智慧城市安全問題初探

責任編輯:editor005

作者:趙明

2016-07-11 13:59:00

摘自:中國計算機報

信息安全與網絡安全密不可分,在智慧城市建設過程中,二者往小處說有可能涉及個人隱私泄露,往大處說,事關危機處理、決策判斷。需要更多的技術標準和相關法律法規(guī)來確保它們的安全,但這絕不是一蹴而就的,需要在長期實踐中不斷摸索。

信息安全與網絡安全密不可分,在智慧城市建設過程中,二者往小處說有可能涉及個人隱私泄露,往大處說,事關危機處理、決策判斷。因此,無論個人、企業(yè)還是國家機構都提高了對它們的重視程度,增加了資金和技術方面的投入。

智慧城市是多應用、多行業(yè)、復雜系統(tǒng)組成的綜合體。多個應用系統(tǒng)之間存在信息共享、交互的需求。而云計算恰好可以打破信息孤島,充分利用大數(shù)據來實現(xiàn)各個系統(tǒng)之間的協(xié)同運行。但云計算是需要無處不在的網絡連接和隨時隨地可用的大數(shù)據來支撐的。因此,在遍布智慧城市每一個角落的網絡,大數(shù)據為智慧城市各個環(huán)節(jié)的運作提供強大支持。那么,智慧城市建設中可能存在哪些安全隱患,就此筆者近期采訪了卡巴斯基中國區(qū)售前經理魏文佳,聽取了他在智慧城市安全方面的見解。

在智慧城市中,很多數(shù)據并不是人工提供的,而是依靠探針、物聯(lián)網設備等聯(lián)網設備自動收集提取的。在這些數(shù)據收集過程和上傳過程中,數(shù)據是否會泄露?答案是肯定的。魏文佳表示:“數(shù)據在收集過程中會牽涉到很多環(huán)節(jié),比如說兩端的應用程序、設備、網絡,以及使用者。應用程序會有編碼方面的漏洞,設備會有管理方面的漏洞,網絡會有傳輸協(xié)議之間的漏洞,而人則可能受到各種社會工程學(社交工程學)方面的欺騙。目前諸多安全廠商針對這類問題所提供的解決方案主要是Anti-APT、滲透測試、應用程序評估,以及安全意識評估等。當然普通用戶,也可以通過安裝個人版的安全軟件、訂閱一些信息安全方面的公眾號、提升安全保密意識等方法,來確保自己的個人信息不被盜用、濫用。”

收集數(shù)據的過程如此,那在數(shù)據傳輸和分享的過程中又會有哪些風險呢?魏文佳認為:“分享的目標是什么、通過什么渠道分享、數(shù)據是否需要模糊處理、最終分享范圍如何控制、如何確保數(shù)據分享過程中的隱秘性,甚至分享后的數(shù)據如何回收。這些環(huán)節(jié)都可能存在漏洞。這些漏洞有些是技術層面的,有些是與流程相關的。”

他舉例說明:“當我們在一個智慧城市項目中獲取了大量數(shù)據的同時,也意味著我們獲得了一定數(shù)量的財富,當然這可能是隱性的。但是當我們要再次利用這些數(shù)據,提供給其他部門、其他企業(yè)進行二次分析時,就會涉及到諸多問題——是否允許分享,允許分享哪些數(shù)據,如何定義數(shù)據的等級,誰來監(jiān)管數(shù)據的分享過程,誰來確保數(shù)據不會被再次轉售。而涉及技術層面的有:通過什么加密手段來確保分享過程的保密性,通過何種技術對數(shù)據進行模糊處理,同時又確保這些數(shù)據不會被反向還原,如何確保數(shù)據回收過程的完整度。這些問題不僅需要安全廠商們去思考解決,也需要政府相關部門協(xié)調資源,通過一些法律、制度來監(jiān)督。”

數(shù)據不僅在收集和分享過程中會受到安全威脅,在數(shù)據存儲過程里也可能落入陷阱。你以為數(shù)據存儲在服務器數(shù)據中心就萬無一失了嗎?答案是否定的。據卡巴斯基調查,2016年6月,xDedic地下黑市販賣全球超過7萬臺被感染服務器訪問權限,有些最低售價只有6美元。絕大多數(shù)的服務器在購買其訪問權限之后,就可以獲得該服務器存儲的所有信息。

魏文佳在看到這些全球被感染的服務器名單之后發(fā)現(xiàn):“被感染的服務器行業(yè)分布的前三類是運營商、教育、互聯(lián)網行業(yè)。它們都有一些共通點——服務器數(shù)量多,應用復雜,終端用戶水平相差巨大。”

那到底有什么好方法可以幫助企業(yè)用戶抵御這些威脅呢?雖然這些行業(yè)每年在信息安全上預算并不低,但是絕大多數(shù)花費停留在“防御”這個環(huán)節(jié),當安全問題真正發(fā)生并在企業(yè)內部不斷擴散時,企業(yè)更急需解決的是“如何檢測”和“如何響應”這兩大問題。魏文佳表示,卡巴斯基實驗室已經具備幫助用戶應對這些事件的解決方案,在今后一段時間內,卡巴斯基會持續(xù)與這些遭受感染的用戶保持接洽,幫助它們構筑完整的安全陣線。

如今都在說軟件定義存儲、軟件定義網絡、軟件定義某某……那么是不是說軟件定義安全可以完全取代硬件安全產品呢?如果答案是肯定的,為什么還有眾多硬件安全廠商能夠生存下來?對此筆者非常好奇,并就此問題與魏文佳進行了探討。魏文佳認為:“軟件可以說是硬件的核心,但是不可能完全替代硬件產品。用戶的安全架構并非一朝一夕就能改變,每個行業(yè)也有其特點,或許未來某一天硬件會逐漸碎片化,絕大部分的硬件將僅僅成為一種或者多種軟件的承載體,但是就目前的環(huán)境而言,兩者仍是‘最佳拍檔’。”

卡巴斯基長久以來始終在安全軟件領域發(fā)展,這是不是就說明軟件可以解決所有安全問題呢?卡巴斯基有沒有考慮發(fā)展安全硬件產品?針對筆者的疑問,魏文佳表示:“卡巴斯基目前仍然在安全軟件領域發(fā)展,但是我們最新的幾項解決方案也逐漸嘗試與硬件相結合,這種結合不僅僅是利用硬件解決安全問題,也包含了解決硬件自身的安全問題。例如我們的工控安全解決方案,就是解決企業(yè)工控環(huán)境中硬件設備所遭遇的威脅。”

上述安全風險僅僅是智慧城市建設中明顯存在的一部分風險,還有一些安全漏洞和風險是隱性的,難以覺察的。大數(shù)據和物聯(lián)網技術相互依存,共同支撐智慧城市的良性運行。因此,需要更多的技術標準和相關法律法規(guī)來確保它們的安全,但這絕不是一蹴而就的,需要在長期實踐中不斷摸索。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號