信息安全與網絡安全密不可分,在智慧城市建設過程中,二者往小處說有可能涉及個人隱私泄露,往大處說,事關危機處理、決策判斷。因此,無論個人、企業還是國家機構都提高了對它們的重視程度,增加了資金和技術方面的投入。
智慧城市是多應用、多行業、復雜系統組成的綜合體。多個應用系統之間存在信息共享、交互的需求。而云計算恰好可以打破信息孤島,充分利用大數據來實現各個系統之間的協同運行。但云計算是需要無處不在的網絡連接和隨時隨地可用的大數據來支撐的。因此,在遍布智慧城市每一個角落的網絡,大數據為智慧城市各個環節的運作提供強大支持。那么,智慧城市建設中可能存在哪些安全隱患,就此筆者近期采訪了卡巴斯基中國區售前經理魏文佳,聽取了他在智慧城市安全方面的見解。
在智慧城市中,很多數據并不是人工提供的,而是依靠探針、物聯網設備等聯網設備自動收集提取的。在這些數據收集過程和上傳過程中,數據是否會泄露?答案是肯定的。魏文佳表示:“數據在收集過程中會牽涉到很多環節,比如說兩端的應用程序、設備、網絡,以及使用者。應用程序會有編碼方面的漏洞,設備會有管理方面的漏洞,網絡會有傳輸協議之間的漏洞,而人則可能受到各種社會工程學(社交工程學)方面的欺騙。目前諸多安全廠商針對這類問題所提供的解決方案主要是Anti-APT、滲透測試、應用程序評估,以及安全意識評估等。當然普通用戶,也可以通過安裝個人版的安全軟件、訂閱一些信息安全方面的公眾號、提升安全保密意識等方法,來確保自己的個人信息不被盜用、濫用。”
收集數據的過程如此,那在數據傳輸和分享的過程中又會有哪些風險呢?魏文佳認為:“分享的目標是什么、通過什么渠道分享、數據是否需要模糊處理、最終分享范圍如何控制、如何確保數據分享過程中的隱秘性,甚至分享后的數據如何回收。這些環節都可能存在漏洞。這些漏洞有些是技術層面的,有些是與流程相關的。”
他舉例說明:“當我們在一個智慧城市項目中獲取了大量數據的同時,也意味著我們獲得了一定數量的財富,當然這可能是隱性的。但是當我們要再次利用這些數據,提供給其他部門、其他企業進行二次分析時,就會涉及到諸多問題——是否允許分享,允許分享哪些數據,如何定義數據的等級,誰來監管數據的分享過程,誰來確保數據不會被再次轉售。而涉及技術層面的有:通過什么加密手段來確保分享過程的保密性,通過何種技術對數據進行模糊處理,同時又確保這些數據不會被反向還原,如何確保數據回收過程的完整度。這些問題不僅需要安全廠商們去思考解決,也需要政府相關部門協調資源,通過一些法律、制度來監督。”
數據不僅在收集和分享過程中會受到安全威脅,在數據存儲過程里也可能落入陷阱。你以為數據存儲在服務器數據中心就萬無一失了嗎?答案是否定的。據卡巴斯基調查,2016年6月,xDedic地下黑市販賣全球超過7萬臺被感染服務器訪問權限,有些最低售價只有6美元。絕大多數的服務器在購買其訪問權限之后,就可以獲得該服務器存儲的所有信息。
魏文佳在看到這些全球被感染的服務器名單之后發現:“被感染的服務器行業分布的前三類是運營商、教育、互聯網行業。它們都有一些共通點——服務器數量多,應用復雜,終端用戶水平相差巨大。”
那到底有什么好方法可以幫助企業用戶抵御這些威脅呢?雖然這些行業每年在信息安全上預算并不低,但是絕大多數花費停留在“防御”這個環節,當安全問題真正發生并在企業內部不斷擴散時,企業更急需解決的是“如何檢測”和“如何響應”這兩大問題。魏文佳表示,卡巴斯基實驗室已經具備幫助用戶應對這些事件的解決方案,在今后一段時間內,卡巴斯基會持續與這些遭受感染的用戶保持接洽,幫助它們構筑完整的安全陣線。
如今都在說軟件定義存儲、軟件定義網絡、軟件定義某某……那么是不是說軟件定義安全可以完全取代硬件安全產品呢?如果答案是肯定的,為什么還有眾多硬件安全廠商能夠生存下來?對此筆者非常好奇,并就此問題與魏文佳進行了探討。魏文佳認為:“軟件可以說是硬件的核心,但是不可能完全替代硬件產品。用戶的安全架構并非一朝一夕就能改變,每個行業也有其特點,或許未來某一天硬件會逐漸碎片化,絕大部分的硬件將僅僅成為一種或者多種軟件的承載體,但是就目前的環境而言,兩者仍是‘最佳拍檔’。”
卡巴斯基長久以來始終在安全軟件領域發展,這是不是就說明軟件可以解決所有安全問題呢?卡巴斯基有沒有考慮發展安全硬件產品?針對筆者的疑問,魏文佳表示:“卡巴斯基目前仍然在安全軟件領域發展,但是我們最新的幾項解決方案也逐漸嘗試與硬件相結合,這種結合不僅僅是利用硬件解決安全問題,也包含了解決硬件自身的安全問題。例如我們的工控安全解決方案,就是解決企業工控環境中硬件設備所遭遇的威脅。”
上述安全風險僅僅是智慧城市建設中明顯存在的一部分風險,還有一些安全漏洞和風險是隱性的,難以覺察的。大數據和物聯網技術相互依存,共同支撐智慧城市的良性運行。因此,需要更多的技術標準和相關法律法規來確保它們的安全,但這絕不是一蹴而就的,需要在長期實踐中不斷摸索。
京公網安備 11010502049343號