文 | 上海华东电信研究院 左芸
习近平总书记在2018年4月召开的全国网络安全和信息化工作会议上强调,要发展数字经济,加快推动数字产业化,依靠信息技术创新驱动,不断催生新产业新业态新模式,用新动能推动新发展;要推动产业数字化,利用互联网新技术新应用对传统产业进行全方位、全角度、全链条的改造,提高全要素生产率,释放数字对经济发展的放大、叠加、倍增作用。目前,数字经济正为智慧城市高质量发展注入新动能。新型智慧城市建设已经成为我国推进供给侧结构性改革的重要内容、成为城市可持续健康发展的重要支撑。与此同时,网络攻击事件仍然频发,对用户隐私、基础网络环境、城市治理的安全冲击和影响,越来越突出。因此,建立完善的网络信息安全保障体系,有效保障各类信息、数据的安全,建设安全可靠的新型智慧城市,才能发展现代化、数字化经济,才能构筑网络强国。
一、我国智慧城市发展现状
当前,全球已启动或在建的智慧城市达1000多个,而我国提出智慧城市建设规划的城市有300多个,各类型试点城市高达500多个,成为全球智慧城市建设规模最大的国家。
1.我国智慧城市发展经历三个重要阶段
我国智慧城市发展经历了三个重要阶段。2008年至2012年,我国智慧城市发展经历第一次浪潮。这个时期,智慧城市建设以行业应用为驱动,重点技术包括无线通信、光纤宽带、超文本传输协议(HTTP)、地理信息系统(GIS)、全球卫星定位系统(GPS)技术等,信息系统以单个部门、单个系统、独立建设为主要方式,形成大量信息孤岛,信息共享多采用点对点自发共享方式。2012年至2015年,智慧城市建设开始走中国特色道路,重点推进射频识别(RFID)、3G/4G、云计算、面向服务的架构(SOA)等信息技术全面应用,系统建设呈现横纵分割特征,信息共享基于共享交换平台、以重点项目或协同型应用为抓手。2016年后,国家提出新型智慧城市概念,强调以数据为驱动,以人为本、统筹集约、注重实效,重点技术包括窄带物联网(NB-IoT)、5G、大数据、人工智能、区块链、智慧城市平台和操作系统等,信息系统向横纵联合大系统方向演变,信息共享方式从运动式向依职能共享转变。
2.我国智慧城市规划及政策助推建设深化
近几年,国家相继推出有关智慧城市建设的政策性文件,指导和助推智慧城市建设深入发展,对提升资源运用的效率,优化城市管理和服务,以及改善市民生活质量,起到推动和指导作用。自2009年开始,“智慧城市”概念在中国普及后,开始爆发式增长。2012年,《国家智慧城市试点暂行管理办法》出台;2014年,国家发改委联合七部委发布《关于促进智慧城市健康发展的指导意见》;2016年,我国首个智慧城市国家标准GB/T 33356-2016《新型智慧城市评价指标》出台;2017年,五项智慧城市国家标准发布;2018年,智慧城市标准发布达11项,内容覆盖顶层设计、平台、技术应用和数据融合等方面,成为智慧城市标准规范体系全面建立的关键年。多层次、全方位、密集发布的标准体系为新型智慧城市健康有序发展指明方向,也为各产业主体协同合作奠定基本条件,标志智慧城市从探索阶段走向规范化发展阶段,将进一步带来智慧城市产业生态的集聚。
3.新技术为智慧城市注入新的活力
移动物联网正成为增强城市运行状态感知能力、提高城市管理和民生服务效率、推动各类基于数据的智能化应用服务模式创新的重要手段,推动城市网络基础设施全面升级。
近年来,区块链技术也从点对点数字货币系统的试验技术支撑,成为重塑社会信任、变革生产关系的新技术基础。当前,新型智慧城市发展呈现线上线下融合,虚拟空间与现实空间交融的特性,信任是维系智慧城市有序运转、正常活动的核心。从这个角度讲,区块链技术应用在智慧城市的建设中具有现实基础和实际需求。
人工智能在新型智慧城市建设多领域应用率先落地,显著提升了城市管理和服务水平。我国人工智能技术在智慧城市公共安全、健康医疗、交通出行等多领域应用,取得了显著成效。人工智能技术的进一步成熟,实现判断、推理、证明、识别、感知、理解、通信、设计、思考、规划、学习和问题求解等思维活动的自动化水平不断提升,将加速渗透到智慧城市各领域。
而且,由于政策推动,以及资金的大量投入,智慧城市产业发展已迎来新的发展高潮。利用互联网、物联网、云计算、大数据、人工智能等智慧技术实现各种智慧应用,对城市重塑和再造,构建全流程、全覆盖、全模式、全响应的智能化管理与服务系统,实现城市范围内相关部门、行业、群体、系统之间的数据融合、信息共享、业务协同和智能服务。
二、智慧城市信息安全风险有别于传统网络时代
新型智慧城市的建设将实现城市全要素数字化、城市运行实时状态可视化、城市管理决策协同化和智能化。信息技术为智慧城市在平台、网络、设备三个层面提供强大可靠的支撑,使智慧城市信息安全风险具有区别于传统互联网络时代的特点,主要表现在以下几个方面。
1.多样化智能终端安全防护能力较弱
