由于物聯(lián)網(wǎng)、云計算等新興技術(shù)的信息安全保障技術(shù)還不成熟,因此智慧城市的建設(shè)中會存在許多的脆弱性。對智慧城市而言,云端數(shù)據(jù)資源的高度共享性,使得云平臺在惡意軟件作用下……
近年來,隨著物聯(lián)網(wǎng)、云計算、網(wǎng)絡(luò)技術(shù)以及大數(shù)據(jù)的發(fā)展,智慧城市建設(shè)也迎來新的挑戰(zhàn),在智慧城市日益發(fā)展的同時,數(shù)據(jù)安全問題成為影響建設(shè)與發(fā)展的一大困擾,不少人擔憂自己的信息會被泄露、濫用,信息安全問題不容忽視。
日前,2014中國(蘇州)智慧城市院士論壇舉行,7位信息工程領(lǐng)域的中國工程院院士就智慧城市的頂層設(shè)計、安全保障、惠民體驗等話題進行了探討。北京市公安局原副局長于春全說,目前智慧城市在全國興起,特別是智能交通投入很大,并已形成產(chǎn)業(yè),但智慧城市建設(shè)所帶來的信息安全問題讓院士們感到憂慮。
中國工程院院士沈昌祥說,一定要讓網(wǎng)絡(luò)安全和信息安全成為智慧城市建設(shè)的重點。他說,“棱鏡門”只是美國實施信息監(jiān)控和入侵的冰山一角,斯諾登只是揭穿了美國發(fā)展網(wǎng)絡(luò)的假面具。沈昌祥認為,網(wǎng)絡(luò)信息安全的規(guī)劃應與智慧城市的規(guī)劃同步。
中國工程院院士陳鯨認為,智慧城市是中國城市現(xiàn)代化的重要部分,是以信息技術(shù)為中心建成的大系統(tǒng),但是在這個過程中有不可預見的風險,比如網(wǎng)絡(luò)安全、反腐維穩(wěn)、突發(fā)災害等,因此要加強區(qū)域性的安全建設(shè)。
中國工程院院士馬遠良表示,智慧城市是信息化引領(lǐng)城市化的過程,要加強安保系統(tǒng)建設(shè),特別要注意金融安全、醫(yī)療系統(tǒng)安全等方面,要在建設(shè)之初優(yōu)先考慮這些方面的系統(tǒng)安全。
智慧城市面臨新型信息安全隱患
—信息基礎(chǔ)設(shè)施安全脆弱性加大
由于物聯(lián)網(wǎng)、云計算等新興技術(shù)的信息安全保障技術(shù)還不成熟,因此智慧城市的建設(shè)中會存在許多的脆弱性。對智慧城市而言,云端數(shù)據(jù)資源的高度共享性,使得云平臺在惡意軟件作用下,產(chǎn)生數(shù)據(jù)丟失、IP和身份竊取、金融欺詐和盜竊等隱患。此外,分布式拒絕服務(wù)攻擊(DDoS)也具有快速摧毀整個云基礎(chǔ)架構(gòu)的潛力,并且當云平臺受到攻擊時,所有相關(guān)賬戶也將牽涉其中,導致該平臺服務(wù)的千萬用戶受到不可估量的損失。如2010年的蠕蟲病毒震網(wǎng)(stuxnet)感染了全球超過45000個網(wǎng)絡(luò),給各國的電力部門帶來了巨大的威脅和破壞。目前,技術(shù)供應商不斷強調(diào)事前加密、安全監(jiān)控等手段,加強對云服務(wù)的安全保障,但信息基礎(chǔ)設(shè)施安全保障體系仍需要通過長期的應用和發(fā)展慢慢完善。
—終端接入聚集信息安全威脅
智慧城市將大量的智能終端設(shè)備和傳感器接入智慧網(wǎng)絡(luò),由此產(chǎn)生復雜的接入環(huán)境、多樣化的接入方式、數(shù)量龐大的智能接入終端,帶來更復雜的信息安全問題。
隨著新型智能軟件的不斷研發(fā)和嵌入,移動智能終端將成為人們參與智慧生活的首要工具,其面臨的安全威脅也更加嚴峻。一方面,移動終端系統(tǒng)存在巨大的信息安全隱患;另一方面,移動終端應用中也存在各種安全問題,如iOS前50款免費應用軟件中,有60%會追蹤用戶位置,有54%會訪問用戶聯(lián)系人列表,有60%會與廣告或分析公司分享數(shù)據(jù),造成個人數(shù)據(jù)泄露,從而帶來嚴重的社會問題。
—智慧城市信息核心技術(shù)缺失
目前,我國智慧城市建設(shè)信息核心技術(shù)依賴于國外。IBM、Oracle和EMC公司在智慧城市建設(shè)領(lǐng)域特別是業(yè)務(wù)信息系統(tǒng)、數(shù)據(jù)庫管理和業(yè)務(wù)解決方案市場占據(jù)主導地位,產(chǎn)生“IOE”依賴癥。這些新技術(shù)本身就存在各種脆弱性,還有可能存在一些不可控制的隱蔽信道和后門。在這種情況下,我國數(shù)以十億計的用戶信息都存在巨大安全隱患,甚至威脅國家安全。如2011年谷歌公司將存儲在其云端服務(wù)器的歐洲資料中心的信息交給美國情報機構(gòu),對歐洲的信息安全造成了重大的潛在威脅。因此,如何使我國的信息核心技術(shù)更好地保障智慧城市信息安全的需求,增強核心技術(shù)的自主可控性,是我們在智慧城市建設(shè)中應當重視的問題。
