物聯(lián)網(wǎng)、云計算、新一代通信技術(shù)以及大數(shù)據(jù)的應(yīng)用,使得智慧城市建設(shè)面臨考驗:在智慧城市給人們生活帶來更多便利的同時,近年來國內(nèi)外一連串的信息、數(shù)據(jù)安全泄密事件的發(fā)生也給社會造成一些隱憂。作為新一代城市生活形態(tài),信息安全已成為智慧城市建設(shè)中不容忽視的問題。
對于智慧城市這個城市級的信息化系統(tǒng)來說,其不同的部分、不同環(huán)境存在不同安全隱患。一般而言,智慧城市可能面臨的新型安全隱患包括基礎(chǔ)設(shè)施安全、終端接入安全、核心技術(shù)安全、民生領(lǐng)域信息安全和城市大數(shù)據(jù)安全。
智慧城市建設(shè)存在脆弱性
由于物聯(lián)網(wǎng)、云計算等新興技術(shù)的信息安全保障技術(shù)還不成熟,因此智慧城市的建設(shè)中會存在許多的脆弱性。對智慧城市而言,云端數(shù)據(jù)資源的高度共享性,使得云平臺在惡意軟件作用下,產(chǎn)生數(shù)據(jù)丟失、IP和身份竊取、金融欺詐和盜竊等隱患。
此外,分布式拒絕服務(wù)攻擊(DDoS)也具有快速摧毀整個云基礎(chǔ)架構(gòu)的潛力,并且當(dāng)云平臺受到攻擊時,所有相關(guān)賬戶也將牽涉其中,導(dǎo)致該平臺服務(wù)的千萬用戶受到不可估量的損失。目前,技術(shù)供應(yīng)商不斷強調(diào)事前加密、安全監(jiān)控等手段,加強對云服務(wù)的安全保障,但信息基礎(chǔ)設(shè)施安全保障體系仍需要通過長期的應(yīng)用和發(fā)展慢慢完善。
智能終端造成數(shù)據(jù)泄露
智慧城市將大量的智能終端設(shè)備和傳感器接入智慧網(wǎng)絡(luò),由此產(chǎn)生復(fù)雜的接入環(huán)境、多樣化的接入方式、數(shù)量龐大的智能接入終端,帶來更復(fù)雜的信息安全問題。
隨著新型智能軟件的不斷研發(fā)和嵌入,移動智能終端將成為人們參與智慧生活的首要工具,其面臨的安全威脅也更加嚴(yán)峻。一方面,移動終端系統(tǒng)存在巨大的信息安全隱患;另一方面,移動終端應(yīng)用中也存在各種安全問題,如iOS前50款免費應(yīng)用軟件中,有60%會追蹤用戶位置,有54%會訪問用戶聯(lián)系人列表,有60%會與廣告或分析公司分享數(shù)據(jù),造成個人數(shù)據(jù)泄露,從而帶來嚴(yán)重的社會問題。
智慧城市信息核心技術(shù)缺失
目前,我國智慧城市建設(shè)信息核心技術(shù)依賴于國外。IBM、Oracle和EMC公司在智慧城市建設(shè)領(lǐng)域特別是業(yè)務(wù)信息系統(tǒng)、數(shù)據(jù)庫管理和業(yè)務(wù)解決方案市場占據(jù)主導(dǎo)地位,產(chǎn)生“IOE”依賴癥。這些新技術(shù)本身就存在各種脆弱性,還有可能存在一些不可控制的隱蔽信道和后門。
在這種情況下,我國數(shù)以十億計的用戶信息都存在巨大安全隱患,甚至威脅國家安全。如2011年谷歌公司將存儲在其云端服務(wù)器的歐洲資料中心的信息交給美國情報機構(gòu),對歐洲的信息安全造成了重大的潛在威脅。因此,如何使我國的信息核心技術(shù)更好地保障智慧城市信息安全的需求,增強核心技術(shù)的自主可控性,是我們在智慧城市建設(shè)中應(yīng)當(dāng)重視的問題。
信息安全侵害領(lǐng)域逐漸擴(kuò)大
智慧城市整合了政府、金融機構(gòu)、醫(yī)院、運營商、企業(yè)等多方面資源,從智能安防到智能電網(wǎng),從二維碼普及到移動支付,智慧城市民生服務(wù)領(lǐng)域不斷擴(kuò)大,與此同時,信息安全侵害的領(lǐng)域也在不斷擴(kuò)大。隨著居民生活對智能網(wǎng)絡(luò)依賴性的增長,個人、家庭的生活信息通過物聯(lián)網(wǎng)全方位暴露,使得個人信息泄露風(fēng)險加劇。例如,智慧社區(qū)個人IP、身份、住址的信息泄露,增加了個人遭受金融詐騙的風(fēng)險。
