物流快遞行業(yè)信息安全研究（2018）

　　我國擁有14億的人口，如何推動零售業(yè)持續(xù)、穩(wěn)定、健康的發(fā)展是社會共同關心的課題。隨著“互聯(lián)網(wǎng)+”新零售概念不斷深化，物流快遞行業(yè)也迎來大發(fā)展，新一代信息技術成為物流快遞行業(yè)重要的驅動力。在物流快遞行業(yè)幫助“新零售”走完“最后一公里”的同時，也掌握了海量的用戶數(shù)據(jù)，這使得物流快遞行業(yè)信息安全治理變得極其重要。可以說，快遞安全不僅是運輸安全、貨物安全，更重要的是信息安全。

　　隨著經(jīng)濟結構不斷優(yōu)化、電子商務恰逢其時，蓬勃發(fā)展，世界正在變得越來越“扁平化”。作為電子商務重要支撐的物流快遞行業(yè)迎來重大發(fā)展契機，也經(jīng)歷了快速增長。今天，“互聯(lián)網(wǎng)+”新零售熱潮的迅猛襲來使快遞從“小包裹”邁向“大物流”的徑漸明。物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、云計算等新一代信息技術的深度應用使物流快遞行業(yè)從人力密集型向技術、資本密集型的趨勢更加明顯。

　　物流快遞行業(yè)的智能化、數(shù)字化轉型不僅賦能產(chǎn)業(yè)自身發(fā)展，對拉動消費、提振經(jīng)貿(mào)活動同樣發(fā)揮著重要的支撐作用；另一方面，深度分析挖掘并合理利用物流快遞行業(yè)信息數(shù)據(jù)，有助于更為科學全面地分析經(jīng)濟運行狀況，為相關部門掌握經(jīng)濟發(fā)展脈絡、精準制定產(chǎn)業(yè)政策提供決策依據(jù)。

　　機遇從來都與風險同行。物流快遞行業(yè)的數(shù)字化轉型必然伴隨著信息安全風險。物流快遞信息系統(tǒng)被、侵入，信息數(shù)據(jù)被泄露、，不僅會造成用戶的信息權益受損，給用戶帶來財產(chǎn)損失甚至人身，還會影響商家、快遞企業(yè)的品牌和聲譽，更有甚者會危及和社會安全。因此，全面分析評估信息安全風險、總結分享應對措施與攻防經(jīng)驗、研究提出風險防控并形成切實可行的措施成為推進物流快遞行業(yè)健康持續(xù)發(fā)展的題中應有之義，也是本報告編寫之初衷

　　物流快遞行業(yè)是推動流通方式轉型、促進消費升級的現(xiàn)代化先導性產(chǎn)業(yè)，在降低流通成本、支撐新型零售發(fā)展、服務生產(chǎn)生活、擴大就業(yè)渠道等方面發(fā)揮了積極作用，已成為我國 民經(jīng)濟的重要產(chǎn)業(yè)和新增長點。2017 年 2 月，《快遞業(yè)發(fā)展“十三五”規(guī)劃》正式發(fā)布，為物流快遞行業(yè)的發(fā)展謀劃了藍圖。未來，物流快遞行業(yè)將從擴大產(chǎn)業(yè)規(guī)模轉向提高產(chǎn)業(yè)發(fā)展質量和效益。

　　今天，我國快遞行業(yè)已常態(tài)化進入單日快遞“億件時代”�？梢哉f，快遞行業(yè)與億萬人民群眾的日常生活息 相關。如圖 1所示，過去幾年中，物流快遞行業(yè)無論是業(yè)務量還是業(yè)務收入都在迅速增長。2018 年，全國快遞服務企業(yè) 務量累計完成 507.1億件，同比增長 26. %；實現(xiàn)業(yè)務收入 6038.4 億元，同比增長夢見殺人流血21.8%。

　　從區(qū)域上來看，華東、華南以及京津冀仍是快遞業(yè)務集中的區(qū)域。除部的成都和武漢外，業(yè)務量和業(yè)務收入全國排名前十的均為華東、華南以及京津冀城市;

