智慧城市安全问题初探

信息安全与网络安全密不可分，在智慧城市建设过程中，二者往小处说有可能涉及个人隐私泄露，往大处说，事关危机处理、决策判断。因此，无论个人、企业还是国家机构都提高了对它们的重视程度，增加了资金和技术方面的投入。

智慧城市是多应用、多行业、复杂系统组成的综合体。多个应用系统之间存在信息共享、交互的需求。而云计算恰好可以打破信息孤岛，充分利用大数据来实现各个系统之间的协同运行。但云计算是需要无处不在的网络连接和随时随地可用的大数据来支撑的。因此，在遍布智慧城市每一个角落的网络，大数据为智慧城市各个环节的运作提供强大支持。那么，智慧城市建设中可能存在哪些安全隐患，就此笔者近期采访了卡巴斯基中国区售前经理魏文佳，听取了他在智慧城市安全方面的见解。

在智慧城市中，很多数据并不是人工提供的，而是依靠探针、物联网设备等联网设备自动收集提取的。在这些数据收集过程和上传过程中，数据是否会泄露?答案是肯定的。魏文佳表示：“数据在收集过程中会牵涉到很多环节，比如说两端的应用程序、设备、网络，以及使用者。应用程序会有编码方面的漏洞，设备会有管理方面的漏洞，网络会有传输协议之间的漏洞，而人则可能受到各种社会工程学(社交工程学)方面的欺骗。目前诸多安全厂商针对这类问题所提供的解决方案主要是Anti-APT、渗透测试、应用程序评估，以及安全意识评估等。当然普通用户，也可以通过安装个人版的安全软件、订阅一些信息安全方面的公众号、提升安全保密意识等方法，来确保自己的个人信息不被盗用、滥用。”

收集数据的过程如此，那在数据传输和分享的过程中又会有哪些风险呢?魏文佳认为：“分享的目标是什么、通过什么渠道分享、数据是否需要模糊处理、最终分享范围如何控制、如何确保数据分享过程中的隐秘性，甚至分享后的数据如何回收。这些环节都可能存在漏洞。这些漏洞有些是技术层面的，有些是与流程相关的。”

他举例说明：“当我们在一个智慧城市项目中获取了大量数据的同时，也意味着我们获得了一定数量的财富，当然这可能是隐性的。但是当我们要再次利用这些数据，提供给其他部门、其他企业进行二次分析时，就会涉及到诸多问题——是否允许分享，允许分享哪些数据，如何定义数据的等级，谁来监管数据的分享过程，谁来确保数据不会被再次转售。而涉及技术层面的有：通过什么加密手段来确保分享过程的保密性，通过何种技术对数据进行模糊处理，同时又确保这些数据不会被反向还原，如何确保数据回收过程的完整度。这些问题不仅需要安全厂商们去思考解决，也需要政府相关部门协调资源，通过一些法律、制度来监督。”

数据不仅在收集和分享过程中会受到安全威胁，在数据存储过程里也可能落入陷阱。你以为数据存储在服务器数据中心就万无一失了吗?答案是否定的。据卡巴斯基调查，2016年6月，xDedic地下黑市贩卖全球超过7万台被感染服务器访问权限，有些最低售价只有6美元。绝大多数的服务器在购买其访问权限之后，就可以获得该服务器存储的所有信息。

魏文佳在看到这些全球被感染的服务器名单之后发现：“被感染的服务器行业分布的前三类是运营商、教育、互联网行业。它们都有一些共通点——服务器数量多，应用复杂，终端用户水平相差巨大。”

那到底有什么好方法可以帮助企业用户抵御这些威胁呢?虽然这些行业每年在信息安全上预算并不低，但是绝大多数花费停留在“防御”这个环节，当安全问题真正发生并在企业内部不断扩散时，企业更急需解决的是“如何检测”和“如何响应”这两大问题。魏文佳表示，卡巴斯基实验室已经具备帮助用户应对这些事件的解决方案，在今后一段时间内，卡巴斯基会持续与这些遭受感染的用户保持接洽，帮助它们构筑完整的安全阵线。

如今都在说软件定义存储、软件定义网络、软件定义某某……那么是不是说软件定义安全可以完全取代硬件安全产品呢?如果答案是肯定的，为什么还有众多硬件安全厂商能够生存下来?对此笔者非常好奇，并就此问题与魏文佳进行了探讨。魏文佳认为：“软件可以说是硬件的核心，但是不可能完全替代硬件产品。用户的安全架构并非一朝一夕就能改变，每个行业也有其特点，或许未来某一天硬件会逐渐碎片化，绝大部分的硬件将仅仅成为一种或者多种软件的承载体，但是就目前的环境而言，两者仍是‘最佳拍档’。”

卡巴斯基长久以来始终在安全软件领域发展，这是不是就说明软件可以解决所有安全问题呢?卡巴斯基有没有考虑发展安全硬件产品?针对笔者的疑问，魏文佳表示：“卡巴斯基目前仍然在安全软件领域发展，但是我们最新的几项解决方案也逐渐尝试与硬件相结合，这种结合不仅仅是利用硬件解决安全问题，也包含了解决硬件自身的安全问题。例如我们的工控安全解决方案，就是解决企业工控环境中硬件设备所遭遇的威胁。”

上述安全风险仅仅是智慧城市建设中明显存在的一部分风险，还有一些安全漏洞和风险是隐性的，难以觉察的。大数据和物联网技术相互依存，共同支撑智慧城市的良性运行。因此，需要更多的技术标准和相关法律法规来确保它们的安全，但这绝不是一蹴而就的，需要在长期实践中不断摸索。

====================================分割线================================

本文转自d1net（转载）