信息安全與網(wǎng)絡(luò)安全密不可分,在智慧城市建設(shè)過程中,二者往小處說有可能涉及個人隱私泄露,往大處說,事關(guān)危機處理、決策判斷。因此,無論個人、企業(yè)還是國家機構(gòu)都提高了對它們的重視程度,增加了資金和技術(shù)方面的投入。
智慧城市是多應用、多行業(yè)、復雜系統(tǒng)組成的綜合體。多個應用系統(tǒng)之間存在信息共享、交互的需求。而云計算恰好可以打破信息孤島,充分利用大數(shù)據(jù)來實現(xiàn)各個系統(tǒng)之間的協(xié)同運行。但云計算是需要無處不在的網(wǎng)絡(luò)連接和隨時隨地可用的大數(shù)據(jù)來支撐的。因此,在遍布智慧城市每一個角落的網(wǎng)絡(luò),大數(shù)據(jù)為智慧城市各個環(huán)節(jié)的運作提供強大支持。那么,智慧城市建設(shè)中可能存在哪些安全隱患,就此筆者近期采訪了卡巴斯基中國區(qū)售前經(jīng)理魏文佳,聽取了他在智慧城市安全方面的見解。
在智慧城市中,很多數(shù)據(jù)并不是人工提供的,而是依靠探針、物聯(lián)網(wǎng)設(shè)備等聯(lián)網(wǎng)設(shè)備自動收集提取的。在這些數(shù)據(jù)收集過程和上傳過程中,數(shù)據(jù)是否會泄露?答案是肯定的。魏文佳表示:“數(shù)據(jù)在收集過程中會牽涉到很多環(huán)節(jié),比如說兩端的應用程序、設(shè)備、網(wǎng)絡(luò),以及使用者。應用程序會有編碼方面的漏洞,設(shè)備會有管理方面的漏洞,網(wǎng)絡(luò)會有傳輸協(xié)議之間的漏洞,而人則可能受到各種社會工程學(社交工程學)方面的欺騙。目前諸多安全廠商針對這類問題所提供的解決方案主要是Anti-APT、滲透測試、應用程序評估,以及安全意識評估等。當然普通用戶,也可以通過安裝個人版的安全軟件、訂閱一些信息安全方面的公眾號、提升安全保密意識等方法,來確保自己的個人信息不被盜用、濫用。”
收集數(shù)據(jù)的過程如此,那在數(shù)據(jù)傳輸和分享的過程中又會有哪些風險呢?魏文佳認為:“分享的目標是什么、通過什么渠道分享、數(shù)據(jù)是否需要模糊處理、最終分享范圍如何控制、如何確保數(shù)據(jù)分享過程中的隱秘性,甚至分享后的數(shù)據(jù)如何回收。這些環(huán)節(jié)都可能存在漏洞。這些漏洞有些是技術(shù)層面的,有些是與流程相關(guān)的。”
他舉例說明:“當我們在一個智慧城市項目中獲取了大量數(shù)據(jù)的同時,也意味著我們獲得了一定數(shù)量的財富,當然這可能是隱性的。但是當我們要再次利用這些數(shù)據(jù),提供給其他部門、其他企業(yè)進行二次分析時,就會涉及到諸多問題——是否允許分享,允許分享哪些數(shù)據(jù),如何定義數(shù)據(jù)的等級,誰來監(jiān)管數(shù)據(jù)的分享過程,誰來確保數(shù)據(jù)不會被再次轉(zhuǎn)售。而涉及技術(shù)層面的有:通過什么加密手段來確保分享過程的保密性,通過何種技術(shù)對數(shù)據(jù)進行模糊處理,同時又確保這些數(shù)據(jù)不會被反向還原,如何確保數(shù)據(jù)回收過程的完整度。這些問題不僅需要安全廠商們?nèi)ニ伎冀鉀Q,也需要政府相關(guān)部門協(xié)調(diào)資源,通過一些法律、制度來監(jiān)督。”
數(shù)據(jù)不僅在收集和分享過程中會受到安全威脅,在數(shù)據(jù)存儲過程里也可能落入陷阱。你以為數(shù)據(jù)存儲在服務(wù)器數(shù)據(jù)中心就萬無一失了嗎?答案是否定的。據(jù)卡巴斯基調(diào)查,2016年6月,xDedic地下黑市販賣全球超過7萬臺被感染服務(wù)器訪問權(quán)限,有些最低售價只有6美元。絕大多數(shù)的服務(wù)器在購買其訪問權(quán)限之后,就可以獲得該服務(wù)器存儲的所有信息。
魏文佳在看到這些全球被感染的服務(wù)器名單之后發(fā)現(xiàn):“被感染的服務(wù)器行業(yè)分布的前三類是運營商、教育、互聯(lián)網(wǎng)行業(yè)。它們都有一些共通點——服務(wù)器數(shù)量多,應用復雜,終端用戶水平相差巨大。”
那到底有什么好方法可以幫助企業(yè)用戶抵御這些威脅呢?雖然這些行業(yè)每年在信息安全上預算并不低,但是絕大多數(shù)花費停留在“防御”這個環(huán)節(jié),當安全問題真正發(fā)生并在企業(yè)內(nèi)部不斷擴散時,企業(yè)更急需解決的是“如何檢測”和“如何響應”這兩大問題。魏文佳表示,卡巴斯基實驗室已經(jīng)具備幫助用戶應對這些事件的解決方案,在今后一段時間內(nèi),卡巴斯基會持續(xù)與這些遭受感染的用戶保持接洽,幫助它們構(gòu)筑完整的安全陣線。
如今都在說軟件定義存儲、軟件定義網(wǎng)絡(luò)、軟件定義某某……那么是不是說軟件定義安全可以完全取代硬件安全產(chǎn)品呢?如果答案是肯定的,為什么還有眾多硬件安全廠商能夠生存下來?對此筆者非常好奇,并就此問題與魏文佳進行了探討。魏文佳認為:“軟件可以說是硬件的核心,但是不可能完全替代硬件產(chǎn)品。用戶的安全架構(gòu)并非一朝一夕就能改變,每個行業(yè)也有其特點,或許未來某一天硬件會逐漸碎片化,絕大部分的硬件將僅僅成為一種或者多種軟件的承載體,但是就目前的環(huán)境而言,兩者仍是‘最佳拍檔’。”
卡巴斯基長久以來始終在安全軟件領(lǐng)域發(fā)展,這是不是就說明軟件可以解決所有安全問題呢?卡巴斯基有沒有考慮發(fā)展安全硬件產(chǎn)品?針對筆者的疑問,魏文佳表示:“卡巴斯基目前仍然在安全軟件領(lǐng)域發(fā)展,但是我們最新的幾項解決方案也逐漸嘗試與硬件相結(jié)合,這種結(jié)合不僅僅是利用硬件解決安全問題,也包含了解決硬件自身的安全問題。例如我們的工控安全解決方案,就是解決企業(yè)工控環(huán)境中硬件設(shè)備所遭遇的威脅。”
上述安全風險僅僅是智慧城市建設(shè)中明顯存在的一部分風險,還有一些安全漏洞和風險是隱性的,難以覺察的。大數(shù)據(jù)和物聯(lián)網(wǎng)技術(shù)相互依存,共同支撐智慧城市的良性運行。因此,需要更多的技術(shù)標準和相關(guān)法律法規(guī)來確保它們的安全,但這絕不是一蹴而就的,需要在長期實踐中不斷摸索。