　　目前，我國快遞企業(yè)超過 2 萬家，從業(yè)人員達到 30 萬，各類營業(yè)網(wǎng)點達到 21.7 萬處，在實現(xiàn)城市全覆蓋的同時，快遞鄉(xiāng)鎮(zhèn)網(wǎng)點覆蓋率超過 86%，全行業(yè)日均服務突破 3 億人次2。如此大的快遞網(wǎng)絡為電子商務發(fā)展提供了的運輸管道，運輸觸角四通八達。

　　快遞業(yè)的飛速發(fā)展折射出我國蓬勃的經(jīng)濟活力以及企業(yè)和旺盛的消費能力�？梢哉f，今天的中國很少有人或者企業(yè)完全沒有接觸過物流快遞行業(yè)，沒有購買使用過快遞服務。因此，物流快遞行業(yè)的信息安全問題對每一個人和每一家企業(yè)都至關重要。

　　在物流快遞行業(yè)，軟件定義物流成為物流快遞行業(yè)的一大創(chuàng)新發(fā)展趨勢。軟件系統(tǒng)逐漸成為物流硬件的“大腦”，軟件“大腦”通過聯(lián)網(wǎng)實現(xiàn)不斷進化與迭代創(chuàng)新，讓物流自動化系統(tǒng)變得更加柔性和智能。自動化流水線、物流機器人、無人機等產(chǎn)品和系統(tǒng)，以及物聯(lián)網(wǎng)、人工智能、機器學習、大數(shù)據(jù)、云計算、無人駕駛等技術得到越來越廣泛的應用，既降低了勞動力成本，又提高了倉儲和分撥的智能化和可視化能力，同時還催生出即時物流、新型社區(qū)末端網(wǎng)、前置倉網(wǎng)等新型服務模式，打通了物流“最后一公里”的末端配送網(wǎng)絡，提升了客戶的服務體驗和行業(yè)運行效率。

　　經(jīng)濟的全球化加劇了供應鏈體系的全球化，跨境電商因之而迅猛發(fā)展，國內(nèi)大型快遞企業(yè)也開始全球布局�！安锁B”和物流合作伙伴搭建起可飛抵 40 余個國家和地區(qū)，共計 106 條航線的全球航空運輸網(wǎng)絡，服務覆蓋 20 余個國家和地區(qū)。順豐集團在新加坡、韓國、馬來西亞、美國等十余個國家設立營業(yè)網(wǎng)點，至少開通了14 條國際航線，物流服務覆蓋了全球 20 余個國家和地區(qū);可以說，隨著我國構建型經(jīng)濟的腳步不斷加快，“一帶一”穩(wěn)步推進，國內(nèi)物流快遞行業(yè)將在不久的將來搭建起一張真正具有全球配送能力的跨境物流網(wǎng)。

　　近年來，我國信息泄露事件層出不窮，信息買賣日益，個人信息安全面臨嚴峻挑戰(zhàn)。中國消費者協(xié)會 2018 年個人信息安全調研數(shù)據(jù)顯示，85.2%的受訪者曾個人信息泄露問題，個人信息泄露的前三大途徑分別是經(jīng)營者未經(jīng)個人同意收集個人信息，經(jīng)營者或故意泄密、出售或者非法向他人提供用戶個人信息，及網(wǎng)絡服務系統(tǒng)存在漏洞導致個人信息泄露。

　　信息安全問題同樣是物流快遞行業(yè)非常關注的問題。截至目前，快遞服務出現(xiàn)過用戶無法在線注銷、應用目標 SDK 版本設置過低等安全問題。近年來，快遞行業(yè)迅速發(fā)展。2018 年全國快遞服務企業(yè) 務量累計完成 507.1 億件，預計 2019 將仍然保持兩數(shù)增長�？梢哉f，作為一個信息數(shù)據(jù)的海洋，快遞信息的安全性至關重要;

