部门的协调和整合等。

因此，为尽量降低智慧旅游信息系统面临的安全风险，需要设计相关的信息安全服务保障措施，配备足够的具有信息安全处理能力的人员来保障智慧旅游信息系统的安全可靠运行。

（二）保障措施

智慧旅游大数据中心平台主要围绕景区核心旅游资源、游客来源、游客量、车流量等因子，为管理人员、游客、媒体提供通过摄像头、无人机、智能传感器等多种手段实时捕获和上传相关数据，在后台统一数据采集、编目、分级标准，实现数据分类归档、授权应用，建立统一的数据中心。随着互联网技术的发展，信息与安全相生相伴，从系统、网络、应用、数据、物理等方面加强基于智慧旅游的景区服务平台的安全保障。智慧旅游信息安全服务保障措施可以从以下几个方面进行考虑。

1、组织方面的保障措施包括成立智慧旅游信息安全的管理和执行相关机构，推进系统建设中信息安全保障的各项工作，并完成相关的信息管理与服务工作。

2、政策方面的保障措施包括制定智慧旅游信息安全服务的行业考核指标体系、标准等，对执行过程进行及时的监督、审核和评价。

3、制度方面的保障措施包括建立满足智慧旅游信息安全的制度标准体系、管理规章、制度，完善网络安全运行与应急管理指导等内容。

4、人才方面的保障措施包括制定和完善旅游信息安全人才的培养和引进政策；与高等院校合作培养高层次应用人才；和培训机构合作进行相关人员的知识和信息化技能的培训。

5、资金方面的保障措施包括为智慧旅游信息安全的建设和持续性发展提供资金保障。

二、智慧旅游的信息系统架构与信息安全人员能力评测要求

（一）智慧旅游的信息系统架构

基于智慧旅游的信息系统的总体架构分为基础设施层、网络传输层、数据处理层和应用层，通过搭建基础设施、创建大数据中心及虚拟地图平台，为智慧旅游提供底层数据支撑，电商平台及生态旅游APP 为平台消费者提供入口，综合管理平台为后台管理者提供实时监测管理。智慧旅游信息平台的基础设施层可能存在的安全威胁包括非法获取感知节点本身与感知到的信息、关键节点非法控制、普通节点的非法控制、外来网络的DOS 攻击，对大量接入物联网的传感节点进行识别、认证和控制等安全事件。网络传输层的安全威胁包括伪造攻击、中间人攻击、拒绝访问DoS 攻击、分布式拒绝访问DDoS 攻击、非法访问、跨异构网络的网络攻击、信息盗窃和篡改等。数据层数据的安全包括数据本身的安全、数据处理的安全和数据存储的安全。这三个方面的安全威胁包括数据加密的密钥泄露，数据认证的失效，数据的人为破坏，数据处理过程中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象，某些敏感或保密的数据可能被不具备资格的人员或操作员阅读、数据泄密、数据被盗等安全威胁。应用层安全威胁包括用户的访问控制、各级权限的管理、非法用户的入侵、密码的暴力破解、黑客、病毒、信息窃取、电源故障，也包括将智能转换为低能量、内部攻击、设备损失、灾难控制和恢复，都会影响系统的正常运行。

（二）信息安全人员能力评测要求

基于上面对智慧旅游信息系统安全威胁的分析，基于信息安全服务行业的业务形态、发展及应用规律分类，将信息安全服务人员类别分为以下5 类： 风险评估服务人员、系统集成服务人员、系统运维服务人员、应急处理服务人员和安全软件开发人员，包括技术和管理两类人员。要求每个智慧旅游信息系统都必须配备上述5 类人员以保证系统的正常安全运行。目前，大多数景区信息系统没有设置专门信息安全保证人员岗位，职责设置不清楚，在发生信息安全事件，例如用户使用过程中受到网络攻击、用户信息泄露、数据不一致等问题时，不能及时快速进行反应和采取相关的应对措施，以保证用户安全使用智慧旅游系统。

智慧旅游信息系统安全服务人员需要从知识、技能和经验三个方面进行评估。知识包括基础知识、专业知识、相关知识；技能包括基本技能、专业技能、软技能；经验包括工作经历、年限等。相关要求如下：

1、知识要素能力要求

智慧旅游信息安全服务人员能力技术资格要求掌握计算机和信息安全相关的基础知识，相关的知识包括计算机硬件基础知识、计算机软件基础知识、数据传输与通讯基础知识、网络相关基础知识、项目管理基础知识、信息安全基础知识、质量管理基础知识和智慧旅游基础知识等。网络安全的专业知识包括应用安全、网络攻防、恶意代码防护、数据安全及灾备、基础软件系统安全、物理环境安全、密码学、信息安全审计、信息安全测试、信息安全管理、云计算与大数据安全、物联网安全、工业控制系统安全和智慧旅游信息安全专业知识等。 当然，也需要了解知识产权、劳动法、智慧旅游相关的国家法律法规等，并能够熟练运行各种安全手段，保护智慧景区信息系统的安全。

2、技能要素能力要求

智慧旅游信息安全服务人员要求具有的基本技能有计算机硬件基础应用能力、计算机软件基础应用能力、网络基础应用能力、文档撰写能力、外语阅读能力和智慧旅游信息系统应用等能力；同时，要具有的专业技能包括信息安全测试、信息安全风险评估、需求分析、信息安全规划设计、安全管理体系建设、系统建模及架构设计能力、信息化安全评估分析、信息安全加固、工程项目管理、网络渗透测试、信息安全态势分析、应急响应、渗透工具的使用与研发、信息安全审计、信息安全工程监理、安全产品设计、云计算和大数据安全、物联网安全、工业控制系统安全和智慧旅游信息安全保障等。此外，需要必要的沟通能力、学习能力、问题判断与解决能力、创新能力、知识分享能力、智慧旅游信息安全处理能力，才能够胜任处理智慧旅游景区信息系统的安全保障工作。

