趨勢科技發(fā)表資安10大要點,協(xié)助檢視智慧城市安全性。(圖/趨勢科技提供)
甫剛結(jié)束的臺北國際電腦展COMPUTEX 2017中,而聚焦于「物聯(lián)網(wǎng)科技應用」的SmarTEX展區(qū)展示眾多嶄新應用,其中有許多皆圍繞著智慧家庭與智慧城市主題。聯(lián)合國曾預估2050年全球?qū)杏饬梢陨系娜藗兙幼∮诙际袇^(qū),現(xiàn)階段全球各地也積極投注于「智慧城市」的開發(fā)上。對此趨勢,趨勢科技日前發(fā)布「Securing Smart Cities- Moving Toward Utopia with Security in Mind」研究報告,以各個國家與城市的智慧城市案例,提醒智慧科技的發(fā)展將伴隨著不可避免的資安危機,是未來政府及企業(yè)所需面對的重要課題。
趨勢科技前瞻資安威脅研究團隊(Forward-looking Threat Research, FTR)提供智慧城市網(wǎng)路資安十大要點如下,可協(xié)助地方政府以及城市開發(fā)商檢視智慧城市的安全性,共創(chuàng)安全的智慧烏托邦:
1. 執(zhí)行品質(zhì)檢驗與滲透測試:為順利排除資料泄漏和系統(tǒng)失控等資安問題,智慧城市科技應採行嚴格的檢驗與測試標準,而地方政府機關(guān)除了雇用獨立運行滲透檢測的廠商,也應加強執(zhí)行智慧科技的品質(zhì)保證(Quality Assurance)與品質(zhì)測試(Quality Testing)流程。
2. 提前研擬資安準則:無論是地方政府機關(guān)還是開發(fā)商都應與協(xié)力供應商建立「服務層級協(xié)議」(Service Level Agreements, SLAs),確立其應達成的資安標竿為何,例如保障居民的隱私資訊、建立24小時解決回報問題的應變團隊。
3. 建立專屬的應變團隊:當面臨涉及智慧應用的資安問題時,最好設置市府下轄的電腦緊急應變小組(Computer Emergency Response Team, CERT)或網(wǎng)路資安事件應變小組(Computer Security Incident Response Team, CSIRT)。
4. 確保軟體的定期更新:一旦智慧設備的軟體提供了新的版本,就應立即予以更新,且注意最好是以符合資安條件的方式進行,例如使用加密技術(shù)或是數(shù)位簽章認證方法。
5. 妥善計畫智慧基礎建設的使用年限:地方政府應該預先規(guī)劃如何處理過時的設備,也需提前因應廠商服務到期的狀況,尤其技術(shù)支援的終止可能導致嚴重的安全漏洞問題,且也應考慮智慧基礎建設是否會有年久失修、過度使用的風險。
6. 時時謹記隱私資料處理規(guī)范:于智慧城市中搜集得來的任何資料,都應使用去識別化與匿名處理,以保護城市居民的隱私權(quán),而與智慧城市計畫不相關(guān)的資訊都應予以刪除,最后針對敏感資訊應限制存取權(quán)限。
7. 加密與限制公共的溝通管道:任何涉及敏感資料的溝通,無論是線上還是線下的管道都應予以加密,所有的智慧溝通系統(tǒng)都應至少使用一組帳戶密碼,或?qū)嵭腥缫淮涡悦艽a、生物辨識等更強的認證機制,并且也應限制溝通管道以降低中控系統(tǒng)受駭?shù)娘L險。
8. 準備手動操作備案:便利的智慧自動化系統(tǒng)也可能會有運行失靈的情況,因此應該提前準備好手動操作模式,以防遭遇網(wǎng)路斷線或駭客執(zhí)行遠端操控的危機。
9. 設計容錯的系統(tǒng):智慧城市應該要設計一種當某些元件發(fā)生故障或設計錯誤時,仍能維持正確運作的容錯系統(tǒng),如此可避免一個小缺失造成整個系統(tǒng)當機、無法運行的狀況。
10. 確保基礎服務永續(xù)運作:即使不幸遭遇整個系統(tǒng)當機的情況,也應確保所有居民能夠即時與支援緊急狀況的技術(shù)團隊取得連繫,且確保居民皆能取得如電力與水這些重要資源,舉例來說一個完善的智慧城市必須隨時備有替代能源,以因應主要電力系統(tǒng)發(fā)生故障的情況。
隨著時間演變,未來城市將變得越來越聰明,人們經(jīng)由科技來定義、存取、改善智慧城市服務和基礎架構(gòu)的機會也越來越高;然而智慧化的趨勢也就越容易引來駭客的攻擊,因此資訊安全在保護智慧城市資源與公共建設的機密性、可用性與完整性,都扮演了巨大的角色,所以不論是從頭建造或是經(jīng)由都市更新計畫建造的智慧城市,都必須兼顧功能和安全性,而趨勢科技也呼吁市府機關(guān)與開發(fā)商謹記,智慧城市建造目的是為了服務人,故應以保障人的安全為最高準則。
京公網(wǎng)安備 11010502049343號