　　物流行業(yè)安全頻次高，來源集中。根據(jù)菜鳥的數(shù)據(jù)，2018 年，菜鳥發(fā)現(xiàn)并攔截了針對物流行業(yè)的 4 57 次有效。分析發(fā)現(xiàn)，物流行業(yè)安全風險來源（境外來源未統(tǒng)計在內(nèi)）主要集中在長三角。

　　針對物流快遞行業(yè)的網(wǎng)絡類型相對集中。2018 年下半年網(wǎng)警部門數(shù)據(jù)顯示，網(wǎng)絡主要類型包括惡意掃描、網(wǎng)絡、僵尸木馬蠕蟲和服務（如圖 3 所示）。其中，惡意掃描在整體發(fā)生頻次上占比達 72%。實際形成的安全事件共計 13 起，主要以挖礦木馬、由器后門利用和遠程代碼執(zhí)行事件為主。

　　物流快遞行業(yè)務鏈條長，信息安全管控面臨更多挑戰(zhàn)。物流快遞業(yè)務鏈條較長，物流快遞業(yè)務涉及多個線上線下相結合的復雜業(yè)務場景。這使得影響物流快遞行業(yè)信息安全的因素多，風險管控復雜。

　　物流行業(yè)“黑灰產(chǎn)”活躍度不斷上升。網(wǎng)絡“黑灰產(chǎn)”是指通過電信詐騙、釣魚網(wǎng)站、木馬病毒、黑客等方式，利用網(wǎng)絡開展違法犯罪活動的行為。近年來，“網(wǎng)絡黑灰產(chǎn)”規(guī)模已達千億元，助長了網(wǎng)絡“黃賭毒”、詐騙、等多種網(wǎng)絡犯罪滋生蔓延。根據(jù) 2018 年市場研究數(shù)據(jù)，物流行業(yè)“黑灰產(chǎn)”3活躍（如圖 5 所示），給物流快遞行業(yè)帶來安全挑戰(zhàn)。

　　信息安全問題表現(xiàn)形式復雜化從快遞行業(yè)非法活動類型分布來看，網(wǎng)絡詐騙類占比最多，其次法營銷等其他違法活動，給消費者和企業(yè)造成經(jīng)濟損失。

　　首先，網(wǎng)絡（含電信、即時通訊）詐騙成為主要信息安全風險。網(wǎng)絡詐騙是指通過電話、網(wǎng)絡和短信方式，虛假信息，設置，對人實施遠程、非接觸式詐騙，誘使人給打款或轉賬的犯為。20 年以來，虛假信息詐騙犯罪，尤其是借助于手機、固定電話、網(wǎng)絡等通信工具和現(xiàn)代的技術等實施的非接觸式的詐騙犯罪，在我國迅速發(fā)展蔓延，給人民群眾造成了很大的損失。

　　根據(jù)菜鳥監(jiān)測數(shù)據(jù)，物流快遞行業(yè)信息安全風險中，電信詐騙占比達到四分之一強。其中，因快遞企業(yè)不規(guī)范使用即時通訊工具導致的安全風險問題上升，“黑灰產(chǎn)”潛入內(nèi)部即時通訊群組的情況也時有發(fā)生。如圖 6 所示，即時通訊工具物流信息類詐騙呈現(xiàn)逐漸走高的趨勢：

　　其次，“假包裹”欺詐層出。近期的“假包裹”欺詐主要表詐騙者用空包裹或者廉價物品裝成到付快遞寄給消費者，欺未購買該商品的消費者支付快遞費�！凹侔�裹”欺詐成為涉“快”罪的新形式。2018 年 2 月，上海市青浦破獲起到付詐騙案。經(jīng)查，犯罪嫌疑人招募工作人員，冒充知名品客服人員，通過微信免費贈送活動的虛假信息，誘使被害支付 39 元運費，隨后由閆某負責將包裝好的偽劣產(chǎn)品使用貨付款的方式通過快遞寄出，累計向全國各地發(fā)件 70 余萬件。

