物聯網、云計算、新一代通信技術以及大數據的應用,使得智慧城市建設面臨考驗:在智慧城市給人們生活帶來更多便利的同時,近年來國內外一連串的信息、數據安全泄密事件的發生也給社會造成一些隱憂。作為新一代城市生活形態,信息安全已成為智慧城市建設中不容忽視的問題。
對于智慧城市這個城市級的信息化系統來說,其不同的部分、不同環境存在不同安全隱患。一般而言,智慧城市可能面臨的新型安全隱患包括基礎設施安全、終端接入安全、核心技術安全、民生領域信息安全和城市大數據安全。
智慧城市建設存在脆弱性
由于物聯網、云計算等新興技術的信息安全保障技術還不成熟,因此智慧城市的建設中會存在許多的脆弱性。對智慧城市而言,云端數據資源的高度共享性,使得云平臺在惡意軟件作用下,產生數據丟失、IP和身份竊取、金融欺詐和盜竊等隱患。
此外,分布式拒絕服務攻擊(DDoS)也具有快速摧毀整個云基礎架構的潛力,并且當云平臺受到攻擊時,所有相關賬戶也將牽涉其中,導致該平臺服務的千萬用戶受到不可估量的損失。目前,技術供應商不斷強調事前加密、安全監控等手段,加強對云服務的安全保障,但信息基礎設施安全保障體系仍需要通過長期的應用和發展慢慢完善。
智能終端造成數據泄露
智慧城市將大量的智能終端設備和傳感器接入智慧網絡,由此產生復雜的接入環境、多樣化的接入方式、數量龐大的智能接入終端,帶來更復雜的信息安全問題。
隨著新型智能軟件的不斷研發和嵌入,移動智能終端將成為人們參與智慧生活的首要工具,其面臨的安全威脅也更加嚴峻。一方面,移動終端系統存在巨大的信息安全隱患;另一方面,移動終端應用中也存在各種安全問題,如iOS前50款免費應用軟件中,有60%會追蹤用戶位置,有54%會訪問用戶聯系人列表,有60%會與廣告或分析公司分享數據,造成個人數據泄露,從而帶來嚴重的社會問題。
智慧城市信息核心技術缺失
目前,我國智慧城市建設信息核心技術依賴于國外。IBM、Oracle和EMC公司在智慧城市建設領域特別是業務信息系統、數據庫管理和業務解決方案市場占據主導地位,產生“IOE”依賴癥。這些新技術本身就存在各種脆弱性,還有可能存在一些不可控制的隱蔽信道和后門。
在這種情況下,我國數以十億計的用戶信息都存在巨大安全隱患,甚至威脅國家安全。如2011年谷歌公司將存儲在其云端服務器的歐洲資料中心的信息交給美國情報機構,對歐洲的信息安全造成了重大的潛在威脅。因此,如何使我國的信息核心技術更好地保障智慧城市信息安全的需求,增強核心技術的自主可控性,是我們在智慧城市建設中應當重視的問題。
信息安全侵害領域逐漸擴大
智慧城市整合了政府、金融機構、醫院、運營商、企業等多方面資源,從智能安防到智能電網,從二維碼普及到移動支付,智慧城市民生服務領域不斷擴大,與此同時,信息安全侵害的領域也在不斷擴大。隨著居民生活對智能網絡依賴性的增長,個人、家庭的生活信息通過物聯網全方位暴露,使得個人信息泄露風險加劇。例如,智慧社區個人IP、身份、住址的信息泄露,增加了個人遭受金融詐騙的風險。
在智慧城市建設的初期,人們普遍缺乏個人信息保護意識,也缺乏安全防護實踐,使得民生領域中信息安全所面臨的問題變得更為復雜。
智慧城市是城市運行和管理的高級信息化應用,為城市的管理人員提供了這個城市運行的大數據。而城市運行管理大數據很容易成為網絡攻擊的顯著目標,導致城市管理信息泄密。同時,隨著經濟社會運行對這些應用的依賴程度日益增加,當這些應用系統受到攻擊,產生數據破壞、信息丟失時,將對城市的運行和管理造成重大的打擊,并難以恢復,導致城市日常生活癱瘓或造成重大經濟損失。
構建強大的信息安全保障體系
在智慧城市的建設中,如何才能應對上述新型安全隱患?答案是構建強大的信息安全保障體系,這個體系必須包含組織、制度、管理、技術等多個方面,才有能力為智慧城市的發展保駕護航。
構建信息安全組織保障體系。建立合理、有效的安全組織架構,配備和設立安全決策、管理、執行以及監管的主要責任人員崗位和機構,明確各級機構的角色與責任。
構建信息安全制度保障體系。建立智慧城市建設信息安全總體方針框架、標準規范和信息安全管理規范、流程、制度體系,作為智慧城市建設信息安全保障的行為準則、依據和指導。
構建信息安全管理保障體系。形成一整套對信息安全有效管理的規定,完善信息安全管理與控制的流程,將高層人員參與、安全績效考核、人員信息安全意識與技能培訓等納入信息安全管理保障體系,保證智慧城市安全運行。
構建信息安全技術保障體系。不斷開發適應信息安全新形勢的新技術與產品,實現不同層次的身份鑒別、訪問控制、數據完整性、數據保密性和抗抵賴等安全功能,從物理、網絡、主機、應用、終端和數據幾個層面建立起強健的智慧城市信息安全技術保障體系。
構建信息安全災難恢復體系。建設災備中心,建立業務連續性計劃、應急響應和災難恢復計劃等,定期對相應計劃進行有效性評測和完善,定期開展會員參與的應急演練,保證智慧城市運行的業務連續性。
構建定期的信息安全風險測評、評估機制。建立有效的風險識別、控制和處置機制,定期進行充分的現狀調研和風險評估或實施信息系統安全等級保護測評等安全測評過程,對信息系統存在的風險狀況進行評估,并采取相應的有效措施。
作為新一代城市生活形態,智慧城市能走多遠,取決于信息安全走多遠。隨著智慧城市試點工作的不斷開展,基礎設施、終端接入、核心技術、民生領域、城市大數據等方面的信息安全問題日益凸顯。總體來說,智慧城市面臨的信息安全挑戰剛剛開始,需要我們進行前瞻性考慮。
從智慧城市未來建設和發展的角度思考,需要通過頂層設計和統籌協調,建設智慧城市信息安全保障體系,并形成體系化的完整閉環。同時也應該看到,大數據在帶來了安全隱患的同時也為信息安全的發展提供了新機遇,這些都將不斷推動智慧城市信息安全體系的發展和成熟。