网络安全为智慧城市护航
“互联网+”掀起的巨大浪潮,把物联网、云计算、大数据等迅速推至风口浪尖。大量信息通信技术被运用于各行各业,催生了城市信息化的高级形态,也引发了对智慧城市的探讨。
智慧城市建设加快推进
智慧城市,是指将现代信息通信技术与城市传统基础设施有机结合,以城市智能网络设施为基础,感知、分析、整合城市运行系统的各项关键信息,对各种需求作出智能响应,以全面提升城市运营管理效率、提高政务管理水平、推动产业转型升级、激发新兴行业动力等,最终引领城市科学发展,达到前所未有的智慧状态。
2008年,IBM总裁发表演讲《智慧地球:下一代的领导议程》,首次提出智慧地球的概念,成为城市信息化建设的代名词,并得到奥巴马政府的积极回应。
随着世界城市规模持续、加速扩张,智慧城市作为全新城市建设模式,正成为城市发展新的制高点。很多国家和地区认识到智慧城市理念的前瞻性和先进性,相继提出了建设智慧城市的战略举措。2013年,在工业和信息化部的指导支持下,我国成立智慧城市产业联盟。
目前,智慧城市建设已覆盖我国电力、交通、医疗等各行各业,以及政务、商业、生活等方方面面。智慧城市包含感知层、通信传输层、应用层、智能分析与协同层4个层面,高度集中了众多新兴科技应用,是一项庞大而复杂的系统工程。它们一方面使城市内部的联系更为紧密与动态化,另一方面又在每个层面都存在网络安全问题,且与传统时代的网络安全有很大差别,会直接对现实世界造成实质性影响,如交通瘫痪、电力中断、环境污染、医疗系统失灵等,甚至引发局部社会动荡。
网络安全风险无处不在
结合智慧城市建设实际,笔者认为,其网络安全风险主要表现在以下几个方面。
1.数据泄露与丢失:网络威胁复杂性日增。数据泄露与丢失一直是一个老生常谈的话题。2013年的“棱镜”事件让人们看到了美国准确无误地对即时通信、既存资料进行深度监控的野心与实力,任何网民的一举一动,都可能被美国情报部门看在眼里、记在“芯”上。
毫无疑问,“互联网+”的推进及智慧城市建设不可规避这方面的风险。智慧城市在推动区域或行业信息基础设施集约化发展的同时,所带来的基础资源的高度共享性,加大了数据泄露与丢失、IP和身份被窃、金融欺诈等安全风险。
随着大数据成为新的生产力,数据的集聚与使用也大大加剧了安全隐患。尤其是经济社会运行对智慧城市应用系统的依赖程度日益加深,当其受到攻击,引发数据破坏与灾难时,或将对城市甚至国家的运行管理造成重大且难以恢复的打击。
2.终端及系统设备:安全威胁的集散地。大量智能终端和传感器接入智慧城市综合网络,产生了复杂的接入环境、多样化的接入方式,全面加大了智慧城市系统的接入风险。但当下,智慧城市运用的诸多终端分布零散,且大多处于无序状态,缺乏统一、有效的管理,安全性无法得到有效保障。
同时,智慧城市建设所应用的软硬件中,我国拥有自主知识产权的产品较少,基础操作系统、核心芯片和数据库管理软件等多由国外产品占据或主导。整个智慧城市系统就像一个巨大的“黑盒子”,其中隐藏的人为设置或程序错误造成的漏洞,难以被我方所周知和掌握。而我方基于智慧城市的信息管理系统架构、网络拓扑结构等一旦被国外掌握,就相当于获取了网络空间的“地形图”,如果开战,无异于引敌长驱直入。
3.云平台:恶意软件侵害加剧。云平台作为智慧城市规划方案中必不可少的一环,是提供智能服务的地基。一旦云平台受到攻击,所有相关账户必将牵涉其中。虽然我国云服务运营时间短,且规模较小,但网络安全隐患却不容小觑。有数据表明,仅对云计算平台进行攻击的恶意软件数量从2011年以来就一直居高不下,近年来,企图通过分布式拒绝服务攻击摧毁智慧城市云服务基础架构的行径也比以往更为活跃。
而与之形成鲜明对比的是,我国云服务安全技术标准体系尚处于起步阶段,相应的信息安全保障技术还未完全孵化成熟,技术供应商不断强调的事前加密、安全监控等手段远远不能覆盖现实需求,云平台建设仍然存在诸多脆弱性,这也给层出不穷的恶意软件实施网络侵害留下了缺口。
提升安全保障水平时不我待
1.从管理层面提升网络安全保障水平。从管理角度布局施策,相当于在技术防护介入前,为智慧城市的网络安全打下地基。
首先,智慧城市的建设不是千城一面,要根据区域比较优势、经济水平等因地制宜、因时制宜,整体部署网络安全策略,制定并不断更新网络安全规划;第二,建立合理、有效的安全组织架构,配备和设立安全决策、管理、执行以及监管机构与责任人,明确角色定位与责任分工;第三,健全与智慧城市发展相适应的信息安全制度,如安全责任制度、定期检查制度等,加强日常监督与防护;第四,城市管理者应强化公众网络安全教育,让其认识到威胁的严重性,并能在生活中主动加强防御意识与基本技能训练;第五,智慧城市应建立网络安全人才培养基地,为后续安全城市的构建提供充足的人才资源。
2.从技术角度提高抵御风险的能力。坚守安全底线,加快核心技术和关键部件研发是永恒的主题。目前,在关键技术上,我国开始逐步摆脱“IOE”(服务器提供商IBM、数据库软件提供商Oracle和存储设备提供商EMC)等国外巨头依赖症。“BAT”(百度、阿里巴巴、腾讯)、联想、浪潮等国内企业已在加速追赶,并在国内的智慧城市建设中占据一席之地。
眼下,智慧城市应用层的信息安全技术仍略显不足,信息终端、数据监控、设备监控、存储安全等领域的技术创新依然跟不上核心技术的升级换代。未来,信息技术与信息安全技术相互融合、相互促进正成为趋势,主动防御技术与被动防护技术相结合也将成为信息安全技术发展的重点。
与此同时,从智慧城市的建设实践来看,强化城市级网络空间态势感知至关重要,这要求智慧城市建立网络威胁预警防护体系,监控总体安全态势,及时感知网络安全威胁的变化,提供病毒木马、钓鱼诈骗、漏洞报告等在内的安全情报,帮助政府、企业、个人应对潜在的安全风险。
3.建立智慧城市信息安全检测与评估机构。当前,我国信息安全标准并未统一,使智慧城市信息安全检测认证受到一定限制。从长远发展角度而言,建立第三方信息安全检测、评估及认证机构已成为趋势。目前不少发达国家正采取相关做法,并取得了一定成效。
这一方面可刺激与智慧城市相关的物联网、传感网、云计算等核心技术加速提升相关性能,进而降低系统性、基础性安全风险;另一方面也有助于及时识别智慧城市运行中的不安全因素,将安全应急的关口前移,包括成立网络信息安全应急响应部门,建立起灾难预警、救援体系。
亚里士多德有句名言:“人们来到城市是为了生活,人们居住在城市是为了生活得更好。”智慧城市的建设给人们的生活以及各行各业的发展开辟了巨大的空间。作为城市生活的新形态,智慧城市能走多远,某种意义上取决于网络信息安全能够保障多远。在这一过程中,只有建立完整、高效、可持续的安全保障体系,智慧城市建设才能顺利落地,美好的蓝图才能走进现实。