　　沒有網(wǎng)絡安全就沒有，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障。這一論述，把網(wǎng)絡安全上升到層面，為加快我國網(wǎng)絡安全能力建設指明了方向。2017年 6 月 1 日起施行的《中華人民國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》），是我國網(wǎng)絡領域的基礎性法律，明確強調了對個人信息的�！毒W(wǎng)絡安全法》要求企業(yè)在發(fā)現(xiàn)網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，應當及時向用戶告知并采取補救措施，否則企業(yè)負責人及相關安全責任人會受到不同程度的處罰。

　　信息安全監(jiān)管機構及物流快遞行業(yè)的主管部門加強物流快遞行業(yè)信息安全治理。網(wǎng)信辦、、工信部及國家郵政局等部門要求快遞企業(yè)應信息安全底線，并聯(lián)合制定實施信息安全監(jiān)管的措施，堵塞管理漏洞，嚴厲打擊非法泄露、販售用戶寄遞服務信息等各類違法犯為，用戶個人信息安全。2013年修訂實施的《郵政行業(yè)安全監(jiān)督管理辦法》專設通信與信息安全章節(jié)，對用戶信息安全作出具體。2016 年出臺的《網(wǎng)絡安全法》要求網(wǎng)絡運營者應當按照網(wǎng)絡安全等級制度的要求，履行相應的安全義務。2017 年，《最高、最高人民檢察院關于辦理個人信息刑事案件適用法律若干問題的解釋》正式出臺，不僅進一步明確了個人信息罪的量刑標準，而且“內(nèi)鬼”作案加倍處罰。2018 年正式實施的《快遞暫行條例》設置個人信息安全單獨條款，對違法泄露用戶信息的企業(yè)，情節(jié)嚴重的最高處 10 萬元罰款，并可以責令停業(yè)整頓直至吊銷其快遞業(yè)務經(jīng)營許可證。

　　依照這些法律法規(guī)，各地紛 加強物流快遞行業(yè)信息安全治理工作。以上海為例，2018 年，“三通一達”等 10 家快遞企業(yè)的網(wǎng)站及重要信息系統(tǒng)（主要針對涉及個人信息的信息系統(tǒng)）進行了全面審查，共梳理出 52 個網(wǎng)站及重要信息系統(tǒng)。按照《網(wǎng)絡安全法》要求，上海市對這些信息系統(tǒng)進行了網(wǎng)絡安全等級定級和測評工作，其中 29 個系統(tǒng)為等保，23 個為二級等保。目前已有 40 個信息系統(tǒng)完成測評并取得證書，12 個信息系統(tǒng)已完成等保備案，正在整改中。關鍵信息基礎設施和信息系統(tǒng)的信息安全等級工作切實加強了各快遞企業(yè)信息系統(tǒng)防泄密、防滲透、防阻斷的能力，降低了個人信息被泄漏的風險。

　　對快遞行業(yè)信息泄漏等安全問題已出現(xiàn)司法實踐，起到行業(yè)作用。2018 年，湖北荊州中級審理宣判了深圳某快遞公司員工及相關人員個人信息罪案件。涉案人員是該公司內(nèi)部具有一定權限的工作人員，掌握著重要隱私內(nèi)容，可在后臺查看客戶信息，先后泄露的個人信息達千萬余條，涉及交易金額達 20 余萬元。本案涉案人員分別被處以有期徒刑10 個月到 3 年不等。此類案件給物流快遞行業(yè)敲響了警鐘，讓全行業(yè)了解企業(yè)和信息安全收到法律，違法必究；

　　網(wǎng)絡安全標準作為網(wǎng)絡安全保障體系建設的重要組成部分，在構建安全的網(wǎng)絡空間、推動治理體系變革方面發(fā)揮著基礎性、規(guī)范性、引領性作用。對于物流快遞行業(yè)而言，網(wǎng)絡安全標準也是其安全建設的重要基石。《網(wǎng)絡安全法》，國家建立和完善網(wǎng)絡安全標準體系，國家標準化主管部門和其他有關部門根據(jù)各自職責，組織制定網(wǎng)絡安全管理及網(wǎng)絡產(chǎn)品和服務的國家標準、行業(yè)標準。全國信息安全標準化技術委員會（以下簡稱“信安標委”或“TC260”，秘書處設在中國電子技術標準化研究院）在中央網(wǎng)信辦和國家標準化管理委員會（以下簡稱“國標委”）的領導，以及有關網(wǎng)絡安全主管部門的支持下，對網(wǎng)絡安全國家標準進行統(tǒng)一技術歸口和標準化工作。信安標委下設信息安全標準體系、涉密信息安全、密碼、鑒別與授權、信息安全評估、信息安全管理、大數(shù)據(jù)安全等 7 個工作組，分別組織開展本領域標準化工作。

