在全球打造智慧城市的浪潮中,利用先進的信息技術是必然,其覆蓋領域及范圍還將越來越寬,公共信息安全遭受到前所未有的挑戰。誰動了我們的數據?
美國人斯諾登使得全世界的人對于信息安全有了更進一步的了解,好奇、恐懼、擔憂等因“棱鏡門”而生的復雜情緒得以持續發酵。這場最為現實的公共信息安全事件讓不少國人驚覺,原來我們亦遭受著公共信息泄密的危險現實。
2014年底,一到“春運”就愛“掉鏈子”的12306網站,又因用戶數據被泄露而再遭公眾的瘋狂吐槽。去年12月25日,專注于互聯網安全漏洞報告的烏云平臺發布報告稱,大量12306用戶數據在互聯網瘋傳,包括用戶賬號、明文密碼、身份證、郵箱等,導致用戶資料大量泄露。很快,烏云平臺的這項報告就得到了12306官方網站的正面回應,其發布公告稱,經認真核查,此泄露信息全部含有用戶的明文密碼。
12306網站信息泄露事件僅僅是公共信息安全隱患的冰山一角。在全球打造智慧城市的浪潮中,利用先進的信息技術不僅是必然,而且其覆蓋領域及范圍還將越來越寬,公共信息安全也因此遭受到前所未有的挑戰。
近六成人認為公共信息安全面臨威脅
“在利用先進信息技術打造智慧城市的過程中,您認為是否會面臨著公共信息安全的威脅呢?”這是“2015中國平安小康指數”調查問卷的一道題目,結果顯示,59%的人選擇“是”,33.8%的人表示“不好說”,僅有7.2%的人認為“不是”。
對此,中國信息通信研究院泰爾終端實驗室信息安全部副主任、高級工程師落紅衛亦給出了肯定的答案。
顯然,理解智慧城市公共信息安全首先要對它所處的大環境——智慧城市有所了解。落紅衛告訴記者,智慧城市概念的提出本質上是為了解決一系列城市發展所面臨的問題:諸如人口增加使得本就局促的社會資源更顯稀缺,需要通過一系列技術手段來解決這些問題,進而支撐整個城市的發展。通過包括物聯網、云計算、大數據、移動互聯網在內的信息技術,使得城市變得更智能,資源配置更合理。
然而,在智慧城市建設之路上,信息安全必將受到前所未有的挑戰。落紅衛舉例說,人行走在原始的荒原之上,基本不會有安全問題,而一旦修好了路,人開始奔跑,就有了摔倒的風險。當道路修建得更好,人可以穿上旱冰鞋進行快速滑行,危險系數也會伴著更高速的運動而提高。
在2014年,諸多公共信息安全事件讓人瞠目結舌,除了12306網站用戶信息泄露、“棱鏡門”持續發酵外,俄、烏黑客在網絡空間展開激戰、韓國核電站關鍵信息被竊取、攜程網曝支付信息泄露漏洞、圓通快遞官網漏洞泄露1400萬用戶信息等等,無一不暴露出公共信息安全的脆弱性。對此,落紅衛解釋稱,網絡安全特性之一就是相對性,安全和風險永遠是一個動態性的問題,沒有絕對的安全,從內部因素來看,一些安全隱患和漏洞是無法避免的。另外,智慧城市把用戶資產、國家資產等放到信息管理網絡中來,有資產,就會引人重視,繼而發起攻擊。內外因素共同作用于智慧城市建設,就對信息安全形成了威脅。
最擔心政務管理信息被泄露
雖然我國的智慧城市建設與歐美發達國家相比仍有較大差距,但是在建設過程中,其覆蓋范圍已經延伸到涉及民生的方方面面。究竟公眾最擔心哪些應用項目的信息被泄露呢?調查結果顯示,27.5%的人選擇了政務管理運營平臺,23.8%的人認為是健康醫療服務,21.6%的人選了安居服務,20%的選擇了公共服務,選擇教育文化服務與交通的分別為4.7%和2.4%。
