网络信息安全在智慧城市建设中的威胁与应对
2018-02-13孙亮
孙亮
中国移动通信集团内蒙古有限公司呼和浩特分公司
0 引言
作为一个庞大且复杂的系统,智慧城市的建设可分为智能分析处理层、应用层、通信传输层以及感知层,这些智慧城市的不同层面均面临着不同程度的信息安全威胁。可以从技术、管理、政策法规以及用户共4个维度对当前智慧城市建设过程中面临的网络信息安全予以观察。四个维度中的任意维度出现安全问题,都会造成智慧城市系统结构出现变化,出现网络信息安全问题。
1 城市发展现状
近年来,中国的通信网络、计算机科学发展迅速,并且技术应用、商用化的速度非常快。智能手机的普及、智能设备的发展、万物互联的推进,以及社会生活中P2P、O2O、移动互联网接入、大数据应用等技术的落地,都为城市生活智慧化奠定了基础。越来越方便的城市生活促进了城市化进程加速,但是网络信息安全意识培养、基础技术能力普及的周期较长,成为社会高速发展过程中的重要矛盾。
目前我国智慧城市应用大致有三个方面的力量提供支撑:政府行为作为城市智慧化的纲领,为智慧城市的发展、部署确定了方向、范围;基础电信运营企业为城市信息交互提供了通道;互联网企业、民间资本为城市提供了各种应用。从目前的城市发展和IPv6、物联网的发展与应用前景来看,未来的智慧城市建设、发展空间非常大,但是随着智慧城市的发展,网络信息安全对生产生活的威胁不容忽视。
2 当前智慧城市建设过程中网络信息安全受到的威胁
2.1 技术维度
我国智慧城市建设过程中,在技术维度上面临的网络信息安全风险,主要包括智慧城市建设的核心技术、智慧基础设施等。我国在智慧城市建设过程中,大量购买和使用的智慧设施主要来自国外公司,未经国家信息安全审查,而这些设备可能存在后门、漏洞等,网络信息有可能通过这些后门、漏洞等被泄露,这些智慧基础设施面临的网络信息安全风险可归属于供应链的安全风险。除去设备的安全风险外,我国尚未掌握智慧城市建设过程中的核心技术,如大数据分析、云计算以及物联网等,这些核心技术掌握于国外公司手中,且技术仍不太成熟,存在一定的后门、漏洞等,存在信息泄露的风险,因此需要在较长的使用和发展过程中逐渐完善。以当前我国主流云平台普遍存在的问题为例,主要有配置注入漏洞、命令注入漏洞,以及传统安全保障技术面对共享式信息时出现的不适应等。配置注入漏洞是指云平台具有相当强大的功能,且其中较多功能均与配置设置相关,通过配置注入的方式,黑客可以对云平台进行攻击。命令注入漏洞是指云环境中常见大量命令调用,因此极易出现由命令注入而产生的漏洞。传统安全保障技术面对共享式信息时出现的不适应,是指传统的信息安全保障技术(如信息加密、监控审计、漏洞扫描以及防火墙等)多作用于逻辑隔离或逻辑封闭的网络信息系统,因此具有“封闭”的性质,运用于当前云计算平台、物联网等网络信息保障时,无法迅速处理协同化、开放式环境下网络信息面对的安全威胁。例如,云平台一旦受到攻击,将会导致该云平台上的所有用户都受到损失;云平台数据的共享性质导致可能受到恶意软件的影响,云平台可能出现用户数据丢失、金融欺诈、身份窃取等网络信息安全风险。同时,智慧城市中,大量传感器、智能末端设备接入网络,不同的接入方式、复杂的接入环境都将导致较为复杂的安全问题。
2.2 管理维度
管理维度存在的网络信息安全风险,指的是智慧城市的建设、运行与当前我国各级组织的信息安全管理制度存在的不适应,从而出现的信息安全问题。当前我国各级组织的制度以及制度的执行均存在不足,可能导致网络信息安全受到威胁。以智慧城市BYOD的引入而导致的网络信息安全风险为例,BYOD的含义是指各级组织将自有智能终端设备(如平板、手机、PC等)接入组织内网以满足员工的个性化办公需求。BYOD由于具有提高工作效率、减少企业设备购置费用的作用而得到普及,但是BYOD的采用导致私有设备与办公数据的物理界限模糊,导致员工甚至是外来人员可以任意进入组织内网并从中拷贝企业的重要文件。