　　網(wǎng)絡安全國家標準體系已初具規(guī)模。目前，全國信安標委已發(fā)布 268 項國家標準，在研 97 項標準制定項目，陸續(xù)制定實施了信息系統(tǒng)安全等級系列標準、產(chǎn)品安全測評、信息安全管理體系、信息安全風險評估、云計算服務安全、個人信息安全規(guī)范、大數(shù)據(jù)服務安全能力要求等標準。此外，關鍵信息基礎設施、數(shù)據(jù)安全能力成熟度模型、數(shù)據(jù)出境安全評估、政務信息；

　　今天，快遞企業(yè)面臨著更加嚴格的法律規(guī)制和社會對信息安全日益高漲的呼聲。從企業(yè)自身健康、安全、持續(xù)發(fā)展以及履行社會責任的角度出發(fā)，很多快遞企業(yè)通過制定實施本企業(yè)信息安全風險防控制度和規(guī)范、在網(wǎng)絡基礎設施和信息系統(tǒng)建設進行更大投入、采用更高級安全防護技術等方式，系統(tǒng)性地推動風險防控工作，整體提升信息安全水平

　　保障信息安全需要技術先行。沒有強有力的安全技術體系，就談不上切實保障網(wǎng)絡信息安全。據(jù)菜鳥統(tǒng)計，約 68%的行業(yè)安全風險與技術相關，如系統(tǒng)漏洞、賬號/權限等。因此，采用先進的安全防護技術是保障物流快遞信息安全的重中之重。

　　網(wǎng)絡基礎設施在網(wǎng)絡安全中占據(jù)著重要地位。對于網(wǎng)絡基礎設施進行，往 會造成范圍廣、影響大、持續(xù)時間長的不良后果。例如，2017 年俄羅斯黑帽黑客“Rasputin”利用 SQL注入漏洞獲得了系統(tǒng)的訪問權限，黑掉 60 多所大學和美國機構的系統(tǒng)，并從中竊取了大量的信息。同年，洲際酒店旗下 12 家酒店餐廳及酒吧的支付系統(tǒng)被惡意軟件入侵，顧客的信用卡支付信息被竊取。

　　賬號安全是業(yè)務安全風險的重要入口，近年來，各大快遞公司都在完善賬號安全，例如中通快遞為解決賬號權限問題，利用AI、大數(shù)據(jù)、機器學習等技術建設了統(tǒng)一身份認證和授權系統(tǒng)，增強了中通業(yè)務系統(tǒng)的安全性。

　　在低級別的網(wǎng)絡安全域中使用。根據(jù)數(shù)據(jù)安全分級，對數(shù)施相應的策略。數(shù)據(jù)完整性，建立數(shù)據(jù)的災難恢復份機制。菜鳥利用 DSM （數(shù)據(jù)安全能力成熟度模型）將數(shù)據(jù)安全經(jīng)驗標準化，其數(shù)據(jù)安全保障能力獲得國內(nèi)外權威機構的認菜鳥高分通過等保評定及歷年復測評、具有 ISO270 資質并通過歷年 審、通過美國注冊會計師協(xié)會（AICPA2 TYPE I 審計，獲得 SOC2 TYPE I 和 SOC3 審計報告，國內(nèi)首家通過 SOC2 審計的物流公司，其系統(tǒng)安全性、可用保密性處于國際先進水平