3、经验要素能力要求

经验要素能力是从从业年限、项目经验、职称等几个指标综合来考虑的。

表1 给出了从业人员能力等级要求，整个人员的能力等级分为6 级。知识要素分为4 个等级：K4 表示精通该领域全面的知识和信息，K3 是掌握该领域的知识和信息，K2 是理解该领域的知识和信息，K1 是了解该领域概念和实践性知识和信息。技能要素分为4 个等级：S4 是指给出专家级的意见并领导其他人成功工作，S3 是指带领其他人有效地完成工作，S2 是指独立工作并成功完成大多数任务，S1 是指在指导下完成工作任务。经验要求分为4 个等级：E4 表示全面领导他人成功运作的经验和有咨询改进或创新的经验，E3 表示有效深入带领他人运作的经验，E2 表示重复成功的案例和经验，E1 表示有限的工作经验。所有的要素能力中4 级为最高级别，1 级为最低级，级别之间可以通过学习、实践等进行提升。等级越高，要求对于某一方向的专业知识和专业技能更加深入。对于基础知识和相关知识，只需要达到掌握即可，对于基本技能，达到能够带领他人有效地完成工作即可。

三、智慧旅游信息安全服务保障人员的职责要求

依据《信息安全人员认证准则》，对智慧旅游信息安全保障人员安全运维方向的人员的知识结构、能力水平、项目整体实践能力的综合考查，对安全运维模型、业界最佳实践、相关标准和法律法规的理解能力；综合利用管理措施和技术手段实施安全服务，建立安全运维服务的管理流程。技术专业的级别包括专业高级，专业级，专业资格，需要的知识包括安全软件、安全集成、安全管理、安全咨询、安全运维、安全审计、风险管理、应急服务、灾备服务、业务连续性、工控安全、云安全、物联网安全、电子认证。应用领域专业的级别包括管理高级，管理级，岗位资格，需要的知识包括电子政务、电子商务、交通服务、医疗服务、教育服务、能源服务、金融服务、通信服务、宾馆服务、物流服务、CA 服务。设立智慧旅游指导和管理信息安全工作的委员会或领导小组及信息安全管理工作的职能部门，并以文件的形式明确安全管理机构各个部门和岗位的职责、分工和技术要求。明确安全主管和安全管理各个方面的负责人的职责（物理安全负责人、人事负责人、系统建设负责人、系统运维负责人），设置信息安全管理有关的岗位，如安全管理员、系统管理员、网络管理员等。能力测评要求设计包括一般素质测评指标体系和信息安全质保测评体系。

表1 从业人员能力等级要求

（一）一般素质测评指标体系

根据旅游信息安全工作的特征及对其从业人员素质要求的分析，提出了品德素质（诚实性、守信性、合法性、原则性）、智能素质（识别能力、应变能力、理解能力、判断能力、学习能力）、工作态度（责任感、主动性、坚持性）、资历结构（学历等级、职称等级、工作经验、技能水平）、个性结构（警觉性、洞察力、自制力）、身体结构（体质、体力、气质）六个方面的素质结构指标体系。

（二）信息安全专业素质

人员的素质是提高智慧旅游信息安全性至关重要的因素。智慧旅游信息安全的人员管理中，人员因素是信息安全管理环节中最重要的一环，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。智慧旅游信息安全工作人员管理包括安全审查、安全保密管理、安全教育培训、岗位安全考核、离岗人员安全管理等几个方面。上述人员在智慧旅游信息安全管理的过程中应该主要按照信息安全的基本性能指标开展相应的工作，性能指标如下：1）保密性；2）完整性；3）真实性；4）灵活性；5）合法性；6）有效性。

因此，对智慧旅游环境下的景区信息系统必须有专门的安全管理人员，对系统的各种威胁制定相应的安全策略。规定的工作包括：通过密钥管理保障传感器的安全，建立不同环境下不同用户的认证衔接机制，建立一个强大而统一的安全管理平台，建立智慧旅游安全体系，为智慧旅游的发展提供一个安全保障。负责架设景区信息安全框架和解决方案，负责景区信息安全评估、审计和报告，负责信息安全工作监督。遵守信息安全保密制度，加强口令密码、密钥安全管理，加强信息系统的安全监测，重大安全事件和应急处理，定期对信息安全工作进行巡检，落实对其他管理员和普通用户信息安全工作的指导和监督。监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要的安全管理体系制定； 处理信息安全工作组核定，对网路的运行进行安全管理；配置符合安全策略的网络参数，对网络用户访问权限进行严格的控制，维护网络确保安全正常运行；监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机安全人员报告安全事件；负责执行和监督整个系统全面的杀毒工作；实时监控重要业务系统和数据的安全，杜绝病毒入侵途径，减低病毒侵害影响；及时报告上级部门病毒入侵和感染情况，提供严重性、高感染性病毒的有效解决方案。

四、结束语

信息安全人才是保证智慧旅游事业发展的安全保障，智慧旅游信息安全服务人员能力技术资格从知识、技能和经验三个方面进行评估。知识包括基础知识、专业知识、相关知识；技能包括基本技能、专业技能、软技能；经验包括工作经历、年限等。必须加大力度培养大数据类专业性人才，提升我国网络安全管理、大数据等方向的综合实力。在安全管理方面，专门的信息安全岗位需要配置具有一定安全技术的人员，以保障基于智慧旅游的景区信息系统的安全、可靠运行。