—民生領(lǐng)域信息安全風險加劇
智慧城市整合了政府、金融機構(gòu)、醫(yī)院、運營商、企業(yè)等多方面資源,從智能安防到智能電網(wǎng),從二維碼普及到移動支付,智慧城市民生服務(wù)領(lǐng)域不斷擴大,與此同時,信息安全侵害的領(lǐng)域也在不斷擴大。隨著居民生活對智能網(wǎng)絡(luò)依賴性的增長,個人、家庭的生活信息通過物聯(lián)網(wǎng)全方位暴露,使得個人信息泄露風險加劇。例如,智慧社區(qū)個人IP、身份、住址的信息泄露,增加了個人遭受金融詐騙的風險。
在智慧城市建設(shè)的初期,人們普遍缺乏個人信息保護意識,也缺乏安全防護實踐,使得民生領(lǐng)域中信息安全所面臨的問題變得更為復雜。
—城市大數(shù)據(jù)安全隱患嚴重
智慧城市是城市運行和管理的高級信息化應用,為城市的管理人員提供了這個城市運行的大數(shù)據(jù)。而城市運行管理大數(shù)據(jù)很容易成為網(wǎng)絡(luò)攻擊的顯著目標,導致城市管理信息泄密。同時,隨著經(jīng)濟社會運行對這些應用的依賴程度日益增加,當這些應用系統(tǒng)受到攻擊,產(chǎn)生數(shù)據(jù)破壞、信息丟失時,將對城市的運行和管理造成重大的打擊,并難以恢復,導致城市日常生活癱瘓或造成重大經(jīng)濟損失。
構(gòu)建強大的信息安全,保障體系
在智慧城市的建設(shè)中,如何才能應對上述新型安全隱患?答案是構(gòu)建強大的信息安全保障體系,這個體系必須包含組織、制度、管理、技術(shù)等多個方面,才有能力為智慧城市的發(fā)展保駕護航。
構(gòu)建信息安全組織保障體系。建立合理、有效的安全組織架構(gòu),配備和設(shè)立安全決策、管理、執(zhí)行以及監(jiān)管的主要責任人員崗位和機構(gòu),明確各級機構(gòu)的角色與責任。
構(gòu)建信息安全制度保障體系。建立智慧城市建設(shè)信息安全總體方針框架、標準規(guī)范和信息安全管理規(guī)范、流程、制度體系,作為智慧城市建設(shè)信息安全保障的行為準則、依據(jù)和指導。
構(gòu)建信息安全管理保障體系。形成一整套對信息安全有效管理的規(guī)定,完善信息安全管理與控制的流程,將高層人員參與、安全績效考核、人員信息安全意識與技能培訓等納入信息安全管理保障體系,保證智慧城市安全運行。
構(gòu)建信息安全技術(shù)保障體系。不斷開發(fā)適應信息安全新形勢的新技術(shù)與產(chǎn)品,實現(xiàn)不同層次的身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和抗抵賴等安全功能,從物理、網(wǎng)絡(luò)、主機、應用、終端和數(shù)據(jù)幾個層面建立起強健的智慧城市信息安全技術(shù)保障體系。
構(gòu)建信息安全災難恢復體系。建設(shè)災備中心,建立業(yè)務(wù)連續(xù)性計劃、應急響應和災難恢復計劃等,定期對相應計劃進行有效性評測和完善,定期開展會員參與的應急演練,保證智慧城市運行的業(yè)務(wù)連續(xù)性。
構(gòu)建定期的信息安全風險測評、評估機制。建立有效的風險識別、控制和處置機制,定期進行充分的現(xiàn)狀調(diào)研和風險評估或?qū)嵤┬畔⑾到y(tǒng)安全等級保護測評等安全測評過程,對信息系統(tǒng)存在的風險狀況進行評估,并采取相應的有效措施。
點評:江蘇省郵電規(guī)劃設(shè)計院總工程師袁源
作為新一代城市生活形態(tài),智慧城市能走多遠,取決于信息安全走多遠。隨著智慧城市試點工作的不斷開展,基礎(chǔ)設(shè)施、終端接入、核心技術(shù)、民生領(lǐng)域、城市大數(shù)據(jù)等方面的信息安全問題日益凸顯。總體來說,智慧城市面臨的信息安全挑戰(zhàn)剛剛開始,需要我們進行前瞻性考慮。從智慧城市未來建設(shè)和發(fā)展的角度思考,需要通過頂層設(shè)計和統(tǒng)籌協(xié)調(diào),建設(shè)智慧城市信息安全保障體系,并形成體系化的完整閉環(huán)。同時也應該看到,大數(shù)據(jù)在帶來了安全隱患的同時也為信息安全的發(fā)展提供了新機遇,這些都將不斷推動智慧城市信息安全體系的發(fā)展和成熟。