智慧城市建設面臨的四大安全風險

在上周舉行的2018ISC互聯網安全大會上，360企業安全集團總裁吳云坤接受記者采訪時表示，智慧城市是整個城市信息化改造非常重要的手段。隨著信息化的不斷深入，可能出現幾大安全風險：

第一個風險，大數據集中會面臨極大風險。在智慧城市中，數據的集中直接導致，一旦數據被竊取或者信息泄露，就可能造成整個信息泄露的風險，這是非常大的問題。

第二個風險，攻擊面增大導致風險巨大。智慧城市中擁有大量的物聯網設備，原來的網絡空間從一個機房已經擴展到全城，隨著物理邊界的擴大，受攻擊面也隨之增加，面臨攻擊威脅的物理設備甚至已達到千萬級乃至億級。

第三個風險，城市生命線面臨威脅。比如水電氣、軌道交通，老的工業控制系統等出現的問題。隨著信息化的發展，這些系統目前已全部接入到互聯網中，作為城市的生命線，一旦被攻擊所造成的后果將不堪設想。

第四個風險，生產系統的安全問題。很多信息化的系統隨著互聯網+政府和工業制造，這些系統一旦連入互聯網，對于制造業會造成一定的影響。

傳統的安全思維和體系已經無法滿足智慧城市的安全防護需求

那么，針對這些風險，該如何防范呢?吳云坤認為，傳統的安全思維和體系已經無法滿足智慧城市的安全防護需求，智慧城市的安全風險防范需要做到以下幾點：

第一，要做到“關口前移”，從根本上解決問題。2018年4月21日，習總書記在網信工作會議上提到了四個字“關口前移”。“關口前移”是指把安全保障前移到信息化的早期。這樣做有兩個非常好的結果：一是把安全內嵌到系統中，而不是建設完成之后外在修補，這樣可以從本質上提高安全保障能力;二是提升安全預算比例。中國的安全預算在整個信息化投入中只有1%-3%，但如果和美國一樣做到5%-10%的話，就可以提供更多更好的安全防護。

第二，就是技術對抗的問題。保護運行在各個物聯網設備和系統中的數據，保護身份邊界安全;保護大數據的數據，而不是保護大數據系統;保護云的安全，換句話說就是要保護新興的IT基礎設施。

第三，用新IT技術做安全。大數據本身就是一種新興的IT技術，背后有人工智能等。本來安全也可以運用所謂的人工智能技術、大數據技術來做防護。態勢感知就是用大數據、人工智能技術來解決這個問題。

最后，就是生態問題。如果“關口前移”做好，新興IT基礎設施受到了良好的保護，這時你會發現，安全不再是獨立的。從信息化的提供商，包括軟硬件技術供應商，甚至是節能商，大家都在其中。“一方面，做安全廠商一定要信息化，成為大生態的一部分;另一方面，要利用資本和技術優勢，把一堆中小型的融資服務商全放在這個城市或行業里，在出現的問題時候為他所調用。”

擴大產業規模是對抗安全威脅的必由之路

在當日ISC安全大會上，吳云坤做了題為《雙輪驅動下的安全產業變革》的主題演講，他表示，目前網絡安全領域從經濟角度面臨攻防不對稱，攻擊方可以集中人力、物力集中攻擊單一目標，但是防守方要面對很多組織，防御的投資遠遠高于攻擊者的成本。要提升防守能力，就要改善目前的不對稱狀況，迫切需要擴大網絡安全產業規模，發展網絡安全產業，需要擴大產業規模以更好地對抗安全威脅。

那么，究竟該如何擴大網絡安全產業規模?對此，結合產業實踐，吳云坤提出了擴大產業規模的三個路徑：

首先是“關口前移”，借助信息化和業務系統改造的契機，走向同步規劃、同步建設的模式。產業規模是由網絡安全投入和預算決定的，而前期的規劃會決定預算和投入的大小。“關口前移，防患于未然”的本質就是回到安全本源問題，從零開始加入到信息化的規劃當中，將安全嵌入到信息化和業務系統中，從信息化角度做安全，真正讓安全成為“內生”。尤其是今天在數字化轉型的大背景下，以云計算、大數據、物聯網、人工智能為核心的新一代信息技術應用系統建設過程中，同步規劃、同步建設和同步運營安全系統，提升安全投資和預算。

其次是安全建設從威脅和合規導向轉向能力導向。從被動威脅應對和標準合規導向，走向構建能力導向的安全防御體系，這種能力不是針對一種威脅，而是把“滑動標尺”的能力模型抽象出來，通過靜態縮小攻擊面以及動態的監測響應、應急處置構建完整體系。涉及的不是單一產品、單一技術，而是包括了多個產品、多種技術和包括人在內的多種能力的體系，在這個過程中擴大產業規模。

最后是從安全產業發展角度，迫切需要大量能力環環相扣的企業組成的生態系統，需要大量具有實戰化能力的大中小型企業，而絕不能僅僅指望一兩家局限或者專精于片面領域的優秀企業解決網絡空間安全防御問題。

吳云坤呼吁，產業中的骨干企業應當肩負起歷史責任，積極培育面向綜合能力的生態圈，促進大量專精某種能力的中小企業快速發展，同時根據科學合理的頂層設計來加強能力整合，通過規劃與總集成等方式向企業輸出實戰化的解決方案。