“五一”节前参加了“2018 西湖论剑•网络安全大会”的开幕式和部分主题演讲活动,这几天又学习了杭州安恒信息技术股份有限公司董事长范渊主编的《大数据时代的智慧城市与信息安全》一书,越来越深切地感受到,在当今大数据时代,没有网络安全,信息化发展越快,造成的危害就可能越大,没有安全保障的智慧城市建设,也终究像空中楼阁一样随时会轰然倒塌。
在信息技术飞速发展的今天,城市化与信息化不期而遇,又在大数据的驱动下智慧城市应运而生。智慧城市坚持以人为本的建设理念,突出为民、便民、惠民服务,在给人们的工作、生活带来便利的同时,也带来了信息安全风险。
中国工程院邬江兴院士指出了网络空间安全的本源问题,认为网络软硬件在设计上的先天缺陷导致各种安全漏洞不可避免,我们目前尚不可能彻底管控和消除漏洞、后门、木马等问题,尚无手段彻查所有网络安全问题,而且断言,在可以预见的将来,网络安全仍然是难以克服的技术挑战。
一时间让人们感觉自己无时无刻不处在无处不在的信息威胁之中,不禁发出这样的疑问:“我们所处大数据时代的信息安全真的靠谱吗?”
所幸的是,范渊这本《大数据时代的智慧城市与信息安全》给我们注入了一针强心剂,仿佛是在茫茫沙漠中遇到的一片绿洲。该书为我们提供了一套具体的大数据时代智慧城市“数据大脑”的安全建设方案,奠定了智慧城市健康发展的基石。作者分别从物联网安全、云计算安全数据资源安全、工业互联网安全以及个人信息和隐私保护五个层面给我们介绍了面临的威胁和解决的策略。
城市“数据大脑”的感知系统——物联网安全。
在智慧城市的基础设施建设中首先依赖的是物联网技术的广泛应用,物理空间的数字化、物与物的通信、城市管理的无限延伸都依托于传感器的部署、传感网的构建和物联网的应用。
但是物联网安全威胁时常发生,三星Tizen漏洞导致4000万台设备存在风险、蓝牙协议漏洞导致53亿设备存在被勒索攻击的风险、Mirai僵尸网络导致60多万物联网设备被控制、自动售货机泄漏160万用户数据、利用基带漏洞攻击百万部华为手机、安防摄像头存在远程控制风险、利用LG智能家居设备远程控制设备管理账户、汽车远程遥控漏洞导致140万辆汽车被召回,等等。
分析物联网安全威胁,将其概括为硬件设备安全、通信安全、网络接口安全、移动应用安全、云端安全和通用缺陷等六大类,而每一大类又包含若干安全威胁子类。
在此基础上,作者提出在智慧城市物联网安全管理领域,必须建立严格的全流程、全生命周期的网络安全管理理念;介绍了全球物联网安全防御策略;给出了物联网层次结构及安全模型;研究了物联网关键技术;并对物联网的安全体系进行了设计。
城市“数据大脑”的中枢神经系统——云计算安全。
云计算作为一种新兴的计算资源利用模式,还在不断发展中,传统信息系统的安全问题在云计算环境中大多依然存在,与此同时,还出现了一些新的信息安全问题和风险。
国际云安全联盟发布了最新的云计算12大威胁:数据泄漏,身份、凭证和访问管理不善,不安全的接口和应用程序编程接口,系统漏洞,账户劫持,怀有恶意的内部人士,高级持续性威胁,数据丢失,尽职调查不足,滥用和恶意使用云服务,拒绝服务,共享的技术漏洞。
研究认为,云计算平台侧主要面临以下威胁:数据物理集中,增加了风险范围;网络隔离和监测变得非常困难;宿主机、虚拟机相互影响;大数据带来大威胁。而云计算租户侧则面临以下威胁:租户对数据及设备监管能力弱;责任界定不清;对多租户环境的访问控制越发困难;应用的多样性决定了应用防护的多样性。
作者分别从云安全总体防护设计思路、面向云平台侧安全体系、面向云租户侧安全体系三个方面介绍了其安全防护的具体实践。
城市“数据大脑”的智慧源泉——数据资源安全。