就信息安全管理制度而言,各级组织均存在信息安全风险评估,但是这一制度彻底贯彻落实仍存在一定难度。以个人信息的安全为例,智慧城市运行过程中,个人信息安全的重要性是不言而喻的,但是信息安全管理制度中就个人信息安全的重视度不足,仅出台了个人信息处理环节的规定,而关于个人信息的收集、利用、存储等环节的保护力度不足。近年来有相关法律对个人信息的保护、个人信息主体权利以及个人信息处理原则做出规定,但是这些标准由于属于非强制性标准,导致各级组织并未贯彻落实。同时,由于各级组织对网络信息安全的重视度不足,导致信息安全管理人手配置不足,部分企业将相关工作予以外包,这种做法也对网络信息安全造成威胁。
2.3 政策维度
政策法规不完善导致的安全问题,是指我国现行关于信息安全的法规、政策等无法满足智慧城市运行、建设的需求,从而导致的信息安全问题。随着智慧城市建设的推进,我国政府也正逐渐重视信息保护、数据开放、信息公开以及透明政府的重要性,对此出台了一系列政策、法规等予以支持。但是这些政策、法规尚未完善就开始大量使用国外公司提供的信息技术与服务,再加上事业、企业单位以及政府部门收集用户数据时不严格按照“数据收集最小化”的原则进行,而是过度收集用户数据,加之大数据交易中心的建造、数据的跨境流动等,都将导致更严重的信息安全问题。执法不严、有法难依等现象也是导致网络信息安全受到威胁的重要因素,在以往的信息安全理念指导下的执法、立法,已不适应信息安全的新变化。
2.4 用户维度
用户方面存在的信息安全风险,指的是用户对自身信息安全重视度不足,进而导致的信息安全风险。有报告指出,当前信息安全隐患的最主要影响因素是用户对个人信息安全意识不足,其次才是制度不完善或落实程度不高、信息管理人员失职、投入不足、信息安全培训不足、安全产品的功能不完善等。也有不少信息安全专家强调,面对黑客的攻击,员工信息安全素养不足是最难修补、也是最大的漏洞。
3 提高我国智慧城市建设中信息安全的应对措施
3.1 加大技术研发力度
面对智慧城市建设过程中存在的信息安全风险,需要加大技术研发力度,以保障技术维度的网络信息安全。应加大资金投入,鼓励企业、高校科研院所之间进行合作,根据智慧城市构架的不同,采取具有针对性的安全防护措施,努力追踪最新的技术发展动态并争取有一定突破。引入高端技术研发机构,在智慧城市的建设过程中推广并应用新型信息安全产品与技术。将发展重点设置于与智慧城市建设关系密切的新型智慧产业,如大数据、云计算以及物联网等。
3.2 出台并贯彻落实政策法规
对现行政策法规进行详细分析,明确其中的不足后予以完善。将《个人信息保护法》以专项法律的形式对个人信息的保护原则、使用原则以及开发原则予以明确,同时明确其中的各项要求,以保证个人信息安全性。智慧城市环境下,不同产业间的合作将会变得更加紧密,产品将出现多元化发展趋势,且安全协议、安全产品等更复杂,因此需要加大法规、政策的落实力度以保证法律、法规得以贯彻落实。此外,要加大对地下黑色产业链、个人信息犯罪的处罚力度。
3.3 提升用户信息安全意识
教育部门应鼓励高等院校编制信息安全核心教材、完善专业课程体系,通过开展信息安全竞赛以及加大实习交流力度等方式培养一大批信息安全专业人才,同时加大计算机基础教育普及力度,加设并完善信息安全知识模块。
设立网络安全宣传周,由培训机构、企业、政府部门等通过公益讲座等形式开展培训宣传工作,通过发放宣传手册、设置互动网站等方式开展服务咨询活动。
4 结束语
网络信息安全对保证智慧城市系统正常运行具有重大意义,要从矛盾着手,将网络信息安全工作作为智慧城市建设过程中的重点环节以保证信息安全。对此,需要从人才队伍建设、产业发展、新技术研发、制度和政策法规建设完善等多方面协同,建设完善的信息安全保障体系,从而保证智慧城市得以安全、健康且可持续地发展。