與此相對應的是,在“最需要加強信息安全的應用項目”一題的調查中,26.3%的受訪者指向了“智慧政務城市綜合管理運營平臺”,使得該選項在智慧公共服務、智慧交通、智慧服務應用等八大類應用項目選項中排名首位。
政務管理運營平臺的公共信息層面較高,主要涉及公安部門、法院系統以及政府各部門。機密信息泄露會對當地乃至國家產生較大影響。在落紅衛看來,我國政務管理運營平臺建設方面,仍存在一些欠缺。不少政務系統相對封閉,而就整個國家信息技術發展來看,一些技術并沒有在政務平臺得到很好應用??赡墚a生的結果是,外部信息網絡發達,而政務平臺自身比較脆弱,這樣就不可避免存在一定安全風險。據英國BBC網站報道,2014年10月12日,網絡黑客組織“匿名者”在當日入侵逾52個中國政府網站,盜取了四萬多個電郵賬戶的私人資料和密碼,水利部、教育部和人社部的網站一度無法顯示。
落紅衛建議,保障政務運營平臺的信息安全首先要依靠法律法規制約,這是第一級別的威懾,需要制定嚴格處罰規章。另外,還需要引進最先進的技術,在安全建設和安全運維方面也要特別加強。
公共信息終歸是由一個個用戶信息匯聚而成,其二者的關系就是大數據與小數據的關系。大數據來源于小數據,并服務于小數據,兩者相互補充。一旦大數據出現泄露可能直接影響個人隱私被泄露。
而以上正是人們所擔心的。43.6%的人認為,智慧城市建設中最有可能面臨的信息安全威脅就是個人隱私的泄密。人們最擔心哪些個人隱私被泄露呢?85.5%的人選了個人身份信息,72.9%的人認為是個人金融交易,58.7%的人認為是個人資產,38.8%的認為是出行軌跡,選擇個人喜好的占19.3%。
保護信息安全:技術與管理并行
“智慧城市發展過程,一定是兩手并行發展,一方面讓信息技術更發達,同時也需要信息安全網絡安全的措施加以保障。”落紅衛補充道。
在保護信息安全措施一題的調查中,加強信息系統安全運行監管,加強立法、規范、標準的制定和建立信息安全事件應急處置機制被受訪者認為是保障信息安全最有效的三個措施。對此,落紅衛表示認同,但他也指出,對于完整的信息安全保護而言,這還遠遠不夠。
落紅衛表示,保護信息安全要遵循四大原則,第一是全面性原則,堅持技術與管理并重。在技術層面上涉及物理安全、網絡安全、主機安全、應用安全以及數據安全。在管理層面上同樣有五個層次,即安全機制、安全管理、人員安全、建設安全以及運維安全。如果只強調技術而輕視管理,有些黑客完全可以通過最粗魯的方式進行破壞。第二個原則是相對性,安全是個動態過程,需要對保護技術進行相應提升。第三是針對性原則,安全方案一定是針對某一個或某一類安全威脅而制定。第四是層次性原則,即逐級增強安全措施。
落紅衛特別強調了信息安全立法的重要性,他認為法律是所有工作的基礎,只有將其作為根本,再相應出臺一些部門規章,加上技術與管理,幾方面同時并重,才能真正達到對信息安全的保護。
除信息安全外,公共安全與應急管理也是建設平安的智慧城市的重要內容。目前,歐美不少國家已經開始把大數據等新技術運用到公共安全與應急管理中,并取得了一定成效,最為顯著的是,利用空間感知系統打擊恐怖活動和預防違法行為等。很多參與調查的受訪者亦表達了此類意愿,那么他們希望將哪些項目最先納入智慧城市的建設當中?“呼聲”最高的五項是食品安全(81.4%)、社會公共安全(75%)、公共衛生安全(74.9%)、消防安全(38.7%)和生產安全(37.9%)。