在智慧城市建設(shè)的初期,人們普遍缺乏個人信息保護(hù)意識,也缺乏安全防護(hù)實踐,使得民生領(lǐng)域中信息安全所面臨的問題變得更為復(fù)雜。
智慧城市是城市運行和管理的高級信息化應(yīng)用,為城市的管理人員提供了這個城市運行的大數(shù)據(jù)。而城市運行管理大數(shù)據(jù)很容易成為網(wǎng)絡(luò)攻擊的顯著目標(biāo),導(dǎo)致城市管理信息泄密。同時,隨著經(jīng)濟(jì)社會運行對這些應(yīng)用的依賴程度日益增加,當(dāng)這些應(yīng)用系統(tǒng)受到攻擊,產(chǎn)生數(shù)據(jù)破壞、信息丟失時,將對城市的運行和管理造成重大的打擊,并難以恢復(fù),導(dǎo)致城市日常生活癱瘓或造成重大經(jīng)濟(jì)損失。
構(gòu)建強大的信息安全保障體系
在智慧城市的建設(shè)中,如何才能應(yīng)對上述新型安全隱患?答案是構(gòu)建強大的信息安全保障體系,這個體系必須包含組織、制度、管理、技術(shù)等多個方面,才有能力為智慧城市的發(fā)展保駕護(hù)航。
構(gòu)建信息安全組織保障體系。建立合理、有效的安全組織架構(gòu),配備和設(shè)立安全決策、管理、執(zhí)行以及監(jiān)管的主要責(zé)任人員崗位和機構(gòu),明確各級機構(gòu)的角色與責(zé)任。
構(gòu)建信息安全制度保障體系。建立智慧城市建設(shè)信息安全總體方針框架、標(biāo)準(zhǔn)規(guī)范和信息安全管理規(guī)范、流程、制度體系,作為智慧城市建設(shè)信息安全保障的行為準(zhǔn)則、依據(jù)和指導(dǎo)。
構(gòu)建信息安全管理保障體系。形成一整套對信息安全有效管理的規(guī)定,完善信息安全管理與控制的流程,將高層人員參與、安全績效考核、人員信息安全意識與技能培訓(xùn)等納入信息安全管理保障體系,保證智慧城市安全運行。
構(gòu)建信息安全技術(shù)保障體系。不斷開發(fā)適應(yīng)信息安全新形勢的新技術(shù)與產(chǎn)品,實現(xiàn)不同層次的身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和抗抵賴等安全功能,從物理、網(wǎng)絡(luò)、主機、應(yīng)用、終端和數(shù)據(jù)幾個層面建立起強健的智慧城市信息安全技術(shù)保障體系。
構(gòu)建信息安全災(zāi)難恢復(fù)體系。建設(shè)災(zāi)備中心,建立業(yè)務(wù)連續(xù)性計劃、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)計劃等,定期對相應(yīng)計劃進(jìn)行有效性評測和完善,定期開展會員參與的應(yīng)急演練,保證智慧城市運行的業(yè)務(wù)連續(xù)性。
構(gòu)建定期的信息安全風(fēng)險測評、評估機制。建立有效的風(fēng)險識別、控制和處置機制,定期進(jìn)行充分的現(xiàn)狀調(diào)研和風(fēng)險評估或?qū)嵤┬畔⑾到y(tǒng)安全等級保護(hù)測評等安全測評過程,對信息系統(tǒng)存在的風(fēng)險狀況進(jìn)行評估,并采取相應(yīng)的有效措施。
作為新一代城市生活形態(tài),智慧城市能走多遠(yuǎn),取決于信息安全走多遠(yuǎn)。隨著智慧城市試點工作的不斷開展,基礎(chǔ)設(shè)施、終端接入、核心技術(shù)、民生領(lǐng)域、城市大數(shù)據(jù)等方面的信息安全問題日益凸顯??傮w來說,智慧城市面臨的信息安全挑戰(zhàn)剛剛開始,需要我們進(jìn)行前瞻性考慮。
從智慧城市未來建設(shè)和發(fā)展的角度思考,需要通過頂層設(shè)計和統(tǒng)籌協(xié)調(diào),建設(shè)智慧城市信息安全保障體系,并形成體系化的完整閉環(huán)。同時也應(yīng)該看到,大數(shù)據(jù)在帶來了安全隱患的同時也為信息安全的發(fā)展提供了新機遇,這些都將不斷推動智慧城市信息安全體系的發(fā)展和成熟。