　　郵政速遞物流為首的一些物流快遞企業(yè)逐漸開始安全管防控體系來企業(yè)和用戶信息安全。中郵速生物識別技術、大數(shù)據(jù)和風險模型，建成了“E 盾”安全臺。管，主要是管理郵件郵包中用戶個人信息等數(shù)據(jù)端實密脫敏，在應用端實施權限管控，并對生產(chǎn)環(huán)節(jié)使用信息的內(nèi)部人員應用手機認證、指紋識別等生物認證技術進行實人制認證。防，重點是防范黑灰產(chǎn)盜取郵件郵包信息。通過結合業(yè)務場景、流程、賬號屬性設計防御閾值，對超出工作正常需要的異常行為主動防御，自動注銷工號并觸發(fā)系統(tǒng)短信告警，自動通知專職安全管理員開展調查。控，重點是控制風險行為。

　　依托大數(shù)據(jù)技術對海量日志數(shù)據(jù)進行智能分析，結合賬號登錄異常、賬號查詢量異動、賬號越權訪問、服務流量異常等風險模型，實施風險識別預警和主動安全防御。平臺建成以來，已對數(shù)起可疑行為進行主動攔截和預警，結合現(xiàn)場逐一復查，強化了用戶數(shù)據(jù)安全意識，有效遏制了黑灰產(chǎn)業(yè)滲透竊取信息行為。

　　物流快遞行業(yè)的繁榮，與“新零售”的迅速發(fā)展密切相關，在物流快遞行業(yè)幫助“新零售”走完“最后一公里”的同時，也使得物流快遞行業(yè)信息安全治理變得極其重要。物流快遞行業(yè)的信息安全治理需要、行業(yè)組織、企業(yè)、等各利益相關方共同參與、共同投入。為構建安全、便捷、高效的安全，本報告嘗試提出以下：

　　首先，目前與物流快遞安全相關的法律主要有《網(wǎng)絡安全法》及相關配套法律法規(guī)、《中華人民國郵》和《快遞暫行條例》等物流快遞行業(yè)法律法規(guī)。這些法律法規(guī)仍存在內(nèi)容零散、針對性不足等問題。因此，圍繞《網(wǎng)絡安全法》等通用法律法規(guī)要求，結合物流快遞行業(yè)的特點，制定物流快遞行業(yè)的個人信息、數(shù)據(jù)安全等相關政策法規(guī)。此外，加強《刑法》、《民法》、《消費者權益保》等相關法律法規(guī)中對于泄露信息，消費者權益、危害公共利益和社會秩序的個人和組織的懲罰力度。

　　其次，加強跨部門、跨區(qū)域協(xié)作配合，加強物流快遞行業(yè)信息安全監(jiān)管與執(zhí)度。對于出售、非法提供和竊取、獲取用戶個人信息等違法犯為，零，依法嚴厲打擊。寄遞企業(yè)及從業(yè)人員旦發(fā)生出售非法提供和竊取獲取用戶個人信息；

　　其次，鼓勵物聯(lián)網(wǎng)、傳感器、大數(shù)據(jù)、云計算、人工智能等新型信息技術，以及網(wǎng)絡入侵檢測、入侵防御、安全隔離、數(shù)據(jù)管理等信息安全技術的研發(fā)和應用。引導快遞企業(yè)加強與信息安全服務提供商的合作，共同構建全生命周期的縱深安全防御體系在提高企業(yè)經(jīng)營效率的同時全面提升信息安全水平。

　　再次，加強信息安全標準化建設。技術標準作為固化技術創(chuàng)新的重要載體，在推進技術創(chuàng)新中發(fā)揮著重要作用。應鼓勵和引導重點快遞企業(yè)、互聯(lián)網(wǎng)企業(yè)、信息安全企業(yè)積極參與國家和行業(yè)標準的制修訂，逐步建立系統(tǒng)、科學的物流快遞信息安全標準體系。

　　最后，鼓勵企業(yè)開展服務模式創(chuàng)新，提升信息安全水平。在全國范圍內(nèi)大力推廣使用電子面單，指導寄遞企業(yè)采取身份掩護、權限管理、信息加密、建立線上線下投訴舉報制度等多種措施，強化對寄遞用戶個人信息。

　　 文章來源于博貝棋牌850游戲