智慧城市核心理念就是利用新一代信息技术,通过信息网络互联的方式将各种数据进行整合共享、监测分析,形成城市运行态势的充分透彻的感知,从而进行更加合理全面的资源调控,使城市的公共安全、环境保障、交通通信、金融能源、文化教育、医疗保健等各种公共服务实现更高效、更便捷的运行,最终实现居民生活质量极大提高,城市经济健康运行的新型城市发展目标。
智慧城市数据资源管理面临的关键问题主要是资源整合、数据建模、技术平台和安全防护四个方面。同时,智慧城市数据资源也面临数据泄漏、数据伪造、越权访问、数据损毁、数据跨境等安全风险。
作者从时间、空间、业务三个维度给出了智慧城市数据安全防护的总体思路。其中数据的生命周期是时间维度,数据在智慧城市信息系统架构中所处的位置是空间维度,数据的状态、类型以及访问需求是业务维度。并分别介绍了安恒、阿里云、华为、京东、中国移动、IBM等企业大数据安全实践,给我们提供一种借鉴。
城市“数据大脑”的动力系统——工业互联网安全。
工业互联网是以数字化、网络化、智能化为主要特征,通过系统构建网络、平台、安全三大功能体系,打造人、机、物全面互联的新型网络基础设施。工业互联网引领数字世界与机器世界的深度融合,是统筹推进制造强国和网络强国的重要结合点。
但是工业互联网同样面临着责任主体、平台安全、网络安全、终端安全和数据安全等方面的威胁;同时,工业互联网的发展带来了许多全新的挑战,如工业互联与数据流动带来的新的信息安全挑战,工业互联网平台的引入降低了安全可控程度,工业互联网开放化标准导致攻击难度降低,等等。
作者借鉴美国、德国等国政府以工业控制系统安全和制造业安全为核心,推进工业互联网安全保障的做法,提出了我国工业互联网以顶层设计为基础,以政策标准为引导,以态势感知为条件,以检查评估为抓手,以通报应急为重点,以公共服务为依托,以产业促进为根本的安全防护整体方案。
城市“数据大脑”的安全底线——个人信息和隐私保护。
随着我国信息化建设的不断推进和互联网应用的日趋普及,在推动社会发展和技术变革的同时,也为企业和个人信息保护带来了新的挑战。特别是近些年,个人信息在被各类主体挖掘和利用的同时,因个人信息泄漏所引发的侵权、欺诈等信息犯罪行为日益严重,已对全社会造成了巨大损失,严重影响了社会安定。
对此,国家陆续颁布、实施了一系列法律、规范。但是相较欧美、日本和香港地区个人信息与隐私保护的立法实践,我们还有不少的差距。因此,建议应立足国情,学习和借鉴国外及港澳台地区立法和实践经验,制定符合自身发展需要的个人信息保护法律,完善法律体系。
用大数据分析的方法解决大数据时代的信息安全问题。
针对大数据时代的特点,作者提出要用大数据分析的方法解决大数据时代的信息安全问题。
因为日益膨胀的安全数据,带来的海量异构数据的融合、存储和管理问题,需要借助云计算、大数据、区块链等技术来解决。我们可以借助基于大数据分析技术的机器学习和数据挖掘算法,智能的洞悉信息与网络安全的态势,更加主动、弹性地去应对智慧城市建设过程中各种新型复杂的威胁和未知多变的风险。
同时,通过安全即服务的云端防护方式,可以更加快捷高效的构建防御体系,及时有效地抵御各种安全威胁,实现安全与智慧的腾飞。
本书对于信息安全领域的同仁有很好的启迪作用。对于普通的百姓该以什么样的心态对待当今的信息安全问题呢?建议大家始终记住以下四句话。
一是“上网有风险,使用需谨慎”。信息网络风险始终是客观存在的,目前尚没有完全意义上的网络安全。
二是“矛盾是普遍存在的,但有予就有盾”。信息威胁与信息防护始终是一对矛盾体,随着信息技术的不断发展,旧的信息威胁解决了,新的信息威胁又会产生,自然又会有新的信息安全解决方案,这是一个不断发展完善的过程;
三是“达尔文的用进废退理论在信息领域同样适用”。没有信息发展,经济社会发展将会愈发滞后,网络安全更没有保障,甚至已有的安全也会丧失;
四是“始终跟上时代的步伐”。在信息安全这个问题上,不能因噎废食,要大胆地去拥抱大数据时代的到来。
网友评论