终端设备在智慧城市建设中主要负责感知外界信息,包括采集、捕获数据或识别物体等。而且,终端设备种类繁多,包括RFID芯片、读写扫描器、温度压力传感器、网络摄像头、智能可穿戴设备、无人机、智能空调冰箱、智能汽车等,其体积从小到大,功能从简单到丰富,状态或联网或断开,且都处于白盒攻击环境中。由于应用场景简单,许多终端的存储、计算能力有限,在其上部署安全软件或者高复杂度的加解密算法会增加运行负担,甚至可能导致无法正常运行;而移动化作为终端的另一大特点,使传统网络边界“消失”,依托于网络边界的安全产品无法正常发挥作用,加之许多终端设备都部署在无人监控场景中,攻击者更容易对其实施攻击;同时,智能感知设备安全防护能力普遍较弱,防盗、认证、加密、鉴别、审计等防护技术也不成熟。
2.多种异构网络抗网络攻击能力较差
智慧城市建设中,传统互联网、移动通信网、广播电视网、各种专网、传感网以及新一代网络通信技术的综合运用,实现了任何时候、任何地点以及任何设备的接入能力。这意味着多种异构网络通信传输模型相对复杂,算法破解、协议破解、中间人攻击等诸多攻击方式以及密钥、协议、核心算法、证书等被暴力破解情况时有发生。目前,已经有黑客通过分析、破解智能平衡车、无人机等设备的通信传输协议,实现对终端的入侵、劫持。在一些特殊物联网环境中,传输的信息数据仅采用简单加密甚至明文传输,黑客通过破解通信传输协议,即可读取传输的数据,并进行篡改、屏蔽等操作。
3.云端大脑内外部安全威胁较多
智能设备通过网络连接到云端大脑,然后借助App与云端大脑进行信息交互,从而实现对设备的远程管理。云端大脑能够对物联网终端所收集的数据信息进行分析与管理,以及对网络的安全管理,例如,对设备终端的认证,对攻击的应急响应和监测预警,以及对数据信息的保护和安全利用等。目前,云安全技术水平已经日趋成熟,而更多的安全威胁往往来自内部管理或外部渗透。海量数据的云端集中存储,使数据破坏、数据丢失、数据泄露等传统安全威胁在云计算中造成的后果更为严重;网络中断、云计算服务商的安全防护策略存在疏漏等造成的服务中断,将严重影响城市的管理和居民的生活出行;云环境审计的困难,使用户难以对云服务供应商的安全控制措施和访问记录进行审计,对云服务缺乏必要的后期监管,造成用户的数据资源被滥用,甚至隐私信息遭窃取和泄露。
三、保障新型智慧城市安全推动数字经济发展
安全的新型智慧城市,依托建立完善的信息安全保障体系,将成功开启城市数字化转型。通信、网络、计算、存储、连接等能力进一步提升,形成从前端感知、网络传输到大脑决策的完整闭环,为城市构筑强大有生命力的智慧城市神经系统,真正实现善政、惠民、兴业,让城市生活更加美好。
1.加强智慧城市的安全建设顶层设计
智慧城市的安全建设,一方面,应由政府主导,通过分析智慧城市建设过程的安全需求,进行顶层设计,提出安全要求,加强智慧城市建设的制度建设,通过建立安全准入制度和检测评估方法的机制,实现在推进智慧城市建设的同时,搭建一个安全架构体系。加强智慧城市安全监管、建设网络安全运营中心,通过网络安全智能分析技术,实时监控智慧城市信息化系统面临的风险并及时防范,最大限度地保障智慧城市网络、系统、数据等安全。另一方面,由企业主导,分别从感知、传输、分析协同以及服务控制等方面建立安全标准,解决智慧城市建设过程中的网络安全问题,促进智慧城市建设健康地发展。
2.注重智慧城市网络及数据安全
在数据生产、采集环节,需要实现的技术能力主要是元数据安全管理、数据类型和安全等级达标,将相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而保证各类数据安全制度有效地落地实施。在数据传输存储环节,密码技术是数据传输和存储环节应用的主要技术手段,既可以建立不同安全域间的加密传输链路,也可以直接对数据进行加密。
在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。在数据使用环节,除了传统网络安全防护技术措施外,账号权限管理、数据安全域、数据脱敏、日志管理和审计、异常行为实时监控与终端数据防泄露等,是数据有效使用的安全技术措施。
在数据共享环节,主要包括向第三方提供数据、对外披露数据等业务场景,可以与数据安全域技术结合,建设统一数据分发平台,作为数据离开数据安全域的唯一出口,有效管理数据共享行为。
3.构建智慧城市大脑防御体系
基于云端大脑,采用大数据和人工智能技术,从威胁感知,到洞察、预测、决策、协同应对的全流程安全管理,同时对终端、网络边界及对外业务等方面进行纵深防护。另外,还需要云服务提供商和安全解决方案提供商合作为用户提供创新的安全服务,对信息实施管理,并通过某种授权和控制手段,限定哪些数据可以在哪些范围内传播。基于以上手段,建立一套集风险监测、分析、预警、通报、处置和可视化运维为一体的安全体系,及时有效地发现全网已知和未知威胁攻击,并快速响应处理,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。
智慧城市的信息安全保障,不仅仅是技术和管理层面的问题,还关涉立法、公众意识、技术标准等多个层面。目前,在信息共享、资源整合、标准统一、法规等方面还存在问题,需要进一步研究与探索。
(本文刊登于《中国信息安全》杂志2019年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。